DSA et DMA, pour une meilleure protection des consommateurs et des marchés numériques plus équitables

DSA et DMA, pour une meilleure protection des consommateurs et des marchés numériques plus équitables
Image by Pete Linforth from Pixabay

Le projet européen de régulation des géants du numérique

Le 15 décembre 2020, la Commission européenne a rendu publique les deux projets de Règlement destinés à transformer significativement le cadre législatif applicable aux plateformes. Avec le Digital Services Act (DSA) et le  Digital Market Act (DMA), la Commission concrétise une partie de sa stratégie « Shaping Europe’s Digital Future »présentée à son entrée en fonction, elle entend mieux protéger les consommateurs et leurs droits fondamentaux en ligne et rendre les marchés numériques plus équitables et plus ouverts pour chacun.  

Thierry Breton, commissaire au Marché intérieur et Margrethe Vestager, vice-présidente de la Commission européenne, ont démontré l’avant-gardisme de l’Europe en présentant ces deux lois destinées à réguler les marchés numériques européens en sonnant le glas de l’irresponsabilité avérée des géants du numérique.

« Les feux de signalisation ont été inventés pour sécuriser le trafic automobile. Nous faisons la même chose. Alors que le trafic Internet ne cesse de croître, il nous faut des règles pour remettre de l’ordre dans le chaos »  a déclaré Margrethe Vestager.

Un texte ambitieux qui veut à la fois s’attaquer à la domination des géants du numérique et à leurs politiques en matière de modération qui s’appliquera à tous les services numériques, notamment les médias sociaux, les places de marché et les plateformes en ligne actives dans l’Union européenne.

Les États-membres espèrent voir ces nouvelles réglementations adoptées d’ici 2022

Un cadre juridique moderne pour garantir la sécurité des utilisateurs établis dans l’Union Européenne et permettre aux entreprises numériques innovantes de se développer.

Deux volets, baptisés Digital Services Act (DSA) et Digital Market Act (DMA), visant à encadrer l’espace numérique de l’Europe et réguler un Internet devenu parfois une « zone de non-droit » pour les grandes plateformes se résumant ainsi « ce qui est autorisé off line doit l’être on line, ce qui est interdit off line doit l’être on line ».

Dans l’ensemble, la proposition de Règlement prévoit des obligations très contraignantes et des sanctions lourdes.

Le Digital Services Act (DSA)

Il responsabilisera les services numériques dans la diffusion de contenus ou produits illicites, dangereux ou contrefaits : discours de haine, harcèlement, contrefaçon, droits d’auteur, contenu terroriste, contenu discriminatoire, contenu pédophile, images privées…

À qui s’applique-t-il ?

Le Digital Services Act (DSA) a qualifié les différents acteurs en adoptant un système d’obligations graduées en fonction de la taille et de l’impact de ces services :

  • Les services intermédiaires (ex : FAI, bureaux d’enregistrement de noms de domaine).
  • Les services d’hébergement (ex : services de transport d’informations, services de caching, cloud).
  • Les plateformes en ligne mettant en lien vendeurs et consommateurs (ex : market places, boutiques d’applications, réseaux sociaux).
  • Les très grandes plateformes en ligne, détenant au moins 45 millions d’utilisateurs dans l’Union européenne.
Digital Services Act (DSA)

Quelles sont les principales mesures contenues dans ce projet ?

Il est apparu nécessaire de revoir la législation encadrant ces acteurs, en établissant des règles plus strictes et plus adaptées aux enjeux contemporains. Un socle commun d’obligations est venu compléter la directive sur le commerce électronique de juin 2000 avec :

  • L’obligation de créer un point de contact unique à destination des autorités.
  • L’obligation de transparence en mentionnant dans leurs conditions générales d’utilisation les restrictions réglementaires qui leur sont imposées, notamment s’agissant de la modération des contenus.

S’agissant des prestataires de services intermédiaires, le Digital Services Act ne change pas sensiblement leur régime de responsabilité atténuée prévu par la directive 2000.

