Skip to main content

Proposition de règlement sur les marchés numériques ou Digital Markets Act (« DMA ») et Proposition de règlement sur les services numériques ou Digital Services Act (« DSA ») : principales dispositions

La publication des propositions de règlements DMA et DSA intervenue le 15 décembre 2020 constitue une étape importante de l’ambitieuse réforme de l'espace numérique envisagée par la Commission européenne. Dans le cadre du processus législatif européen, ces propositions doivent maintenant être soumises à l’approbation du Parlement et du Conseil qui leur apporteront probablement des amendements. Le délai moyen pour l’adoption d'un règlement est de 18 mois mais peut être significativement allongé pour des textes très discutés ou controversés ce qui sera vraisemblablement le cas du DMA et du DSA, compte tenu de leur vaste champ d’application, de l’importance des acteurs concernés ainsi que des pouvoirs conséquents qu’ils prévoient de conférer à la Commission. 

La présente note donne un aperçu de la structure et des principales obligations applicables aux "gatekeepers", dans le cas de la DMA (Partie I) et aux fournisseurs de "intermediary services" en ligne, dans le cas de la DSA (Partie II).


PARTIE 1 : DIGITAL MARKETS ACT (DMA)

1. Champ d'application ratione personae du DMA
 
L’objectif de la proposition de règlement DMA est d’encadrer certains comportements de plateformes qui agissent en tant que « gatekeepers » (ou « contrôleurs d’accès ») sur les marchés numériques. 

Cette proposition de règlement s'applique uniquement aux services de plateforme essentiels comme les moteurs de recherche, les réseaux sociaux ou les services d'intermédiation en ligne, répondant aux critères objectifs prévus dans cette proposition pour être désignés comme contrôleurs d'accès. 

Pour qu’une plateforme en ligne soit qualifiée de gatekeepers, elle doit satisfaire plusieurs conditions cumulatives :

- Occuper une position économique ayant une incidence significative sur le marché intérieur. Cette condition est présumée remplie dès lors que : 

  • la plateforme a réalisé un chiffre d'affaires supérieur ou égal à 6,5 milliards d'euros dans l'Espace économique européen au cours des trois derniers exercices financiers, ou
  • la capitalisation boursière moyenne ou la juste valeur marchande équivalente de l'entreprise était d'au moins 65 milliards d'euros au cours de son dernier exercice financier et qu'elle fournit également un service de plateforme essentiel dans au moins trois États membres de l'Union européenne (« UE »).
- Occuper une position d’intermédiation forte (c’est-à-dire, relier une base d’utilisateurs importante à un grand nombre d’entreprises). La condition est présumée remplie dès lors que : 

  • les fournisseurs de services de plateforme essentiels comptent plus de 45 millions d'utilisateurs finaux actifs mensuels établis ou situés dans l'UE et une moyenne de plus de 10 000 utilisateurs commerciaux actifs annuels établis dans l'UE au cours du dernier exercice financier du fournisseur.
- Occuper présentement ou dans un avenir prévisible une position solide et durable : 

  • cette condition est présumée remplie si la plateforme a satisfait les deux critères précédents au cours de chacun des trois derniers exercices financiers.

Lorsque le DMA entrera en vigueur, les plateformes devront vérifier elles-mêmes si elles atteignent ces seuils quantitatifs. Si tel est le cas, elles devront en informer la Commission. Les plateformes auront toujours la possibilité de contester par une argumentation étayée la qualification de gatekeeper.

La proposition de règlement DMA prévoit également une clause de révision permettant à la Commission d’évaluer, tous les deux ans, si les gatekeepers satisfont toujours les seuils ou si les nouveaux fournisseurs de services essentiels répondent à ces critères. La Commission publiera et mettra à jour la liste des gatekeepers et la liste des services essentiels de manière continue.

