En septembre et en octobre 2022, l’Union européenne s’est dotée respectivement de deux nouveaux outils normatifs visant à encadrer les plateformes numériques : le Digital Markets Act (“DMA”) (Règlement sur les marchés numériques)[1] et le Digital Services Act (“DSA”) (Règlement sur les services numériques)[2]. Ils constituent ensemble le Digital Services Act package.

Le DSA, entré en vigueur le 25 août 2023, concerne les fournisseurs de services intermédiaires en ligne (hébergeurs, fournisseurs et plateformes en lignes) et “a pour objectif de contribuer au bon fonctionnement du marché intérieur des services intermédiaires en établissant des règles harmonisées pour un environnement en ligne sûr, prévisible et fiable qui facilite l’innovation et dans lequel les droits fondamentaux consacrés par la Charte, y compris le principe de protection des consommateurs, sont efficacement protégés”[3].

Le DMA, quant à lui, entré en vigueur le 2 mai 2023, concerne les contrôleurs d’accès ainsi que leurs services de plateforme essentiels et vise à “contribuer au bon fonctionnement du marché intérieur, en établissant des règles harmonisées visant à garantir à toutes les entreprises la contestabilité et l’équité des marchés dans le secteur numérique de l’Union là où des contrôleurs d’accès sont présents, au profit des entreprises utilisatrices et des utilisateurs finaux”[4].

Ce dernier instaure un cadre de contrôle a priori des plateformes numériques, venant compléter le cadre a posteriori prévu par le droit de la concurrence, en créant le statut de “contrôleur d’accès” (I)auquel se rattachent de nouvelles obligations et interdictions (II) relevant de l’autorité de la Commission européenne (III), autant de nouvelles contraintes qui matérialisent les objectifs de protection des utilisateurs et de promotion d’une concurrence plus équilibrée entre les entreprises du marché numérique.

I. La Commission européenne a défini la liste des “contrôleurs d’accès” soumis au Digital Markets Act avec pour objectif de redynamiser la concurrence au bénéfice des consommateurs

Le DMA est applicable aux “services de plateformes essentiels” (core platform services) lorsqu’ils sont fournis ou proposés par des “contrôleurs d’accès” (gatekeepers) à des entreprises utilisatrices ou à des utilisateurs finaux établis ou situés dans l’Union, quel que soit le lieu d’établissement ou de résidence des contrôleurs d’accès et quel que soit le droit par ailleurs applicable à la fourniture des services[5].

Les “services de plateformes essentiels”, qui font partie des “services numériques”, présentent un certain nombre de caractéristiques qui peuvent être exploitées par les entreprises qui les fournissent, telles que des économies d’échelle extrême ou des effets de réseaux très importants.

Ils ne font pas l’objet d’une définition générale mais sont présentés dans le DMA au travers d’une liste de services pouvant être considérés comme tel, à savoir : les services d’intermédiation, les moteurs de recherche, les réseaux sociaux, les plateformes de partage de vidéos, les messageries en ligne, les systèmes d’exploitation, les navigateurs internet, les assistants virtuels, les services d’informatique en cloud et les services de publicité en ligne[6]. Cette liste peut être amenée à évoluer dans le cadre d’une proposition législative de la Commission européenne d’ajouter ou de supprimer certains de ces services, présentée au Parlement européen et au Conseil à la suite d’une enquête de marché[7] ouverte de sa propre initiative ou à la demande de trois Etats membres ou plus[8].

