Dans le cadre de sa stratégie digitale, la Commission européenne a annoncé un ensemble de mesures visant à renforcer le marché unique des services numériques et à favoriser l'innovation et la compétitivité de l'environnement en ligne européen.

Son objectif : la création d’un marché unique de données permettant à celles-ci de circuler librement au sein de l’Union européenne, entre tous les secteurs, incitant ainsi l’innovation et la recherche, tout en respectant le droit à la protection des données personnelles ainsi que les autres droits fondamentaux dont les citoyens européens bénéficient.

Cet ensemble de mesures comprend :

Le Digital Service Act est un package législatif unique en son genre dont l’impact sera retentissant et dont l’un des objectifs est de pallier l’obsolescence de la directive sur le commerce électronique qui date de 20 ans. Comme avec le RGPD pour la protection des données, l’objectif est aussi de proposer un standard mondial pour le commerce en ligne.
Il est doublé du Digital market Act, qui vise à réguler les plateformes de services numériques et les intermédiaires que sont les app stores ou places de marché en ligne, nouveaux gatekeepers. Il s’agit de garantir la concurrence et l’innovation et de définir les responsabilités concernant les contenus en empêchant la dissémination de contenus illicites ou préjudiciables.

Sont concernés les services d’intermédiation en ligne, les moteurs de recherche, les réseaux sociaux, les plateformes de partage de vidéos, les OS, les services d’hébergement dans le nuage et les séries de publicité fournies par ces mêmes plateformes.

Les gatekeepers se définissent par leur taille, leur position durable dans le temps et leur rôle systémique. Un chiffre d’affaires annuel dans l’Espace économique européen d’environ EUR 6.5 billion au cours des trois dernières années, avec une plateforme de services numériques accessible dans au moins trois états de l’EEA, au moins 45 millions d’utilisateurs actifs par mois dans l’Union et plus de 10 000 utilisateurs business actifs dans l’UE au cours de la dernière année.

Il n’y aura pas d’obligation d’héberger et de traiter les données dans l’UE mais l’Europe devra s’assurer que l’accès aux données sensibles respecte le cadre législatif en place.
 

Le Digital Service Act : améliorer la qualité des services en harmonisant et en adaptant une réglementation devenue obsolète

Le règlement a vocation à s’appliquer à tout prestataire ayant une connexion substantielle avec l’Union Européenne du fait de la localisation d’un de ses établissements, d’un nombre significatif d’utilisateurs ou parce qu’il cible particulièrement des activités dans un ou plusieurs Etats membres.

Les prestataires de services digitaux, hébergeurs, plateformes seront coordonnés par un organisme national crée par le règlement, point de contact unique chargé de faciliter la mise en œuvre du règlement et d’en assurer le respect. Le règlement entend renforcer leurs obligations de transparence, notamment en matière de publicité et de traitements algorithmiques et permettre le traitement des litiges et des plaintes.

Le principe de l’irresponsabilité de l’hébergeur vis-à-vis d’un contenu illégal hébergé et l’absence d’obligation de surveillance généralisée des contenus devraient perdurer. Toutefois, l’hébergeur aura une obligation de moyens renforcée de lutter contre les contenus illégaux qui lui auraient été signalés. Il devra faciliter le signalement des contenus illicites en prévoyant un formalisme adapté.

Les plateformes en lignes les plus importantes présentant un nombre de 45 millions de visiteurs unique mensuels au sein des Etats membres, soit 10% de la population, devront en outre mettre en place des obligations supplémentaires de réalisation d’analyses de risques, d’audit indépendants, de transparence et nommer des responsables de conformité chargés de piloter ces obligations.

Elles devront fournir l'accès à un système interne de traitement des plaintes par voie électronique et gratuit, contre les décisions visant à supprimer ou désactiver l'accès à l'information, à suspendre ou résilier le compte d’un utilisateur du service. Elles devront également analyser et traiter les risques systémiques sur les droits et libertés fondamentaux portant sur la diffusion de contenus illégaux. Elles seront également soumises à un audit annuel d’un tiers indépendant et devront désigner un ou plusieurs responsables de la conformité (compliance officer).

Le Digital Service Act prévoit également la création d’un Digital Service Coordinators au niveau national, en charge de l’application du règlement et d’un comité européen (European Board for Digital Service). Ils devront notamment traiter les demandes des autorités nationales administratives ou judiciaires en cas de contenu illégal et leur fournir les informations relatives aux destinataires du service fourni.

Ces prestataires de services intermédiaires devront aussi avoir un point de contact et un représentant légal dans un état de l’UE, ce dernier pouvant être tenu responsable du non-respect des obligations découlant du règlement.

Quant aux sanctions, le montant maximal en cas de non-respect des obligations prévues par le présent règlement ne dépassera pas 6 % du chiffre d'affaires annuel du prestataire de services intermédiaires concerné. Les sanctions pour la fourniture d'informations inexactes, incomplètes ou trompeuses, pour l'absence de réponse ou de rectification d'informations inexactes, incomplètes ou trompeuses ne dépasseront pas 1 % des revenus ou du chiffre d'affaires annuel du prestataire concerné.
 

