L’apport des nouveaux règlements sur la protection des données en droit communautaire : DMA et DSA

Source : https://www.vertuoz.fr/fr/blog/20463-rgpd-synthese-du-reglement-sur-la-protection-des-donnees-personnelles.html.

Un débat est né au niveau européen à la suite des évènements survenues au Capitole. Un débat est né au niveau du régime de responsabilité des plateformes en ligne par la consultation de la Commission européenne sur le Digital Services Act (DSA) et le Digital Market Act (DMA). Ils doivent permettre la mise en œuvre d’un nouveau cadre de régulation pour mettre fin à l’irresponsabilité des géants du numérique. Le 15 décembre dernier, la Commission européenne a publié les projets de règlements du Digital Services Act et Digital Market Act qui ont été soumis à réflexion. L’objectif est de parvenir à leur adoption pour début 2022 face au Parlement européen. La France travaille activement avec la Commission européenne en poussant l’Union européenne à promouvoir son propre modèle fidèle à ses valeurs d’Etat régulateur qui se distingue du modèle existant de l’Union du « laisser faire ». Mais avant ces deux actes en 2016, il y avait déjà eu un premier règlement sur la protection des données.

Un règlement préexistant en matière de protection des données, mais pas suffisant.

Le règlement général sur la protection des données (RGPD) a été conçu en 2016. Il remplace la directive 95/46/CE de 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. L’ancienne directive avait pour but, à cette période, une amélioration concernant l’échange des données personnelles entre les différents États membres. Puis, le règlement est entrée en vigueur à partir du 25 mai 2018. L’Union européenne cherche par la mise en place ce texte une uniformisation et une meilleure protection des données personnelles en permettant au citoyen européen de consulter ou même de supprimer les données personnelles qui lui sont propres. À noter que le RGPD s’applique également aux entreprises non européennes, du moment qu’elles traitent des données personnelles concernant l’individu européen . C’est une différence majeure avec la directive de 1995 qui ne s’appliquait qu’aux États membres. Le traitement des données personnelles est caractérisé dès lors qu’une activité d’organisation, de conservation, de consultation, de modification de collecte (ou d’enregistrement) est effectuée au sein de l’entreprise.

Cas pratique : on souhaite organiser une sortie au restaurant dans une entreprise ou une association.

1. On demande aux personnes de s'inscrire sur une liste avec nom, prénom, disponibilité : collecte.

2. La liste va ensuite être enregistrée (sous format numérique) et conservée : Cela correspond à l'enregistrement et laconservation.

3. Cette liste est susceptible d'être modifié sur la forme afin d'avoir une meilleure visibilité et compréhension : organisation.

4. Certaines personnes vont se rétracter ou au contraire s'ajouter : modification.

5. Des membres de l'entreprise ou de l'association vont souhaiter prendre connaissance de cette liste et des personnes présentes le jour J : consultation.

Un autre but du RGPD vise à une meilleure compréhension de la façon dont les données personnelles des utilisateurs sont utilisées. L’utilisateur pourra désormais savoir comment ses données personnelles sont protégées, comment elles seront exploitées et avec qui elles sont partagées. Ces informations doivent dorénavant être enregistrées dans un registre de traitement des données personnelles. On parle souvent de la notion de « donnée personnelle » de manière assez vague mais comment la définir clairement ? Selon la Commission nationale de l’informatique et des libertés (CNIL), une donnée personnelle correspond à « toute information se rapportant à une personne physique identifiée ou identifiable ». Il existe deux types d’identification :

• L’identification indirecte qui correspond à un pseudonyme, un numéro de téléphone, une plaque d’immatriculation, qui se rapporte indirectement à l’individu.

• L’identification directe qui correspond par exemple au nom et prénom, ou à l’adresse, ce qui se rapporte directement à l’individu.

En cas de non-respect au règlement, des sanctions sont envisageables : la personne morale s’expose à une amende de 10 à 20 millions d’euros ou à un montant allant de 2 à 4 % de son chiffre d’affaires.