2. Les obligations qui s'imposeront ex ante à un gatekeeper

En cas de qualification de gatekeeper, les plateformes assument une responsabilité supplémentaire et doivent garantir un environnement en ligne ouvert, équitable pour les entreprises et les consommateurs et innovant. A ce titre, les gatekeepers sont soumis au respect d’un ensemble d’obligations de faire et de ne pas faire dont l’objectif est de prévenir les pratiques qui sont déloyales ou qui limitent la contestabilité des marchés. Ces obligations sont divisées en deux catégories (voir Annexe pour des exemples) : 

- des obligations « simples ». Cette catégorie liste les obligations des plateformes en particulier vis-à-vis des utilisateurs professionnels ; et 

- des obligations qui pourront faire l’objet de précisions ultérieures. Cette seconde catégorie inclut des dispositions qui permettent de faciliter l’accès des utilisateurs professionnels ou des consommateurs aux services proposés par les plateformes. Dans ce cas, un "dialogue réglementaire" peut être mis en œuvre entre le gatekeeper et la Commission. Ce dialogue peut être initié par le gatekeeper lui-même. Si la Commission considère que le gatekeeper ne s’est pas conformé à ses obligations, elle peut, par voie de décision, préciser la mesure que le gatekeeper devra mettre en œuvre pour se mettre en conformité.

3. Mise en œuvre du DMA et sanctions

La proposition de règlement dote la Commission de larges pouvoirs d’enquête, similaires à ceux déjà disponibles en matière de pratiques anticoncurrentielles : demandes d’informations, accès aux bases de données et aux algorithmes des entreprises, inspections au sein des locaux. 

En cas de violation des obligations prévues par le DMA, la Commission peut infliger à un gatekeeper des amendes allant jusqu'à 10 % de son chiffre d'affaires mondial total et des astreintes allant jusqu'à 5 % de son chiffre d'affaires annuel mondial total. La Commission peut aussi ordonner des mesures conservatoires ou rendre obligatoires des engagements souscrits par un gatekeeper

Enfin, en cas de non-conformité systématique ayant renforcé ou étendu la position d’un gatekeeper, la Commission peut, à la suite d'une enquête de marché (voir ci-dessous), lui imposer des mesures correctives comportementales ou même structurelles (par exemple, des cessions). Les mesures correctives structurelles ne peuvent être imposées que lorsqu’il n'existe pas de mesures correctives comportementales aussi efficaces ou lorsqu'une mesure comportementale aussi efficace est plus contraignante pour le gatekeeper que le remède structurel. Un gatekeeper est en situation d'infractions systématiques si la Commission a déjà rendu au moins trois décisions de non-conformité ou d'amende dans un délai de cinq ans.

4. Les enquêtes de marché


Afin que les règles applicables aux gatekeepers puissent suivre l'évolution rapide des marchés numériques, la Commission est habilitée à mener des enquêtes de marché. L'objectif des enquêtes de marché est triple :

- identification des gatekeepers qu'il n'est pas possible d'identifier au moyen des seuils quantitatifs décrits ci-dessus, ou qui atteignent ces seuils mais ont présenté des arguments étayés renversant la présomption fondée sur ces seuils ;

- Extension des obligations des gatekeepers ou de la liste des services essentiels : les enquêtes de marché permettent de déterminer si d'autres services du secteur numérique doivent être ajoutés à la liste des services de plateforme essentiels relevant du champ d'application du DMA, ou si de nouvelles pratiques qui risquent d'avoir les mêmes effets préjudiciables que les pratiques déjà couvertes sont apparues ;

- Mise en œuvre des obligations du DMA : les enquêtes de marché permettent à la Commission d’imposer des mesures correctives additionnelles comportementales ou structurelles pour les cas d’infractions systématiques (voir ci-dessus).


