retour

« DMA » : tout comprendre au Digital Markets Act

Article IT et données personnelles Droit européen Droit public et commande publique | 25/03/22 | 30 min. | Emmanuelle Mignon Mahasti Razavi Eden Gall Pauline Roman

Tech & Digital

Après plusieurs réunions de trilogue, le Conseil de l’Union européenne et le Parlement européen sont parvenus à un accord politique concernant le Digital Markets Act (le « DMA »).

Les principaux points de divergence qui ont été clarifiés concernaient les seuils permettant de qualifier une plateforme de contrôleur d’accès. Par ailleurs, le Parlement européen a réussi à convaincre le Conseil d’imposer des obligations d’interopérabilité aux services de messageries, ce qui signifie que les grandes plateformes telles que WhatsApp, Facebook, Messenger ou iMessage devront s’ouvrir et interopérer avec des plus petites plateformes de messagerie.

La voie est désormais effectivement ouverte pour une application du DMA à compter du 1er janvier 2023.

Annoncé en février 2020 dans la communication de la Commission européenne intitulée « Façonner l’avenir numérique de l’Europe »[1], le DMA s’inscrit dans le cadre d’un projet législatif dual visant à réguler les pratiques des grandes plateformes numériques sur le marché européen.

Alors que le Digital Services Act[2] vise à encadrer les relations entre les plateformes numériques et les consommateurs – et prévoit un régime de responsabilité renforcé de ces dernières vis-à-vis des contenus illicites, le DMA a pour principal objectif de réguler les relations entre les grandes plateformes numériques et les entreprises utilisatrices.

  1. Les objectifs du DMA[3]

Le DMA vise à rééquilibrer les relations entre les grandes plateformes numériques qui contrôlent l’accès au marché numérique, appelés les « contrôleurs d’accès » (gatekeepers), et les entreprises utilisatrices, afin de favoriser l’innovation, la croissance et la compétitivité, faciliter le développement de plateformes de taille plus modeste, des petites et moyennes entreprises et des start-up, et ultimement redynamiser la concurrence au bénéfice des consommateurs et d’une plus grande liberté économique.

Pour cela, le DMA met en place des règles harmonisées permettant de lutter contre les comportements considérés comme inéquitables ou exorbitants des contrôleurs d’accès. En effet, alors qu’un certain nombre de solutions réglementaires ont déjà été adoptées ou proposées au niveau national en réponse aux questions relatives à la puissance et à la concentration de certains services numériques, l’objet du DMA est de rapprocher les législations nationales divergentes et ainsi éviter la fragmentation du marché intérieur.

Partant de ce constat, et compte tenu de la nature transfrontière des services numériques, la finalité du DMA est de garantir l’équité et l’égalité des chances des acteurs numériques au sein de l’Union européenne et de veiller à ce que les marchés, sur lesquels les contrôleurs d’accès opèrent restent contestables. Autrement dit, l’objectif central est d’éviter une dépendance numérique des entreprises utilisatrices vis-à-vis des services de plateforme essentiels proposés par les contrôleurs d’accès.

Le DMA vient ainsi compléter les règles déjà présentes au sein de l’Union européenne. Mais, contrairement au droit de la concurrence qui permet déjà de sanctionner les comportements abusifs, mais de manière ex post et au terme de procédures longues, le DMA impose aux services de plateforme essentiels des opérateurs les plus importants des obligations objectives applicables ex ante.

  1. Les entreprises visées par le DMA

Les règles instituées par le DMA sont uniquement applicables aux contrôleurs d’accès (1) qui doivent en principe s’auto-désigner auprès de la Commission européenne (2), qui prend une décision de désignation du contrôleur d’accès, laquelle peut faire l’objet de modifications (3).  

1. La définition des contrôleurs d’accès

Le DMA met en place des règles uniquement à destination des contrôleurs d’accès – quel que soit leur lieu d’établissement ou de résidence – qui fournissent des services de plateforme essentiels (core platform services) :  

  1. aux utilisateurs finaux établis ou situés dans l’Union européenne, c’est-à-dire  toute personne physique ou morale utilisant des services de plateforme essentiels autrement qu’en tant qu’entreprise utilisatrice ;
  2. aux entreprises utilisatrices sans condition liée à leur lieu d’établissement, c’est-à-dire toute personne physique ou morale agissant à titre commercial ou professionnel qui utilise des services de plateforme essentiels aux fins ou dans le cadre de la fourniture de biens ou de services à des utilisateurs finaux ;  et
  3. quel que soit le droit applicable à la fourniture de ces services.

