DMA : Implications des nouvelles lois antitrust de l'UE en matière de sécurité
La loi sur les marchés numériques contre les gardiens - un exercice d'équilibre
Quelques géants de la technologie dominent les marchés numériques dans le monde entier, rendant difficile la pénétration du marché par les petites entreprises. L’Union européenne a la lourde tâche de mettre fin à leur monopole et de donner aux citoyens européens un plus grand contrôle sur leurs données grâce à la loi sur les marchés numériques (DMA), mais il y a un hic…
Qu’est-ce que la loi sur les marchés numériques ?
La loi sur les marchés numériques (Digital Markets Act ou DMA) est un ensemble de règlements définis par la Commission européenne. Elle s’applique aux opérateurs de commerce numérique de l’Union européenne qui remplissent les critères leur permettant d’être considérés comme des “gatekeepers”. L’objectif de cette réglementation est de créer un environnement plus équitable pour les entreprises qui dépendent de ces “gatekeepers” pour offrir leurs services sur le marché unique européen.
En d’autres termes : Les grandes entreprises technologiques considérées comme des gardiens doivent ouvrir leurs plates-formes à des concurrents plus petits afin de garantir une concurrence plus équitable.
La nouvelle législation vise à permettre aux jeunes entreprises technologiques de rivaliser et d’innover dans l’environnement des plateformes en ligne sans avoir à se conformer à des conditions injustes imposées par les plateformes, qui peuvent limiter leur développement ou réduire leurs chances de mettre leurs produits à la disposition des consommateurs. Trop de pouvoir entre les mains d’une poignée de personnes peut étouffer l’innovation et restreindre la concurrence loyale.
Dans le même temps, la Commission est convaincue que les nouvelles mesures permettront aux consommateurs de choisir parmi des options plus nombreuses et de meilleure qualité, qu’elles leur donneront un accès direct aux services, des prix plus justes et davantage de possibilités de changer de fournisseur s’ils le souhaitent, grâce à un environnement concurrentiel plus sain.
La Commission vise à atteindre cet objectif tout en permettant aux “gatekeepers” de conserver toutes leurs possibilités actuelles d’innover et d’offrir de nouveaux services. Mais ils ne seraient plus autorisés à utiliser des pratiques déloyales à leur avantage, que ce soit à l’égard des utilisateurs professionnels ou des clients qui dépendent d’eux. Alors que la fragmentation réglementaire actuelle dans l’UE se traduit souvent par une augmentation des coûts de mise en conformité pour les plateformes qui exercent des activités transfrontalières, la nouvelle législation unifiée contribuerait également à résoudre ce problème et à offrir une plus grande sécurité juridique aux gardiens de l’accès.
Qu’est-ce que la loi sur les services numériques ?
La nouvelle loi sur les services numériques (LSN) est un ensemble unique de règles applicables dans toute l’UE, avec des mécanismes permettant à la Commission européenne et aux États membres de coordonner leurs actions. Son principal objectif est de lutter contre la distribution en ligne de biens, de contenus ou de services illégaux. Il comprend
- Des mesures permettant aux utilisateurs de signaler ces contenus et aux plateformes de coopérer avec des “signaleurs de confiance”.
- De nouvelles obligations en matière de traçabilité des utilisateurs professionnels sur les places de marché en ligne.
- des garanties efficaces pour les utilisateurs, y compris la possibilité de contester les décisions de modération de contenu des plateformes
- Obligation pour les très grandes plateformes qui touchent plus de 10 % de la population de l’UE d’empêcher l’utilisation abusive de leurs systèmes.
- Amélioration de l’accessibilité des plateformes pour les personnes handicapées
- Interdiction des publicités ciblées sur les enfants (ou fondées sur des caractéristiques particulières des utilisateurs) sur les plateformes en ligne
- des mesures de transparence pour les plateformes en ligne, notamment la transparence de la publicité en ligne vis-à-vis des utilisateurs et la transparence des algorithmes utilisés pour les recommandations. En outre, les autorités et les chercheurs auront accès aux données des principales plateformes afin d’examiner leur fonctionnement.
- Une structure de contrôle adaptée à la complexité de l’espace en ligne. Les États membres joueront le rôle principal, soutenus par un nouveau Conseil européen des services numériques ; pour les très grandes plateformes, la supervision et l’application seront assurées par la Commission.
- Les petites et micro-entreprises sont exemptées des obligations les plus coûteuses, mais sont libres d’appliquer les meilleures pratiques pour leur avantage concurrentiel.
- Les plateformes et autres intermédiaires ne sont pas responsables du comportement illégal des utilisateurs, sauf s’ils ont connaissance d’actes illégaux et ne les suppriment pas.
Qui peut être considéré comme un “gatekeeper” ?