5. Obligation de notification à la Commission en cas d'acquisition ou de fusion

La proposition de règlement prévoit que les gatekeepers doivent tenir la Commission informée de tout projet de fusion ou acquisition impliquant un autre fournisseur de services essentiels ou de tout autre service numérique, et ce, que l’opération soit ou non notifiable à la Commission ou à une autorité nationale de concurrence compétente en vertu des règles nationales sur les concentrations.

Bien qu'il s'agisse uniquement d'une obligation de fournir des informations, cette disposition, doit être interprétée à la lumière de l'emploi du mécanisme de renvoi prévu à l'article 22 du règlement sur les concentrations (Règlement n° 139/2004 du Conseil du 20 janvier 2004) récemment proposé par la Commission. A cet égard, la Commission a proposé d’examiner les acquisitions d’entreprises innovantes à haute valeur mais qui ne franchissent pas les seuils de contrôle nationaux que lui renverront les autorités de concurrence nationales. Cette disposition du DMA combinée avec cette nouvelle utilisation de l’article 22 permettra à la Commission d’exercer un contrôle accru sur les opérations réalisées dans le secteur numérique alors même que celles-ci n’étaient notifiables ni au niveau européen ni au niveau national.


PARTIE 2 : DIGITAL SERVICES ACT (DSA)


1. Champ d'application matériel et territorial du DSA 

L’objectif de la proposition de règlement DSA publiée le 15 décembre 2020 est de définir les responsabilités et les obligations de certains services de la société de l’information, les « fournisseurs de services intermédiaires » (providers of intermediary services), notamment en matière de transparence et de gestion des contenus illégaux.

Les fournisseurs de services intermédiaires, nouvelle notion introduite par le DSA, couvrent :

- Les services de simple transport (mere conduit) qui consistent en la transmission d’informations par un réseau de communication (ex. Skype, potentiellement les fournisseurs de services de paiement en ligne selon les caractéristiques de leurs activités) ou la fourniture d’accès à un réseau de communication (ex. Orange, Bouygues Télécom) ;

- Les services de cache (caching) qui consistent en la transmission d’informations par un réseau de communication impliquant le stockage automatique, intermédiaire et temporaire de ces informations ;

- Les services d’hébergement (hosting) qui stockent l’information fournit par les utilisateurs (ex. fournisseurs de cloud comme OVH) et qui comprennent également les plateformes en ligne (online platforms) stockant et disséminant de l’information auprès du public à la demande d’un utilisateur (ex. Facebook, Twitter, TikTok, DailyMotion). Le DSA crée également une sous-catégorie de plateforme en ligne, les très grandes plateformes en ligne (very large online platform) qui sont soumises à des obligations renforcées. Ces très grandes plateformes en ligne correspondent à celles qui ont un nombre d’utilisateurs actifs moyens par mois égal ou supérieur à 45 millions, ce nombre pouvant être revu par la Commission européenne pour s’assurer qu’il corresponde toujours à 10% de la population de l’Union européenne. Cette notion doit être distinguée de celle de « gatekeeper » du DMA (voir Partie I, section 1 à ce sujet).

Les acteurs concernés sont ceux offrant des biens ou proposant des services à des utilisateurs situés dans l’Union européenne, quel que soit le lieu d’établissement de ces acteurs. 

2. La responsabilité des fournisseurs de services intermédiaires (Chapitre II)

La proposition de règlement reprend les régimes d’exonération de responsabilité déjà prévus par la Directive E-Commerce pour chacune des trois catégories de fournisseurs de services intermédiaires (i.e. services de simple transport, services de cache et services d’hébergement) s’agissant des informations qu’ils transmettent et qu’ils stockent, sous réserve du respect de certaines conditions. Par exemple, s’agissant d’un fournisseur de service d’hébergement, celui-ci ne sera pas tenu responsable des informations qu’il stocke s’il n’a pas de connaissance effective de l’activité ou du contenu illégal en cause et si, dès qu’il en aura eu connaissance, il agit promptement pour retirer ce contenu ou le rendre inaccessible. Les fournisseurs de services intermédiaires n’ont pas, tout comme dans la Directive E-Commerce, d’obligation générale de surveillance des informations qu’ils transmettent ou qu’ils stockent.