Les services de plateforme essentiels, parmi ceux listés à l’article 2 du DMA, sont notamment :

- les services d’intermédiation en ligne[4]  ;
- les moteurs de recherche en ligne ;
- les services de réseaux sociaux en ligne ;
- les services de plateformes de partage de vidéos ;
- les services de communications interpersonnelles non fondées sur la numérotation ;
- les systèmes d’exploitation ;
- les services d’informatique en nuage ;
- les assistants virtuels ;
- les navigateurs web ;
- les télévisions connectées ;
- les services de publicité en ligne, y compris tous les réseaux publicitaires, échanges publicitaires et autres services d’intermédiation publicitaire fournis par un fournisseur dont la société mère est également un fournisseur de l’un des services de plateforme essentiels énoncés ci-dessus.

Une entreprise est qualifiée de contrôleur d’accès lorsqu’elle remplit les conditions cumulatives suivantes[5]

- avoir un poids important sur le marché intérieur : est réputée satisfaire à cette exigence une entreprise qui propose un ou plusieurs services de plateforme essentiels dans au moins trois Etats membres et qui, durant les trois dernières années (i) soit a réalisé un chiffre d’affaires annuel d’au moins 7,5 milliards d’euros au sein de l’Union européenne (ii) soit a atteint une valorisation boursière d’au moins 75 milliards d’euros ;

- assurer un service de plateforme essentiel qui constitue un point d’accès majeur permettant aux entreprises utilisatrices et aux utilisateurs finaux d’atteindre d’autres utilisateurs finaux. L’entreprise est réputée satisfaire à cette exigence lorsque le ou les services de plateforme essentiels enregistrent :

- au moins 45 millions d’utilisateurs finaux mensuels établis dans l’Union européenne ; et 

- au moins 10 000 entreprises utilisatrices par an établies dans l’Union européenne ;

- jouir d’une position solide et durable dans ses activités, c’est-à-dire que les seuils visés au deuxième point ont été atteints au cours des deux ou trois derniers exercices[6].
 
Une entreprise qui n’atteint pas les seuils permettant de la qualifier de contrôleur d’accès pourra toutefois être désignée comme tel à la suite d’une enquête diligentée par le Commission européenne en vertu de l’article 15 du DMA explicité ci-dessous

2. La désignation des contrôleurs d’accès (art. 3 et 15)

La désignation des contrôleurs d’accès peut s’effectuer :

- soit à l’initiative de l’entreprise concernée, c’est-à-dire que, lorsqu’une entreprise fournissant des services de plateforme essentiels satisfait aux seuils visés ci-dessus, elle doit le notifier à la Commission européenne sans délai ou au plus tard dans les deux (2) mois suivant l’entrée en vigueur du DMA.

Elle doit lui fournir les informations pertinentes – notamment les informations liées à son chiffre d’affaires, aux nombres d’entreprises utilisatrices et d’utilisateurs finaux enregistrés.

A l’issue de la procédure de notification, elle peut présenter des arguments pour démontrer que, dans les circonstances dans lesquelles le ou les service(s) de plateforme(s) essentiel(s) sont assurés, elle ne doit pas être regardée comme un contrôleur d’accès.

La Commission européenne étudie le dossier dans un délai de 60 jours maximum, à la suite de quoi elle désigne ou non – dans le cadre de ce qu’on appelle une décision de désignation – l’entreprise concernée comme contrôleur d’accès et établit la liste des services de plateforme essentiels concernés ;

- à défaut de notification des informations requises par l’entreprise, la Commission européenne mène une enquête sur le marché aux fins d’examiner si un fournisseur de services de plateforme essentiels devrait être désigné comme contrôleur d’accès. Une entreprise qui n’atteint pas chacun des seuils mentionnés ci-dessus peut en effet être quand même désignée contrôleur d’accès sur le fondement de critères appréciés par la Commission relatifs à la taille de l’entreprise, le nombre d’entreprises utilisatrices, les barrières à l’entrée du marché, les effets d’échelle dont bénéficie le fournisseur, les autres caractéristiques structurelles du marché.