Les “contrôleurs d’accès” sont les entreprises fournissant un ou plusieurs desdits services de plateformes essentiels[9], mais répondant également à plusieurs conditions cumulatives, à savoir :

• Avoir un poids important sur le marché intérieur: (i) fournir le même service de plateforme essentiel dans au moins trois Etats membres de l’Union européenne et (ii) réaliser un chiffre d’affaires annuel dans l’Union d’au moins 7,5 milliards d’euros au cours de chacun des trois derniers exercices ou présenter une capitalisation boursière moyenne ou une juste valeur marchande sur le dernier exercice clos d’au moins 75 milliards d’euros ;
• Fournir un service qui constitue un point d’accès majeur permettant aux entreprises utilisatrices d’atteindre leurs utilisateurs finaux: fournir un service de plateforme essentiel qui a compté, au cours du dernier exercice, au moins 45 millions d’utilisateurs finaux actifs par mois établis ou situés dans l’Union et au moins 10 000 entreprises utilisatrices actives par an établies dans l’Union ;
• Jouir d’une position actuelle solide et durable dans ses activités ou jouir selon toute probabilité d’une telle position dans un avenir proche, ce qui implique de remplir les deux conditions précédentes au cours de chacun des trois derniers exercices[10].

L‘objectif du DMA est donc de permettre une concurrence plus équilibrée entre les plateformes numériques et les autres acteurs du marché numérique ainsi que les utilisateurs finaux, ces contrôleurs d’accès, qui sont concrètement les plus gros players du marché numérique, étant de fait susceptible de détenir une position dominante sur ce marché. In fine, la Commission européenne a pour ambition de limiter la dépendance des utilisateurs à l’égard des services de plateforme essentiels fournis par les contrôleurs d’accès[11].

Pour permettre à la Commission européenne de procéder à la désignation des contrôleurs d’accès, le DMA impose aux entreprises qui remplissent les conditions susmentionnées (i) d’informer la Commission sans tarder et en tout état de cause dans un délai maximum de deux mois après les avoir rempli et de lui fournir les informations pertinentes à ce sujet et (ii) d’informer la Commission des nouveaux services de plateformes essentiels qui remplissent les deux dernières conditions susmentionnées dans un délai de deux mois maximum après les avoir rempli[12].

La Commission européenne dispose ensuite d’un délai maximum de 45 jours ouvrables à compter de l’envoi des informations pertinentes pour désigner les entreprises identifiées comme contrôleurs d’accès[13]. Il doit être noté qu’elle peut également, hors désignation volontaire, procéder à une enquête de marché de sa propre initiative ou à la demande de trois Etats membres ou plus[14], en vue de vérifier si une entreprise doit se voir reconnaitre la qualité de contrôleur d’accès ou si des services de plateformes essentiels doivent être ajoutés à la décision de désignation d’un contrôleur d’accès[15]. Il est alors possible qu’elle désigne une entreprise qui remplit les conditions susmentionnées mais qui ne remplit pas chacun des seuils au vue d’autres considérations définies dans le DMA (par exemple, la taille, le nombre d’entreprises utilisatrices ou les effets d’échelle ou de réseau dont elle bénéficie)[16].

En application de ces règles, la Commission européenne a publié le 6 septembre 2023 la liste des entreprises répondant aux conditions des contrôleurs d’accès. Figurent dans cette liste 6 contrôleurs d’accès (Alphabet, Amazon, Apple, ByteDance, Meta et Microsoft) ainsi que 22 services de plateforme essentiels parmi lesquels des réseaux sociaux (Facebook, LinkedIn, TikTok, Instagram), des messageries instantanées (WhatsApp, Messenger), des navigateurs internet (Apple Safari, Google Chrome) ainsi que des systèmes d’exploitation (Google Android, iOS, Windows PC OS) ou encore des plateformes d’achat en ligne (Google Shopping, Amazon Marketplace, Meta Marketplace)[17].

La liste des contrôleurs d’accès et des services de plateforme essentiels doit faire l’objet d’un nouvel examen par la Commission au minimum tous les trois ans, étant précisé que toute décision de désignation peut être modifiée ou abrogée à tout moment par la Commission, sur demande ou de sa propre initiative, en cas de changements importants ou d’informations incomplètes, inexactes ou dénaturées[18].

