La version initiale du DMA é été publiée par la Commission européenne mi-décembre 2020. L’accord intervenu le 24 mars en trilogue devrait maintenant permettre sa finalisation rapide, puis son entrée en vigueur dans les 6 mois. Le texte vise les gatekeepers opérant au moins dans trois Etats-membres, comptant plus de 45 millions d’utilisateurs, et réalisant plus de 7,5 Mds€ de chiffre d’affaires (ou valorisés à plus de 75 Mds€).
L’ESSENTIEL – Un accord a été conclu en trilogue (Commission, Parlement, Conseil) le 24 mars sur le règlement européen Digital Markets Act. – Le texte reste à publier. – Les indications publiées par la présidence française et par le Parlement européen montrent un relèvement des seuils délimitant les plateformes concernées par ce règlement, les gatekeepers – Les PME ne devraient pas être assujetties au DMA. – Les éditeurs ne seront plus tenues de passer par le système de paiement de la plateforme |
Figurant depuis la fin 2020 parmi les projets phares de l’actuelle Commission européenne (lire : Margrethe Vestager et Thierry Breton dévoilent la future régulation européenne du numérique), le Digital Markets Act (DMA) a fait l’objet d’un « accord politique provisoire entre le Conseil et le Parlement européen », indiquait le 25 mars, à 0 heure 5, un communiqué de la présidence française. Mais une semaine après la conclusion de ce dernier, il reste impossible d’obtenir le détail du texte sur lequel ce consensus a été réuni, limitant la capacité à en analyser avec précision les évolutions, et forçant à s’en remettre aux indications communiquées par les participants.
La proposition de règlement européen « relatif aux marchés contestables et équitables dans le secteur numérique (législation sur les marchés numériques) » a été publié le 15 décembre 2020.
Un texte visant les « gatekeepers »
Le texte est destiné à compléter les règles de la concurrence prévalant dans l’Union. Il vise les « gatekeepers », acteurs systémiques ou plateformes structurantes, et a pour premier objet de les caractériser.
Ces derniers devront respecter différentes obligations : en matière notamment d’interopérabilité (s’il développent un service complémentaire comme une solution de paiement, ils devront le mettre à disposition de leur concurrents) et d’utilisation des données (ils ne pourront plus utiliser les données de toutes les entreprises qu’il héberge par exemple).
En pratique, les entreprises concernées ne pourront plus empêcher la désinstallation d’applications ou services intégrés par défaut.
A la différence du Digital Services Act (DSA), le DMA est un règlement ex ante qui vise à permettre une action rapide pour éviter les distorsions de concurrence.
Dans sa version initiale, le DMA visait les entreprises qui réalisent dans l’UE un chiffre d’affaires de plus de 6,5 milliards d’euros ou dont la valorisation boursière supérieure à 65 milliards, présents dans trois États membres et comptant plus de 45 millions d’utilisateurs finaux, dont plus de 10 000 entreprises. Il reviendra aux entreprises de vérifier si elles entrent dans ces critères. La Commission validera ou non leur appréciation (présomption réfragable).
Les acquisitions resteront permises sous réserve d’une notification à la Commission, quelle que soit la taille de la cible. Celle-ci examinera si l’opération renforce ou non la position de l’acquéreur.
Le DMA « permettra à la Commission de mener des enquêtes de marché et de sanctionner les comportements non conformes », se félicitait le 24 mars au soir un communiqué du Parlement européen. Les sanctions financières prévues par le texte de décembre 2020 étaient de 10 % du CA mondial de l’exercice précédent.
Champ d’application resserré
Confirmant que le DMA a vocation à s’appliquer aux « grandes entreprises fournissant des services de plateforme “essentiels” (…) comme les réseaux sociaux ou les moteurs de recherche », le communiqué marque une première évolution, par rapport au projet initial, en restreignant le champ d’application du DMA à celle « dont la capitalisation boursière atteint au moins 75 milliards d’euros ou dont le chiffre d’affaires annuel dépasse les 7,5 milliards d’euros ».
« La plateforme doit contrôler un ou plusieurs services de plateforme de base (“core platform services”) dans au moins trois États membres, complète la présidence française. Ces services de plateforme de base comprennent les places de marché et les boutiques d’applications, les moteurs de recherche, les réseaux sociaux, les services en nuage, les services de publicité, les assistants vocaux et les navigateurs web (…) Afin d’assurer le caractère progressif de ces obligations, une catégorie de “contrôleur d’accès émergent” est également prévue. Elle permettra à la Commission d’imposer certaines obligations aux entreprises dont la position concurrentielle est démontrée mais pas encore durable ».
