Paquet législatif européen de deux textes extra-territoriaux complémentaires.
Digital Markets Act (DMA)
Règlement européen 2022/1925 relatif aux marchés contestables et équitables dans le secteur numérique aka règlement sur les marchés numériques. Préparation entre 2020 et 2022. Entrée en application progressive entre mai 2023 et mars 2024.
Règlement plutôt axé concurrence, B2B (plateformes qui permettent à des entités utilisatrices d'attendre des consommateurs finaux), etc.
- Définition de fournisseurs de services de plateforme essentiels aka contrôleurs d'accès aka gatekeepers dans nombre de domaines (intermédiation, messagerie, moteurs de recherche, système d'exploitation, navigateur web, publicité, cloud, etc.). CA annuel dans l'UE > 7,5 milliards d'euros ou valorisation boursière > 75 milliards d'euros + présence dans au moins trois pays de l'UE ou 45 millions d'utilisateurs finaux européens actifs mensuels (ou 10 k pro), durant 3 années. Évidemment, les techniques de segmentation pour échapper aux seuils sont caduques (article 13). La Commission pourra décider d'inclure ou d'exclure sur d'autres critères comme l'effet réseau, la captivité, le gain tiré des DCP, etc. Granularité par service (une même entité peut posséder plusieurs plateformes essentielles), d'où Apple et Microsoft négocient déjà pour certains de leurs services. De même, Apple négocie pour que l'ouverture à autre chose que l'Apple Store ne soit effectif que sur iPhone, les autres systèmes n'atteignant pas le seuil d'utilisateurs ;
- Réduire la captivité : interdiction des dark patterns, interdiction de coupler des services (ex. : obliger Apple Play dans un jeu dispo sur l'Apple Store ou compte Google pour YouTube), permettre la désinstallation d'applications préinstallées, interdiction de référencer ses services plus favorablement que ceux des clients et de saboter le service rendu par une société commerciale utilisatrice. Ce dernier point vaut aussi pour des applis iPhone de base, pour les navigateurs web, les moteurs de recherche, et ouvre donc la voie à l'installation de magasins d'applis alternatifs (pour éviter ce genre de comportement). Côté ricain, depuis 2020, la question du magasin d'applis obligatoire se discute dans les tribunaux ;
- Interopérabilité entre systèmes et applis. Interopérabilité des messageries (2 à 4 ans pour s'adapter après leur désignation comme gatekeeper) dont le chiffrement de bout en bout s'il existe (il est explicitement prévu dans le texte). Je ne comprends pas les critiques sur la faisabilité technique : il est possible de définir des normes, comme email + PGP, XMPP + OMEMO, SMSSecure / Silence (dans chaque cas, il y a bien plusieurs fournisseurs / opérateurs et plusieurs logiciels de messagerie, excepté Silence / SMSSecure). Je n'identifie pas de danger nouveau (les données de connexion doivent déjà être collectées et partagées). L'obligation est asymétrique (les messageries peu utilisées ne sont pas obligées de s'ouvrir aux grosses, ce qui permettra de ne pas étouffer les premières sous les changements incessants des secondes), d'où (entre autres) on risque de se retrouver avec des API plutôt qu'avec un protocole standard / commun (mais alors, quid du chiffrement de bout en bout également protégé par le texte ?) ;
- Obligation renforcée de transparence, de rendre compte (à la CE), de subir des audits (y compris sur les techniques de profilage) ;
- Une plateforme doit donner accès en temps réel aux données produites par son client (générées par ses activités genre performance, marketing genre infos sur les pub qu'elles financent) et ne pas utiliser les données non publiques d'un client pour lui faire concurrence (Next Inpact dit que mamazon a déjà pratiqué ça)… ;
- Je ne comprends pas en quoi plusieurs dispositions constituent un apport nouveau. Pas de réutilisation de DCP ni de traçage (y compris pub ciblée et combinaison de journaux entre services d'une même entité) sans consentement (la CJUE est arrivée à la même conclusion quasi en même temps), maximum une demande de consentement pour la pub ciblée par an, portabilité effective des données, tout ça est prévu par le RGPD… ;
- Sanctions : jusqu'au 10 % du CA annuel mondial (20 % en récidive, 1 % pour défaut de communication d'infos), cessation d'activité, etc. Qui ? Gus dédié à la conformité, Commission, autorités nationales de la concurrence, « groupe de haut niveau » (BEREC, EDPB, EDPS, réseau européen de la concurrence, ERGA, réseau européen de protection des consommateurs), etc. mais on sent que le pouvoir est concentré dans la CE (notamment dans son groupe de travail DMA).
Sources :
Digital Services Act (DSA)
Règlement européen 2022/2065 relatif à un marché unique des services numériques aka règlement sur les services numériques. Préparation entre 2020 et 2022. Entrée en application entre août 2023 (acteurs essentiels) et février 2024 (source).
Règlement plutôt axé contenus, citoyens (B2C), harmonisations des législations nationales (sur le retrait de contenus, par ex.), etc.