La DMA définit comme “gatekeeper” une grande plateforme en ligne ayant une position économique forte, un impact significatif sur le marché intérieur et active dans plusieurs pays de l’UE (qu’elle soit basée dans l’UE ou non), et qui relie une large base d’utilisateurs à un grand nombre d’entreprises. En outre, une telle plateforme ne peut être qualifiée de “gatekeeper” que si elle est stable dans le temps, c’est-à-dire qu’elle a rempli les critères précédents au cours de chacun des trois derniers exercices.
De toute évidence, ces critères ne seront remplis que par une poignée de plateformes “Big Tech” qui ont un impact disproportionné sur le marché.
Des entreprises comme Google / Alphabet Inc., Apple, Microsoft, Amazon et Meta seront considérées comme des gardiens.
Par exemple, en vertu du DMA, Amazon devra cesser de favoriser ses propres produits par rapport à ceux des vendeurs indépendants que la plateforme héberge, et Google ne sera plus autorisé à collecter des données provenant de services tels que Maps et YouTube, et à les combiner avec les données de recherche de Google sans le consentement explicite des utilisateurs.
Quel est le statut actuel de la DMA ?
Le RGPD entrera en vigueur en mai 2023. Dans les quatre mois qui suivront, les entreprises qui fournissent des services de plateforme de base clarifieront avec la Commission si elles peuvent ou non être considérées comme des “gatekeepers”, et celles qui répondent aux critères disposeront d’un délai supplémentaire de six mois à compter de la réception de la décision pour s’assurer qu’elles se conforment aux obligations énoncées dans le DMA. Afin de trouver un juste équilibre entre des besoins concurrents, la Commission organise des ateliers techniques pour recueillir l’avis des parties intéressées sur la conformité des “gatekeepers”.
Si les “gatekeepers” ne se conforment pas au nouveau règlement dans les six mois impartis, ils se verront infliger une amende pouvant aller jusqu’à 10 % de leur chiffre d’affaires annuel mondial total ou, en cas d’infractions répétées, jusqu’à 20 %, et ils pourront se voir infliger des astreintes pouvant aller jusqu’à 5 % de leur chiffre d’affaires journalier moyen. En outre, en cas d’infractions systématiques, d’autres mesures correctives peuvent également être imposées aux “gatekeepers” après une enquête de marché, au cas par cas, y compris des mesures correctives structurelles telles que la cession de (parties de) l’activité.
Le texte sur lequel les négociateurs du Parlement européen et du Conseil se sont provisoirement mis d’accord vise les grandes entreprises qui fournissent des “services de plateforme de base”, les plus susceptibles de faire l’objet de pratiques commerciales déloyales, comme les réseaux sociaux, les messageries, les navigateurs ou les moteurs de recherche, dont la capitalisation boursière atteint au moins 75 milliards d’euros ou dont le chiffre d’affaires européen a atteint 7,5 milliards d’euros au cours des trois dernières années, ou encore dont la plateforme de base compte 45 millions d’utilisateurs en Europe.
Que signifieront les nouvelles règles pour les “gatekeepers” ?
Les “gatekeepers” devront
- permettre à des tiers d’interopérer avec leurs propres services “dans des situations spécifiques”.
- permettre à leurs utilisateurs professionnels d’accéder aux données d’utilisation qu’ils ont générées sur la plateforme
- permettre aux annonceurs et aux éditeurs de leur plateforme d’exercer un plus grand contrôle sur leur propre contenu
- permettre à leurs utilisateurs professionnels de promouvoir leur offre et de conclure des contrats avec des clients en dehors de la plateforme du gatekeeper.
Dans le même temps, ces “gatekeepers” ne seront plus autorisés à favoriser leurs propres produits et services par rapport à ceux proposés par les vendeurs indépendants hébergés sur leurs plateformes, en termes de classement, ni à empêcher les utilisateurs de désinstaller une application ou un logiciel préinstallé, ni à regrouper les données de leurs différentes divisions, et surtout, du point de vue de la protection de la vie privée, ils ne seront plus autorisés à suivre les utilisateurs finaux en dehors de leur plateforme à des fins de publicité ciblée sans leur consentement explicite.
L’ensemble des règlements a été publié au Journal officiel de l’Union européenne et est disponible en plusieurs langues.
Quelles sont les implications en matière de sécurité ?
Si la plupart des règlements proposés sont une bonne nouvelle, deux d’entre eux soulèvent des questions de sécurité : l’exigence d’interopérabilité dans le DMA et les exigences de transparence dans le DSA.
On ne sait pas encore très bien qui peut être considéré comme une plate-forme clé dans le cadre de l’ASD - les très grandes plates-formes ? - ou le type de données qu’elles devront partager. En ce qui concerne l’interopérabilité, malgré l’ambiguïté de l’expression “dans des situations spécifiques”, cela signifie que les applications de messagerie telles que WhatsApp et Facebook Messenger devront être interopérables avec des services tels que Signal, ce qui permettra à leurs utilisateurs finaux d’échanger des messages, d’envoyer des fichiers ou de passer des appels. De toute évidence, il existe une grande différence entre ces services en termes de protocoles de chiffrement et de politiques de protection de la vie privée. De nombreuses personnes se demandent donc si cela impliquera de compromettre le chiffrement de bout en bout et le Perfect Forward Secrecy dont les utilisateurs de Signal ont bénéficié jusqu’à présent, s’ils choisissent d’envoyer ou de recevoir des messages ou des appels inter-plateformes. Les colégislateurs ont convenu d’évaluer à l’avenir les obligations d’interopérabilité pour les réseaux sociaux également.