II. Les “contrôleurs d’accès” définis par la Commission européenne ont six mois à compter de leur désignation pour mettre en œuvre leurs nouvelles obligations issues du Digital Markets Act

A compter de leur désignation par la Commission européenne, les contrôleurs d’accès disposent de six mois, soit en l’espèce jusqu’au mois de mars 2024, pour mettre en œuvre les obligations prévues aux articles 5, 6, 7 et 15 du DMA[19] et remettre un rapport à la Commission décrivant les mesures développées pour garantir le respect des obligations prévues aux articles 5, 6 et 7 du DMA, qu’ils devront ensuite mettre à jour au moins une fois par an[20].

Ils doivent également informer immédiatement la Commission européenne de leur projet de concentration (fusion et acquisition) le cas échéant lorsqu’ils concernent des entreprises qui fournissent des services de plateforme essentiels, des services dans le secteur du numérique ou qui permettent la collecte de données[21], et créer une fonction de vérification de la conformité qui sera notamment chargée d’organiser, de suivre et de contrôler l’application du DMA[22].

Les contrôleurs d’accès peuvent, dans certains cas exceptionnels et à certaines conditions, être suspendus par la Commission européenne du respect de certaines de ces obligations et interdictions lorsqu’ils démontrent qu’elles menaceraient leur viabilité économique dans l’Union européenne[23] ou en être exemptés pour des motifs de santé ou de sécurité publique[24].

A l’inverse, selon les nouvelles pratiques du marché, la Commission européenne peut ouvrir, de sa propre initiative ou à la demande de trois Etats membres ou plus[25], une enquête de marché afin de compléter les obligations prévues par le DMA pour remédier à ces nouvelles pratiques de manière effective[26].

III. La Commission est susceptible de mettre en œuvre ses pouvoirs d’enquête, de contrôle et de sanction à l’encontre des contrôleurs d’accès

Dans le but d’accomplir ses tâches et notamment de contrôler et d’assurer le respect par les contrôleurs d’accès des obligations prévues par le DMA, la Commission européenne dispose de larges pouvoirs, tels que des pouvoirs d’enquête (par exemple, demandes de renseignements, auditions, recueil de déclarations et inspections d’entreprise)[27], de contrôle (par exemple, accès aux documents de mise en œuvre des obligations et nomination d’experts ou d’auditeurs indépendants)[28], mais également et surtout de sanction envers les contrôleurs d’accès en cas de non-respect de leurs obligations.

Au titre de son pouvoir de sanction, la Commission peut, dans un délai de cinq ans à compter du jour où l’infraction a été commise ou a pris fin[29], prononcer des amendes allant jusqu’à 10% du chiffre d’affaires total mondial réalisé lors de l’exercice précédent et, en cas de récidive dans un délai de huit ans à compter de la première décision de sanction, jusqu’à 20% du chiffre d’affaires total mondial réalisé lors de l’exercice précédent ou, à certaines conditions, des amendes jusqu’à 1% de leur chiffre d’affaires total mondial réalisé au cours de l’exercice précédent[30].

De plus, la Commission peut, dans le même délai, prononcer des astreintes pouvant aller jusqu’à 5% du chiffre d’affaires journalier mondial moyen constaté sur l’exercice précédent pour contraindre les entreprises contrevenantes à respecter les mesures, décisions et injonctions prises par la Commission[31].

Des recours sont possibles devant la Cour de juste de l’Union européenne qui pourra alors supprimer, réduire ou majorer l’amende ou l’astreinte infligée[32].

La Commission peut également prononcer des mesures correctives comportementales ou structurelles lorsqu’elle constate, à l’issue d’une enquête de marché ouverte de sa propre initiative ou à la demande d’un ou plusieurs Etats membres[33], qu’un contrôleur d’accès à fait preuve d’un non-respect systématique, c’as-à-dire qu’il a fait l’objet d’au moins trois décisions de sanction pour non-respect des obligations prévues aux articles 5, 6 et 7 du DMA sur une période de huit ans et qu’il a maintenu, renforcé ou étendu sa position de contrôleur d’accès[34].