3. Les obligations applicables à tous les fournisseurs de services intermédiaires (Chapitre III, Section 1) 

- Chaque fournisseur de services intermédiaires doit désigner (i) un point de contact opérationnel unique avec les autorités (Article 10) et (ii) pour les fournisseurs de services intermédiaires qui n’ont pas d’établissement mais qui offrent des services au sein de l’Union européenne, un représentant légal dans l’un des états membres où il offre ses services (Article 11). Le point de contact et le représentant légal peuvent être la même personne. 

- Les fournisseurs de services intermédiaires doivent indiquer dans leurs conditions générales les restrictions apportées à l’utilisation de leurs services relatives notamment à la modération des contenus fournis par l’utilisateur du service (Article 12). Ils doivent également publier, au moins une fois par an, un rapport détaillé au sujet de la modération des contenus qu’ils ont opérée (Article 13). 

4. Les obligations additionnelles applicables aux fournisseurs de services d'hébergement (Chapitre III, Section 2) 

Les fournisseurs de services d’hébergement doivent mettre en place des mécanismes permettant aux utilisateurs de signaler de façon précise et étayée des contenus illicites (Article 14). Ils doivent informer l’utilisateur à l’origine du signalement de la décision prise au sujet du contenu en cause, et expliquer la décision de retrait, le cas échéant, auprès de l’utilisateur qui est à l’origine de la publication du contenu, en lui indiquant les voies de recours existantes (Article 15). Toutes les décisions de retrait devront être publiées dans une base de données mise à disposition par la Commission européenne. 

5. Les obligations additionnelles applicables aux plateformes uniquement (Chapitre III, Section 3) 

A l’exclusion des micros et petites entreprises (au sens de la Recommandation de la Commission 2003/361/EC), les plateformes, qui sont des services d’hébergement disséminant de l’information auprès du public, sont soumises à un certain nombre d’obligations additionnelles. Celles-ci viennent s’ajouter aux obligations auxquelles les plateformes sont soumises en tant que fournisseurs de services d’hébergement (Section 4 ci-dessus) et en tant que fournisseurs de services intermédiaires (Section 3 ci-dessus). En particulier, les plateformes doivent :

- mettre en place un système interne de traitement des plaintes permettant aux utilisateurs de former recours contre les décisions de l’opérateur notamment de retirer du contenu, de suspendre la fourniture du service ou encore de fermer le compte de l’utilisateur (Article 17) ;

- obtenir des professionnels, avant qu’ils n’utilisent ses services, un certain nombre d’informations notamment d’identité, vérifier ces informations par le biais d’éléments disponibles en ligne, et rendre accessibles certaines d’entre elles aux utilisateurs du service (Article 22) ;  

- indiquer, dans le rapport qu’elles publient au sujet de la modération de leurs contenus, des informations relatives notamment aux litiges extrajudiciaires intervenus au sujet des retraits de contenus ainsi qu’aux suspensions de compte mises en œuvre (Article 23) ;

- dans le cas où de la publicité est accessible sur la plateforme, s’assurer que l’utilisateur est en mesure d’identifier la nature publicitaire du contenu, l’identité de l’annonceur et les paramètres ayant déterminer l’affichage de la publicité (Article 24). 