Une autre conséquence involontaire pourrait être de forcer les magasins d’applications des gardiens à affaiblir le contrôle des développeurs autorisés à distribuer leurs applications par l’intermédiaire de ces plateformes. Même si les normes actuelles sont en place, un rapport de Positive Technologies a trouvé des vulnérabilités classées comme “à haut risque” dans 38 % des applications iOS et 43 % des applications Android. Ces vulnérabilités posent non seulement des risques pour la vie privée, mais rendent également les utilisateurs plus vulnérables aux pirates informatiques malveillants, qu’ils soient privés ou étatiques.
Certains craignent que l’ouverture des plateformes numériques et le partage forcé des données ne permettent à des “entités malveillantes” de “mener une cyberguerre économique ou, pire encore, militaire” s’ils sont adoptés sans avoir été dûment pris en compte. Pour situer le contexte, il convient de noter que si l’auteur cité, le professeur Björn Lundqvist, est un spécialiste renommé du droit de la concurrence, la LCPE est financée par plusieurs organisations qui sont la cible du DMA : Amazon Web Services, Google et Microsoft. Cela ne signifie pas pour autant que ces préoccupations doivent être ignorées.
Une grande partie des risques de sécurité provient de la définition de “l’utilisateur professionnel”, qui est actuellement très large et inclut non seulement les petites entités qui tentent de développer leurs activités par le biais des plateformes principales, mais aussi les entreprises ou même les gouvernements provenant de juridictions hostiles, qui pourraient utiliser la règle d’accès aux données pour obtenir des données auprès des gardiens de l’accès.
Parmi les pires scénarios d’utilisation de la version actuelle de la DMA, on peut citer l’obligation pour Google de partager des données de recherche européennes avec des rivaux tels que le Russe Yandex ou le Chinois Alibaba. Les risques sont encore plus élevés si l’on considère toutes les données collectées par le service en nuage d’Amazon ou Alexa, ou encore par les systèmes automobiles d’Apple et d’Android. C’est presque comme si c’était une mauvaise idée de permettre à une entreprise de collecter et de conserver autant de données sur les utilisateurs…
Une première étape pour atténuer ces risques consiste à mieux définir qui peut utiliser la règle d’accès aux données, afin de s’assurer qu’elle ne donne du pouvoir qu’aux utilisateurs finaux et aux petites entreprises. Dans un monde idéal, imposer des restrictions sur le type de données que les gardiens peuvent stocker réduirait également les risques de sécurité si des acteurs malveillants accédaient à ces données.
La DMA affirme que le chiffrement de bout en bout doit être maintenu, mais trouver une solution technique pour parvenir à l’interopérabilité sans briser le chiffrement prendra du temps (Meta a annoncé vouloir interconnecter WhatsApp et Messenger en mars 2019, mais n’a pas encore pu le faire) et la Commission devrait ajuster ses délais en conséquence, pour s’assurer que tout se passe bien.
En outre, elle devrait prévoir un moyen pour les gardiens de soulever des objections légitimes aux demandes d’interopérabilité qui mettraient en péril la sécurité des utilisateurs, comme les demandes émanant d’applications de messagerie russes ou chinoises. La version actuelle de la loi prévoit une exemption pour des raisons spécifiques de sécurité publique, mais il est essentiel de veiller à ce que cette exemption puisse être appliquée avec la rapidité et la souplesse nécessaires.
Comme le conseille l’ Electronic Frontier Foundation, la DMA devrait explicitement interdire à tout service de messagerie qui “rompt la promesse du chiffrement de bout en bout par quelque moyen que ce soit - y compris en scannant les messages dans l’application côté client ou en ajoutant des participants “fantômes” aux chats” de pouvoir “exiger l’interopérabilité”.
La formulation actuelle de la loi permet aux gardiens de prendre des mesures “strictement nécessaires et proportionnées” pour préserver la sécurité. Grâce à sa série d’ateliers techniques, la Commission souhaite recueillir des commentaires sur le texte juridique actuel. Une fois finalisé au niveau technique et vérifié par des juristes-linguistes, il devra être approuvé par le Parlement et le Conseil.
Il faut espérer qu’elle trouvera le bon équilibre entre la résistance aux demandes des gardiens du numérique qui veulent simplement retarder ou éviter une réglementation qui a un impact sur leurs profits, et la prise en compte des préoccupations légitimes en matière de sécurité.