3. La modification du statut de contrôleur d’accès (art.4)

Le DMA prévoit deux possibilités de modification du statut du contrôleur d’accès : dans un premier cas de figure, la Commission européenne peut, sur demande ou de sa propre initiative, revoir, modifier ou abroger une décision de désignation ou de non-désignation en raison (i) d’une modification de la situation de l’entreprise ou (ii) du fait que la décision repose sur des informations incomplètes, inexactes ou dénaturées ; dans le second cas de figure, la Commission réexamine régulièrement, au moins tous les 3 ans, si les contrôleurs d’accès continuent de satisfaire aux exigences fixées ci-dessus

La procédure de révision n’a pas d’effet suspensif sur les obligations des contrôleurs d’accès.

Par ailleurs, le DMA prévoit que la Commission européenne publie et tient à jour de façon continue la liste des entreprises désignées comme contrôleurs d’accès et les services de plateforme essentiels pour lesquels ils doivent se conformer aux obligations.

III. Les nouvelles obligations applicables aux contrôleurs d’accès  

Si la portée principale du DMA est d’imposer aux contrôleurs d’accès désignés des obligations et interdictions afin de rendre plus équitable et plus ouvert le marché numérique (1), le texte agit également en amont en leur imposant de notifier toute concentration à la Commission européenne (2).

1. Les obligations et interdictions générales (art. 5 et 6)

Le DMA définit les obligations directement applicables (article 5) et les obligations susceptibles d’être précisées – dans le cadre d’un dialogue entre la Commission européenne et le contrôleur d’accès (article 6), que les contrôleurs d’accès doivent respecter en ce qui concerne chacun de leurs services de plateforme essentiels énumérés dans la décision de désignation de la Commission européenne.

Ci-dessous, un tableau présentant (i) les principales obligations ou interdictions imposées aux contrôleurs d’accès, et (ii) des précisions quant à l’application concrète de la mesure.

Mesure

Commentaire

Le contrôleur d’accès ne peut combiner ou utiliser de manière croisée les données à caractère personnel provenant de ses services de plateforme essentiels avec les données provenant de tout autre service proposé par le même contrôleur d’accès ou avec les données à caractère personnel des services tiers.

Un contrôleur d’accès peut, dans certaines circonstances, jouer un double rôle en fournissant un service de plateforme essentiel à ses entreprises utilisatrices tout en se trouvant en concurrence avec ces mêmes entreprises pour la fourniture de services ou produits identiques aux mêmes utilisateurs finaux.

 

Dans ces circonstances, le contrôleur d’accès peut profiter de sa position pour utiliser les données de ses entreprises utilisatrices aux fins d’améliorer ses propres services similaires.

Le contrôleur d’accès ne peut appliquer des obligations contractuelles aux entreprises utilisatrices leur empêchant de proposer les mêmes produits ou services aux utilisateurs finaux par le biais de services d’intermédiation en ligne tiers ou de leur propre canal de vente en ligne, à des prix ou conditions différents de ceux qui sont proposés par les services d’intermédiation en ligne du contrôleur d’accès.

Par exemple, une société proposant des hébergements qui serait considérée comme contrôleur d’accès ne peut interdire aux entreprises utilisatrices, c’est-à-dire les hôtels qui souhaitent voir leurs offres diffusées sur sa plateforme, de proposer les mêmes nuitées par le biais d’autres services d’intermédiation en ligne (autre site internet permettant d’acheter une nuit d’hôtel) ou sur leur propre site (le site de l’hôtel) à des prix différents et donc inférieurs à ceux proposés par le contrôleur d’accès.

Le contrôleur d’accès doit permettre aux entreprises utilisatrices de communiquer et de promouvoir leurs offres, y compris à des conditions d’achat différentes, auprès des utilisateurs finaux acquis grâce au service de plateforme essentiel, et de conclure des contrats avec ces utilisateurs finaux en utilisant ou non à cette fin les services de plateforme essentiels du contrôleur d’accès.

Les contrôleurs d’accès par le biais desquels les entreprises utilisatrices vendent des biens ou des services, doivent pouvoir interagir directement avec l’utilisateur final.