S’agissant des obligations applicables aux hébergeurs et aux plateformes en ligne, le règlement leur impose la mise en place d’un système de notification des contenus illicites, qui doit être facilement accessible.

Les hébergeurs et les plateformes devront également informer la personne concernée en cas de suppression d’un contenu ou de blocage d’accès, et en exposer les motifs.

Digital Services Act (DSA) - Les plateformes en ligne auront l’obligation d’agir rapidement et efficacement pour traiter les suppressions de contenu ou prouver leur méconnaissance des faits pour échapper aux sanctions.

S’agissant des obligations applicables aux plateformes en ligne le règlement crée un concept de « signaleur de confiance », vers qui seront dirigées les notifications des contenus illicites. Le règlement impose également des obligations de transparence concernant la publicité en ligne.

S’agissant des très grandes plateformes en ligne le règlement contient un volet d’obligations contraignantes en les obligeant notamment à réaliser une analyse d’impact des risques systémiques engendrés par le fonctionnement de leurs services et leur utilisation, en particulier en matière de modération des contenus et de publicité.

S’agissant des obligations de transparence en matière de publicité en ligne, les très grandes plateformes devront délivrer une information sur les catégories de personnes visées par la publicité, ainsi que les principaux paramètres de sélection utilisés.

L’objectif est ainsi de clarifier les mécanismes utilisés dans la mise en place de la publicité ciblée.

Le Digital Market Act (DMA)

Le Digital Market Act (DMA) lui ne regardera pas les contenus mais le comportement des grandes plateformes sur le marché européen en instaurant des codes sur le comportement anticoncurrentiel et l’abus de position dominante. Il s’agit principalement de toutes les plateformes qui fournissent des services en ligne d’intermédiation et qui sont en mesure de contrôler l’accès au marché.

Qu’est-ce qu’un « gatekeeper » ?

La Commission européenne a pris le parti de créer un critère inédit à travers une nouvelle désignation : la notion de « gatekeepers » (ou « contrôleur d’accès » en français). L’ensemble des 3 critères ci-dessous permet de présumer de la qualité de « gatekeepers », il appartiendra à la société concernée de renverser cette présomption :

  • avoir au cœur de ses services une plateforme permettant aux utilisateurs commerciaux d’accéder aux consommateurs finaux : Ce critère est présumé rempli si la plateforme recueille plus de 45 millions d’utilisateurs actifs par mois en Europe (10% de la population) et plus de 10 000 utilisateurs commerciaux par an en Europe.
  • avoir un impact significatif sur le marché intérieur : Ce critère est présumé rempli si la plateforme a réalisé un CA annuel dans l’Espace économique européen (EEE) d’au moins 6,5 milliards d’€ lors de leur dernier exercice.
  • occuper une position ancrée et durable, laissant supposer que ce sera le cas dans un avenir proche : Ce critère est présumé rempli si les deux précédents sont validés au cours des trois derniers exercices.

Quelles sont les obligations attribuées aux « gatekeepers » ?

Le Digital Market Act pose certaines interdictions et obligations :

  • ne pas croiser les données utilisateurs recueillies sur un de leurs services avec celles recueillies sur un autre de leurs services sans le consentement de l’utilisateur,
  • ne pas bloquer l’accès à une plateforme à un utilisateur commercial ou final qui ne serait pas inscrit à cette même plateforme,
  • fournir des informations sur les prix payés pour la publication des annonces publicitaires,
  • permettre aux utilisateurs de promouvoir leurs offres et de conclure des contrats hors de la plateforme.

S’agissant des dispositions applicables en fonction des services proposés,  les « gatekeepers » auront :

  •  L’interdiction :
    • d’opérer un classement plus favorable pour leurs propres produits et services au détriment de produits et services similaires.
    • d’empêcher les utilisateurs de désinstaller des applications ou des logiciels pré-installés sur la plateforme, sauf si ceux-ci sont essentiels au bon fonctionnement du service.
  • L’obligation :
    • de fournir l’accès à leurs outils de mesure de performance aux entreprises qui en font la demande.
    • d’organiser l’interopérabilité de leurs services, et permettre une portabilité des données des utilisateurs.

