DSA, DMA, Data Act, DGA : que faut-il retenir ?
Outre l’AI Act encore en discussion, plusieurs réglementations européennes s’apprêtent à renforcer la protection des données et des consommateurs au sens large. Cet article tente de résumer les principales mesures à retenir de ce « paquet législatif ».
En mettant en place un ensemble de cadres législatifs relatifs au traitement des données, les instances de l’Union européenne portent un double objectif : « protéger [ses] concitoyens et le marché numérique européen », dixit Thierry Breton, commissaire européen au marché intérieur, lors de la matinale de France Info, le 10 juillet 2023.
En ce sens, après le RGPD, la Commission européenne a soumis plusieurs propositions de réglementation, dont le Digital Services Act, le Digital Markets Act, le Data Act et le Data Governance Act. Cet article vise à lister les principaux objectifs de ces textes, leur avancement dans le processus législatif européen et leurs implications pour les entreprises.
Digital Markets Act (DMA)
- Proposition effectuée le 15 décembre 2020
- Publié au journal officiel le 14 septembre 2022
- Entrée en vigueur le 1ᵉʳ novembre 2022
- Applicable le 2 mai 2023
- Conformité obligatoire en mars 2024
Cette législation sur les marchés numériques a pour but de lutter contre les pratiques anticoncurrentielles des géants de la technologie et du Web.
Le texte couvre dix « services de plateformes essentielles », dont les places de marché, les moteurs de recherche, les navigateurs Web, les réseaux sociaux, les plateformes de partage de vidéo, les systèmes d’exploitation, les services en cloud, les services publicitaires et les assistants virtuels.
Il vise des fournisseurs d’un ou plusieurs services essentiels dans au moins trois pays européens. Le DMA s’applique en premier lieu aux entreprises ayant une valorisation boursière dépassant 65 milliards d’euros, ou dont le chiffre d’affaires atteint au moins 6,5 milliards d’euros sur les trois dernières années. Dernier critère, et non des moindres, la plateforme en question doit être utilisée par plus de 45 millions d’utilisateurs européens ou plus de 10 000 entreprises par an.
Ces entreprises sont désignées comme des « contrôleurs d’accès » par la CEE. Elles ont dû s’identifier du 2 mai au 3 juillet derniers auprès de la Commission européenne, qui les désignera comme telles d’ici le 6 septembre 2023. Cette étape sera reconduite tous les trois ans.
Si le texte vise en premier lieu à protéger les citoyens européens, il contient plusieurs mesures qui concernent les entreprises, leurs données et celles de leurs clients. L’éditeur d’une place de marché ne pourra pas empêcher un vendeur de proposer ses produits sur une autre place de marché ou par ses propres moyens à des prix ou dans des conditions différentes. Un contrôleur ne peut plus obliger contractuellement une entreprise de ne pas informer des pratiques « qui limitent la contestabilité ou sont déloyales » à une autorité locale ou européenne. De même, une entreprise peut utiliser le service d’identification de son choix, tout comme le fournisseur ne peut plus imposer un abonnement à un service annexe comme condition d’accès à son produit principal. Un éditeur d’applications ou de services cloud ne doit pas non plus empêcher l’interopérabilité des fonctionnalités de base avec les solutions concurrentes ni imposer des logiciels par défaut.
Le contrôleur doit par ailleurs assurer « la portabilité effective » des données d’activité (logs, traces, métriques liés à l’utilisation du service) d’une entreprise ou d’un particulier, tandis que l’accès aux données, agrégées ou non, doit être gratuit. Par ailleurs, le contrôleur d’accès ne peut pas exploiter les données des entreprises utilisatrices de son ou ses services. En outre, si le service essentiel est utilisé par une entreprise pour cibler des particuliers, le contrôleur d’accès doit soit permettre de récupérer directement le consentement des clients au sens du RGPD, soit anonymiser lesdites données, et ne pas rendre cette collecte plus lourde que pour ses propres services.
