Qu’en est-il des projets de règlements européens ?
Dans le cadre de la stratégie européenne visant à permettre à l’Union Européenne « de devenir un acteur de premier plan dans une société axée sur les données », les plateformes numériques feront prochainement l’objet d’une régulation renforcée au niveau européen. Du règlement sur les marchés numériques (Digital Markets Act ou DMA) au règlement sur les services numériques (Digital Services Act ou DSA) passant par le règlement sur la gouvernance des données (Data Gouvernance Act ou DGA), le législateur cherche à encadrer minutieusement (ou presque) les pratiques des géants du web et à renforcer en quelque sorte le pouvoir des utilisateurs.
La bataille semble être déclenchée. Les institutions européennes sont en effet déterminées à lutter contre les stratégies agressives des grandes firmes ce, dans l’objectif d’aboutir à un espace numérique de confiance. Bien que non directement visée, la protection des données devrait être renforcée par l’introduction de ces nouvelles règles.
Une protection par la concurrence
La valeur économique des activités sur internet est en effet, aujourd’hui, entre les mains des géants du web qui, non seulement imposent leurs propres stratégies sur le marché, mais contrôlent également l’accès au marché. Cette force leur permet de conserver un pouvoir important sur les données des utilisateurs. L’encadrement de la collecte et du traitement même des données personnelles ne suffit dès lors pas et la protection de ces données passe par la régulation de l’ensemble des pratiques des plateformes.
Dans cette perspective, le DMA entend imposer des obligations strictes aux contrôleurs d’accès afin de favoriser la concurrence et de limiter la domination économique des grandes plateformes en ligne. Bien que le renforcement de la concurrence devrait, selon la Commission Européenne, « conduire à des services de meilleure qualité, à des prix plus compétitifs, associés à une productivité accrue », il ne faut pas perdre de vue que de telles mesures peuvent permettre, bien que de manière indirecte, un renforcement de la protection des données. Une compétitivité entre les grandes plateformes en ligne constitue un élément d’incitation à l’adoption de pratiques conformes. Les utilisateurs seront ainsi plus à même de choisir entre les différentes plateformes selon plusieurs critères dont la conformité de l’usage de leurs données. Les personnes concernées sont en effet de plus en plus conscientes de la nécessité de protéger ce patrimoine et des pratiques non conformes peuvent les amener à opter pour un autre service qui respecte leur vie privée.
Le niveau de protection des données devrait également s’accroître de par la possibilité qu’offre le DMA pour les utilisateurs de migrer facilement entre les différentes plateformes, en rendant le désabonnement des services en ligne aussi simple que l’abonnement. La dépendance numérique constitue en effet un frein à une protection effective des données. Plus les utilisateurs sont dépendants de la plateforme en question, moins cette dernière sera motivée à adopter de bonnes pratiques en matière de protection des données. Cette dépendance devrait disparaître en appliquant cette mesure et en garantissant l’interopérabilité entre les grandes plateformes de messagerie et d’autres plateformes de messagerie qui sont plus petites.
Par ailleurs, la souveraineté des données détermine en quelque sorte le niveau de protection assuré. Avec le recours à des outils américains, cette souveraineté n’est pas toujours garantie et les données des européens sont le plus souvent entre les mains d’autorités étrangères qui cherchent à les utiliser en imposant leurs propres règles. En encourageant la disponibilité des données, le DGA entend renforcer les mécanismes de partage des données dans l’ensemble de l’Union européenne et par conséquent favoriser la conception de solutions européennes, évitant ainsi une détention des données par des entités se trouvant hors de l’Union.
Une protection par la sanction
A l’instar du RGPD, le législateur européen a choisi encore une fois de prévoir des sanctions lourdes afin d’inciter les entreprises à respecter les obligations introduites. Dans le cas où un contrôleur d’accès ne respecte pas les règles, des amendes allant jusqu’à 10% du chiffre d’affaires peuvent être prononcées ou encore jusqu’à 20% du chiffre d’affaires en cas de récidive. Des sanctions lourdes sont également prévues par le DSA. Ainsi, les entreprises peuvent connaître des amendes pouvant atteindre jusqu’à 6% du chiffre d’affaires mondial.