Quelles sont les sanctions encourues par les « gate keepers » ? 

La Commission Européenne prévoit des sanctions financières en cas de non-respect des dispositions, tout d’abord des amendes pouvant aller de 6% (pour le DSA) à 10% (pour le DMA) du chiffre d’affaires annuel mondial de l’entreprise.

En cas de récidive, la Commission européenne pourra également envisager des reprises structurelles, il sera possible d’aller jusqu’au démantèlement des entreprises qui ne respecteraient pas les règles de concurrence.

La mise en place de ce pack de lois est un édifice considérable affirmant la volonté européenne de s’armer dans la lutte contre la suprématie des géants du numérique pour construire un modèle de régulation ambitieux, durable où la concurrence est préservée et qui fasse référence dans le monde.

Transition vers le HTTPS : la France est en retard… et le réveil pourrait être difficile

Le JDN vient de publier un article très intéressant sur le décollage du HTTPS sur le top 100 des sites les plus visités en France. Il en ressort que 44/100 sont maintenant en HTTPS par défaut (dont 12 dans le top 20) et 54% des pages vues sont en HTTPS. C’est une bonne nouvelle pour les internautes français MAIS…

…on peut surtout remercier les acteurs américains. Sur le top 20, le seul acteur français aujourd’hui en HTTPS par défaut est Leboncoin.fr ! Si on pousse jusqu’au top 50, on ne trouve que quatre acteurs français supplémentaires : La Poste, Le Crédit Agricole, Mappy et Service Public.fr. Sur le top 100, 44 acteurs sont en HTTPS par défaut, dont seulement 15 acteurs français. Du côté du e-commerce c’est encore pire avec 33 acteurs français dans le top 40 mais seulement 7 en HTTPS par défaut.

La France est à la traine… et doit réagir

Google et Firefox, les deux fers de lance de la généralisation du HTTPS, continuent à annoncer des mesures toujours plus fermes en vue de l’adoption généralisée du HTTPS par défaut :

  • bonus sur le référencement naturel,
  • « malus » au cours de la navigation avec de plus en plus d’alertes,
  • limitation de fonctionnalités au seul HTTPS : HTTP2, géolocalisation, utilisation de la caméra, auto-remplissage des formulaires…
  • dépréciation des versions trop anciennes : SHA1 remplacé par SHA256

Chrome 56 arrive en Janvier 2017 avec une première série d’alertes dans les barres d’adresse pour les pages de connexion et contenant des champs de carte de crédit… et annonce déjà la couleur pour la suite avec la volonté clairement affichée d’une alerte pour tous les sites en HTTP (voir visuels ci-dessous).


https-2

Firefox n’est pas en reste et annonce la mise en place d’une alerte sur les saisies de mot de passe

treatment HTTPS firefox

Et d’autres acteurs majeurs comme WordPress, Apple ou Microsoft suivent le mouvement.

Pourtant le HTTPS peine à s’imposer pour la plupart des acteurs français du Web. Pourquoi ?

La transition d’un site Web en HTTPS par défaut n’est pas une mince affaire et deux freins importants existent encore : le risque d’un déclassement en termes de SEO si la transition est mal opérée, et certaines régies publicitaires qui restent en sources HTTP. Le trafic et les revenus publicitaires, le nerf de la guerre pour beaucoup de sites web.

Et donc, on attend ! On attend le dernier moment en espérant que Google et Firefox reculent ? C’est peu probable et le calendrier se resserre. Même si Google n’a pas encore annoncé de date pour la mise en place des alertes sur le HTTP, il y a fort à parier qu’ils le feront le plus tôt possible, et les conséquences risquent d’être désastreuses s’il faut agir dans l’urgence.

Nous recommandons d’étudier au plus tôt un calendrier de transition vers le HTTPS par défaut, projet à mener en étroite collaboration avec les équipes web et référencement, pour tous les sites vitrine dans un premier temps et pour l’ensemble des activités web dans un second.

Les équipes de Nameshield pourront vous accompagner en termes de conseil pour la mise en place et la gestion des certificats qui permettront d’afficher le HTTPS.

