Ce n’est pas un hasard si la législation sur les services numériques et la législation sur les marchés numériques de l’Union européenne portent des noms si similaires : elles ont été conçues ensemble et, à la fin de 2020, proposées à l’unisson comme un paquet jumeau de réformes de la politique numérique. Les législateurs de l’UE les avaient approuvés à une écrasante majorité à la mi-2022, et les deux régimes étaient pleinement opérationnels au début de 2024. Bien que chaque loi vise à réaliser des choses distinctes, par le biais de son propre ensemble de règles appliquées différemment, elles sont mieux comprises comme une réponse conjointe au pouvoir de marché des Big Tech.

Les principales préoccupations des législateurs comprennent la conviction que les grandes plateformes numériques ont ignoré le bien-être des consommateurs dans leur hâte d’augmenter leurs bénéfices en ligne. L’UE considère également que les marchés numériques dysfonctionnels sapent la compétitivité de l’Union, en raison de phénomènes tels que les effets de réseau et le pouvoir des mégadonnées pour cimenter une dynamique du « le gagnant rafle tout ».

L’argument est que c’est à la fois mauvais pour la concurrence et une mauvaise nouvelle pour les consommateurs qui sont vulnérables à l’exploitation lorsque les marchés basculent.

D’une manière générale, le DSA s’inquiète des risques croissants pour le bien-être des consommateurs à une époque d’adoption croissante des services numériques. Il peut s’agir de la distribution en ligne de produits illégaux (contrefaçons, produits dangereux) sur des places de marché ou de contenus illégaux (CSAM, terrorisme, etc.) sur les réseaux sociaux. Mais il y a des problèmes plus épineux, par exemple, avec la désinformation en ligne : il peut y avoir des risques civiques (comme l’ingérence dans les élections), mais la façon dont ce contenu est traité (s’il est supprimé, rendu moins visible, étiqueté, etc.) pourrait avoir des implications pour les droits fondamentaux comme la liberté d’expression.

L’UE a décidé qu’elle avait besoin d’un cadre numérique actualisé pour faire face à tous ces risques afin de garantir « un environnement de plateforme en ligne équitable et ouvert » pour soutenir les prochaines décennies de croissance en ligne.

Leur objectif avec la DSA est absolument un exercice d’équilibriste : le bloc vise à renforcer les normes de modération de contenu de manière quasi non interventionniste : en réglementant les processus et les procédures impliqués dans les décisions liées au contenu, plutôt que de définir ce qui peut et ne peut pas être mis en ligne. L’objectif est d’harmoniser et d’élever les normes autour des processus de prise de décision en matière de gouvernance, notamment en veillant à ce que des canaux de communication existent avec des experts externes pertinents afin de rendre les plateformes plus responsables dans la modération du contenu.

Il y a un autre rebondissement : alors que les règles générales de la DSA s’appliquent à toutes sortes d’applications et de services numériques, les exigences les plus strictes – concernant l’évaluation et l’atténuation des risques algorithmiques – ne s’appliquent qu’à un sous-ensemble des plus grandes plateformes. La loi a donc été conçue pour avoir le plus grand impact sur les plateformes populaires, reflétant les risques plus élevés de préjudice découlant d’un pouvoir de marché plus fort.

Mais lorsqu’il s’agit d’avoir un impact sur les Big Tech, le DMA est le vrai gros problème : la mission de la réglementation sœur du DSA est de stimuler la contestabilité du marché elle-même. L’UE souhaite que ce règlement rééquilibre le pouvoir au sommet de la pyramide de l’industrie technologique. C’est pourquoi ce régime est si fortement ciblé, s’appliquant à un peu plus d’une poignée d’acteurs du pouvoir.

Des lois avec des dents assez grandes pour mordre les Big Tech ?

Une autre chose importante à noter est que les deux lois ont des dents de grande taille. L’UE dispose depuis longtemps d’une série de règles qui s’appliquent aux entreprises en ligne, mais aucune autre réglementation numérique dédiée n’est aussi tape-à-l’œil. La législation sur les services numériques prévoit des sanctions pouvant aller jusqu’à 6 % du chiffre d’affaires annuel mondial en cas d’infraction ; le DMA permet des amendes allant jusqu’à 10 % (voire 20 % en cas de récidive). Dans certains cas, cela pourrait signifier des milliards de dollars d’amendes.