6. Les obligations additionnelles applicables aux très grandes plateformes uniquement (Chapitre III, Section 4) 

Les très grandes plateformes doivent, en sus des obligations énoncées aux Section 3, 4 et 5 ci-dessus, identifier et analyser chaque année tout risque systémique majeur résultant de ses services, notamment s’agissant de la dissémination de contenus illégaux, des effets négatifs de leurs services sur les droits fondamentaux ou encore de la manipulation de leurs services (Article 26), et doivent mettre en place des mesures permettant d’y remédier (Article 27). Elles doivent également se soumettre une fois par an au moins à un audit, à leurs propres frais, afin de vérifier leur conformité aux obligations du DSA (Article 28) et mettre en place les mesures de remédiation nécessaires. Toutes ces analyses, mesures et audits doivent être rendues accessibles publiquement. Les très grandes plateformes doivent désigner une ou plusieurs personnes compétentes et expérimentées, en charge d’assurer la conformité de la société au DSA (similaire au délégué à la protection des données désigné pour la conformité au RGPD en matière de données personnelles).

7. Autorités compétentes et sanctions (Chapitre IV)

Chaque Etat membre doit désigner une autorité indépendante (Digital Services Coordinator), dotée de pouvoirs d’investigation, d’audits (y compris audits sur site) et de sanctions, chargée du respect du DSA sur le territoire national. Seront soumis à la compétence de cette autorité les fournisseurs de services intermédiaires dont l’établissement principal ou le représentant légal est situé dans ledit Etat membre. 

Cette autorité peut imposer des sanctions non financières (ex. obligation de cesser la violation, d’adopter des mesures de remédiation) ainsi que financières, qui ne pourront excéder 6% du revenu ou chiffre d’affaires annuel du fournisseur de services intermédiaires concerné. Un système d’astreinte journalière pourra également être prévu par les Etats membres et ne pourra excéder 5% du chiffre d’affaires journalier moyen. Un régime de contrôle, d’investigation et de sanctions renforcé est prévu pour les très grandes plateformes, incluant l’intervention de la Commission européenne directement.  

Un Comité européen des services numériques (European Board for Digital Services), composé de représentant de chaque autorité nationale, est créé et chargé notamment d’assister et de conseiller les autorités nationales ainsi que de contribuer à l’application cohérente du DSA au sein de l’Union européenne en publiant des avis et recommandations.


Comments

Popular posts from this blog

CNIL’s sanctions against Google LLC and Google Ireland Limited and against Amazon Europe Core: summary and main findings

 On 10 December 2020, the CNIL made public two decisions regarding the use of cookies in breach of Article 82 of the French Loi Informatique et Libertés (the “LIL”), which transposes the ePrivacy Directive 2002/58/EC (“ePrivacy Directive”). The first sanction, against a Google LLC and Google Ireland Limited (together “ Google ”) was for a total amount of €100 million (€60m for Google LLC and €40m for Google Ireland Limited, or “GIL”). The other sanction was imposed on Amazon Europe Core (“ Amazon ”) for €35m.  Set out below is a summary of both decisions, with a specific focus on the arguments and reasoning relating to the CNIL’s competence to enforce the provisions of the LIL against Google and Amazon, which is the subject of substantial and interesting developments. The two decisions have a number of points in common, although some of the interesting nuances are noted in our summary.  1. Background In relation to Google, the CNIL conducted an online audit of google.fr on 16 March 20

CNIL’s decision against Google relating to the use of cookies: result of the appeal before the French Conseil d’Etat

On 4 March 2021, the French Conseil d’Etat rendered its decision in the Google vs CNIL case. As a reminder, on 7 December 2020, the CNIL imposed a sanction on Google LLC and Google Ireland Limited (together “ Google ”) for a total amount of 100 million euros for breach of Article 82 of the French Loi Informatique et Libertés (the “ LIL ”) relating to the use of cookies and other tracking technologies (Article 82 transposes Article 5.3 of the ePrivacy Directive). The CNIL found in particular that Google failed to obtain proper consent from data subjects, breached its information obligation and did not provide an efficient objection mechanism, in relation to the use of cookies. The CNIL also issued an injunction ordering Google to comply with article 82 of the LIL within three months, the CNIL being able to impose a €100 000 daily fine in case of non-compliance with such injunction. Google appealed the CNIL’s decision, by way of interim proceedings, in order to obtain the suspension