Le nom de domaine, inutile à l’heure des services Web gratuits ?

Bien qu’un nom de domaine ne soit qu’un élément parmi tant d’autres de la présence d’une entité sur Internet, il constitue pourtant un maillon essentiel de l’identité numérique de cette dernière.

5209796269_23b3c744ca_b

Argumentons…

L’argument le plus entendu concernant la faible importance du nom de domaine est lié à la notion de chemin d’accès. En effet, lorsqu’il voit une publicité physique pour Aubade, l’internaute n’accède plus au site internet associé en saisissant le nom de domaine dans la barre de navigation du navigateur, mais il tape le nom de la marque directement. Ce qui le redirigera vers son moteur de recherche favori et donc vers les premiers résultats de recherche. Seulement, Aubade est une marque de robinetterie bien connue mais également un fabricant français de lingerie féminine.

Alors oui, cet argument était facile, Aubade fait partie de ces marques bénéficiant d’un accord de coexistence en raison de l’homonymie de la marque correspondant à deux société distinctes, telles Mont Blanc[1] ou Apple[2].

Prenons l’accès à un site Internet de plusieurs années non mis à jour : de nombreux liens pointant vers des sources extérieures sont indisponibles, affichant au mieux une page 404, sinon une redirection vers un site tiers. La durabilité des pages Internet n’est pas garantie dans le temps, rien n’obligeant une entreprise privée à prolonger éperdument ses services.

Les réseaux sociaux, autre indicateur de la présence d’une entité sur Internet, au titre des réseaux fermés, modifient leurs conditions générales d’utilisations à de nombreuses reprises, l’utilisateur final ne lisant que rarement les petites lignes de ces contrats. Ainsi, la confidentialité, l’accès et la censure n’est nullement garantie par les réseaux sociaux, ces derniers se rétribuant selon la publicité affichée.

Une autre fonction d’un nom de domaine est d’assurer un service mail. De nombreux utilisateurs, ne souhaitant pas dépenser une somme modique pour un tel service ont fait le choix de passer par une compte mail dit gratuit, générant ces services via la mise en place de publicités. Ces dernières sont dites targetisées par le biais d’analyse du contenu des mails envoyés : ainsi l’annonceur affichera uniquement des publicités à un type de prospect. Faisons une analogie avec une boite postale, faire appel à un service de messagerie gratuite, c’est laisser la possibilité que l’on ouvre votre courrier, et donc votre enveloppe, pour y insérer de la publicité. Sauf que là, l’immatériel n’est pas tangible, c’est sa définition même. Du coup, peu de gens s’y intéressent, révélations ou non[3][4]. Dans un deuxième temps, on pourra suivre les évolutions de ces messageries électroniques : lemel.fr, repris par voila.fr a été fermé en 2002, sans laisser la possibilité à ses clients existants d’utiliser leurs comptes. Le service voila, lui, sera fermé en 2016 par Orange, supprimant ici aussi les adresses associées[5].

Comprenons-nous, Internet est un moyen de communication exceptionnel dont la quasi-totalité des acteurs sont des entreprises privées proposant des services dont la pérennité n’est pas assurée. Cette dernière, synonyme de garantie de service, ne peut s’acquérir que par le biais d’un investissement personnel faible mais néanmoins nécessaire : posséder un site Internet ou une adresse mail ne vous sera possible qu’en acquérant votre propre adresse sur Internet via un nom de domaine.


[1] Mont Blanc peut désigner une entreprise allemande spécialisée dans la fabrication de stylos de luxe et une entreprise française spécialisée dans la production de produits lactés.

[2] Apple peut désigner une entreprise américaine concevant des produits électroniques grand public et une entreprise américaine formant un conglomérat visant à protéger les intérêts du groupe anglais The Beatles.

[3] Tribunal de commerce de Paris, ordonnance de référé du 20 janvier 2016

[4] La présentation au grand public du programme américain de surveillance PRISM n’a suscité que peu de réactions.

[5] Un collectif, sous la forme d’une association, et accessible via sauvonsvoila.fr a lancé une pétition recueillant plus de 7000 signatures (février 2016)