La législation sur les marchés numériques (DMA) vise à lutter contre les pratiques anticoncurrentielles des géants d’internet et à corriger les déséquilibres de leur domination sur le marché numérique européen. Des outils de régulation sont mis en place pour créer une concurrence loyale entre les acteurs du numérique, notamment au profit des PME et des start-up européennes, afin de stimuler l’innovation, la compétitivité sur le marché numérique et renforcer la liberté de choix des consommateurs européens. Cette régulation a priori (ex ante) vient compléter le droit de la concurrence (ex post), la lenteur des procédures concurrentielles (administratives et/juridictionnelles) n’incitant pas les géants d’internet à modifier en profondeur leur comportement.
Quels sont les activités visées par le DMA ?
Le règlement couvre des services en ligne très répandus et couramment utilisés, fournis ou proposés par les grandes plateformes. Il liste dix “services de plateforme essentiels” ou de base : services d’intermédiation (comme les places de marché, les boutiques d’applications), moteurs de recherche, réseaux sociaux, plateformes de partage de vidéos, messageries en ligne, systèmes d’exploitation (dont les télévisions connectées), services en nuage (cloud), services publicitaires (régies des plateformes), navigateurs web, assistants virtuels.
Quelles sont les entreprises concernées par le DMA ?
Le règlement DMA cible uniquement les entreprises qui sont des “contrôleurs d’accès”, les gardes-barrières (gatekeepers) de l’internet. Il s’agit d’acteurs qui ont une forte incidence sur le marché intérieur, constituent des points d’accès importants des entreprises utilisatrices pour toucher leur clientèle et occupent ou occuperont dans un avenir proche une position solide et durable.
Sont présumées être des contrôleurs d’accès, au sens de la nouvelle législation européenne, les entreprises :
- qui fournissent un ou plusieurs services de plateforme essentiels dans au moins trois pays européens,
- qui réalisent un chiffre d’affaires ou disposent d’une valorisation boursière très élevé (7,5 milliards d’euros au moins de chiffre d’affaires annuel en Europe dans les trois dernières années ou 75 milliards d’euros ou plus de capitalisation boursière durant la dernière année)
- et qui enregistrent un grand nombre d’utilisateurs dans l’UE (+ de 45 millions d’Européens par mois et/ou 10 000 professionnels par an pendant les trois dernières années).
Les entreprises qui atteignent ces seuils avaient jusqu’au 3 juillet 2023 pour s’identifier auprès de la Commission européenne. Sept d’entre elles l’ont fait : les GAFAM américains (Alphabet, Amazon, Meta, Apple et Microsoft), le groupe sud-coréen Samsung et le groupe chinois ByteDance, propriétaire du réseau social TikTok.
La Commission européenne doit encore désigner formellement ces entreprises comme contrôleur d’accès d’ici au 6 septembre 2023.
En vertu du règlement, la Commission pourra, par ailleurs, désigner unilatéralement les entreprises qui ne se sont pas signalées ou qui ne coopèrent pas aux enquêtes de marché, y compris certaines qui ne rempliraient pas les seuils précités mais sont jugées trop dominantes, en fonction de certains critères (taille de la plateforme, barrières à l’entrée…). Une même entreprise pourra être désignée comme contrôleur d’accès pour plusieurs services de plateforme essentiels (par exemple un moteur de recherche et un assistant virtuel).
Les entreprises concernées pourront contester leur désignation devant les organes juridictionnels de l’Union européenne. La liste des contrôleurs d’accès et la liste des services de plateforme essentiels qu’ils fournissent seront actualisées par la Commission et révisées au moins tous les trois ans.
Quelles sont les obligations pesant sur les contrôleurs d’accès ?
Les entreprises désignées comme « gatekeepers » devront nommer un ou plusieurs responsables de la conformité avec le règlement, sous peine d’amende, et respecter d’ici le 6 mars 2024 des obligations ou interdictions, pour chacun de leurs services de plateforme essentiels. Certaines sont applicables à tous, d’autres seront prononcées sur mesure.
Les contrôleurs d’accès devront par exemple :
- rendre aussi facile le désabonnement que l’abonnement à un service de plateforme essentiel ;
- permettre de désinstaller facilement sur son téléphone, son ordinateur ou sa tablette des applications préinstallées ;
- rendre interopérables les fonctionnalités de base de leurs services de messagerie instantanée (Whatsapp, Facebook Messenger…) avec leurs concurrents plus modestes ;
- donner aux vendeurs l’accès à leurs données de performance marketing ou publicitaire sur leur plateforme ;
Les contrôleurs d’accès ne pourront plus notamment :
- imposer les logiciels les plus importants (navigateur web, moteurs de recherche, assistants virtuels) par défaut à l’installation de leur système d’exploitation.
- favoriser leurs services et produits par rapport à ceux des vendeurs qui utilisent leur plateforme (auto-préférence) ou exploiter les données des vendeurs pour les concurrencer ;
- réutiliser les données personnelles d’un utilisateur à des fins de publicité ciblée, sans son consentement explicite ;
- imposer aux développeurs d’application certains services annexes (système de paiement par exemple).
Cette liste pourra être complétée par la Commission, en fonction de l’évolution des pratiques des géants d’internet et des marchés numériques.
Quelles sanctions en cas de non-respect du DMA ?
En cas d’infraction, la Commission européenne pourra prononcer contre le contrôleur d’accès une amende pouvant aller jusqu’à 10 % de son chiffre d’affaires mondial total et, en cas de récidive, jusqu’à 20 % de ce chiffre d’affaires. Elle pourra aussi prononcer des astreintes allant jusqu’à 5 % de son chiffre d’affaires journalier mondial total.
Si l’entreprise viole systématiquement la législation européenne, à savoir à partir de “trois violations sur huit ans”, la Commission pourra ouvrir une enquête de marché et, si besoin, imposer des mesures correctives comportementales ou structurelles. La Commission européenne pourra, par exemple, obliger le contrôleur d’accès à céder une activité (vente d’unités, d’actifs, de droits de propriété intellectuelle ou de marques) ou lui interdire d’acquérir des entreprises de services dans le numérique ou de collecte de données.