Enfin, si une entreprise cliente d’un contrôleur d’accès fait jouer ses droits auprès d’une autorité, il ne peut pas leur brider l’accès à ses services.
Les sanctions prévues sont lourdes. Si un contrôleur d’accès ne respecte pas ses obligations, l’amende peut atteindre 10 % du chiffre d’affaires mondial total annuel, et jusqu’à 20 % en cas de récidive.
Digital Services Act (DSA)
- Proposition effectuée le 15 décembre 2020
- Publié au journal officiel le 27 octobre 2022
- Entrée en vigueur le 16 novembre 2022
- Applicable au plus tard le 1er janvier 2024
Le Digital Services Act, lui, vise plus largement les plateformes en ligne, afin de « mieux protéger la liberté d’expression et les droits des consommateurs ». En clair, le DSA entend imposer des moyens pour mieux lutter contre la désinformation et pour réguler la publicité ciblée.
Le texte s’adresse « aux services intermédiaires », pour l’instant une liste de 17 entreprises ayant plus de 45 millions de clients ou utilisateurs européens (Amazon, Apple, Facebook, Google, Zalando, Twitter, LinkedIn, etc.). Son application sera étendue à l’ensemble des FAI, services cloud, places de marché, réseaux sociaux, plateformes de voyage et d’hébergement.
Quand certains acteurs (FAI, fournisseurs de CDN, hébergeurs cloud, etc.) ne sont pas jugés responsables des contenus qu’ils hébergent, ils devront toutefois assurer leur suppression ou les rendre inaccessibles à la demande des autorités locales ou européennes.
Outre un renforcement de la modération de contenus illicites sur le Web, l’interdiction de la publicité ciblant les mineurs, le DSA doit interdire la recommandation de publicités à partir de données sensibles (origines ethniques, orientation sexuelle, opinions politiques), mais aussi renforcer l’explicabilité des modèles de recommandations de contenus basés sur le profilage. Les fournisseurs de services intermédiaires devront obligatoirement proposer un système qui ne s’appuie pas sur le profilage. Par ailleurs, les places de marché devront afficher une meilleure traçabilité des vendeurs.
Si ces services intermédiaires ne sont pas obligés de surveiller tous les contenus publiés, ils devront répondre aux demandes de retraits effectués par des « signaleurs de confiance », des autorités locales dans chaque pays ou des particuliers.
La Commission européenne prévoit de réaliser des audits des plateformes en ligne en partie financées par les géants du Web (à hauteur de 0,05 % de leur chiffre d’affaires). En cas d’infraction au DSA, ceux-là risquent une amende pouvant atteindre 6 % de leur chiffre d’affaires mondiales.
Data Governance Act (DGA)
- Proposition effectuée le 25 novembre 2020
- Publié au journal officiel le 3 juin 2022
- Entrée en vigueur le 23 juin 2022
- Applicable dès le 24 septembre 2023
La loi européenne sur la gouvernance des données a pour but de fluidifier le partage de « certaines catégories de données protégées ou non » détenues par des organismes du secteur public et de simplifier leur réutilisation.
Ces données peuvent être soumises au secret d’affaires, au secret statistique, à la protection des droits de propriété intellectuelle ou sont des données à caractère personnel.
Si le texte permet aux organismes du secteur public de monétiser leurs données protégées, il interdit leur divulgation, les accords d’exclusivité, et n’entrave pas la libre concurrence.
Dans certains cas, ces données doivent être anonymisées, agrégées ou traitées pour respecter le RGPD et protéger le secret des affaires et la propriété intellectuelle. Elles sont accessibles depuis un environnement de traitement sécurisé mis en place par l’organisme du secteur public ou en son nom. L’organisme devra autoriser ou refuser une demande de réutilisation par une entreprise dans un délai maximum de deux mois.