La CNIL peut être saisie par les utilisateurs sous la forme de signalement concernant une question relative aux données personnelles. Elle procède également chaque année à des contrôles sur des sujets sensibles et importants définis. De plus, elle peut également mener des enquêtes en cas de suspicion de mauvais traitement des données personnelles et est chargée de vérifier les outils de vidéosurveillance concernant les zones publiques. Il convient également de préciser que la CNIL est très proche de l’actualité relative aux données personnelles. L’exemple de la banque LCL l’illustre parfaitement. Le 23 février 2021, en raison d’une erreur apparu sur l’application, les utilisateurs ne disposaient plus de leur compte bancaire propre mais des comptes d’autres utilisateurs sans avoir eu besoin de recourir à leurs identifiants. La CNIL a donc été saisie à la suite de cette affaire et sera chargée de vérifier que cet incident est indépendant de la volonté de l’entreprise et de veiller à ce que la banque offre (à l’avenir) une meilleure protection des données personnelles des usagers.

Le Digital Services Act : une législation prévue pour mettre fin à l’hégémonie des GAFAM*
*(géants du web : Google, Apple, Facebook, Amazon et Microsoft)

Cette réforme majeure de la réglementation du numérique, qui s’inscrit dans le cadre de la stratégie Shaping Europe’s Digital Future annoncée par la Commission européenne en février 2020, vient combler les législations actuelles inadaptées et insuffisantes face à l’émergence de plateformes si puissantes que l’on parle désormais d’une « souveraineté numérique » pouvant concurrencer les souverainetés étatiques.

La proposition du Digital Services Act est composée de 74 articles ainsi que de 106 considérants introductifs qui vise à la mise en responsabilité des plateformes numériques au regard des risques significatifs qu’elles induisent pour leurs utilisateurs dans la diffusion de contenus et de produits illicites, dangereux ou contrefaits. L’objectif est la recherche d’une définition de règles claires sur les responsabilités qui seront associées aux plateformes numériques. Il concerne principalement la lutte contre les contenus illicites en ligne et la transparence des plateformes et apporte des réponses sur la responsabilité des plateformes, la haine en ligne et la modération de contenus. En effet, le Digital Services Act vient actualiser et compléter les dispositions de la directive e-commerce du 8 juin 2000 en matière de régulation des contenus illicites et vient prévoir de nouvelles obligations à la charge des hébergeurs, y compris des plateformes en ligne, au regard des contenus diffusés sur leurs services. La qualification de plateforme est inédite, ainsi que ces nouvelles obligations dites de diligences qui incomberont aux différents acteurs en ligne, en fonction de la nature des services proposés.

La Commission propose donc un socle commun de règles qui sera applicable à tout hébergeur en incluant les plateformes. D’autres obligations viendront s’ajouter en fonction de la taille de ces dernières ainsi que des règles prévues par ce règlement sur les services numériques, visant à imposer des obligations aux fournisseurs de services intermédiaires en ligne, tout en luttant contre les contenus illicites en ligne et la transparence des plateformes. Par contenu illicite, le projet de règlement affirme que cela concerne « toute information, quelle que soit sa forme, qui en vertu de la loi applicable est en elle-même illégale ou se rapporte à des activités illégales ». La Commission s’engage à condamner les plateformes, si ces règles ne sont pas respectées. Des règles de responsabilité qui vont également suivre le principe de cette directive de 2000 dite « commerce électronique », où le législateur souhaitait seulement reconnaître la responsabilité de l’éditeur du contenu et ignorer celle de l’hébergeur qui ne fait, techniquement, que diffuser ce contenu.

Afin de satisfaire à ces exigences et combler ses lacunes, le DSA instaure des mécanismes de contrôle et de surveillance afin de réguler les plateformes en leur appliquant des dispositions qui soient spécifiques pour les supers plateformes. Autrement dit, le but de ce règlement est alors de responsabiliser les plateformes en lignes mais aussi les internautes tout en mettant en place une surveillance efficace. D’ailleurs, étant un règlement, il a vocation à s’appliquer directement, sans transposition en droit national, aux services intermédiaires ayant leur lieu d’établissement ou de résidence au sein de l’Union européenne.

