Digital Markets Act (DMA)
Le 24 mars 2022 un accord politique a été conclu entre le Parlement européen et les États membres de l’Union européenne concernant le Digital Market Act (DMA). Le règlement, d’application directe dans les États membres, doit encore être adopté, et entrera en vigueur dans un délai de 20 jours après sa publication au Journal Officiel de l’Union Européenne. Les règles commenceront à s’appliquer six mois plus tard.
La proposition relative à une législation sur les marchés numériques 2020/0374 avait quant à elle été adoptée par la Commission européenne le 15 décembre 2020[1].
Nous pouvons nous demander quelles seront les conséquences pratiques dans les relations contractuelles entre les plateformes numériques et les entreprises utilisatrices bénéficiant de leurs services.
En effet, le DMA, à distinguer de la législation sur les services numériques (« DSA[2] ») proposée à la même période, vise à encadrer les comportements de grands acteurs du numérique agissant en tant que « contrôleurs d’accès », en vue de protéger leurs utilisateurs, professionnels ou non, et de rendre le marché du numérique plus équitable et compétitif[3] notamment à l’égard des nouveaux acteurs sur ce dernier.
Il convient tout d’abord de préciser le champ d’application du DMA, les obligations et interdictions qu’il revêt et que les entreprises utilisatrices pourront appliquer dans leurs négociations le cas échéant, et enfin les sanctions applicables.
Les contrôleurs d’accès
Le DMA vise les « contrôleurs d’accès », qui se définissent d’une part par la fourniture d’un « service de plateforme essentiel » à savoir notamment les services d’intermédiation en ligne, les moteurs de recherche en ligne ou encore les services de publicité[4] (les « Services ») mis à disposition sur une plateforme en ligne (« Plateforme »).
Et d’autre part, est considéré comme un « contrôleurs d’accès » le fournisseur de Services qui (i) détient un poids important sur le marché intérieur, (ii) assure un service de plateforme essentiel constituant un point d’accès majeur permettant aux entreprises utilisatrices d’atteindre leurs utilisateurs finaux, et (iii) jouit d’une position solide et durable dans ses activités ou jouira d’une telle position dans un avenir proche. Ces critères sont définis à l’article 3 du DMA et sont présumés être remplis lorsqu’ils atteignent différents seuils[5].
Il revient aux entreprises concernées d’informer la Commission dans les trois mois lorsque les seuils sont atteints.
Par ailleurs, la Commission peut analyser et mener des enquêtes sur le marché de sa propre initiative en vue de désigner, le cas échéant, de nouveaux contrôleurs d’accès ou en vue de déterminer les services concernés de contrôleurs d’accès existants. Elle informe ces derniers durant l’enquête concernée.
Elle peut ainsi désigner un contrôleur d’accès qui remplirait les exigences des critères de définitions ci-avant précités sans pour autant atteindre les seuils précités. La Commission s’appuiera, pour ce faire, sur différents éléments et notamment la taille, le CA, le nombre d’entreprises utilisatrices dépendant du Service pour atteindre les utilisateurs finaux, le nombre de ces derniers etc.
Ainsi, si les critères sont atteints de toute évidence pour certains contrôleurs d’accès, la question se posera pour d’autres acteurs.
Par exemple, si Booking n’atteignait pas les seuils du DMA, la plateforme pourrait néanmoins entrer dans le champ d’application du Règlement et être qualifiée de contrôleur d’accès par la Commission européenne au terme de l’analyse ci-avant exposée.
La Commission établira, pour un Contrôleur d’accès déterminé, la liste des services pertinents concernés, c’est-à-dire ceux permettant d’atteindre les utilisateurs finaux.
Le contrôleur d’accès aura ensuite six mois suivant l’inscription d’un service sur ladite liste pour se conformer aux obligations du DMA.
Les obligations et interdictions[6]
Le DMA prône un environnement équitable et condamne les pratiques déloyales en vue de protéger les entreprises utilisatrices des Services et les utilisateurs finaux.
Pour ce faire, le DMA érige différentes obligations et interdictions pour les contrôleurs d’accès (« l’Opérateur) devant être respectées dans les relations qu’ils ont avec leurs entreprises utilisatrices (« Entreprises »), et avec les utilisateurs finaux des Entreprises (les « Clients »).
- Le DMA prévoit des interdictions et obligations relatives aux données, selon lesquelles l’Opérateur :
- Ne peut croiser les données personnelles en provenance des Services avec celles en provenance d’autres services[7] fournis par l’Opérateur ou en provenance de services tiers.
- Ne peut utiliser les données générées par les Entreprises pour leur faire concurrence, qu’il s’agisse de données agrégées ou non, qu’elles soient déduites ou directement collectées, par les activités des Entreprises ou celle de leurs Clients.
- Doit assurer la portabilité effective des données générées par l’activité des Entreprises ou celle d’un de leurs Clients afin que chaque personne concernée ait facilement la possibilité de récupérer les données qui la concerne auprès de l’Opérateur.
