DSA et DMA : on fait le point sur les services concernés et les changements

Depuis le 17 février, le DSA est entrée en vigueur dans l’Union européenne pour toutes les plateformes en ligne. Son but : « mettre en pratique le principe selon lequel ce qui est illégal hors ligne est illégal en ligne », explique Vie publique.

• Que change le Digital Services Act en pratique ?
• Le Digital Services Act expliqué ligne par ligne

Digital Services Act (DSA)

Ce dernier rappelle au passage que : « Le règlement DSA concerne tous les intermédiaires en ligne qui offrent leurs services (biens, contenus ou services) sur le marché européen. Peu importe que ces intermédiaires soient établis en Europe ou ailleurs dans le monde ».

Il y a néanmoins deux catégories de services un peu à part : les très grandes plateformes en ligne (VLOP) ainsi que les très grands moteurs de recherche en ligne (VLOSE). Ces services comptent plus de 45 millions d’utilisateurs dans l’Union européenne et doivent donc « respecter les règles les plus strictes de la DSA », indique la Commission. Ils doivent ainsi publier leurs rapports de transparence au moins tous les six mois. Vous pouvez les télécharger par ici.

Les plateformes identifiées doivent procéder à une évaluation des risques (contenus illicites, violence, sexisme, liberté d’expression, élections…) et mettre en place des mesures d’atténuation. Elles doivent aussi proposer des versions « faciles à lire et multilingues » de leurs conditions générales d’utilisation, mettre en place un mécanisme de réponse aux crises ainsi qu’un dépôt public des publicités utilisées dans leurs services.

La Commission européenne surveille de près les VLOP et VLOSE. Pour se financer, elle ponctionne des « frais de supervision » aux plateformes, dans la limite de 0,05 % de leur CA annuel au niveau mondial, indique Vie Publique.

L’Europe peut prononcer des amendes pouvant aller jusqu'à 6 % de leur chiffre d'affaires mondial. « En cas de violations graves et répétées au règlement, les plateformes pourront se voir interdire leurs activités sur le marché européen ».

20 très grandes plateformes identifiées

Voici la liste des très grandes plateformes et de leurs services concernés :

• • AliExpress
  • Amazon
  • Apple
  • Aylo : PornHub
  • Booking
  • Google : Search, Play, Maps, Shopping et YouTube
  • Infinite Styles Services : Shein
  • LinkedIn
  • Meta : Facebook et Instagram
  • Microsoft : Bing
  • NKL : XNXX
  • Pinterest
  • Snap : Snapchat
  • Technius : Stripchat
  • TikTok
  • Twitter/X
  • Whaleco : Temu
  • WebGroup : XVideos
  • Wikimedia
  • Zalando

Les actions déjà en place, des enquêtes en pagaille

Récemment, la Commission européenne a demandé des renseignements supplémentaires à Amazon dans le cadre du DSA. En fonction de l’enquête, cela pourrait déboucher sur l’ouverture formelle d’une procédure. Quelques jours auparavant, c’était Temu et Shein qui étaient dans le viseur. Pornhub, Stripchat et XVideos étaient déjà passés par là mi-juin. Au cours des mois précédents, une grande partie des services ont reçu des demandes du même genre, qui peuvent déboucher sur des enquêtes selon les cas.

Début juin, la Commission expliquait que LinkedIn avait « totalement désactivé la fonctionnalité permettant aux annonceurs de cibler les utilisateurs de LinkedIn avec des publicités sur la base de leur appartenance à des groupes LinkedIn dans le marché unique de l’UE ». Une annonce faite suite à la demande d’informations de la Commission auprès de Microsoft.

En mai, la Commission tapait du poing sur la table et « oblige[ait] Microsoft à fournir des informations sur les risques liés à l’IA générative sur Bing ». Le même mois, elle ouvrait une procédure formelle contre Meta sur la protection des mineurs dans Facebook et Instagram.

En avril, TikTok Lite, un service de « programme de tâches et de récompenses », était dans le collimateur de la Commission. Il a été suspendu dans la foulée par ByteDance.

En mars, l’Europe a envoyé « des demandes d’informations sur les risques d’IA génératifs à 6 très grandes plateformes en ligne et à 2 très grands moteurs de recherche en ligne au titre de la législation sur les services numériques ». Au même moment, une procédure formelle contre AliExpress était lancée. TikTok y avait droit un mois auparavant et X en décembre 2023.

Fin 2023, le commissaire Thierry Breton rappelait fermement que les choses avaient « changé en Europe. Il y a une loi. Elle doit être respectée ». Il revenait notamment sur la « lutte contre la désinformation et la diffusion de contenus illicites » dans le cadre du DSA. Twitter/X, Meta, TikTok et Alphabet/YouTube étaient d’ailleurs les destinataires de lettres avec menaces de sanctions.