Concernant la mise en œuvre effective du règlement, chaque État membre devra désigner une ou plusieurs autorités compétentes pour veiller à l’application du règlement et parmi elle sera désigné un coordinateur de services numériques. Ce dernier veillera à sa mission de conseil au sein d’un Comité des services numériques qui pourrait être assimilé à une nouvelle autorité administrative indépendante (AAI) ou à une autorité existante. Elle aura comme compétence un pouvoir d’enquête, de contrôle et de sanction sur les plateformes.

Concrètement, les concernés, tels que les services intermédiaires offrant une infrastructure réseau, les services d’hébergement, les plateformes en ligne, les « très grandes plateformes en ligne » (celles ayant atteint plus des 450 millions de consommateurs en Europe) se verront assigner des obligations proportionnelles à la capacité et à la taille. Parmi celles-ci, on dénombre entre autres, l’obligation de transparence des systèmes de coopération, de gestion des risques, de transparence, de la publicité en ligne, des mécanismes de plainte et de recours, et de coopération avec les autorités nationales. De plus, il est précisé que le régime de responsabilité est retenu pour les services intermédiaires même si des investigations et des mesures auraient été prises spontanément, afin de supprimer ou de rendre impossible l’accès à des produits ou services illicites. Toutefois, si le DSA a intérêt de distinguer les grosses plateformes telles que Facebook, YouTube et Twitter des autres et de rappeler l’interdiction de toute surveillance généralisée des contenus en ligne, il ne remet pas en cause le pouvoir exorbitant de censure qu’elles se sont appropriées avec souvent la complicité ou la démission des États membres de l’Union européenne.

Le Digital Markets Act : illustration un changement d’état d’esprit de l’Union européenne sur la régulation du marché.

Ce Digital Markets Act est dans le cadre d’un développement du marché unique numérique. Par ce règlement, l’Union européenne souhaite équilibrer et éviter les concentrations du marché. La détention de données présentent sur le marché est considérée comme un moyen rare, voire une infrastructure essentielle. Cette notion a été mise en avant par le droit américain qui est présent dans le Sherman Act qui est résumé par « the possession of monopoly power » et « an anticomptitive conduct ». Il n’y a concrètement aucune définition univoque de l’infrastructure essentielle, on peut évoquer le fait que la théorie est proche de l’abus de position dominante, définie par l’article 102 du Traité sur le fonctionnement de l’Union européenne (TFUE). Cet article a été mis en avant par une décision de la Commission européenne Sealink contre B&I du 11 juin 1992 : le gestionnaire du Port de Holyhead, la société de transport maritime, Sealink avait modifié ses horaires favorisant ainsi les bateaux de la société par rapport à ceux de la société B&I et rendant les conditions d’accès difficile. La société gestionnaire imposait un accès désavantageux à caractère discriminatoire. La Commission a condamné la compagnie Sealink pour abus de position dominante et a qualifié le port d’infrastructure essentielle, qui est « une installation ou une infrastructure sans laquelle des concurrents ne peuvent fournir de services à leurs clients ».

En France, il est possible de citer l'arrêt Cegedim du Conseil d’État du 29 juillet 2002. En l’espèce, le Conseil était saisi d’un recours pour excès de pouvoir contre un acte administratif fixant les tarifs de commercialisation du fichier « SIRENE », fichier qui constitue une base de données élaborée par l’INSEE, ce qui aurait pu les placer dans une position dominante sur le marché, voir un monopole, pour imposer un tarif exorbitant et/ou discriminatoire.

Ce concept d’infrastructure essentielle, va être repris et étiré aux produits et services immatériels. Pour éviter à certaines plateformes qui occupent ou devraient occuper à l’avenir une position de contrôleurs d’accès d’un marché unique. Ce contrôleur d'accès « doit autoriser les entreprises utilisatrices à promouvoir leur offre et à conclure des contrats avec leurs clients en dehors de sa plateforme » ou encore « un contrôleur d'accès doit fournir aux entreprises utilisatrices un accès aux données générées par leurs activités sur sa plateforme. » Pour le premier, on peut émettre l’exemple de Google étant propriétaire d’un système de boîte de messagerie électronique, de ne pas empêcher ses concurrents Microsoft avec Outlook, ou Yahoo, etc. de faire de la promotion par le moteur de recherche Google. Pour le second, il s'agirait de l’exemple d’un bug récurrent ou de d’empêcher de résoudre des failles de système.