Il y a une liste croissante de géants de la plate-forme soumis au niveau de surveillance le plus strict de la DSA, y compris les grandes places de marché comme Amazon, Shein et Temu ; les magasins d’applications mobiles dominants exploités par apple et google ; les géants des réseaux sociaux, notamment Facebook, Instagram, LinkedIn, TikTok et X (Twitter) ; et, plus récemment, une poignée de sites de contenu pour adultes qui ont également été désignés comme de très grandes plateformes en ligne (VLOP) après avoir franchi le seuil d’utilisation des DSA de 45 millions d’utilisateurs actifs mensuels ou plus dans l’UE.

La Commission européenne supervise directement le respect des règles de la DSA pour les VLOP, en centralisant l’application du corpus réglementaire sur les Big Tech au sein de l’UE (au lieu que l’application des règles générales de la DSA soit décentralisée vers les autorités au niveau des États membres). Cette structure souligne que les législateurs de l’UE sont désireux d’éviter que le forum shopping ne compromette sa capacité à appliquer ces règles aux Big Tech, comme cela s’est produit avec d’autres grands règlements numériques (tels que le RGPD).

Les premières priorités de la Commission en matière d’application des DSA se répartissent en quelques grands domaines : les risques de contenu illicite ; la Sécurité des élections ; protection de l’enfance; et la sécurité du marché, bien que ses enquêtesà ce jour couvrent un plus large éventail de questions.

Environ 20 entreprises sont concernées par l’application de l’UE en ce qui concerne le respect par une vingtaine de plateformes des règles DSA pour les VLOP. La Commission tient à jour une liste des VLOP désignés ; et toutes les actions qu’il a prises sur chacun.

Le DMA est également appliqué de manière centralisée par la Commission. Mais ce régime s’applique à beaucoup moins de géants de la technologie : à l’origine, seules six entreprises étaient désignées comme « gardiennes ». En mai dernier, le géant européen du voyage Booking a été nommé septième.

La désignation de contrôleur d’accès s’applique aux géants de la technologie comptant au moins 45 millions d’utilisateurs finaux mensuels dans l’UE et 10 000 utilisateurs professionnels annuels. Et, de la même manière que le DSA, le DMA applique des règles à des types spécifiques de plateformes (un nombre similaire de plateformes entrent dans le champ d’application de chaque loi, bien que les listes respectives ne soient pas identiques). L’UE dispose d’un certain pouvoir discrétionnaire quant à la désignation de plates-formes particulières (par exemple, iMessage d’Apple qui s’en tire à bon compte ; idem pour la publicité Microsoft et le navigateur Edge. D’un autre côté, iPadOS d’Apple a été ajouté à la liste des services de plate-forme de base en avril).

Les catégories réglementées pour le DMA couvrent les infrastructures stratégiques où les plateformes Big Tech peuvent arbitrer l’accès d’autres entreprises aux consommateurs, y compris les systèmes d’exploitation ; les plateformes de messagerie ; services publicitaires ; réseaux sociaux ; et divers autres types d’intermédiation.

La structure signifie qu’il peut y avoir un chevauchement d’application entre le DSA et le DMA. Par exemple, Google Search est à la fois un VLOP DSA (techniquement, il s’agit d’un très grand moteur de recherche en ligne, ou VLOSE, pour utiliser l’acronyme correct. Mais l’UE utilise également VLOPSE pour désigner les deux) et un service de plate-forme de base DMA. Les magasins d’applications mobiles respectifs d’Apple et de Google sont également des VLOPs et des CPS. Ces plateformes sont confrontées à un double défi d’exigences de conformité, bien que l’UE dise que cela reflète leur importance stratégique pour les marchés numériques.

Objectif d’un redémarrage du marché numérique

Les problèmes que l’UE souhaite que les réglementations résolvent en remodelant le comportement sur les marchés numériques comprennent un choix réduit pour les consommateurs (c’est-à-dire des services moins nombreux et moins innovants) et des coûts plus élevés (les services gratuits peuvent toujours avoir des coûts d’accès élevés, tels que l’imposition d’un manque de confidentialité aux utilisateurs).

