La Commission européenne a désigné, mercredi 6 septembre, les six premiers contrôleurs d’accès (‘gatekeepers’) dans le cadre de la législation sur les marchés numériques (DMA) (EUROPE 13243/11). Dès le 6 mars 2024, quelque 22 services proposés par les entreprises Alphabet (Google), Amazon, Apple, ByteDance (TikTok), Meta (Facebook) et Microsoft devront être en conformité avec le règlement et se plier aux nouvelles règles.
« Aujourd’hui, nous jugulons enfin le pouvoir économique de six contrôleurs d’accès, offrant ainsi un plus large choix aux consommateurs et de nouvelles perspectives aux entreprises technologiques innovantes de plus petite taille, grâce à l’interopérabilité, au téléchargement hors magasin, à la portabilité des données en temps réel et à l’équité », a commenté le commissaire chargé du Marché intérieur, Thierry Breton.
La désignation de ces six premiers contrôleurs d’accès - qui ont tous leur siège en dehors de l’UE - intervient alors que la Commission disposait de 45 jours pour trancher. Sept entreprises s’étaient initialement notifiées auprès d’elle le 4 juillet dernier (EUROPE 13215/3). Cette procédure a donné suite, outre à l’ajout de 22 services à la liste des entités concernées par le DMA, à l’ouverture de quatre enquêtes de marché pour définir si les services Bing, Edge et Advertising de Microsoft et iMessage d'Apple doivent tomber sous le coup du règlement. L’enquête doit être conclue dans un délai maximal de cinq mois.
Par ailleurs, une autre enquête devra aboutir, dans un délai maximal de 12 mois, à une conclusion concernant l’inclusion, ou non, de l’iPadOS d’Apple dans la liste des entités concernées, bien que les seuils quantitatifs - 45 millions d’utilisateurs mensuels dans l’UE et 10.000 utilisateurs professionnels - ne soient pas atteints. « On espère que les résultats tomberont plus rapidement », a toutefois indiqué un haut fonctionnaire de la Commission européenne.
En revanche, la Commission a décidé que le service ‘Internet Browser’ de Samsung, qui lui avait été notifié par l'entreprise, ne peut être considéré en tant que service de plateforme essentiel. La Commission a également pris une décision allant dans le même sens pour les services Gmail de Google et Outlook.com de Microsoft.
Aucun opérateur de service en nuage (‘cloud’) ou de mondes virtuels, à l’instar du Metavers, ne s’est notifié auprès de la Commission européenne.
Six mois pour se mettre en conformité
Si les entreprises disposent d’un délai de six mois pour se mettre en conformité, certaines dispositions doivent s’appliquer immédiatement. Ainsi, les contrôleurs d’accès doivent informer la Commission européenne de tout projet de fusion ou d’acquisition.
« Des obligations d’information lorsqu’un certain seuil est atteint - généralement calculé en fonction du chiffre d’affaires - existent au sein de l’UE. Pour les ‘gatekeepers’, il s’agit d’un renforcement puisqu’ils devront informer la Commission même lorsqu’il s’agit de projet en dessous des seuils », a détaillé un haut fonctionnaire de la Commission européenne.
Un référent doit également être désigné par les entreprises et il sera chargé de rapporter les informations au conseil d’administration et informer la Commission.
D’autres règles suivront d’ici mars. Par exemple, les ‘gatekeepers’ ne pourront plus suivre, à des fins publicitaires, les utilisateurs sur les services sans leur consentement. Ils ne pourront plus non plus utiliser les données des professionnels pour les concurrencer ou décider de favoriser le placement de leurs propres produits sur leurs plateformes. Le texte prévoit également que les ‘gatekeepers’ ne puissent plus bloquer les utilisateurs souhaitant installer certains logiciels - notamment des magasins d’applications tiers - et rendre facile la désinstallation d’applications installées par défaut.
« Entre maintenant et mars, la Commission continuera de dialoguer avec les ‘gatekeepers’. Ils disposent de six mois pour modifier leurs systèmes et produire un rapport de mise en conformité, expliquant comment ils respectent les obligations. On attend leur proposition pour voir comment ces obligations vont se matérialiser », a déclaré un autre haut fonctionnaire de la Commission européenne.
La possibilité d'imposer des mesures structurelles en guise de sanctions
Si de nouveaux ‘gatekeepers’, tels que Booking.com ou Twitter, pourraient, sans certitude, « décider de se notifier » à l’avenir, certains pourraient, à l’inverse, tenter de demander une suspension de l’application du règlement. Dans ce cas, « ils devraient se tourner vers la Cour de Justice de Luxembourg et présenter leurs arguments. Jusqu’à présent, ça ne s’est pas produit. On verrait alors si les arguments tiennent la route ou non », a résumé une source proche du dossier. « Les décisions ont été minutieusement préparées, mais on ne peut exclure cela », a complété une autre source européenne.
Le texte prévoit aussi que des amendes puissent être infligées. Celles-ci pourraient atteindre 10% du chiffre d’affaires mondial de l’entreprise et jusqu’à 20% en cas de récidive. Dans le cas d’infractions systématiques, l’entreprise en question pourrait se voir contrainte de vendre tout ou partie d’une activité ou être interdite d’acquérir de nouveaux services.
« Je voulais des sanctions assez dissuasives. On a effectivement la possibilité d’imposer des mesures plus structurelles », a commenté M. Breton. Cependant, « aucun calcul » n’a encore été réalisé pour déterminer l’impact commercial, a expliqué un haut fonctionnaire européen.
Les décisions de désignation de la Commission devraient être publiées dans les semaines à venir. Toutefois, elles ne le seront qu’une fois réglés les problèmes liés à la confidentialité de certaines données entre la Commission et les entreprises concernées.
« Nous n’avons pas de calendrier précis, mais nous voulons que ce soit rapide. Dans le meilleur des cas, nous aurons un accord direct avec les entreprises. Mais cela peut prendre un peu de temps », a conclu un haut fonctionnaire de l’UE. (Thomas Mangin)