- Ne peut classer de manière différenciée ou plus favorable les services et produits qu’il propose directement ou indirectement[8] par rapport à des produits et services similaires de tiers. L’Opérateur doit en effet garantir des conditions de classement équitables et non discriminatoires.
- Ensuite, à l’égard des Entreprises, l’Opérateur ne peut :
- Empêcher ou restreindre la faculté dont les Entreprises disposent d’alerter toute autorité publique compétente de leurs préoccupations à l’égard du comportement de l’Opérateur.
- Exiger que les Entreprises utilisent le service d’identification de l’Opérateur comme conditions d’accès aux Services.
- Conditionner l’accès un service de la Plateforme à l’abonnement ou l’enregistrement d’un autre service de la Plateforme.
- Outre ces interdictions, l’Opérateur a par ailleurs différentes obligations à l’égard des Entreprises et doit à cet effet :
- Permettre aux Entreprises de proposer les mêmes produits et services aux Clients par l’intermédiaire d’autres services d’intermédiation en ligne quand bien même, les prix ou conditions seraient différents de ceux proposés sur la Plateforme.
- Permettre de promouvoir les offres des Entreprises auprès des Clients acquis grâce à la Plateforme et de conclure des contrats avec ces mêmes Clients en utilisant ou non la Plateforme.
- Garantir, ainsi qu’à tous les fournisseurs de services accessoires, un accès et une interopérabilité sur le système d’exploitation, le matériel informatique ou logiciel de l’Opérateur, et ce dans les mêmes conditions que celles disponibles ou utilisées dans le cadre de la fourniture de tous les services accessoires fournis par l’Opérateur.
- Procurer gratuitement aux Entreprises, ou aux tiers que les Entreprises autoriseront, en temps réel et continu, un accès et une utilisation effectifs aux données agrégées ou non agrégées relatives à leur utilisation ou celles de leurs Clients des Services ainsi que les données personnelles générées dans le cadre de la fourniture de leurs produits et services.
- Appliquer des conditions générales d’accès équitables et non discriminatoires à la boutique d’applications logicielles de l’Opérateur.
- Par ailleurs, à l’égard des Clients ou des tiers, l’Opérateur a différentes obligations et interdiction. En effet, l’Opérateur :
- Ne peut restreindre techniquement leur accès à d’autres applications logicielles et services accessibles par le système d’exploitation de l’Opérateur, y compris leur choix du fournisseur d’accès à l’internet.
- Doit leur garantir l’accès et l’utilisation des contenus, abonnements, fonctionnalités ou autres éléments, par l’intermédiaire des Services, en utilisant la propre application logicielle des Entreprises, même lorsque ces éléments ont été achetés sans passer par la Plateforme ou une application de l’Opérateur.[9]
- Doit permettre de désinstaller toute application préinstallée sur sa Plateforme sauf lorsqu’elle est essentielle au fonctionnement de la Plateforme.
- Garantir l’installation et le bon fonctionnement d’application ou de boutique d’application de tiers sur les systèmes d’exploitation de l’Opérateur et permettre ainsi l’accès à ces applications par des moyens autres que les services de la Plateforme.
- Communique, à leur demande, aux annonceurs et éditeurs à qui des services de publicité ont été fournis, les informations relatives au prix qu’ils payent, ainsi qu’au montant versé à l’éditeur, pour la publication d’une annonce publicitaire et pour chacun des services de publicité concernés.
- Fournit aux annonceurs et aux éditeurs, à leur demande et gratuitement, un accès aux outils de mesure de performance de l’Opérateur.
- Fournit un accès, aux moteurs de recherche en ligne tiers, à leur demande, et à des conditions équitables, raisonnables et non discriminatoires, aux données de classements, requêtes, clics et vues en lien avec les recherches gratuites et payantes générées par leurs Clients sur les moteurs de recherche en ligne de l’Opérateur[10].
A l’égard de la Commission, l’Opérateur aura par ailleurs l’obligation de l’informer de tout projet de concentration impliquant un autre fournisseur de services numérique avant toute conclusion d’accord, de publication, d’échange ou d’acquisition d’une participation de contrôle.
Application et sanctions en cas de non-respect du DMA
Un protocole de compliance peut être mis en place afin de s’assurer du respect du DMA par les Opérateurs. En effet, les mesures prises par l’Opérateur doivent garantir le respect des obligations du DMA. A cet effet, la Commission peut prendre des décisions pour préciser toutes mesures qui ne garantiraient pas un respect effectif de ces obligations[11]. Par ailleurs l’Opérateur devra faire l’objet d’un audit indépendant de l’ensemble des techniques de profilage des consommateurs appliquées dans le cadre des services de sa Plateforme et ce dans les six mois suivant sa désignation en tant que contrôleur d’accès[12].
S’il ressort d’une enquête menée[13] par la Commission qu’un contrôleur d’accès contrevient systématiquement à certaines obligations ou interdictions du DMA, la Commission aura le pouvoir d’imposer à cet égard toute mesure corrective comportementale ou structurelle proportionnée à l’infraction commise. La Commission adoptera une décision dans les 12 mois à compter de l’ouverture de l’enquête.