Les modèles d’affaires en ligne qui ne prêtent pas suffisamment attention au bien-être des consommateurs, tels que les plateformes Big Tech financées par la publicité qui cherchent à stimuler l’engagement par l’indignation et la polarisation, sont une autre cible. Et rendre le pouvoir des plateformes plus responsable et plus redevable est un fil conducteur qui traverse les deux régimes.

L’UE estime que cela est nécessaire pour renforcer la confiance dans les services en ligne et stimuler la croissance future. En l’absence d’une concurrence en ligne loyale et ouverte, la thèse de l’UE est que même les startups ne peuvent pas voler à la rescousse des marchés numériques. Il est plus difficile pour les startups d’atteindre autant de consommateurs que les acteurs dominants, ce qui signifie qu’il y a peu de chances que l’innovation seule prévienne ou corrige les effets négatifs. D’où la décision de l’UE de se pencher sur la réglementation.

La DSA et la DMA adoptent une approche différente vis-à-vis des Big Tech

Ainsi, alors que la DSA vise à tirer parti du pouvoir de la transparence pour renforcer la responsabilisation des grandes plateformes – par exemple en obligeant les VLOP à publier une archive publicitaire et à fournir un accès aux données à des chercheurs indépendants afin qu’ils puissent étudier les impacts sociétaux de leur tri de contenu algorithmique – la DMA tente d’avoir un effet plus direct en établissant des règles sur la façon dont les gardiens peuvent exploiter des services stratégiques susceptibles de devenir des goulets d’étranglement dans le cadre d’un livre de jeu où le gagnant rafle tout.

L’UE aime se référer à ces règles comme à la liste des « choses à faire et à ne pas faire » du DMA, qui se résument à un ensemble assez spécifique d’exigences opérationnelles basées sur des éléments que les forces de l’ordre de l’UE ont déjà vus, via des applications antitrust antérieures, telles que les multiples affaires de l’UE contre Google au cours des deux dernières décennies. Il espère que ces commandements étoufferont dans l’œuf tout mauvais comportement répété.

L’une des choses à faire sur la liste, cependant, est une ordonnance importante qui vise à forcer CPS à s’ouvrir à des tiers pour tenter d’empêcher les contrôleurs d’accès d’utiliser le contrôle de leurs plateformes dominantes pour fermer la concurrence.

Les changements annoncés par Apple plus tôt cette année pour iOS dans l’UE, afin de permettre le chargement latéral d’applications via la distribution Web et les magasins d’applications tiers, sont quelques exemples de la DMA forçant plus d’ouverture que ce qui était offert par le manuel standard des Big Tech.

Un autre mandat clé d’interopérabilité DMA s’applique aux plateformes de messagerie. Pour ce faire, Meta – jusqu’à présent le seul gardien désigné à disposer d’un CPS de messagerie, comme WhatsApp et Messenger – devra construire une infrastructure qui permettra aux petites plateformes d’offrir des moyens aux utilisateursple pour communiquer avec des personnes utilisant, par exemple, WhatApp sans que la personne ait besoin de s’inscrire à un compte WhatsApp.

Cette exigence est en vigueur, mais ne s’est pas encore traduite par de nouvelles opportunités pour les consommateurs d’applications de messagerie et les concurrents, étant donné que le DMA prévoit des périodes de mise en œuvre pour entreprendre les travaux techniques nécessaires. L’UE a également accordé à Meta plus de temps pour construire les connecteurs techniques. Mais les décideurs politiques espèrent qu’au fil du temps, l’obligation d’interopérabilité pour la messagerie conduira à un uniformisation des règles du jeu dans ce domaine, car elle permettrait aux consommateurs de choisir des services en fonction de l’innovation plutôt que des forces du marché.

Le même objectif de nivellement compétitif s’applique à tous les types de CPS réglementés par le DMA. Le grand espoir de l’UE est qu’un ensemble de commandements opérationnels appliqués aux forces les plus puissantes de la technologie déclenchera une vaste réinitialisation du marché qui ravivera l’innovation en matière de services et soutiendra le bien-être des consommateurs. Mais le succès ou l’échec de cette mission de réinitialisation compétitive reste à voir.

