Pour la première fois depuis l’an 2000, l’Union Européenne place des limites juridiques à l’espace numérique. Publicité, communication, concurrence, éducation … Deux volets ont été présentés le 15 décembre 2020 par Margrethe Vestager et Thierry Breton afin de réguler un Internet parfois devenu une “zone de non droit” pour les grandes plateformes. Cela ne devrait bientôt plus être le cas grâce au Digital Services Act (DSA) et au Digital Market Act (DMA). Mais qu’imposent ces textes ?

Quels sont les principaux apports du Digital Services Act ?

Le Digital Services Act va apporter aux citoyens et aux entreprises européennes plusieurs avantages notables. Le premier concerne surtout les utilisateurs puisqu’il est question des contenus publiés sur la toile. L’UE veut non seulement que les plateformes agissent pour rendre l’expérience plus sûre, mais elles devront également apporter plus d’explications sur les contenus qui sont retirés et les raisons de leur suppression.

Le second grand sujet du DSA, c’est la transparence, notamment dans le classement des contenus. Au début du mois, la Commission Européenne a présenté les lignes directrices pour cette partie. Elle attendra des grandes plateformes qu’elles détaillent le classement des résultats de recherche qu’elles présentent.

Enfin, le troisième pilier du DSA concerne l’application des règles pour les États-Membres à un niveau national. L’objectif étant non seulement de leur permettre d’être plus fort indépendamment, mais aussi de collaborer avec d’autres juridictions plus facilement, dans le but de faire appliquer les nouvelles règles.

Quelles différences entre le Digital Services Act et le Digital Market Act ?

Dans les intitulés, on distingue aisément la notion de services d’un côté, et marché de l’autre. En effet, le DSA doit réguler le fonctionnement des plateformes, peu importe leur taille. Ses règles placent un cadre principalement centré sur les processus de contrôle des contenus : comment et pourquoi ils sont publiés ; comment et pourquoi ils sont supprimés.

Le DMA lui, ne regarde pas les contenus, mais le comportement des grandes plateformes sur le marché unique européen. Il va faire office de code sur les comportements anticoncurrentiels et abus de position dominante. Le DMA baptise les entreprises concernées des gatekeepers.

Qui sont les “gatekeepers” évoqués dans le DMA ?

L’Europe ne veut pas les nommer, alors elle a trouvé un terme pour le faire indirectement. Ces fameux gatekeepers seront qualifiés par un lot de critères relativement complexes :
Avoir un impact significatif sur le marché unique. Cela veut dire réaliser un chiffre d’affaires annuel dans l’Espace économique européen d’au moins 6,5 milliards d’euros sur les trois dernières années fiscales, ou bien la capitalisation boursière, ou la valeur de l'entreprise s’est élevée à au moins 65 milliards d’euros lors du dernier exercice financier. L’entreprise doit également proposer sa plateforme dans au moins trois États-Membres ;
Avoir au cœur de son business une plateforme de service qui permet aux utilisateurs commerciaux de toucher des utilisateurs finaux. Pour cela, elle doit avoir plus de 45 millions d’utilisateurs actifs mensuels en Europe, et plus de 10 000 utilisateurs commerciaux annuels établis en Europe ;
Jouir d’une position affirmée et durable laissent entendre que cette entreprise en bénéficie encore dans un avenir proche. Pour remplir ce critère, il faut que les deux précédents soient validés lors des trois dernières années.

Ni le projet de loi, ni ses auteurs lors de leurs diverses allocutions le 15 décembre 2020 n’ont mentionné quelque entreprise en particulier. Lors de la conférence de presse qui accompagnait la présentation des deux règlements, Margrethe Vestager a précisé qu’il était difficile de pointer du doigt qui que ce soit, tant on est peu sûr de la correspondance de chaque entreprise à tous les critères cités. Pour autant, il semble logique que les GAFA soient les premières cibles : Google, Amazon, Apple, Facebook, auquel est parfois ajouté Microsoft.

Quels sont les principaux outils pour les réguler ?

Maintenant que l’on est en mesure, techniquement, d’identifier ce qui est pour l’UE un “gatekeeper”, reste à savoir comment on les régule. Dans ce sens, le DMA liste 7 obligations majeures traitant de l'interopérabilité, du traitement des données, ou de la transparence, dont 3 sont à noter :
• La mise en place de silos empêchant la mutualisation des données entre les différents services de l’entreprise. Si le gatekeeper souhaite brasser ces données, il devra demander le consentement explicite de l’utilisateur ;
• L’obligation de ne pas bloquer l’accès à une plateforme, à un utilisateur commercial ou final qui ne serait pas inscrit à cette même plateforme ;
• Donner aux annonceurs et aux éditeurs à qui le gatekeeper offre des services publicitaires, à leur demande, le prix payé par l’annonceur, ou l’argent récolté par l’éditeur.

Pour le Digital Services Act, les obligations concernent principalement les contenus. Notamment les contenus illégaux, définis par l’UE comme comprenant le discours de haine, le harcèlement, la contrefaçon, l’utilisation de matériels protégés par le droit d'auteur, le contenu terroriste, discriminatoire, pédophile, ou encore le dévoilement d’images privées. À défaut d’une action rapide et efficace pour traiter leur suppression, les plateformes devront prouver leur méconnaissance des faits afin d’échapper à une amende.

Quelles sanctions pour les entreprises ?

L’organisation des amendes est assez simple. Qu’il s’agisse du DSA ou du DMA, elles représenteront un pourcentage des revenus globaux de l’entreprise en question. Dans le DMA, il est prévu que les sanctions se rapportent à 10% des revenus, et 6% dans le DSA.

Les récidivistes pourraient également risquer des reprises structurelles. Une plateforme tentaculaire comme Google, détenue par la holding Alphabet, pourrait ainsi se voir démantelée si elle ne s’aligne pas sur les exigences de la Commission.

Quand est-ce que la nouvelle législation pourrait prendre effet ?

Pour Margrethe Vestager, le Digital Services Act et le Digital Market Act doivent être intégrés “aussitôt que possible”, dès l'année prochaine. Néanmoins, étant donné le parcours législatif d’un texte, il faudra sans doute au moins 1 an et demi afin de faire adopter le texte, suivi de 6 mois pour qu’il prenne effet.

En général, lorsque l’Union Européenne adopte un nouveau texte de lois, celui-ci doit passer plusieurs étapes. D’abord, la Commission réalise des analyses d’impact, puis elle consulte les citoyens lors des fameuses “consultations publiques”. Cela permet de rédiger une proposition qui répond aux attentes de la population, comme l’ont rappelé Margrethe Vestager et Thierry Breton lors de leur conférence de presse. Ensuite, une fois le texte finalisé, il doit passer par le Parlement et le Conseil, qui ont le pouvoir de lui ajouter des amendements. Il peut ainsi y avoir des vas-et-vient entre les deux institutions (jusqu’à trois lectures) qui peuvent faire durer le processus... assez longtemps. 2 ans est donc une estimation, ambitieuse mais espérée, prenant en compte également que les règlements vont en général plus vite.

Gardons cependant à l’esprit que les débats pour le règlement général sur la protection des données (RGPD), autre pierre angulaire de l’Europe numérique, avaient pris 4 ans.

L’Internet que nous connaissons aujourd’hui s’est construit en plusieurs décennies, et grâce à une multitude d’acteurs. S’il n’a pas été régulé à temps, l’Europe fait preuve de témérité et même d'avant-gardisme. Demain, le numérique européen pourra prospérer en reposant sur les solides fondations que sont le Digital Services Act et le Digital Market Act.