Les nouvelles lois DMA et DSA, comment influencent-elles les affaires en ligne ?

,

Written by Natalia Chronowska

Published juin 07, 2023

L’année dernière, deux nouvelles réglementations de l’Union européenne sont entrées en vigueur. Leur but ? Limiter la manière dont les grandes marques technologiques comme Apple, Amazon et Meta s’attaquent à la concurrence et traitent les données des utilisateurs. En effet, les lois Digital Markets Act (DMA) et Digital Services Act (DSA) visent à créer un espace numérique plus fiable où les droits fondamentaux des utilisateurs sont protégés. Elles établissent également un cadre équitable pour les entreprises dans le Marché unique européen et à l’échelle mondiale.

Dans cet article nous allons nous pencher sur les deux lois et leur effet sur l’espace numérique ainsi que votre entreprise.

Introduction au paquet DSA

Les deux lois ont été approuvées dans le cadre d’un seul paquet législatif DSA (paquet de la loi sur les services numériques), mais elles fonctionnent comme des lois distinctes et ont un impact significatif sur l’industrie Big Tech.

Le paquet DSA crée de nombreuses nouvelles exigences de conformité et de transparence que les entreprises doivent mettre en œuvre.

Le Digital Services Act

La loi européenne Digital Services Act vise à moderniser la directive sur le commerce électronique, en réglementant les intermédiaires et les plateformes en ligne, dont des « places de marché en ligne, réseaux sociaux, plateformes de partage de contenu, boutiques d’applications et plateformes de voyage et d’hébergement en ligne. » En outre, elle oblige les plateformes en ligne à modérer le contenu et met en œuvre la transparence dans la collecte des données.

Le règlement offre une meilleure protection aux utilisateurs, garantit les droits fondamentaux en ligne, établit la transparence et la responsabilité pour les plateformes en ligne, tout en fournissant un cadre unifié dans l’ensemble de l’UE.

L’entrée en vigueur de la loi sur les services numériques le 16 novembre 2022 a obligé les plateformes en ligne à déclarer le nombre d’utilisateurs finaux actifs sur leurs sites Web jusqu’au 17 février 2023. Sur la base de ces résultats, la Commission européenne déterminera si une plateforme devrait être désignée comme une très grande plateforme en ligne ou un très grand moteur de recherche. En conséquence, toute entité ainsi déclarée disposera de quatre mois pour réaliser et soumettre sa première évaluation annuelle des risques.

La loi DSA entrera en vigueur au plus tard le 17 février 2024.

Le Digital Markets Act

Le deuxième pilier de la réglementation numérique, la loi DMA, porte sur la protection de la concurrence ciblant les plateformes de contrôle d’accès. Le règlement définit dix services de plateforme de base, y compris les moteurs de recherche en ligne, les systèmes d’exploitation, les navigateurs Web, les assistants virtuels et les réseaux sociaux. Cela signifie que la loi, et cela est le cas à présent, réglementera également les actions des géants de la technologie, dont Meta, Google et Amazon.

Le DMA exige que ces plateformes en ligne obtiennent le consentement des utilisateurs avant d’utiliser des données personnelles à des fins de publicité ciblée. La loi établit également des règles claires sur la manière dont les grandes plateformes en ligne devraient agir pour assurer la sécurité des utilisateurs.

La loi entre en vigueur le 2 mai 2023.

Pourquoi adopter le paquet DSA ? Principaux avantages

La réglementation a été introduite pour restreindre le monopole des géants de la technologie et assurer une concurrence équitable entre les entreprises opérant en ligne. Son objectif principal : rendre Internet plus convivial pour les utilisateurs ainsi que pour les entreprises, avec des lignes directrices claires à suivre.

De plus, comme ces lois se concentrent également sur la sécurité en ligne des utilisateurs, leur approbation a été impliquée par des raisons de santé importantes, telles que l’anxiété accrue chez les jeunes, la propagation de la désinformation et de la panique et la promotion du contenu addictif.