Le règlement n’a commencé à s’appliquer aux contrôleurs d’accès qu’en février 2024 (contre fin août 2023 pour les règles de la législation sur les obligations numériques sur les VLOPSE). Les effets concrets de la réforme phare du marché numérique se feront sentir pendant des mois et des années encore.

Cela dit, si quelqu’un pensait que les « choses à faire et à ne pas faire » du DMA seraient auto-exécutoires dès que la loi commencerait à s’appliquer, alors l’annonce rapide par la Commission (en mars 2024) d’une série d’enquêtes pour non-conformité présumée aurait dû détruire cela. Sur certaines questions, certains gardiens se retranchent clairement et se préparent à se battre.

Liste des enquêtes DMA ouvertes à ce jour

Pomme: Depuis mars, l’UE examine la conformité des règles d’Apple sur le pilotage des développeurs dans l’App Store ; la conception d’écrans de choix pour les alternatives à son navigateur Web Safari ; et si sa redevance technologique de base (CTF) – une nouvelle charge introduite avec l’ensemble des conditions commerciales qui mettent en œuvre les droits DMA – répond aux règles du bloc. La loi n’inclut pas d’interdiction spécifique pour les contrôleurs d’accès de facturer des frais, mais ils doivent respecter des conditions FRAND (justes, raisonnables et non discriminatoires).

En juin 2024, la Commission a annoncé des conclusions préliminaires sur les deux premières enquêtes Apple et a confirmé l’enquête formelle du CTF. Ses conclusions préliminaires à ce moment-là comprenaient qu’Apple enfreint le DMA en ne laissant pas les développeurs informer librement leurs utilisateurs des opportunités d’achat alternatives. Toutes ces enquêtes restent en cours.

Alphabet/Google: Depuis mars, l’UE étudie également les règles d’Alphabet relatives à la direction dans Google Play et à l’auto-préférence dans les résultats de recherche.

Méta: Le modèle « payer ou consentir » de Meta a également fait l’objet d’une enquête DMA en mars. Depuis novembre 2023, le géant de la technologie a forcé les utilisateurs européens de Facebook et d’Instagram à accepter d’être suivis et profilés à des fins de ciblage publicitaire afin d’avoir un accès gratuit à ses réseaux sociaux ; Dans le cas contraire, ils devront payer un abonnement mensuel pour utiliser les Services. Le 1er juillet, l’UE a publié une conclusion préliminaire selon laquelle ce choix binaire imposé par Meta enfreint le DMA. L’enquête se poursuit.

DSA : Enquêtes de l’UE sur VLOPSE

Du côté des DSA, la Commission a été plus lente à ouvrir des enquêtes formelles, bien qu’elle ait maintenant plusieurs enquêtes ouvertes.

De loin, l’action d’application la plus utilisée est le pouvoir de demander aux plateformes plus d’informations sur la façon dont elles exploitent des services réglementés (ce qu’on appelle une demande d’information). Cela renforce la capacité de l’UE à surveiller et à évaluer la conformité et à monter des dossiers dans lesquels elle identifie les griefs, ce qui explique pourquoi l’outil a été utilisé à plusieurs reprises au cours des 11 derniers mois, depuis l’échéance de conformité des VLOPSE.

X (Twitter): La première enquête DSA ouverte par l’UE a eu lieu le jour de l’X, en décembre 2023. La procédure formelle a porté sur une série de questions, notamment des violations présumées des règles relatives à la gestion des risques ; modération du contenu ; motifs sombres ; la transparence publicitaire ; et l’accès aux données pour les chercheurs. En juillet 2024, la Commission a publié ses premières conclusions préliminaires sur les AVD, qui concernent certains aspects de son enquête sur X.

L’une des conclusions préliminaires est que la conception de la coche bleue sur X est un motif sombre illégal en vertu de la DSA. Une deuxième constatation préliminaire est que le référentiel publicitaire de X n’est pas conforme à la norme réglementaire. Une troisième constatation préliminaire est que X n’a pas fourni l’accès requis aux données pour les chercheurs. X a eu l’occasion de répondre.

L’UE continue d’enquêter sur X dans d’autres domaines liés à la diffusion de contenus illicites. sa gestion de la désinformation ; et sa fonction de modération du contenu des notes de la communauté. Jusqu’à présent, il n’a pas encore atteint un point de vue préliminaire.