En outre, les particuliers et les entreprises sont incités à partager leurs données à des fins altruistes, par exemple pour alimenter des projets de recherche médicale. Des organismes tierces à caractère non lucratif peuvent collecter le consentement de ces parties.
Il est prévu que « les services d’intermédiation de données », qui mettent en place des services de partage, des places de marché, ou qui orchestrent des bases de données de partage, s’enregistrent auprès des autorités compétentes désignées par un État membre de l’UE. Dans ce cadre, les prestataires ne peuvent pas eux-mêmes exploiter les données qu’ils exposent et doivent fournir ce service « par l’intermédiaire d’une personne morale distincte ». Sans interdire l’hébergement des données par un fournisseur extraeuropéen, les législateurs de l’UE entendent limiter leurs champs d’action.
En sus de protéger les données contre des cyberattaques ou des usages illicites, ce prestataire ne peut convertir les données dans un format spécifique que pour améliorer l’interopérabilité des systèmes, ou pour respecter les normes de l’Union en la matière.
Enfin, le texte entend interdire les transferts de données en dehors du territoire de l’Union européenne quand ils rentrent en conflit avec les réglementations européennes et les lois des pays membres. Ces transferts peuvent être autorisés dans le cadre d’accords internationaux ou lorsque la demande est motivée par l’établissement « d’un lien suffisant avec certaines personnes suspectées ou avec des infractions ».
La Commission européenne met d’ores et déjà en avant le hub de partage de données agricoles API-AGRO bâti sur la technologie du Français Dawex et le Data Intelligence Hub de Deutsche Telekom.
Data Act
- Proposition effectuée le 23 février 2022
- Accord politique conclu le 27 juin 2023
Comme le DSA est attenant au DMA, le Data Act est le second volet du Data Governance Act.
Le Data Act, qui porte mal son nom, a pour objectif de réguler l’accès aux données des équipements connectés grand public et d’entreprise. Il vise les fabricants d’objets connectés et IIoT ainsi que les « fournisseurs de services connexes ».
Il s’agit d’apporter des garanties juridiques pour permettre un meilleur partage et une meilleure monétisation des données en s’assurant que les fabricants et les fournisseurs ne sont pas les seuls à pouvoir les exploiter (la protection de leurs secrets commerciaux et l’anonymisation des données personnelles sont de mise). Cela passe, entre autres, par le recours à « un format complet, structuré, couramment utilisé et lisible par machine ».
Outre un meilleur contrôle de leurs données pour les utilisateurs finaux, le texte entend imposer des mesures de protection contre « les clauses contractuelles abusives imposées unilatéralement » qui freineraient principalement l’activité des PME.
Par ailleurs, de nouveaux mécanismes sont introduits pour que les organismes du secteur public puissent accéder aux données détenues par des acteurs du secteur privé. La Commission veut que les États aient la possibilité d’exploiter les données de capteurs installés dans l’espace public en cas d’urgence, par exemple lors de la survenue d’une catastrophe naturelle.
Si la portée du texte a été réduite en décembre 2022, en excluant les systèmes de stockage et de traitement en cloud, le Data Act doit assurer la portabilité des données IoT entre plusieurs services cloud ainsi qu’une interopérabilité minimale. En clair, les fournisseurs cloud et les équipementiers réseau, Edge, et IIoT devront favoriser la migration des données et des services connexes vers d’autres produits sur d’autres plateformes.
À travers ce texte, les législateurs européens se réservent le droit de produire de nouvelles normes ou d’en imposer certaines pour favoriser l’interopérabilité des équipements connectés.
Tout comme le DGA, le Data Act apporte des règles pour tenter d’empêcher le transfert illicite « de données à caractère non personnel détenues dans l’Union et l’accès des gouvernements de pays tiers à celles-ci » en l’absence d’accords internationaux.
Après l’accord politique obtenu tardivement le 27 juin 2023, le texte devra être officiellement approuvé. Le Data Act entrera en vigueur 20 jours après sa publication au journal officiel et sera applicable 20 mois plus tard.