Très grandes plateformes, plateformes en ligne, services d’hébergement et services intermédiaires en vertu du paquet DSA

Le DSA impose de nombreuses obligations aux différents types d’intermédiaires en fonction de la nature de leurs services, de leur taille et de leur impact. Ces règles garantissent que leurs services ne sont pas utilisés à mauvais escient pour des activités illégales et fonctionnent de manière responsable.

Certaines obligations sont limitées aux très grandes plateformes en ligne, souvent appelées VLOP, ce qui facilite le débat public et les transactions économiques. Les très petites plateformes sont exemptées de la majorité de ces obligations.

En rééquilibrant les responsabilités dans l’écosystème en ligne en fonction de la taille des plateformes, le projet garantit que les charges réglementaires de ces nouvelles règles sont proportionnées.

Quels prestataires sont couverts par le DSA ?

  • Les services intermédiaires offrant des infrastructures de réseau, des fournisseurs d’accès à Internet et des bureaux d’enregistrement de noms de domaine.
  • Les services d’hébergement tels que le cloud et les services d’hébergement en ligne.
  • Les plateformes en ligne telles que les places de marché en ligne, les boutiques d’applications, les plateformes de l’économie collaborative et les plateformes de réseaux sociaux.
  • Les très grandes plateformes en ligne présentent un risque particulier de diffusion de contenus illicites et des dommages sociétaux. En effet, touchant à un public d’au moins 45 millions d’utilisateurs dans l’UE, elles sont soumises à un ensemble de règles spécifiques.

A l’exception des plateformes de moins de 50 salariés ou dont le chiffre d’affaires annuel ne dépasse pas 10 millions d’euros, toutes les plateformes doivent respecter les règles suivantes :

  • Etablir des mécanismes de réclamation et de recours
  • Coopérer avec des signaleurs de confiance
  • Prendre des mesures contre les avis abusifs
  • Gérer les réclamations
  • Inclure les informations d’identification des fournisseurs tiers
  • Fournir une publicité en ligne conviviale et transparente

Le premier groupe d’entreprises désignées

Le 24 avril, la Commission européenne a annoncé les premières entreprises visées par le paquet DSA :

  • Très grandes plateformes en ligne (VLOP) : Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipédia, YouTube, Zalando
  • Très grands moteurs de recherche en ligne (VLOSE) : Bing, Google Search.

Ces entreprises devront se conformer à l’ensemble des obligations établies par le DSA envers les VLOP et les VLOSE, telles que la suppression des contenus illicites, l’augmentation de la transparence algorithmique, la transformation de leurs systèmes pour assurer un niveau élevé de confidentialité, de sécurité, y compris de sécurité des mineurs, etc.

Le 9 septembre la Commission européenne a également désigné six contrôleurs d’accès – Alphabet, Amazon, Apple, ByteDance, Meta et Microsoft – en vertu de la législation sur les marchés numériques (DMA). Au total, 22 de leurs services de base sont impactés. 
 
Les six entreprises technologiques disposent désormais de six mois pour se conformer aux obligations du DMA. Si un contrôleur n’y parvient pas, la Commission peut lui infliger une amende de 10 % du chiffre d’affaires mondial de la société et jusqu’à 20 %, en cas d’infraction répétée. La Commission a également le pouvoir d’introduire d’autres mesures correctives, telles qu’obliger une société à vendre une partie de son activité ou lui interdire de développer des services supplémentaires.

Comment le paquet DSA protège-t-il les utilisateurs en ligne?

Ces deux réglementations sont conformes aux exigences internationales en matière de lois sur la confidentialité des données, particulièrement dans le contexte de la protection des consommateurs. En outre, elles mettent un accent sur la sécurité en ligne des enfants et la limitation de la collecte de données sans consentement approprié.

En effet, il existe quelques dispositions clés qui assureront la protection des clients dans l’espace en ligne.

Modération du contenu transparente

Le DSA apportera une plus grande transparence à la modération du contenu. Chaque plateforme doit expliquer clairement pourquoi certains contenus sont interdits, en le précisant dans ses termes et conditions. Toutefois, ces restrictions ne doivent pas porter atteinte aux droits de l’homme des utilisateurs. En outre, les sites Web doivent publier régulièrement des dits rapports de transparence, révélant, entre autres, des données sur le contenu supprimé.

