Au carrefour de la protection des données et de l'antitrust, le DMA contraint les géants de la tech

"C'est à la fois un texte sur la protection des données personnelles, comme le Règlement général sur la protection des données, et un texte qui restreint la position dominante donc sur le droit de la concurrence", analyse Ariane Mole, avocate spécialisée dans le droit des données au sein du cabinet Bird & Bird et ancienne membre de la Commission nationale de l'informatique et des libertés (Cnil), à propos du Digital Markets Act (DMA). Adopté le 14 septembre 2022, ce règlement européen est applicable depuis ce mercredi 6 mars 2024 aux six "contrôleurs d'accès" (gatekeepers) désignés comme tels par la Commission européenne le 6 septembre 2023, soit six mois plus tôt. 

C'est ainsi que Alphabet, Amazon, Apple, ByteDance, Meta et Microsoft sont soumis à une série de nouvelles obligations visant à les forcer à se comporter équitablement en ligne sur le marché intérieur européen. Plus précisément, ce sont les 22 plateformes (services de plateforme essentiels dans le texte) qu'elles opèrent qui doivent se plier à de nouvelles exigences. On trouve des réseaux sociaux, tels que Facebook, Instagram, TikTok, des messageries avec WhatsApp et Messenger, le moteur de recherche de Google Search et les navigateurs Chrome et Safari, les services d'intermédiation avec Google Maps, Play, Shopping, Amazon Marketplace, App Store, les services de publicités avec Google, Amazon et Meta ainsi que les systèmes d'exploitation avec Android, iOS et Windows PC OS. La liste complète est disponible ici.  

S'attaquer au coeur du modèle économique

Le modèle économique de ces entreprises repose sur l'exploitation des données personnelles des utilisateurs pour faire de la publicité ciblée. C'est ainsi qu'au deuxième trimestre 2023, les revenus publicitaires de Meta s'élevaient à 32 milliards de dollars (+ 11% par rapport au deuxième trimestre 2022), ce qui représente la quasi-totalité des revenus de la société. D'où l'idée de limiter leur pouvoir dans ce domaine, explique la juriste, interrogée par L'Usine Digitale, afin de rétablir un certain équilibre dans le marché intérieur.

Dans les détails, c'est l'article 5 du DMA principalement qui établit les nouvelles interdictions et obligations des gatekeepers. Sans le consentement des intéressés, ces entreprises ne peuvent plus traiter, aux fins de fourniture de services de publicité en ligne, les données personnelles des utilisateurs finaux qui recourent à des services de tiers utilisant des services de plateforme essentiels fournis par elles. Elles ne peuvent plus "croiser les données personnelles issues de l'un de leurs services avec d'autres services qu'ils proposent", détaille Ariane Mole. A titre d'exemple, Meta ne peut désormais plus croiser les données personnelles des utilisateurs de Facebook et d'Instagram, sans avoir recueilli leur consentement. 

Ces interdictions peuvent donc être levées si l'entreprise recueille le consentement des utilisateurs. Le DMA cite le RGPD sur les critères que le consentement doit remplir : il doit ëtre libre, spécifique, éclairé et univoque. C'est en partie pour répondre à cette nouvelle législation que Meta a lancé un abonnement payant à Facebook et Instagram. Il permet aux abonnés d'utiliser ces réseaux sociaux sans être la cible de publicités. Leurs données personnelles peuvent en revanche être utilisées à d'autres fins.

Cette stratégie a provoqué un vent de contestations parmi les défenseurs de la vie privée et des consommateurs. Après l'association Noyb et le Bureau européen des unions de consommateurs (BEUC), c'est l'UFC-Que Choisir qui a décidé de s'attaquer à l'entreprise américaine en déposant une plainte devant la Commission nationale de l'informatique et des libertés. La Commission européenne s'est également emparée du dossier : elle a envoyé début mars 2024 une demande d'informations à Meta au titre du DMA lui demandant de lui fournir plus d'informations sur son système d'abonnement. 

Google modifie l'affichage de ses services

Par ailleurs, les contrôleurs d'accès n'ont plus le droit de favoriser leurs propres services. C'est ainsi que Google a dû modifier l'affichage de ses pages de résultats. Pour son service de cartographie Maps, par exemple, une carte apparaît toujours en premier résultat mais il n'est pas possible de cliquer dessus pour ouvrir automatiquement le site. Le bouton en dessous de la barre de recherche a également disparu. Le même sort a été réservé à Google Flights, le comparateur de billets d'avion de la firme de Mountain View. 

Le DMA prévoit par ailleurs le droit à la portabilité, ajoute Ariane Mole. "Tout individu peut demander à un contrôleur d'accès que toutes ses données soient portées à un concurrent et les rendre immédiatement réutilisables, détaille-t-elle. L'objectif est de pouvoir choisir un autre service sans perdre tout l'historique de ses données." Le RGPD prévoit également cette possibilité mais elle se limitait "aux données fournies par la personne elle-même". 

Publier un audit des techniques de profilage des consommateurs

Ce mercredi 6 mars 2024, les six entreprises – désignées comme contrôleurs d'accès – doivent également soumettre à la Commission européenne "une description ayant fait l'objet d'un audit indépendant de toutes les techniques de profilage des consommateurs qu'il applique dans le cadre de ses services de plateforme essentiels (...)", d'après l'article 15. Ce document sera transmis au Comité européen de la protection des données (EDPB). La preuve une nouvelle fois de "l'imbrication" de cette législation avec le RGPD, juge l'experte. 

En matière de sanction, la Commission européenne peut infliger des amendes allant jusqu'à concurrence de 10% du chiffre d'affaires total réalisée au niveau mondial du contrôleur d'accès concerné, et en cas de récidive, jusqu'à 20%, d'après l'article 30 du DMA. "Il y la question des cumuls d'infractions", soulève Ariane Mole. En effet, fait-elle remarquer, "si le consentement n'est pas donné conformément au RGPD, c'est une violation du DMA donc la Commission européenne peut sanctionner mais c'est aussi une violation du RGPD".