- Fournisseurs de services intermédiaires (transmission / accès à un réseau de communication, hébergeur, CDN, places de marché, etc.). On sent une volonté de combler le manque entre hébergeur, éditeur et FAI. Les plateformes sont des hébergeurs qui stockent et diffusent au public des informations à la demande d'un de ses utilisateurs. Les moteurs de recherche sont définis à part (c'est bien un service intermédiaire, mais ni d'hébergement ni de transport ni de CDN) ;
- Obligations additionnelles pour les très grandes plateformes et moteurs de recherche (> 45 millions d'utilisateurs européens actifs mensuels), TGP, qui sont aussi qualifiés de VLOP (Very Large Online Platforms) ou de VLOSE (Very Large Online Search Engine). Contrairement au DMA, rien n'est dit concernant la segmentation pour échapper au seuil. Les petites entités (< 50 salariés, CA annuel < 10 millions d'euros) échappent aussi aux rapports de transparence ;
- Beaucoup d'obligations existantes ou qui semblent aller de soi : désigner un représentant dans l'UE et un délégué à la conformité (ce deuxième point est uniquement pour les TGP), rapports de transparence (dont le contenu est cadré), modération (outils de signalement, signaleurs de confiance comme PHAROS en France, transparence dans la modération), contestation d'un retrait / blocage / suspension en interne et "médiateur" externe, retrait des contenus / produits (pas sur simple notif', il faut que ça soit motivé, pas de délai mais une « diligence raisonnable », pas de pro-activité), limiter les signalements abusifs, etc. Bref, aucun changement sur la responsabilité des intermédiaires techniques (par rapport à ce qu'on a en France) ;
- BDD anonymisée des retraits de contenu à disposition de la Commission (afin d'identifier, si elle le souhaite, les abus de la modération) + une plateforme doit alerter les autorités des États membres des potentielles infractions graves (mise en danger vie ou sécurité d'autrui) ;
- Protocole pour réagir (renforcer la modération ? quoi d'autre ?) lors de crises liées à la sécurité ou à la santé publiques (forte désinformation liée à un événement, par ex.). Flou complet. Uniquement les TGP ;
- Pour les TGP : transparence des algo de pub / recommandation + proposer au moins un système de recommandation qui ne se base pas sur le profilage (mais c'est à l'utilisateur de l'activer…). Pour toutes les plateformes : stats sur la pub accessibles au public (identité de l'annonceur, nombre de visionneurs, durée de la campagne, public visé, etc.) ;
- Interdiction de la publicité ciblée pour les mineurs (< 18 ans) + (considérant 69) ces plateformes « ne devraient pas » présenter de pub ciblée via des DCP sensibles (renvoi à l'article 9 du RGPD donc opinions politiques, convictions religieuse ou philosophique, appartenance syndicales, orientation sexuelle, santé, etc.) ;
- Interdiction des dark patterns, comme le DMA (trololo, faudra voir lesquels car les réseaux d'asociaux en regorgent) ;
- Une place de marché « devrait déployer tous les efforts » pour vérifier les informations d'un vendeur (identifiant pro, email, IBAN, etc.) dans les bdd officielles, par ex. (considérant 73). Elle devra en tout cas les détenir et afficher les plus pertinentes ;
- Les TGP doivent s'auto-analyser annuellement et réduire les risques systémiques qu'ils font peser (on a un parallèle dans le RGPD et on voit l'absence de résultat…) et subir des audits indépendants (à leur charge) ;
- Sanctions : 6 % du CA annuel mondial, injonction, bannissement, etc. Qui ? CE (elle se réserve les TGP, via une redevance versée par elles), Autorités nationales (ARCOM en France) rassemblées dans un comité européen (comme le BEREC ou EDPB). L'État membre compétent est celui où l'entité a déclaré son établissement principal ou son représentant, donc l'Irlande…
Sources :
Point commun
Comme dans d'autres domaines, une partie du droit national de chaque État membre est ainsi délégué à l'UE. Il faut donc informer la CE et ne pas légiférer au niveau national (ça reviendrait à fragmenter les règlements européens, qui ont justement un objectif d'application uniforme à travers l'UE, d'harmonisation des législations).
La Commission européenne avertit la France qu'elle ne peut pas aller au-delà de ses règlements (à propos du bannissement des harceleurs des réseaux d'asociaux) :
« Si les États membres veulent ajouter des nouvelles obligations supplémentaires à celles prévues par le DSA, ils peuvent le demander, mais il faut un consensus au niveau européen. Elles ne doivent pas être incluses dans des lois nationales qui vont revenir à fragmenter l’application du DSA. Si la France le fait, qu’est-ce qui empêchera demain Victor Orban ou la Pologne de demander à un hébergeur de retirer des contenus LGBT ? »
[…]
La Commission européenne a déjà rappelé que les États-membres ne devaient pas, sur un « domaine réservé » déjà traité par Bruxelles, édicter des règles plus strictes. […] Les États membres devraient s’abstenir d’adopter des législations nationales qui feraient double emploi avec ces règlements ou qui créeraient des dispositions plus strictes ou plus détaillées dans les domaines réglementaires concernés […]
Ainsi, je me demande dans quelle mesure le DSA et le DMA limiteront le concours perpétuel de la meilleure idée liberticide. Quelle proportion des mesures proposées en France sera en conflit avec les règles européennes (dont l'essentiel porte sur les géants du numérique) et torpillée de ce fait (et des mesures ne visant pas les géants seront perçues comme inutiles…) ? Dans quelle mesure la France convaincra l'UE (comme sur les données de connexion) ?
Premier effet chez Microsoft en novembre 2023. Sur YouTube, ça donne la désactivation par défaut des recommandations, d'où une page d'accueil blanche.