• • DSA : Thierry Breton menace Twitter, Meta, TikTok et YouTube de sanctions

Digital Markets Act (DMA)

Quelques jours plus tard, le DMA est entrée en vigueur, le 6 mars 2024. Ce règlement « vise à lutter contre les pratiques anticoncurrentielles des géants d’internet et corriger les déséquilibres de leur domination sur le marché numérique européen », rappelle Vie-Publique.

Pour cela, le DMA cible des entreprises désignées comme des « contrôleurs d’accès » à l'entrée d'Internet. On parle aussi de gardes-barrières ou « gatekeepers » en anglais. Ces acteurs ont « une forte incidence sur le marché intérieur, sont un point d’accès important des entreprises utilisatrices pour toucher leur clientèle et occupent ou occuperont dans un avenir proche une position solide et durable ». L’entreprise peut être établie en Europe ou n’importe où dans le monde, du moment qu’elle est utilisable par des internautes de l’Union européenne.

Pour être présumés d’office comme étant un contrôleur d’accès, il faut remplir trois critères :

• • fournir un ou plusieurs services de plateforme essentiels dans au moins trois pays européens ;
  • avoir un chiffre d’affaires d’au moins 7,5 milliards d'euros annuel en Europe dans les trois dernières années ou une capitalisation boursière d’au moins 75 milliards d'euros durant la dernière année ;
  • enregistrer plus de 45 millions d'utilisateurs européens par mois et 10 000 professionnels par an pendant les trois dernières années.

En Europe, sept contrôleurs d’accès à l'entrée d'Internet

Aujourd’hui, sept « contrôleurs d’accès » sont identifiés, certains pour plusieurs de leurs services :

• • Alphabet : Google Chrome, Play, Maps, Shopping, Search, YouTube, Android, et Advertising service
  • Amazon : Marketplace et Advertising
  • Apple : AppStore, iOS, Safari et iPadOS
  • Booking
  • ByteDance : TikTok
  • Meta : Facebook, Marketplace, Instagram, WhatsApp, Messenger et Meta Ads
  • Microsoft : Windows OS et LinkedIn

Des actions déjà tangibles, des sanctions à venir

Sur le fondement du DMA, de nombreuses actions ont déjà été entreprises. La dernière en date concerne Meta et le fait que « son modèle de publicité "payer ou consentir" n’est pas conforme à la législation sur les marchés numériques ».

• • Les abonnements de Meta violent le DMA, affirme la Commission européenne

En juin, la Commission adressait également ses conclusions préliminaires à Apple et ouvrait une enquête supplémentaire pour non-conformité : « les règles de l’App Store sont contraires à la loi sur les marchés numériques (DMA), car elles empêchent les développeurs d’applications d’orienter librement les consommateurs vers d’autres canaux d’offre et de contenu ». Ces actions font suite à des enquêtes lancées en mars contre Alphabet (pour le Google Play), Apple et Facebook.

Le DMA a déjà des conséquences concrètes pour un bon nombre d’internautes dans l’Union européenne. Chez Apple, on peut citer le sideloading (chargement d’application sans passer par l’App Store), la possibilité de lancer des boutiques d’applications tierces – même si la mise en route est compliquée, selon Epic –, l’ouverture du NFC (la Commission vient d’accepter les propositions d’Apple) et des navigateurs.

• • App Store : Apple détaille ses adaptations au DMA, des réactions déjà virulentes

Chez Google, les deux changements les plus visibles sont certainement la fin de la mise en avant de Google Flight pour les trajets en avion et de Maps lorsqu’on indique une adresse sur le moteur de recherche. Il s’agit de ne pas mettre en avant les services de Google sur son propre moteur.

Chez Meta, il est possible de dissocier ses comptes Facebook et Instagram. Idem pour Messenger et Facebook. Du côté de la marketplace, les utilisateurs peuvent décider d’utiliser ou non leurs informations de Facebook. De manière générale, le DMA encadre strictement le transfert de données entre les plateformes pour le ciblage publicitaire. Il est soumis au consentement de l’utilisateur.

Sur les systèmes d’exploitation concernés par le DMA, les services « par défaut » doivent pouvoir être désinstallés et modifiés (c’est le cas du moteur de recherche et du navigateur par défaut, par exemple). L’interopérabilité doit être de mise pour les messageries, WhatsApp a déjà détaillé son approche.

Que ce soit avec le DSA ou le DMA, des changements sont encore en cours, ainsi que de nombreuses enquêtes et demandes d’informations pouvant déboucher sur des sanctions. Les mois à venir promettent d’être encore agités avec ces deux règlements.