DMA : le règlement sur les marchés numériques veut mettre fin à la domination des géants du Net

Le règlement DMA (pour Digital Markets Act) du 14 septembre 2022 est, avec le règlement sur les services numériques (DSA), un des grands chantiers numériques de l’Union européenne (UE). Progressivement applicable depuis le 2 mai 2023, il est entré totalement en vigueur le 6 mars 2024.

La vingtaine d'obligations et d'interdictions qu'il contient sont désormais opposables aux géants du numérique (obligation de rendre les messageries instantanées interopérables avec les concurrents, interdiction d'imposer un navigateur web ou un moteur de recherche par défaut ou de l'auto-préférence...).

La législation sur les marchés numériques (DMA) vise à lutter contre les pratiques anticoncurrentielles des géants d’internet et corriger les déséquilibres de leur domination sur le marché numérique européen.

Le modèle économique de ces acteurs, en particulier des Gafam (Google, Apple, Facebook, Amazon et Microsoft), repose sur la combinaison de masses de données sur leurs utilisateurs et d'algorithmes puissants et opaques. Grâce aux forts effets de réseau et à leurs écosystèmes enfermant les internautes-consommateurs, ces grands acteurs ont acquis une position de quasi-monopole sur le marché européen, laissant peu de place à la concurrence. 

Selon la Commission européenne, plus de 10 000 plateformes en ligne – dont 90% sont des petites et moyennes entreprises - opèrent en Europe, mais seules les plus grandes plateformes dites "systémiques" captent l’essentiel de la valeur du marché numérique européen.

C’est pourquoi des outils de régulation sont mis en place en amont pour :

• créer une concurrence loyale entre les acteurs du numérique, notamment au profit des petites et moyennes entreprises et des start-up européennes ;
• stimuler l’innovation, la croissance et la compétitivité sur le marché numérique ;
• renforcer la liberté de choix des consommateurs européens.

Cette régulation a priori (ex ante) vient compléter le droit de la concurrence. Le droit de la concurrence, qui sanctionne a posteriori (ex post) des ententes ou des abus de position dominante, ne suffit plus aujourd’hui à réguler efficacement le marché numérique. Les amendes prononcées par la Commission européenne ou par les autorités nationales de la concurrence interviennent en effet souvent trop tard, après de longues enquêtes. Cette lenteur des procédures n'incite pas les géants d'internet à modifier en profondeur leur comportement, sans compter les recours qu'ils intentent.

Avec cette nouvelle législation, l'UE veut devenir un modèle, au niveau mondial, dans le domaine de l’économie numérique.

Le règlement couvre des services en ligne très répandus et couramment utilisés, fournis ou proposés par les grandes plateformes. Il liste dix "services de plateforme essentiels" qui posent aujourd’hui problème. Il s’agit des :

• services d’intermédiation (comme les places de marché, les boutiques d'applications) ;
• moteurs de recherche ;
• réseaux sociaux ;
• plateformes de partage de vidéos ;
• messageries en ligne ;
• systèmes d’exploitation (dont les télévisions connectées) ;
• services en nuage (cloud) ;
• services publicitaires (tels les réseaux ou les échanges publicitaires) ;
• navigateurs web ;
• assistants virtuels.

Le règlement DMA cible uniquement les entreprises qui sont des "contrôleurs d’accès" à l'entrée d'internet, les gardes-barrières (gatekeepers) de l'internet. Il s’agit d’acteurs qui ont une forte incidence sur le marché intérieur, sont un point d’accès important des entreprises utilisatrices pour toucher leur clientèle et occupent ou occuperont dans un avenir proche une position solide et durable. Peu importe qu’ils soient établis en Europe ou ailleurs dans le monde.

Sont présumées être des contrôleurs d’accès, au sens de la nouvelle législation européenne, les entreprises qui :

• fournissent un ou plusieurs services de plateforme essentiels dans au moins trois pays européens ;
• ont un chiffre d’affaires ou une valorisation boursière très élevé : 7,5 milliards d'euros au moins de chiffre d'affaires annuel en Europe dans les trois dernières années ou 75 milliards d'euros ou plus de capitalisation boursière durant la dernière année ;
• enregistrent un grand nombre d’utilisateurs dans l'UE : plus de 45 millions d'Européens par mois et 10 000 professionnels par an pendant les trois dernières années.