Ces montants viennent s’ajouter à ceux introduites par le RGPD où les sanctions pécuniaires peuvent aller jusqu’à 4% du chiffre d’affaires annuel. Ceci devrait inciter les grandes plateformes à adopter des stratégies commerciales conformes aux règles sur la protection des données.
Une protection limitée
Bien que les objectifs recherchés ne soient pas tous identiques, ces règlementations européennes cherchent à responsabiliser les prestataires de services numériques. La démarche adoptée par le législateur européen semble toutefois être contextuelle ou encore progressive.
Ainsi, le DMA concerne les « services de plateforme essentiels fournis ou proposés par des contrôleurs d’accès aux entreprises utilisatrices ». Une série de nouvelles obligations que les «gatekeepers» doivent respecter a ainsi été introduite par le texte. Est considéré comme étant un contrôleur d’accès tout fournisseur de services de plateforme essentiels tels que les moteurs de recherche, les services d’intermédiation ou encore de publicité, etc… A cette condition liée au type du service s’ajoute un certain nombre de critères. Ceux-ci concernent notamment son impact sur le marché, le service qu’il propose en tant que point d’accès important pour atteindre des utilisateurs finaux et la jouissance d’une position solide et durable actuelle ou future. Ces obligations ne sont dès lors imposées qu’à une catégorie bien restreinte de plateformes en ligne qui ont une forte incidence sur le marché intérieur, l’objectif étant de favoriser l’égalité des chances des différents acteurs numériques afin d’éviter une dépendance vis-à-vis des services proposés par les grandes plateformes en ligne.
Pour sa part, le DSA entend lutter contre les pratiques illicites et encadrer les relations entre les plateformes et les consommateurs afin de garantir un environnement numérique transparent et de confiance. Plusieurs obligations sont ainsi prévues. Ces obligations ne concernent toutefois pas toutes les entreprises en ligne. Aux obligations de base s’ajoutent des exigences spécifiques dont le respect dépend du type et de la nature du service d’intermédiation. Certaines obligations ne concernent que les grandes plateformes en ligne qui ont acquis une certaine audience sur internet et les petits fournisseurs sont exemptés de la majorité des obligations, les risques sociétaux que les grandes plateformes peuvent engendrer étant plus importants.
Plusieurs questions peuvent dès lors se poser : ce choix qui porte exclusivement sur les acteurs les plus puissants ne remet-il pas en cause l’efficacité de ces propositions ? Certaines des entreprises ayant un impact moins significatif sur le marché ne recourent-elles pas également à des pratiques déloyales pouvant entraîner des effets nuisibles ? Si les textes sont adoptés en l’état, il n’est pas certain qu’ils mettront un terme à toutes les pratiques qu’ils entendent interdire. Des solutions ne peuvent-elles pas être déployées par certaines plateformes afin de contourner le respect de telle ou telle obligation ? Certaines entreprises auxquelles ces conditions ne s’appliquent pas n’auront-elles pas intérêt à conserver leur position et rester en amont des seuils ? Pour une reconquête effective de la souveraineté numérique par l’Europe, ne serait-il pas plus judicieux d’élargir la sphère des acteurs concernés ?
Le champ d’application géographique des textes est toutefois large. Sont concernées les gatekeepers ou encore les plateformes fournissant un service à des utilisateurs se trouvant dans l’Union européenne. Cette logique de ciblage est identique à celle du RGPD. En effet, la localisation de l’entreprise n’a pas d’influence et c’est le public ciblé qui permet ou pas l’application de la règle. A travers ce champ d’application large, il est possible d’espérer que les principes que promeuvent ces textes soient adoptés progressivement au niveau mondial.