En outre, les utilisateurs doivent être informés dans toutes les langues de l’UE via un formulaire simple sur les règles de modération des contenus. Ils doivent savoir quels algorithmes sont utilisés et quel est leur rôle exact.

Le paquet DSA réglementera également la façon dont les comptes d’utilisateurs sont bloqués et supprimés. Chaque utilisateur devra recevoir une explication détaillée d’une telle décision avec des informations sur la règle exacte qui a été violée et être en mesure de faire appel de chaque décision.

Les plateformes en ligne devront assurer une modération adéquate du contenu dans toutes les langues de l’UE. Les modérateurs s’occuperont également du problème de la distribution illicite de contenu ainsi que des appels contre les décisions de supprimer du contenu ou d’interdire les comptes des utilisateurs.

Fini avec des manipulations en ligne

Un design persuasif et manipulateur est une pratique courante des plateformes en ligne. Des interfaces truquées incitent les utilisateurs à prendre des mesures qui servent les objectifs commerciaux de l’entreprise. C’est pourquoi le paquet DSA interdit de telles pratiques trompeuses.

Les sites Web ne seront pas autorisés à concevoir leurs services d’une manière qui trompe ou limite les choix des utilisateurs. Cela s’applique à l’utilisation des interfaces truquées déjà mentionnées, des pop-up qui forcent le consentement des utilisateurs à la collecte de données personnelles, ou même des applications faciles à lancer mais difficiles à désactiver.

Suivi publicitaire restreint

La collecte de données sur les utilisateurs est l’une des pratiques marketing les plus rentables, mais aussi une forme de manipulation en ligne. Les problèmes liés à de telles pratiques surviennent lorsque la publicité tire parti des faiblesses liées à la santé mentale, aux dépendances ou expériences. Le DSA résout partiellement ces problèmes.

Les plateformes en ligne ne seront plus autorisées à utiliser des données sensibles et des données d’enfants à des fins publicitaires. Il sera toujours possible de diffuser des publicités de suivi, mais sous réserve qu’elles soient mises en correspondance avec les utilisateurs en fonction de types de données « non sensibles ». En outre, chaque annonce doit inclure des informations claires indiquant qu’il s’agit d’un contenu sponsorisé, qui est le sponsor et pourquoi cette annonce a été diffusée à un utilisateur spécifique.

Consultez notre article sur la décision contre les pratiques de publicité comportementale de Meta : Meta’s ad practices ruled illegal under GDPR: key facts and implications of the decision

Algorithmes transparents

Les algorithmes décident du contenu affiché aux utilisateurs, et nous y sommes tellement habitués que nous ne le remarquons même plus. Le DSA va dès lors fournir des lignes directrices sur la façon dont ceux-là devraient être utilisés.

Chaque plateforme en ligne est désormais obligée à expliquer :

  • Comment chaque élément de contenu est sélectionné pour les utilisateurs;
  • Quels paramètres et données sont utilisés;
  • Quel est l’objectif principal de l’algorithme ?

Les utilisateurs pourront choisir au moins un système de sélection de contenu sans suivi. Par exemple, un qui n’utilisera pas de données pour recommander du contenu profilé.

Évaluations des risques

Les grandes plateformes nous ont habitués à ignorer les menaces liées à leur modèle d’affaires plutôt que de les contrer activement. C’est pourquoi le DSA les encouragera à rendre leur approche plus socialement responsable.

Ainsi, les grandes plateformes en ligne seront tenues de procéder régulièrement à des évaluations des risques couvrant :

  • Les systèmes de modération du contenu,
  • Les algorithmes de recommandation du contenu,
  • Les règles de fonctionnement des interfaces,
  • Les paramètres de site Web par défaut.