Pas de modification, en revanche, concernant le nombre d’internautes qui ont recours à leurs services : « 45 millions d’utilisateurs finaux par mois dans l’UE et 10 000 utilisateurs professionnels par an ».
Une plateforme peut contester sa désignation en tant que gatekeeper « au moyen d’une procédure spécifique qui permettra à la Commission de vérifier la validité de ces arguments », indique la présidence française. C’est à la Commission que reviendra plus largement la mise en œuvre de l’ensemble du dispositif.
Les sanctions encourues en cas d’infraction au DMA restent elles aussi inchangées : des amendes allant jusqu’à 10 % du chiffre d’affaires mondial de l’exercice précédent (et jusqu’à 20 % en cas de récidive), auxquelles s’ajoutera la possibilité pour la Commission, « en cas d’infraction systématique » (trois infractions constatées en huit ans), d’interdire au gatekeeper d’acquérir d’autres entreprises pendant une période donnée.
Lors du trilogue du 24 mars, « les législateurs de l’UE ont convenu que les plus grands services de messagerie (tels que WhatsApp, Facebook Messenger ou iMessage) devront s’ouvrir et être interopérables avec les plus petites plateformes de messagerie, si elles en font la demande », permettant à l’utilisateur final « d’échanger des messages, envoyer des fichiers ou passer des appels vidéo sur toutes les applications ».
Contraintes d’interopérabilité décalées pour les réseaux sociaux
« Concernant les obligations d’interopérabilité pour les réseaux sociaux, les co-législateurs ont convenu que de telles dispositions en matière d’interopérabilité seront évaluées à l’avenir », poursuit le communiqué.
Généralisation de l’Opt-in pour la publicité ciblée
S’agissant de la publicité ciblée, « le Parlement est aussi parvenu à garantir que l’association de données personnelles ne soit autorisée que si un consentement explicite est fourni au contrôleur d’accès », relève encore le Parlement. « Il a aussi tenu à inclure une exigence permettant aux utilisateurs de choisir librement leur navigateur, leur assistant virtuel ou leur moteur de recherche ».
« Le Parlement européen a permis de garantir que la législation produise immédiatement des résultats tangibles », se réjouit, comme en écho, le communiqué de la présidence française, soulignant également que « la législation évite toute forme de réglementation excessive pour les petites entreprises : (ces dernières) seront – hors cas exceptionnels – exemptées de la qualification de contrôleur d’accès ».
S’agissant de la conclusion du processus législatif, la présidence française précise que « le texte doit encore être adopté par le Parlement et le Conseil, (qu’il) entrera (ensuite) en vigueur 20 jours après sa publication au Journal officiel de l’UE et (que) les règles commenceront à s’appliquer six mois plus tard.
Mais avant même cette entrée en vigueur officielle, certains groupes semblent déjà anticiper les conséquences du DMA. C’est à cette aune, par exemple, que l’on peut interpréter l’accord conclu entre Spotify et Google, concernant la possibilité pour la plateforme suédoise de pouvoir utiliser son propre système de paiement dans les applications Android. Alors que le conflit durait depuis plusieurs mois, cet accord a été annoncé le 23 mars… veille du trilogue qui a débouché sur un accord entre Commission, Conseil et Parlement.
Conséquences pratiques du DMA : les points clés mis en avant par la présidence française
Les contrôleurs d’accès devront notamment : – Assurer le droit des utilisateurs de se désabonner des services de la plateforme de base dans des conditions similaires à l’abonnement, – Pour les logiciels les plus importants (navigateur web, par exemple) : ne pas imposer ces logiciels par défaut à l’installation du système d’exploitation, – Assurer l’interopérabilité des fonctionnalités de base de leurs services de messagerie instantanée, – Permettre aux développeurs d’applications d’accéder dans des conditions équitables aux fonctionnalités auxiliaires des smartphones (puce NFC, par exemple), – Donner aux vendeurs l’accès à leurs données de performance marketing ou publicitaire sur la plateforme – Informer la Commission européenne des acquisitions et fusions qu’ils réalisent Ils ne pourront plus : – Classer leurs propres produits ou services de manière plus favorable que ceux des autres acteurs du marché (auto‑préférence), – Réutiliser les données personnelles collectées lors d’une prestation pour les besoins d’une autre prestation, – Etablir des conditions déloyales pour les utilisateurs professionnels, – Préinstaller certaines applications logicielles, – imposer aux développeurs d’application l’utilisation de certains services (système de paiement ou fournisseur d’identité par exemple) pour être référencés dans les magasins d’application. |