Alors que le régulateur irlandais vient d'imposer une amende de 450 000 euros à Twitter pour une affaire ayant trait au respect de la vie privée, la Commission européenne a présenté, mardi 15 décembre, ses propositions législatives pour réglementer les plateformes en ligne avec des obligations graduelles en fonction de la taille du service.
Ses propositions s'articulent autour de deux textes : une réglementation horizontale qui couvre tous les services numériques avec des obligations graduées en fonction de leur importance (le Digital Services Act - DSA) et une réglementation ex ante qui ne vise que les plateformes qui se comportent en tant que contrôleurs d'accès dans le secteur numérique, les fameux 'gatekeepers'. Ici aussi, la Commission établit une liste d'obligations (comme celle d'informer de toute nouvelle acquisition ou de fournir un accès aux données) et de pratiques interdites (comme l'interdiction d'empêcher des utilisateurs de désinstaller des applications préinstallées).
« Ces propositions apportent de la clarté, de la lisibilité et des objectifs. Tout le monde est le bienvenu, mais notre responsabilité est de donner la direction et de poser les règles », a déclaré le commissaire au Marché intérieur, Thierry Breton, devançant ainsi les critiques selon lesquelles les nouvelles propositions ne cibleraient que les plateformes américaines.
Les GAFAM clairement dans le viseur
Si la vice-présidente Margrethe Vestager s'est refusée à identifier les entreprises répondant à la définition d'un 'gatekeeper', les géants américains Google, Apple, Facebook, Amazon et Microsoft figurent sans aucun doute dans cette liste.
Le règlement sur les marchés numériques (DMA), qui a l'ambition de compléter le droit de la concurrence jugé trop lent et trop peu dissuasif, cible en effet les entreprises contrôlant au moins un service de base (moteur de recherche, services de réseau social, certains services de messagerie, systèmes d'exploitation et services d'intermédiation en ligne) et visant de nombreux utilisateurs dans au moins trois pays de l'UE.
Pour ce qui est des critères précis, gardés secrets jusqu'au dernier moment, la Commission suggère d'étudier cumulativement la taille, le contrôle d'un point d'accès et la position. Sur la taille, le texte parle d'un chiffre d'affaires annuel dans l'Espace économique européen (EEA) d'au moins 6,5 milliards d'euros au cours des 3 derniers exercices ou d'une valeur marchande ayant atteint au moins 65 milliards d'euros au cours du dernier exercice. Sur le deuxième critère, la Commission parle d'un service comptant plus de 45 millions d'utilisateurs finaux actifs chaque mois dans l'UE et une moyenne de plus de 10 000 entreprises utilisatrices actives dans l'UE au cours du dernier exercice. Le dernier critère est rempli si les deux premiers le sont au cours de chacun des trois derniers exercices.
Concrètement, il reviendra à chaque entreprise de s'autoévaluer, après quoi la Commission aura 60 jours pour caractériser le service ou lancer une enquête de marché (article 15). Les 'gatekeepers' devront se soumettre aux obligations leur incombant 6 mois après.
Des mesures asymétriques dans le DSA
La réglementation sur les services numériques, elle, se veut plus générale. Elle cible en effet tous les services numériques qui jouent un rôle d'intermédiaire dans la mise en relation des consommateurs avec les biens, les services et les contenus.
Elle prévoit des obligations graduelles pour ces services, en fonction de leur importance. Tous devront au minimum mettre en place des points de contact, un représentant légal, identifier toute restriction dans leurs termes et conditions et seront soumis à des obligations de faire rapport. Les services d'hébergement auront quelques obligations supplémentaires, les plateformes en ligne en auront encore plus, et les « très grandes plateformes » - soit celles qui captent 10% de la population européenne - seront soumises au plus grand nombre de règles (EUROPE 12622/1).
Sanctions : jusqu'à 10% du chiffre d'affaires mondial
Les deux textes prévoient un régime de sanctions. « Avec la réglementation, vous devez également avoir une sanction. Ne serait-ce que pour protéger l’immense majorité qui va respecter ces règles. On a pris toute la panoplie des sanctions, y compris la séparation structurelle », a expliqué Thierry Breton.
La réglementation sur les services numériques prévoit des amendes pouvant aller, dans les cas les plus graves, jusqu'à 6% du chiffre d'affaires global d'un fournisseur de services. La réglementation sur les marchés numériques permet à la Commission d'infliger à la société des amendes allant jusqu'à 10% de son chiffre d'affaires annuel mondial total et des astreintes allant jusqu'à 5% de son chiffre d'affaires annuel mondial total. Elle n'exclut pas des mesures structurelles en cas d'infractions systématiques, telles que l'obligation, pour le contrôleur d'accès, de céder une activité ou des parties de celle-ci.
La vice-présidente Vestager et le commissaire Breton, d'habitude relativement opposés sur ce sujet, se sont d'ailleurs exprimés dans la même direction sur ce volet. Le Français a souligné que les propositions ne visaient pas un démantèlement alors que la Danoise a bien rappelé que ce serait là un outil de dernier ressort.
Des réactions plutôt positives
Globalement, les réactions aux propositions législatives ont été plutôt positives, certains critiquant toutefois un léger manque d'ambition. C'est notamment le cas de l'eurodéputé Tiemo Wölken (S&D, allemand), rapporteur sur le DSA au Parlement européen, qui a regretté l'absence de supervision européenne pour toutes les plateformes, ou de l'ONG Global Witness, qui a dit regretter l'absence de limite sur le microciblage.
Du côté des plateformes en ligne (Digital Europe et DOT Europe), l'accueil a été relativement prudent. Facebook a même laissé entendre qu'il espérait que le DMA fixerait « des limites pour Apple », qui « contrôle tout un écosystème (...) et utilise ce pouvoir pour nuire aux développeurs et aux consommateurs ainsi qu'aux grandes plateformes comme Facebook ».
Les propositions doivent maintenant être évaluées par le Parlement européen et le Conseil de l'UE. La Commission européenne prévoit un délai de mise en œuvre de 3 mois pour le DSA et de 6 mois pour le DMA.
Liens vers les propositions : DMA : https://bit.ly/2KwkbX6 et DSA : https://bit.ly/3nsmjy4 (Sophie Petitjean)