L’application du Digital Markets Act et la désignation de six premiers contrôleurs d’accès par la Commission européenne ne font visiblement pas l’unanimité auprès des géants du numérique. Tenant bon face aux contestations, le Tribunal de l’Union européenne (ci-après « TUE ») a, par une ordonnance en date du 9 février 2024[1], rejeté la demande de ByteDance, propriétaire de TikTok, de suspendre la décision de la Commission la désignant comme contrôleur d’accès.
Applicable depuis le 2 mai 2023, la législation sur les marchés numériques, plus connue sous le nom de « Digital Markets Act[2] » (ci-après « DMA ») part d’un constat simple mais inquiétant de la Commission : sur les 10 000 plateformes en ligne composant l’économie numérique européenne, seul un petit nombre capte l’essentiel de la valeur générée.
Désignés sous le nom de « contrôleurs d’accès » ou « gatekeepers » par le DMA[3], ces entreprises dominent le marché du numérique et jouent le rôle de « points d’accès » entre les entreprises utilisatrices et les utilisateurs. Autrement dit, ces « gardes-barrières », en profitant de leur position économique solide et durable (des entreprises dépassant 7,5 milliards d’euros de chiffre d’affaires dans l’Union européenne (UE) ou 75 milliards d’euros de valorisation boursière), arrivent à contrôler l’accès aux marchés numériques par les entreprises utilisatrices. Il s’ensuit que les règles du marché sont souvent incapables de garantir des résultats économiques équitables pour tous les acteurs du marché numérique, s’agissant des services de plateforme essentiels[4].
Aux fins de pallier ce phénomène anticoncurrentiel et les conséquences négatives qui en découlent (dépendance des entreprises utilisatrices, comportements déloyaux des gatekeepers, ralentissement de l’innovation, hausse des prix pour les consommateurs …) le DMA fixe les conditions permettant l’identification des contrôleurs d’accès (atteinte deseuils quantitatifs en termes de chiffre d’affaires, de capitalisation boursière ou encore de nombre d’utilisateurs mensuels dans l’UE) et leur impose le respect d’un certain nombre d’obligations.
Ainsi, et si ces seuils sont atteints, l’entreprise doit elle-même notifier son statut de « contrôleur d’accès » à la Commission (article 3.3. du DMA). Néanmoins, le défaut de notification n’empêche pas la Commission de désigner, à tout moment, l’entreprise comme contrôleur d’accès.
À ce titre, la Commission a désigné les six premiers contrôleurs d’accès[5], parmi lesquels figurent Alphabet (Google), Amazon, Apple (iOS, Safari, App Store), Meta (Facebook, Instagram, Whatsapp, Messenger), Microsoft (Windows, LinkedIn) et ByteDance (TikTok).
Ces six contrôleurs d’accès doivent se conformer pleinement à toutes les obligations prévues par le DMA.
Aussi, les conséquences d’une telle désignation peuvent être lourdes pour les entreprises concernées au regard des obligations mises à la charge du contrôleur d’accès par le DMA. En effet, une fois identifié, le contrôleur d’accès se voit subordonné au respect d’une vingtaine d’obligations de transparence et d’interdictions comportementales. Parmi celles les plus significatives, on peut notamment citer l’obligation pour les contrôleurs d’accès de donner accès à leurs données de performance marketing sur la plateforme, l’obligation d’informer la Commission européenne des acquisitions et fusions réalisées ou encore l’interdiction de réutiliser les données personnelles des utilisateurs à des fins de publicité ciblée, sans leur consentement explicite.
Notons cependant que le contrôleur d’accès peut contester une telle désignation devant la justice européenne. Tel a été le cas en l’espèce de ByteDance, qui a d’ailleurs emboîté le pas à Meta, en contestant, devant le Tribunal de l’UE, la décision de la Commission européenne du 5 septembre 2023 l’ayant désignée comme contrôleur d’accès au sens de l’article 3 du DMA (ci-après la « Décision »).
En l’occurrence, ByteDance a introduit par requête au greffe du TUE un recours tenant à l’annulation de cette Décision. En parallèle de cette procédure, ByteDance a introduit une demande en référé tendant à voir ordonner le sursis à statuer de la Décision jusqu’à a ce que le TUE statue dans la procédure principale.
En substance, ByteDance faisait valoir – outre la difficulté de devoir se conformer aux obligations du DMA dans un délai court (6 mois)[6] -que sa désignation comme contrôleur d’accès lui cause des préjudices graves et ce, à plusieurs titres :
- La violation irrémédiable de la confidentialité au titre de l’article 15 du DMA intitulé «Obligation d’Audit » : cet article lui impose la divulgation d’informations confidentielles, hautement stratégiques et concurrentielles concernant notamment les pratiques de TikTok en matière de profilage des utilisateurs, susceptibles, selon ByteDance, d’entrainer un affaiblissement de sa position concurrentielle ;
- « Des modifications irréversibles du marché en raison de barrières à l’entrée » dès lors que selon ByteDance les articles 5 et 6 du DMA (obligations du contrôleur d’accès) l’empêcheront d’utiliser sa plateforme TikTok et de profiter des investissements réalisés, notamment « pour innover et offrir de nouvelles fonctionnalités et de nouveaux produits » en tenant compte des « informations tirées des données TikTok ».
Cet argumentaire n’a pas convaincu le Président du TUE qui a rejeté la demande de sursis à statuer présentée par ByteDance ayant retenu que cette dernière n’établissait pas en l’espèce que la condition d’urgence – nécessaire à la demande en référé – était remplie en ce que notamment les préjudices allégués n’étaient qu’hypothétiques. La procédure principale tendant à l’annulation de la Décision reste pendante.
Rappelons qu’après sa désignation, tout contrôleur d’accès dispose d’un délai de six mois pour se conformer pleinement à toutes les obligations fixées par le DMA. Aussi, et en l’absence de suspension de la Décision, les contrôleurs d’accès précités avaient jusqu’au 6 mars 2024 pour se mettre en conformité[7]. A défaut, la Commission pourra notamment leur infliger des amendes allant jusqu’à 10 % du chiffre d’affaires mondial total de l’entreprise, et jusqu’à 20 % en cas d’infraction répétée.
Quoi qu’il en soit, il est certain que le DMA n’a pas fini de faire parler de lui auprès des principaux concernés …
[1] Trib. UE, ord. prés., 9 févr. 2024, no T-1077/23 R, Bytedance Ltd, c./ Commission, ECLI:EU:T:2024:94
[2] Règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828
[3] Article 2, 1) du DMA : « contrôleur d’accès »: une entreprise fournissant des services de plateforme essentiels, désignée conformément à l’article 3;
[4] Par « services de plateforme essentiels », le DMA (art.2) entend l’un des services suivants: a) services d’intermédiation en ligne; b) moteurs de recherche en ligne; c) services de réseaux sociaux en ligne; d) services de plateformes de partage de vidéos; e) services de communications interpersonnelles non fondés sur la numérotation; f) systèmes d’exploitation; g) navigateurs internet; h) assistants virtuels; i) services d’informatique en nuage.
[5]https://ec.europa.eu/commission/presscorner/detail/fr/ip_23_4328
[6] Article 3, 10. DMA : « Le contrôleur d’accès se conforme aux obligations prévues aux articles 5, 6 et 7 dans les six mois suivant l’énumération d’un service de plateforme essentiel dans la décision de désignation conformément au paragraphe 9 du présent article ».
[7] https://france.representation.ec.europa.eu/informations/les-controleurs-dacces-designes-doivent-desormais-se-conformer-toutes-les-obligations-prevues-par-la-2024-03-07_en?prefLang=hu
