Régulation numérique : la Commission Européenne rend sa copie
Avec cette refonte du cadre légal en vigueur sur les marchés et services numériques, la Commission européenne espère dépoussiérer les disposition encadrées jusqu’alors par sa directive e-commerce datant de l’année 2000 et proposer « un encadrement horizontal » pour tous les acteurs. Ce nouveau cadre se distingue en deux textes, le Digital Services Act (DSA) ou règlement sur les services numériques et le Digital Market Act (DMA), règlement sur les marchés numériques.
Des obligations allant crescendo
Dans son communiqué, la Commission indique que « la législation sur les services numériques introduira dans l’ensemble de l’UE une série de nouvelles obligations harmonisées pour les services numériques, qui seront soigneusement modulées en fonction de la taille et de l’impact de ces services ». Le texte prévoit notamment de nouvelles règles et obligations en matière de retraits de contenus illicites, mais aussi la mise en place de procédure de recours pour les citoyens de l’UE qui s’estiment lésés ou encore de nouvelles obligations « sur la traçabilité des utilisateurs professionnels sur les places de marché en ligne » afin de lutter contre la contrefaçon et la vente d’objets illicites en ligne.
Cette série de nouvelles obligations devra être appliquée par les acteurs concernés, avec des distinction selon plusieurs critères qui viseront à distinguer avec précision les plateformes « systémiques » des autres acteurs de moindre ampleur. La définition de ces acteurs systémiques restait jusqu’alors l’objet de spéculations mais la proposition de la Commission pose les grands principes et définit quatre type d’acteurs : les fournisseurs d’accès et de services de cache, les hébergeurs, les plateformes et les très large plateformes.
« Les plateformes qui touchent plus de 10 % de la population de l’UE (45 millions d’utilisateurs) sont considérées comme étant de nature systémique et seront soumises non seulement à des obligations spécifiques de contrôle de leurs propres risques, mais aussi à une nouvelle structure de surveillance » indique la Commission. Les états membres de l’UE pourront ainsi designer les autorités compétentes pour faire appliquer les nouvelles obligations prévues par le texte, et éventuellement sanctionner les acteurs qui contreviennent aux principes du texte.
Comme pour le RGPD, le texte prévoit également la création d’un comité européen des autorités compétentes, qui pourront se concerter afin d’unifier l’application du règlement. Le montant des sanctions pourra s’élever à 6 % des revenus annuels globaux de la société dans le cas d’une entorse au DSA.
La chasse aux goulets d’étranglement
Avec le règlement sur les marchés numériques, la Commission souhaite s’attaquer « aux conséquences négatives découlant de certains comportements de plateformes qui agissent en tant que «contrôleurs d’accès» sur les marchés numériques. » Dans son communiqué, la Commission cite notamment le cas où une plateforme exploite les données d’entreprises opérant sur sa plateforme « de manière déloyale ». Difficile ici de ne pas penser à Amazon, qui est régulièrement accusé d’exploiter les données de ses revendeurs pour lancer ses propres gammes de produits et profiter de l’avantage compétitif pour les écraser. Le texte visera aussi à interdire plusieurs pratiques jugées déloyales, tel que « le fait d’empêcher les utilisateurs de désinstaller des logiciels ou applications préinstallés » : on pense ici plutôt à des acteurs comme Apple, Google ou Microsoft, fréquemment accusés de profiter de leur position sur le marché des systèmes d’exploitation pour imposer leurs outils au détriment de la concurrence.
Ce texte permettra également à la Commission de designer ces fameux « goulets étranglements », ici désignés sous le terme de « contrôleurs d’accès », sur la base d’une enquête ou de certains critères définis par le texte. La commission souhaite imposer à ces contrôleurs d’accès de mettre en place de manière proactive certaines mesures, portant notamment sur l’interopérabilité des systèmes.
Et en cas d’incartade, la facture pourra être plus salée encore que celle prévue par le DSA : la commission souhaite en effet pouvoir infliger des sanctions d’un montant pouvant s’élever à 10 % du chiffre d’affaire global de l’entreprise jugée coupable. « En cas de récidive, ces sanctions pourront comprendre l’obligation de prendre des mesures structurelles, pouvant aller jusqu’à la cession de certaines activités si aucune mesure de même efficacité n’est disponible pour garantir la mise en conformité » indique également le communiqué.
Lors de la conférence de presse de présentation, le commissaire européen Thierry Breton a également souligné le fait qu’il s’agit là d’un règlement, et non d’une directive. Cela signifie que comme le RGPD, une fois le texte adopté par les institutions européennes, il entrera en vigueur directement sans avoir à être transposé par les états membres. Le texte doit être approuvé par le parlement européen et le Conseil de l’Union Européenne, et de nombreux éléments pourront donc être amendés ou modifiés avant son entrée en vigueur.
