[Tribune] Numérique : l'Europe renforce son arsenal législatif

Presque 7 milliards d'euros, c'est le montant auquel s'élèvent les amendes infligées aux GAFA en Europe depuis 2018, notamment pour violation du droit de la concurrence et de la protection des données à caractère personnel. Depuis quelques années, réformer les usages des géants du numérique est donc l'une des priorités des régulateurs européens, et ce, en dépit du cadre législatif actuel qui ne semble plus assez large pour les contenir.

C'est dans ce contexte que s'inscrivent le Règlement sur les Services Numériques (" Digital Services Act " ou " DSA ") et le Règlement sur les Marchés Numériques (" Digital Markets Act " ou " DMA "), destinés à créer un ensemble de nouvelles règles applicables dans toute l'Union européenne. Le DSA a pour objectif de renforcer les droits fondamentaux des utilisateurs et d'instaurer un cadre de responsabilité clair pour les plateformes, selon leur activité et leur taille, autour de grands principes de transparence, coopération et auto-régulation.

Ainsi, il est attendu des plateformes qu'elles mettent en oeuvre une plus grande transparence quant à leurs pratiques, et ce, à plusieurs niveaux. Tel est notamment le cas dans la publicité, où les plateformes sont, par exemple, maintenant tenues d'expliquer aux utilisateurs les fondements de leurs systèmes de recommandation et de mise en avant de produits et services. Il en est de même dans la modération de contenus, où obligation leur est faite d'informer précisément et préalablement l'utilisateur des raisons du retrait de contenus.

Le DSA instaure également une obligation de coopération avec les autorités afin de lutter contre la haine en ligne. Par exemple, en cas de soupçon d'infraction pénale grave impliquant une menace pour la vie ou la sécurité, les plateformes devront rapidement en informer les instances judiciaires et leur fournir toute information pertinente.

Les très grandes plateformes en ligne (telles que Facebook, Snapchat, Twitter ou encore Amazon) sont également soumises à une autorégulation forte avec notamment l'obligation d'identifier, analyser et évaluer, au moins une fois par an, tout risque systémique significatif découlant de l'utilisation de leurs services et de mettre en place des mesures d'atténuation de ces risques. Toujours dans un souci de conformité, les plateformes devront en outre accepter, une fois par an, un audit additionnel encadré par le Coordinateur des Services Digitaux (" Digital Services Coordinator "), une autorité en charge de l'application du DSA désignée localement dans chacun des pays de l'Union européenne.

Pour sa part, le DMA s'applique plus spécifiquement aux grandes plateformes structurantes, qualifiées de "gatekeepers" (pour ceux qui ne les auraient pas reconnues, il s'agit de Facebook, Apple, Google et Amazon) et vise très clairement à réguler les pratiques anticoncurrentielles, sans avoir à lancer de longues enquêtes dont l'issue peut prendre plusieurs années.

Le DMA introduit ainsi de nombreuses restrictions aux activités de ces plateformes, notamment en matière de mutualisation des bases de données dont elles disposent. Par exemple, Facebook ne pourra ainsi pas mutualiser les données collectées sur le site Facebook et la messagerie Whatsapp. Le DMA impose également aux plateformes une obligation de transparence à l'égard des annonceurs et des éditeurs auxquels ces dernières fournissent des espaces publicitaires en les informant, pour chaque publication d'annonce, du prix payé par l'annonceur et du montant versé à l'éditeur.

Parmi les nouvelles obligations introduites par le DMA, il convient également de noter l'obligation de soumettre à la Commission européenne une description de toute technique de profilage des utilisateurs ainsi que l'obligation d'informer cette dernière de tout projet de concentration impliquant une autre plateforme ou un autre service fourni dans le secteur numérique. De plus, les amendes prévues en cas de violation de ces deux nouveaux textes sont, sans surprise, élevées : jusqu'à 6% du revenu ou du chiffre d'affaires annuel de la plateforme concernée en cas de violation du DSA et jusqu'à 10% du chiffre d'affaires mondial annuel pour le DMA.

Avec le DMA et le DSA, l'Europe se dote donc d'un cadre législatif fort, qui vient encore renforcer le rempart d'ores et déjà hissé par le RGPD.

L'objectif poursuivi est affiché, comme l'a rappelé Thierry Breton, " l'Internet ne doit pas être un Far West". Toutefois, au regard des enjeux, il est probable que le DSA et le DMA, qui sont encore à l'état de projets, fassent l'objet de nombreuses attaques de la part des principaux "cowboys" visés.