Plateformes de commerce électronique sûres

Le DSA tente également de répondre au développement dynamique des plateformes de commerce électronique. En effet, celles-ci seront tenues de permettre l’identification des vendeurs et de procéder à des contrôles aléatoires des produits afin de mieux protéger les consommateurs contre les fraudeurs. Les utilisateurs peuvent s’attendre à des informations fiables et accessibles sur les caractéristiques de chaque produit et le lieu de sa fabrication.

Implications pour les géants du cyberespace

Si le DSA assure la transparence, la sécurité des utilisateurs et la responsabilité des plateformes en ligne, le DMA établit des règles claires sur la façon dont les grandes plateformes en ligne peuvent fonctionner. Par conséquent, ces deux textes législatifs auront un impact significatif sur les entreprises en Europe et au-delà : bien qu’elles soient des lois européennes, elles affecteront également toutes les grandes entreprises technologiques du monde entier qui offrent des services aux Européens. De cette manière, le paquet DSA a établi de nouvelles normes pour l’espace numérique mondial.

Alors, comment exactement ces lois vont-elles limiter les activités en ligne des géants de la technologie ?

Une interdiction totale de la collecte de données personnelles sans consentement

La collecte de données personnelles est déjà très strictement réglementée et nécessite un consentement. Le paquet DSA appliquera également le consentement comme motif de collecte de données qui, en fusionnant des informations provenant de diverses sources internes ou externes, peuvent devenir des données personnelles.

L’interdiction totale couvrira, par exemple, l’intégration des données des utilisateurs de sites Web utilisant Google Analytics ou la fusion des données de Facebook, Instagram et WhatsApp en un seul profil.

Étant donné que le DSA et le DMA ont des exigences de consentement qui se chevauchent avec le RGPD, les plateformes qui ne sont pas conformes peuvent désormais être confrontées à de multiples violations.

Le DMA stipule que les utilisateurs en dehors de la plateforme de contrôle d’accès ne peuvent être suivis qu’avec un consentement effectif. En vertu du RGPD, le consentement est nécessaire pour collecter les données des utilisateurs en ligne. Pour de nombreuses plateformes, il est impossible de continuer à utiliser leurs services sans assurer les niveaux de consentement appropriés.

Les nouvelles réglementations signifient que les plateformes en ligne les plus prisées ne peuvent plus utiliser les données personnelles pour cibler les publicités. En outre, les utilisateurs peuvent choisir de ne pas recevoir de recommandations basées sur le profilage de très grandes plateformes.

Fin de l’accaparement des services par les géants de la technologie

Comme le paquet DSA vise à réduire considérablement le monopole des géants de la technologie, leurs services doivent être restreints.

  • Les utilisateurs ne seront plus obligés de se connecter ou de s’identifier à différents services d’un seul cyber géant avec le même compte.
  • La loi permettra aux utilisateurs d’envoyer et lire des messages sur toutes les messageries disponibles. Par exemple, lorsqu’un utilisateur envoie un message sur Facebook Messenger, il peut être lu sur Signal ou WhatsApp. Et à l’inverse. Dans les premières années, cela ne sera possible que pour le texte individuel, la vidéo et les messages vocaux, mais cette fonctionnalité sera finalement étendue aux discussions de groupe et aux appels vocaux.
  • Vente croisée et publicité croisée de services ne seront plus disponibles. Cela signifie que les utilisateurs ne seront pas encouragés à utiliser les services proposés par un géant de la technologie. Ainsi, les utilisateurs d’iOS ne recevront pas de recommandation pour installer Safari comme navigateur par défaut.

Une désinscription et une désinstallation faciles

Enfin, ces règlements permettront aux utilisateurs de se désabonner ou de désinstaller des services facilement. Par exemple, chaque application aura une interface intuitive qui facilitera non seulement l’installation, mais aussi la désinstallation sans problèmes.

Implications pour d’autres entreprises

Bien que ces lois visent principalement les géants de la technologie, elles affecteront également d’autres entreprises – principalement celles qui utilisent des cookies ou possèdent de nombreuses données de première partie dans différentes sources telles que YouTube et Search de Google, ainsi que des services tels que Google Ads, Google Analytics ou Chrome.

