Le 15 décembre 2020, la Commission européenne a adopté une proposition de Règlement pour un marché unique des services numériques, le Digital Services Act (DSA), ainsi qu’une proposition de Règlement pour des marchés numériques équitables et ouverts, le Digital Market Act (DMA).

Ce faisant, la Commission européenne entend démontrer son ambition de demeurer le régulateur de référence de l’économie digitale.

Ces textes s’inscrivent dans le cadre de la stratégie de souveraineté numérique défendue par Thierry Breton, le commissaire européen, chargé de la politique industrielle, du marché intérieur, du numérique, de la défense et de l’espace.

Les propositions de règlements, complémentaires dans leurs mécanismes, établissent la notion nouvelle de « gatekeepers » ou contrôleurs d’accès applicable à des moteurs de recherche, des réseaux sociaux, des services de messagerie, des systèmes d’exploitation ou encore des services d’intermédiation. Si des plateformes à portée mondiale telles que Facebook, Twitter ou encore Tik-Tok sont concernées au premier titre par ces projets de règlements, le cadre retenu par la future législation européenne est bien plus large. 

Ainsi, le Digital Services Act met en place de nouvelles règles et responsabilités pour les fournisseurs de services d’intermédiation en ligne (services d’hébergement, plateformes, infrastructures de réseau, etc.) :

  • le renforcement de la transparence sur la publicité en ligne ;
  • l’obligation, pour les plateformes les plus importantes, de mettre en place des mécanismes de modération visant à prévenir la diffusion des contenus illicites et susceptibles de susciter des dommages sociétaux ;
  • la capacité pour les utilisateurs de pouvoir exercer des recours contre les décisions de modération.

Dans le même sens, le Digital Market Act s’attache spécifiquement à garantir l’émergence de champions européens en empêchant les GAFAM et autres BATS d’offrir aux entreprises européennes des conditions et des données moins favorables et pertinentes que celles qu’ils destinent à leurs propres services concurrents.

Cette logique est, d’ailleurs, au cœur des actions antitrust lancées par la Federal Trade Commission et de nombreux états américains contre Facebook et Google. Plutôt que de s’attaquer aux positions largement dominantes de ces géants du numériques, ces procédures judiciaires visent à limiter leur capacité à utiliser leurs activités principales de réseau social ou de moteur de recherche pour privilégier leurs nouveaux services de paiement ou de publicité en ligne.

Parmi les règles introduites par le DMA, on notera :

  • l’obligation de permettre aux tiers d’opérer leurs propres services, par exemple de paiement, sur ces plateformes ;
  • le fait de permettre aux entreprises clientes de conclure des contrats avec leurs consommateurs en dehors de ces plateformes, évitant ainsi l’effet de « walled garden» soit des écosystèmes clos dans lesquels les interactions sont contrôlées par le fournisseur.

De fait, le Digital Services Act et le Digital Market Act établissent de nouvelles perspectives dans le domaine de la protection des données personnelles.

Ainsi, nous noterons l’attention de la Commission européenne à limiter les possibilités de « forum shopping » par les contrôleurs d’accès, c’est-à-dire le choix d’implanter leurs établissements traitant les données dans des juridictions telles que le Luxembourg ou l’Irlande, dont les autorités de régulation sont réputées plus conciliantes, une des faiblesses du Règlement Général sur la Protection des Données (RGPD). C’est ainsi que la Commission européenne s’est réservé la possibilité de porter directement plainte contre un contrôleur d’accès devant la Cour de Justice de l’Union Européenne (CJUE) sans recours à une autorité nationale.

De même, dans un avis publié le 10 février 2021, le Comité Européen de la Protection des Données (CEPD) – organe central des autorités de protection des données européennes – va dans le sens d’un approfondissement des exigences du RGPD à l’encontre de ces plateformes.

Ainsi, le CEPD incite le législateur européen à introduire progressivement une prohibition de la publicité ciblée fondée sur le suivi systématique des internautes et à restreindre le type de données qui peuvent êtes utilisées dans ce cadre de ce type de publicités ou qui sont transmises à des tierces parties.

L’autorité de protection des données européenne incite, de même, à interdire le profilage dans le cadre de la modération des contenus, à moins que les fournisseurs de service puissent démontrer que ce profilage est nécessaire pour adresser les risques systémiques identifiés.

De plus, le CEPD considère que les systèmes de recommandation de contenus ou d’achats ne devraient pas être, par défaut, basés sur le profilage des consommateurs.

Plus généralement, le CEPD recommande d’introduire des exigences minimales d’interopérabilité pour les très grandes plateformes en ligne et de promouvoir le développement de normes techniques au niveau européen, conformément à la législation de l’Union applicable en matière de normalisation européenne.

Les impacts de ces projets de règlements sur les entreprises du numérique seront donc majeurs, en Europe et, par effet d’entrainement, bien au-delà. Quelles que soient les dispositions finalement adoptées, les obligations de transparence renforcées ou les limites imposées aux « walled garden » vont profondément affecter le marché de la publicité en ligne et, par voie de conséquence, les attentes des consommateurs à l’égard des acteurs moins importants.

Plus largement, à travers ces textes, la Commission européenne et le CEPD indiquent clairement leur intention de mettre fin, à terme, au forum shopping et de réduire drastiquement les possibilités de profilage des internautes. 

Nul doute que le débat sur le DSA et le DMA au sein du Parlement Européen et des Etats membres fera l’objet d’une intense lutte d’influence.