Sur TikTok: En février 2024, l’UE a annoncé une enquête DSA sur le réseau social vidéo TikTok qui, selon elle, est axée sur la protection des mineurs ; la transparence publicitaire ; l’accès aux données pour les chercheurs ; et la gestion des risques liés aux conceptions addictives et aux contenus préjudiciables.

AliExpress: En mars 2024, la Commission a ouvert sa première enquête DSA sur une place de marché de commerce électronique, ciblant AliExpress pour des défaillances présumées en matière de gestion et d’atténuation des risques ; modération du contenu ; ses mécanismes internes de traitement des plaintes ; la transparence des systèmes de publicité et de recommandation ; et la traçabilité des commerçants et l’accès aux données pour les chercheurs.

MétaEn avril 2024, l’UE s’en est prise aux réseaux sociaux Facebook et Instagram de Meta, en ouvrant une enquête officielle sur les autorités numériques pour des violations présumées liées aux règles d’intégrité des élections. Plus précisément, il s’est dit préoccupé par la modération des publicités politiques par le géant de la technologie. Il s’inquiète également des politiques de Meta en matière de modération des contenus politiques non rémunérés, suggérant qu’elles sont opaques et trop restrictives.

L’UE a également déclaré qu’elle examinerait les politiques visant à permettre à des étrangers de surveiller les élections. Un autre grief qu’il enquête concerne les processus de Meta pour permettre aux utilisateurs de signaler le contenu illégal. Les forces de l’ordre de l’UE craignent que ce ne soit pas assez facile.

Pénalités et impacts

À ce jour, aucune enquête sur les DSA ou les DMA n’a été formellement clôturée par la Commission, ce qui signifie qu’aucune sanction n’a encore été infligée. Mais cela risque de changer à mesure que les enquêtes se terminent dans les mois et les années à venir.

Comme pour toutes les réglementations de l’UE, il convient de souligner que l’application de la loi est un spectre et non un événement. Le simple fait d’une surveillance peut exercer une pression et entraîner des changements opérationnels, avant toute constatation formelle de non-conformité. Évaluer l’impact en se basant uniquement sur les pénalités et les sanctions serait une façon très grossière d’essayer de comprendre l’effet d’un règlement.

Notamment, il y a déjà eu de grands changements dans la façon dont les principales plateformes fonctionnent dans l’UE – comme Apple obligé d’autoriser le chargement latéral ou d’ouvrir son navigateur Safari, ou Google devant demander aux utilisateurs de lier des données pour le ciblage publicitaire à travers CPS, pour ne citer que quelques développements précoces liés au DMA.

Mais il est également vrai que certaines réformes majeures du modèle d’affaires n’ont pas encore eu lieu.

Notamment, Apple s’en est tenu jusqu’à présent à son modèle basé sur les frais pour l’App Store (en créant un nouveau tarif, le CTF, dans le but de contourner l’effet d’être forcé d’ouvrir son App Store) ; et Meta a cherché à s’accrocher à un mode hostile à la vie privée en forçant les utilisateurs à choisir entre être suivis ou payer pour utiliser les services historiquement gratuits, malgré le retour de bâton des forces de l’ordre de plusieurs règles de l’UE.

Du côté des DSA, l’UE n’a pas tardé à claironner un certain nombre de développements comme des victoires précoces, par exemple en attribuant à la DSA le mérite d’avoir contribué à améliorer la réactivité des plateformes face aux problèmes de sécurité électorale avant les élections européennes (également à la suite de la publication d’orientations détaillées et d’exercices de tests de résistance préélectoraux), ou en mettant en évidence Décision de LinkedIn de désactiver certains types de liens de données publicitaires à la suite d’une plainte auprès des DSA. Un autre exemple cité par l’UE pour illustrer l’impact précoce est le retrait par TikTok de fonctionnalités de l’application TikTok Lite dans la région en raison de problèmes de dépendance.

Les effets du DMA que la Commission est peut-être moins encline à posséder sont les suivants : revendications d’Apple et Meta qu’ils retardent le lancement de certaines fonctionnalités d’IA dans l’UE, car ils ne savent pas comment le DMA s’applique.