Mais le plus intéressant dans ce règlement serait la création d’une entité qui serait appelé Gatekeepers (la traduction littérale de gatekeeper est portier, ou encore de contrôleur d’accès). Dans le cadre prévu par l’Union, on parle de régulateurs, ce sont les grands opérateurs qui proposent un accès à des entreprises utilisatrices, pour promouvoir leurs services. Dans le projet de règlement, ces contrôleurs d’accès sont « certaines grandes plateformes jouent de plus en plus le rôle de points d’accès ou de contrôleurs d’accès entre les entreprises utilisatrices et les utilisateurs finaux et jouissent d’une position solide et durable, qui résulte souvent de la création d’écosystèmes de conglomérat organisés autour de leurs services de plateforme essentiels, renforçant ainsi les barrières à l’entrée existantes » ; ainsi que « ces contrôleurs d’accès ont une incidence majeure sur les marchés numériques, exercent un contrôle substantiel sur l’accès à ces marchés, et sont ancrés dans ces marchés, ce qui entraîne une forte dépendance à ces contrôleurs d’accès pour de nombreuses entreprises utilisatrices ».

Cette entité cible une grande partie de plateformes. On peut avoir des moteurs de recherche, réseaux sociaux, service de communication vocale, service de messagerie, système d’exploitation etc. Ces Gatekeepers devront respecter plusieurs conditions : avoir un impact sur le marché (on parle de réaliser un chiffre de 6,5 milliards d’euros sur les trois dernières années), que la plateforme touche au moins 45 millions d’utilisateurs dont au moins dans trois États-membres, avoir une position bien établie qui perdurera sans doute dans le futur. Qu’importe donc leur lieu d’établissement ou leur siège social, le droit européen sera applicable.

Quelles seront les obligations ou restrictions à respecter ?

Les Gatekeepers ne doivent pas contraindre les utilisateurs à s’inscrire sur d’autres services accessoires comme condition d’accès au service principal, comme vendre une application sur l’App Store et se voir imposer le service de paiement d’Apple. Les Gatekeepers ne pourront pas restreindre les utilisateurs à saisir une autorité compétente concernant les pratiques du Gatekeeper ou croiser les données personnelles des utilisateurs pour d’autres services sans leur consentement. Comme expliqué précédemment, il convient également de permettre aux entreprises utilisatrices de promouvoir leur offre et de conclure des contrats avec des clients en dehors de sa plateforme, donc en ne limitant pas les potentiels clients à la seule utilisation de la plateforme.

Il reste certaines restrictions à préciser, comme celle dans laquelle la multinationale Amazon serait précisément ciblée pour l’utilisation des données commerciales des vendeurs indépendants, qui est en concurrence directe avec la multinationale, pour pouvoir analyser et revendre après, leurs propres produits, s’ils sont populaires ou attractifs. Sanction : les entreprises risqueraient de subir des amendes qui se rapporteraient à 10% des revenus ainsi que 10% dans le Digital Service Act. Si l’entreprise continue à ne pas se soumettre au règlement, il faut que l’opérateur montre que la mise en conformité risque de lui être fatale économiquement. La Commission aura trois mois pour étudier chaque demande.

Auteurs : DUVAL Alexandre ; MARTINEZ Pauline ; NITKORY Saida ; REDDEE Mehdi.

BIBLIOGRAPHIE.

Norme juridique.

• Conseil d'Etat, 10 / 9 SSR, du 29 juillet 2002, 200886, publié au recueil Lebon (CEGEDIM).
• 94/19/CE : Décision de la Commission, du 21 décembre 1993, relative à une procédure d'application de l'article 86 du traité CE (IV/34.689 - Sea Containers contre Stena Sealink - Mesures provisoires).
• Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
• Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»).
• Proposition de Règlement du Parlement européen et du Conseil, relatif aux marchés contestables et équitables dans le secteur numérique (législation sur les marchés numériques), 15 décembre 2020 : Digital Services Act (DSA) et le Digital Markets Act (DMA).
• Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Institutions officielles.