En cas de manquement au DMA[14], la Commission peut infliger à l’Opérateur des amendes pouvant aller jusqu’à 10 % de son CA total réalisé au cours de l’exercice précédent ou toutes autres mesures ou engagements pris-e-s à l’occasion d’une procédure engagée en vertu du DMA.
La Commission a par ailleurs la faculté d’infliger aux entreprises et associations d’entreprises des amendes jusqu’à 1% de leur CA réalisé au cours de l’exercice précédent lorsque délibérément ou par négligence ne coopèrent pas avec la Commission dans le cadre d’une enquête ou encore d’un audit ou dans le cadre de l’obligation d’information sur les concentrations envisagées.
Une astreinte peut être prononcée jusqu’à 5% du CA journalier moyen réalisé au cours de l’exercice précédent par jour de retard à compter de la décision de la Commission.
La prescription en la matière est de trois ans à compter du jour de l’infraction commise ou, en cas d’infractions multiples, lorsque l’infraction a pris fin. Les actes d’instruction de la Commission interrompent la prescription.
Ainsi, quand bien même les obligations et interdictions imposées aux Opérateurs ne sont pas toujours absolues, notamment en cas de procédure de suspension, les contraintes issues du DMA restent très fortes à l’égard des Opérateurs et les sanctions qui s’y rattachent sont particulièrement lourdes. Par ailleurs, la Commission garde la main mise sur l’étendue des obligations et interdictions, en conservant la faculté d’amender le Règlement et en interdisant aux États membres d’en imposer d’autres.
Il conviendra donc d’informer les Entreprises en conséquence, afin qu’elles adaptent leurs négociations contractuelles avec les plateformes qui tomberaient dans le champ d’application du DMA et ainsi s’assurer qu’aucune des clauses ne contrevient aux obligations et interdictions ci-avant précitées.
[1] https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:52020PC0842&from=FR
[2] L’accord pour le DSA a quant à lui été obtenu le 23 avril 2022 : https://www.consilium.europa.eu/fr/press/press-releases/2022/04/23/digital-services-act-council-and-european-parliament-reach-deal-on-a-safer-online-space/
[3] https://www.consilium.europa.eu/fr/press/press-releases/2022/03/25/council-and-european-parliament-reach-agreement-on-the-digital-markets-act/#:~:text=00%3A05-,L%C3%A9gislation%20sur%20les%20march%C3%A9s%20num%C3%A9riques%20(DMA)%3A%20accord%20entre%20le,plus%20%C3%A9quitable%20et%20plus%20comp%C3%A9titif.
[4] Article 2 du DMA
[5] Article 3 du DMA, sous réserve du texte définitif : Au cours des 3 derniers exercices : (i) Soit (a) CA Annuel supérieur ou égal à 7,5 milliards d’euros, ou bien (b) capitalisation boursière moyenne ou la juste valeur marchande équivalente de l’entreprise d’au moins 75 milliards d’euros. (ii) La fourniture du service de plateforme essentiel doit être présente dans au moins trois États membres. Au moins 45 millions d’utilisateurs finaux actifs par mois établis ou situés dans l’Union et plus de 10 000 entreprises utilisatrices actives par an établies dans l’Union au cours du dernier exercice. (iii) Si les seuils visés ci-dessus ont été atteints dans les trois derniers exercices.
[6] Article 5 et 6 du DMA. Étant précisé que les obligations et interdictions au titre de l’article 5 sont directement applicables et celles au titre de l’article 6 sont susceptibles d’être précisées, notamment selon le service concerné.
[7] Exemples d’autres services dans le cadre des services d’hôtellerie : offre de service de location de voitures, offre d’activités touristiques à effectuer dans la ville où se situe l’hôtel concerné etc.
[8] Exemple : positionner en tête de classement un produit ou service proposé par l’Opérateur ou par une entité de son groupe, de façon systématique et sans critères transparents quant à la détermination du classement.
[9] Recital 38 du DMA
[10] sous réserve d’anonymisation pour les données de requêtes, de clics et de vues qui constituent des données à caractère personnel
[11] Article 7 du DMA
[12] Article 13 du DMA
[13] Article 14 du DMA
[14] Articles 26 et 27 du DMA
Bonjour,
Les pratiques anti-concurrentielles des grandes plateformes posent de réels problèmes. Permettre à de plus petites entreprises d’accéder enfin aux consommateurs implique de brider quelque peu le pouvoir des grandes plateformes. Car au fond dans le Far West numérique actuel, les grandes plateformes sont les principales gagnantes. La mise en oeuvre du Digital Markets Act (DMA) à partir de 2023 est plutôt une bonne nouvelle. De là à parler de de « pas de géant » comme le font de nombreux observateurs, je ne sais pas. On verra si Apple, Whatsapp ou Amazon trouvent une parade d’ici là.