Selon le type d’entreprise en ligne que vous exploitez, la taille de vos opérations et d’autres facteurs, les nouvelles règles affecteront votre entreprise différemment.

Interdiction de la publicité ciblée, basée sur des données personnelles

Le paquet DSA impacte les entreprises qui utilisent les plateformes à des fins publicitaires. Les lois interdisent la publicité ciblée basée sur des informations personnelles telles que l’appartenance ethnique, les opinions politiques ou l’orientation sexuelle. Le ciblage des publics plus jeunes, lui, sera également interdit. Cela aura une grande influence sur l’efficacité des campagnes en ligne.

Interdiction des interfaces truquées

Le paquet DSA interdit également l’utilisation des interfaces truquées pour les petites entreprises. Désormais, l’option de refuser le suivi et la publicité personnalisée doit être aussi simple que l’option d’acceptation. Les sites Web qui modifient leur expérience utilisateur, par exemple, en marquant tous les boutons « accepter » en vert, seront interdits.

Pour en savoir plus sur les « interfaces truquées », consultez notre article : When design goes awry – How dark patterns conflict with GDPR and CCPA

Transparence, traçabilité et vérifiabilité : mise en œuvre

Les petites entreprises doivent également assurer une interface de plateforme bien conçue et des mécanismes faciles à utiliser pour se conformer aux nouvelles règles. Elles doivent adopter un ensemble rationalisé de processus qui permettent une conformité continue, notamment avec des obligations telles que la communication d’informations sur la transparence et des audits indépendants.

Une autre responsabilité se concentre sur la traçabilité des commerçants sur les plateformes, avec des renseignements tels que le nom, l’endroit où ils sont enregistrés, une copie de leur pièce d’identité, etc. Toutes ces informations devront être vérifiées. La plateforme peut suspendre les services du commerçant si celui-ci ne fournit pas de données précises et à jour.

En outre, lorsque la plateforme prend connaissance de produits ou services illicites, elle est tenue d’informer les consommateurs qui ont acheté des produits ou services illicites de leur illégalité, de l’identité des commerçants et de tout moyen de recours.

Les petites entreprises bénéficieront de ce nouvel ensemble de règles. Elles auront accès à des outils simples et efficaces pour signaler les activités illicites qui nuisent à leur commerce, ainsi qu’à des mécanismes de recours internes et externes, leur offrant une meilleure protection contre un retrait incorrect et limitant les pertes pour les entreprises et les entrepreneurs légitimes.

Comment assurer la conformité de votre entreprise en vertu de la législation sur les services numériques

La mise en place des nouvelles lois sera la prochaine grande étape dans la réglementation des affaires en ligne. Le RGPD, le soi-disant Bouclier de protection de données 2.0 et l’Intelligent Tracking Prevention (ITP) ont déjà limité l’utilisation des données collectées pour un ciblage personnalisé, de sorte que les provisions du DSA ne feront que clarifier les règles.

Les réglementations ciblent principalement les géants de la technologie, mais les entreprises utilisant leurs plateformes pour le marketing seront également impactées. En outre, il est fortement probable que les petites entreprises seront bientôt obligées de suivre les mêmes règles.

Il n’y aura pas de solution unique pour se conformer correctement à ces nouvelles lois. Cela dit, les entreprises sont déjà encouragées à chercher des plateformes qui remplacent les anciennes méthodes invasives par une collecte transparente du consentement, un suivi sans cookies, des bases de données de première partie et de la publicité contextuelle.

Lorsque vous recherchez des solutions conformes aux lois DSA et DMA, n’oubliez pas de travailler avec des partenaires qui soutiennent des valeurs telles que le privacy by design (protection des données dès la conception). Ces bonnes pratiques vous permettront de mieux contrôler et comprendre les données que vous collectez. D’autant plus que la transparence contribuera à une relation de confiance avec vos clients.

Lisez les articles ci-dessous pour apprendre comment Piwik PRO Analytics Suite gère les données personnelles et protège la confidentialité en ligne des utilisateurs :