• CNIL, « Comment se passe un contrôle de la CNIL ? » [en ligne] https://www.cnil.fr/fr/comment-se-passe-un-controle-de-la-cnil.
• MINISTÈRE DE L'ÉCONOMIQUE DES FINANCES ET DE LA RELANCE, « Grandes plateformes du numérique vers le Digital Services Act et Digital Markets Act », 16 décembre 2020 [en ligne]https://www.economie.gouv.fr/digital-services-act-et-digital-markets-act#.
• MINISTÈRE DE L'ÉCONOMIQUE DES FINANCES ET DE LA RELANCE, « Le règlement général sur la protection des données, mode d’emploi (Bercy info) », 16 juillet 2019 [en ligne] https://www.economie.gouv.fr/entreprises/reglement-general-sur-protection-des-donnees-rgpd.

Thèse et mémoire.

• DEZOBRY Guillaume, La théorie des facilités essentielles. Essentialité et droit communautaire de la concurrence, L.G.D.J., coll. Thèses, sous-coll. Bibliothèque de droit international et droit de l'Union européenne, 2009.
• GOUBET Jocelyn, L’application de la théorie des facilités essentielles en Europe et aux Etats-Unis, Mémoire sous la direction de Louis Vogel, 2009-2010 [en ligne] https://docassas.u-paris2.fr/nuxeo/site/esupversions/194e4d0e-88e9-482f-8d14-4e109b15d636?inline.

Articles de doctrine.

• CRICHTON Cécile, « Le Digital Market Act, un cadre européen pour la concurrence en ligne », Dalloz Actualités, janvier 2021[en ligne] https://www.dalloz-actualite.fr/flash/digital-market-act-un-cadre-europeen-pour-concurrence-en-ligne#.YD4c0WhKhPa.
• CRICHTON Cécile, « Le Digital Market Act, un cadre européen pour la fourniture de services en ligne », Dalloz Actualités, janvier 2021 [en ligne] https://www.dalloz-actualite.fr/flash/digital-service-act-un-cadre-europeen-pour-fourniture-de-services-en-ligne#.YD4igGhKhPY.
• DE STREEL Alexandra et VEGIS Emmanuelle, « La théorie des facilités essentielles et son application aux télécommunication », Cahier du Centre de Recherche Informatique et Droit , n° 16, 1999 [en ligne] http://www.crid.be/pdf/public/4715.pdf.

Webographie (autres sources).

• G’SELL Florence, « Qu’est-ce que la souveraineté numérique ? », sciencepo.fr, juillet 2020 [en ligne]https://www.sciencespo.fr/public/chaire-numerique/2020/07/09/quest-ce-que-la-souverainete-numerique/.
• MAQUET Clémence, « Le Digital Services Act et Digital Market Act, en 6 questions », siecledigital.fr, 16 décembre 2020,[en ligne] https://siecledigital.fr/2020/12/16/digital-services-act-en-6-questions/.
• REES Marc, « Le Digital Markes Act expliqué ligne par ligne », nextinpact.fr, 25 janvier 2021 [en ligne]https://www.nextinpact.com/article/45317/le-digital-markets-act-explique-ligne-par-ligne.
• REES Marc, « Le digital Services Act expliqué ligne par ligne (1 à 24) », nextinpact.fr, 4 janvier 2021 [en ligne]https://www.nextinpact.com/article/45070/le-digital-services-act-explique-ligne-par-ligne-article-1-a-24 .
• TRUCHET Arnaud, « Bug sur l’application LCL : des utilisateurs ont eu accès aux comptes d’autres clients »,lanouvellerépublique.fr, 25 février 2021 [en ligne] https://www.lanouvellerepublique.fr/a-la-une/bug-sur-l-application-lcl-des-utilisateurs-ont-eu-acces-aux-comptes-d-autres-clients.