Le contrôleur d’accès a l’interdiction de mettre en place un traitement préférentiel vis-à-vis de ses propres produits (auto-préférence)

Le contrôleur d’accès peut recourir à divers moyens pour favoriser ses propres services ou produits dans son service de plateforme essentiel, au détriment de services identiques que les utilisateurs finaux pourraient obtenir par ailleurs. Cela peut être notamment le cas lorsque certaines applications logicielles ou certains services sont préinstallés par le contrôleur d’accès.

Les contrôleurs d’accès sont également souvent verticalement intégrés et proposent certains produits ou services aux utilisateurs finaux par l’intermédiaire de leurs propres services de plateforme essentiels ou d’une entreprise utilisatrice sur laquelle ils exercent un contrôle.

Cette situation se présente aussi lorsque le contrôleur d’accès propose ses propres services d’intermédiation en ligne par le biais de son propre moteur de recherche en ligne.

Le contrôleur d’accès ne doit pas, en termes de classement, accorder un traitement plus favorable à ses propres services.

Le contrôleur d’accès ne peut pas exiger des entreprises utilisatrices qu’elles utilisent, proposent ou interagissent avec un service d’identification ou tout autre service accessoire du contrôleur d’accès dans le cadre des services qu’elles proposent.

Cette mesure rappelle l’interdiction des ventes liées en droit de la concurrence. Ainsi, un contrôleur d’accès qui propose plusieurs services qui peuvent interagir entre eux, ne peut pas imposer à une entreprise utilisatrice l’utilisation d’un service accessoire au service de plateforme essentiel.  

Le contrôleur d’accès ne peut empêcher, directement ou indirectement, une entreprise utilisatrice de faire part à toute autorité publique compétente de préoccupations à l’égard de toute pratique des contrôleurs d’accès.

Toute pratique qui entraverait de quelque manière que ce soit la possibilité pour une entreprise de faire part de ses préoccupations à une autorité publique ou de demander réparation, au moyen par exemple de clauses de confidentialité, est interdite.

 

Le DMA prévoit deux possibilités de dérogation à l’application de plein droit de ces obligations au contrôleur d’accès :

- suspension d’une obligation par la Commission (art. 8) : le contrôleur d’accès peut démontrer qu’en raison de circonstances exceptionnelles, le respect d’une obligation particulière prévue aux articles 5 et 6 du DMA menacerait sa viabilité économique. Sur demande motivée d’un contrôleur d’accès, la Commission européenne peut, à titre exceptionnel, suspendre, pour une année, entièrement ou partiellement, une obligation particulière pour un service de plateforme essentiel. La décision de suspension est accompagnée d’une déclaration motivée expliquant les raisons de cette suspension. La Commission réexamine la décision de suspension chaque année et peut la lever complètement ou partiellement ;

- exemption pour des raisons de moralité, de santé publique ou de sécurité publique (art. 9) : sur demande motivée d’un contrôleur d’accès ou de sa propre initiative, la Commission européenne peut exempter entièrement ou partiellement le contrôleur d’accès d’une obligation prévue aux articles 5 et 6, en ce qui concerne un service de plateforme essentiel spécifique. Une telle exemption ne peut être accordée que pour des motifs de moralité publique, santé publique ou sécurité publique.
 

2. La notification des concentrations (art. 12)

Le contrôleur d’accès doit informer la Commission européenne de tout projet de concentration au sens l’article 3 du règlement n°139/2004 du 20 janvier 2004 relatif au contrôle des concentrations entre entreprises impliquant un autre fournisseur de services de plateforme essentiels ou de tous autre services fournis dans le secteur numérique, que ce projet soit soumis à une obligation de notification à une autorité de concurrence de l’Union ou à une autorité de concurrence nationale.

Si, à la suite d’une concentration, il est démontré que d’autres services de plateforme essentiels atteignent, individuellement, les seuils, le contrôleur d’accès concerné en informe la Commission dans les trois mois à compter de la réalisation de la concentration et fournit à la Commission européenne les informations nécessaires.

  1. Les pouvoirs d’enquête et de contrôle de la Commission européenne

Le DMA confère à la Commission européenne de larges pouvoirs d’enquête (1) et la possibilité d’infliger des amendes et des astreintes aux contrôleurs d’accès (2).