Les entreprises qui atteignent ces seuils chiffrés avaient jusqu'au 3 juillet 2023 pour s’identifier. Le 6 septembre 2023, la Commission européenne a publié une première liste de six contrôleurs d'accès. 

Le 13 mai 2024, la Commission européenne a annoncé que Booking, la plateforme néerlandaise de réservation en ligne d'hôtels, est un contrôleur d'accès. Booking.com a désormais six mois pour se mettre en conformité avec le DMA. 

La liste des contrôleurs d’accès et la liste des services de plateforme essentiels qu’ils fournissent seront révisées au moins tous les trois ans.

À savoir : les PME sont - hors cas exceptionnels - exemptées de la qualification de contrôleur d'accès. Une catégorie de "contrôleur d'accès émergent" est également prévue, afin d'imposer certaines obligations aux entreprises dont la position concurrentielle est démontrée mais pas encore durable.

Les entreprises désignées comme gatekeepers doivent nommer un ou plusieurs responsables de la conformité avec le règlement, sous peine d'amende, et doivent respecter une petite vingtaine d’obligations ou d'interdictions, pour chacun de leurs services de plateforme essentiels. Certaines sont applicables à tous, d'autres seront prononcées sur mesure.

Les contrôleurs d'accès doivent par exemple :

• rendre aussi facile le désabonnement que l'abonnement à un service de plateforme essentiel ;
• permettre de désinstaller facilement sur son téléphone, son ordinateur ou sa tablette des applications préinstallées ;
• rendre interopérables les fonctionnalités de base de leurs services de messagerie instantanée (Whatsapp, Facebook Messenger…) avec leurs concurrents plus modestes ;
• autoriser les vendeurs à promouvoir leurs offres et à conclure des contrats avec leurs clients en dehors des plateformes ;
• donner aux vendeurs l'accès à leurs données de performance marketing ou publicitaire sur leur plateforme ;
• informer la Commission européenne des acquisitions et fusions qu'ils réalisent.

Les contrôleurs d'accès ne peuvent plus notamment :

• imposer les logiciels les plus importants (navigateur web, moteurs de recherche, assistants virtuels) par défaut à l'installation de leur système d'exploitation. Un écran multi-choix doit être proposé pour pouvoir opter pour un service concurrent ;
• favoriser leurs services et produits par rapport à ceux des vendeurs qui utilisent leur plateforme (auto-préférence) ou exploiter les données des vendeurs pour les concurrencer ;
• réutiliser les données personnelles d’un utilisateur à des fins de publicité ciblée, sans son consentement explicite ;
• imposer aux développeurs d'application certains services annexes (système de paiement par exemple).

Une personne lésée par un contrôleur d'accès pourra s'appuyer sur la liste de ces obligations et interdictions pour demander des dommages et intérêts devant les juges nationaux.

Cette liste pourra être complétée par la Commission, en fonction de l'évolution des pratiques des géants d'internet et des marchés numériques.

En cas d'infraction, la Commission européenne pourra prononcer contre le contrôleur d'accès une amende pouvant aller jusqu'à 10% de son chiffre d'affaires mondial total et, en cas de récidive, jusqu'à 20% de ce chiffre d'affaires. Elle pourra aussi prononcer des astreintes allant jusqu'à 5% de son chiffre d'affaires journalier mondial total.

Si l'entreprise viole systématiquement la législation européenne, à savoir à partir de "trois violations sur huit ans", la Commission pourra ouvrir une enquête de marché et, si besoin, imposer des mesures correctives comportementales ou structurelles. La Commission européenne pourra, par exemple, obliger le contrôleur d'accès à céder une activité (vente d'unités, d'actifs, de droits de propriété intellectuelle ou de marques) ou lui interdire d'acquérir des entreprises de services dans le numérique ou de collecte de données.

À noter : Les autorités nationales de la concurrence pourront enquêter sur d'éventuelles infractions aux règles du DMA et transmettre leurs conclusions à la Commission.