Le Digital Market Act : une réglementation pour encadrer les pratiques et limiter la position dominante gatekeepers

Les gatekeepers se définissent comme des entreprises dont l’activité a un impact considérable sur le marché européen sur lequel elles sont établies durablement ou sont en voie de l’être et qui constituent un point d’entrée difficilement contournable pour les utilisateurs professionnels souhaitant proposer leurs services aux utilisateurs finaux. Véritables contrôleurs de l’accès aux utilisateurs finaux, ces gatekeepers comme les définit le projet de règlement dans son article 3, sont des partenaires contraints des plateformes souhaitant parvenir à proposer leurs services à des bases d’utilisateurs importantes. Les gatekeepers sont susceptibles d’avoir acquis ce statut par la proposition de services au public entrant directement en concurrence avec l’activité des utilisateurs professionnels ayant recours à leur service pour toucher leur base utilisateurs.

Le projet de règlement limite cette position dominante par plusieurs mécanismes concrets, parmi eux :

  • L’obligation de fournir aux entreprises un accès libre et gratuit aux données générées par leur activité auprès du public par l’entremise du gatekeeper ;
  • L’obligation de permettre aux entreprises de solliciter auprès des utilisateurs leur consentement à la collecte des données lorsque celui-ci est requis par le RGPD ;
  • L’obligation de se soumettre à un audit annuel des techniques de profilage qu’il opère en donnant un accès complet à ses données et ses algorithmes ;
  • L’obligation de garantir la mise en œuvre effective du droit à la portabilité par ses utilisateurs professionnels, notamment en leur fournissant des interfaces de programmation de qualité ;
  • L’obligation de fournir à leur demande des informations transparentes aux annonceurs et aux éditeurs leur permettant de comprendre le prix payé par l’un et l’autre, pour la publication d’un contenu donné et pour tous les services publicitaires fournis par le contrôleur d’accès ;
  • L’interdiction de favoriser ses propres produits ou de ceux d’utilisateurs professionnels qu’elle contrôle par rapport à ceux des autres utilisateurs professionnels par exemple en favorisant le référencement de ses propres applications offertes au public au dépend des autres ;
  • L’interdiction d’utiliser des données produites par l’activité des utilisateurs finaux des utilisateurs professionnels ainsi que toutes les données agrégées ou non générées par eux, leur activité commerciale ou collectées dans le cadre de celles-ci sans que ces derniers y ait accès dans les mêmes proportions ;
  • L’interdiction d’agréger les données des utilisateurs finaux qu’il a collecté via sa plateforme avec celles issues de ses autres services ou de services tiers à moins que l’utilisateur ait spécifiquement exprimé son choix sur ce point.

Chaque plateforme n’aura pas à déterminer elle-même si elle répond à la description du contrôleur d’accès : c’est la commission européenne qui procèdera par elle-même à la désignation des gatekeepers. A l’issue d’un délai de six mois après la désignation, le contrôleur d’accès devra fournir à la Commission un rapport d’audit indépendant de description de toutes les techniques de profilage des consommateurs qu’il applique sur sa plateforme. Cette description devra être mise à jour au rythme minimal d’une fois par. Tous les deux ans, la Commission vérifiera que le gatekeeper continue à remplir les critères de l’article 3 pour éventuellement revenir sur cette désignation.

 

Le Data Governance Act pour stimuler de nouveaux usages de la donnée sur le marché numérique européen

Faciliter certains transferts de données jusqu’ici peu aisé est l’objectif principal du Data Governance Act. Sa première cible concerne les données personnelles ou non détenues par le secteur public et soumises à des droits tiers au titre de la propriété intellectuelle, d’une obligation de confidentialité ou de la protection des données personnelles. Sans créer un droit à l’accès et l’utilisation de ces données le projet en encadre les conditions de partage pour le permettre plus aisément sans mettre à mal la réalité des droit tiers dont elles font l’objet. À ce titre, il prohibe un accès concédé de façon exclusive à une unique entité.

La proposition prévoit également d’encadrer le partage des données entre entreprise contre rémunération quel qu’en soit le niveau de protection. Elle encadre le partage de données à caractère personnel avec l’aide d’un intermédiaire de partage de données à caractère personnel, en vue de faciliter l’exercice et le respect des droits des personnes sur ces données. Ces intermédiaires devront notifier leur activité auprès des autorités afin de faciliter leur identification par les Etats membres et désormais s’astreindre à une neutralité à l’égard des données échangées dont ils ne pourront faire un usage autre que le partage ou la mise en conformité. L’accès au service par les détenteurs comme les utilisateurs de données devra être équitable, transparent et non discriminatoire, notamment s’agissant du prix du service.

Le projet de règlement propose de créer un concept juridique d’altruisme en matière de données. Pourront revendiquer ce concept les entités juridiques indépendantes poursuivant un but d’intérêt général et ne présentant pas de caractère lucratif. Une fois identifiés et conformés à une série de mesures de sécurité, de transparence et d’éthique, ces organismes devront trouver aisément la confiance du public et pourront plus facilement collecter et partager des donnés dans la poursuite d’un but d’intérêt général. À ce titre, le règlement prévoit que le partage de données par ces organismes ne soit pas soumis au régime des intermédiaires de partage de données à caractère personnel mais dispose d’un régime autonome plus facilitant, comprenant notamment des modalités de consentement européen à l’altruisme en matière de données.

Dans la continuité du RGPD, ces trois projets de règlement s’inscrivent dans une vision stratégique européenne à l’ambition claire : modeler le marché numérique européen et les pratiques de ses acteurs pour plusieurs décennies, par l’harmonisation de la qualité des services, la rationalisation de la concurrence et la stimulation de nouveaux usages.

Quant à l’adoption du DSA et du DMA, l’objectif fixé à début 2022 semble ambitieux.

Matilda DI SCHIENA
Consultante confirmée
Xavier ORTOLLAND
Consultant