1. Les pouvoirs d’enquête de la Commission européenne

Plusieurs types d’enquête à l’initiative de la Commission européenne sont prévues par le DMA :

- une enquête sur le marché pour la désignation des contrôleurs d’accès (art. 15) : la Commission européenne peut ouvrir une enquête aux fins de déterminer si une entreprise doit être désignée contrôleur d’accès au sens du DMA ;

- une enquête sur le marché portant sur un non-respect systématique (art. 16) : la Commission européenne peut mener une enquête sur le marché aux fins d’examiner si un contrôleur d’accès contrevient, de manière systématique, aux obligations qui sont les siennes ;

- une enquête sur le marché portant sur les nouveaux services et les nouvelles pratiques (art. 17) : la Commission européenne peut mener une enquête sur le marché afin d’examiner s’il conviendrait d’inscrire (i) un ou plusieurs services du secteur numérique sur la liste des services de plateforme essentiels (art. 2) ou (ii) de nouvelles obligations ou interdictions aux articles 5 et/ou 6.

Le DMA octroie également à la Commission européenne un pouvoir étendu de coercition et de contrôle. La Commission peut notamment (i) par simple demande ou par voie de décision, demander aux entreprises et associations d’entreprises de fournir tous les renseignements nécessaires, aux fins de contrôler, de mettre en œuvre et de faire respecter les règles prévues par le DMA ; (ii) demander l’accès aux bases de données et algorithmes des entreprises et aux informations sur les tests, ainsi que des explications les concernant, par simple demande ou par voie de décision ; (iii) procéder à des inspections sur place dans les locaux d’une entreprise ou d’une association d’entreprises ; (iv) interroger toute personne physique ou morale qui accepte d’être interrogée aux fins de la collecte d’informations relatives à l’objet d’une enquête.

2. Les amendes et les sanctions infligées par la Commission européenne

Dans le cas où un contrôleur d’accès enfreint les règles fixées par le DMA, il risque une amende pouvant aller jusqu’10 % de son chiffre d’affaires mondial total et jusqu’à 20% en cas de récidive.

Lorsque la Commission constate que le contrôleur d’accès contrevient à ses obligations de manière récurrente, la Commission peut imposer, en dernier recours, après trois décisions de manquement ou infligeant des amendes, des mesures « correctives comportementales ou structurelles ».

  1. Articulation du DMA avec la législation des Etats membres 

Les Etats membres ne pourront imposer aux contrôleurs d’accès, au sens du DMA, aucune autre obligation supplémentaire, par voie législative, réglementaire ou administrative, et ce afin d’éviter la fragmentation du marché intérieur.

Cependant, le considérant 9 du DMA, tel que modifié en première lecture par le Parlement européen précise que « cela s'entend sans préjudice de la faculté des Etats membres d’imposer des obligations identiques, plus strictes ou différentes aux contrôleurs d’accès dans le but de poursuivre d’autres objectifs légitimes d’intérêt général, conformément au droit de l’Union. Ces objectifs légitimes d’intérêt général peuvent être, entre autres, la protection des consommateurs, la lutte contre les actes de concurrence déloyale et la promotion de la liberté et du pluralisme des médias, de la liberté d’expression, ainsi que de la diversité culturelle ou linguistique (…) ».

 

[1] Communication de la Commission européenne du 19 février 2020 (COM (2020) 67 final).

[2] Proposition de règlement du Parlement européen et du Conseil relatif à un marché intérieur des services numériques.

[3] La présente note est écrite à la lumière de la dernière version du DMA issue de l’accord entre le Parlement européen et le Conseil de l’Union européenne intervenu jeudi 24 mars 2022. Quelques précisions ou modifications pourront encore être insérées dans le texte, mais les grandes lignes de clui-ci sont désormais stabilisées.

[4] Les services d’intermédiation en ligne sont définis à l’article 2 du Règlement n°2019/1150 du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne comme des sites internet permettant à des tiers de proposer des contenus, des services ou un espace de vente tels qu’Amazon, Blablacar ou Airbnb.

[5] A cet égard, il est précisé que la Commission européenne est habilitée à adopter des actes délégués conformément à l’article 37 du DMA afin de préciser la méthode utilisée et d’adapter régulièrement la méthodologie de calcul aux évolutions du marché.

[6] Cette durée est à préciser.

 


Articles recommandés