CET ARTICLE A INITIALEMENT ÉTÉ PUBLIÉ DANS ARCHIMAG N°371
Découvrez Le Brief de la Démat, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de la dématérialisation et de la transformation numérique !
Digital Market Act (DMA)
Le règlement européen sur les marchés numériques (Digital Market Act ou DMA) vise à mieux réguler les activités des supers plateformes numériques, à gommer leur position dominante et à réduire notre dépendance vis-à-vis d’elles. Il a aussi pour ambition de stimuler l’innovation et de garantir la liberté de choix des consommateurs européens.
Les acteurs concernés
Le DMA s’adresse en priorité aux grands "services de plateforme essentiels" qui concentrent des chiffres d’affaires très élevés (plus de 7,5 milliards d’euros par an sur trois ans) ou une forte capitalisation boursière (75 milliards d’euros) et qui cumulent près de 45 millions d’utilisateurs européens et 10 000 entreprises utilisatrices durant les trois dernières années. Ceux-ci sont considérés comme des "contrôleurs d’accès" (gatekeepers) d’internet.
À ce jour, la Commission européenne a désigné 22 services soumis à cette réglementation, parmi lesquels TikTok, Facebook, Instagram, LinkedIn, Messenger, Google Maps, Amazon, YouTube, Chrome, Safari, iOS, ou encore Windows PC OS.
Lire aussi : AI Act : la Commission européenne prépare un Bureau de l'IA
Le changement de paradigme
Le DMA va forcer les "contrôleurs d’accès" à opérer plusieurs changements. Par exemple, ils devront travailler sur l’interopérabilité de leur messagerie instantanée, ne pourront plus favoriser leur propre service ou utiliser les données personnelles d’un utilisateur dans le cadre de publicités ciblées sans son consentement explicite.
De plus, la Commission se réserve le droit d’apporter de nouveaux critères en fonction des évolutions des pratiques. Les internautes pourront ainsi demander des dommages et intérêts dans leur juridiction nationale. De son côté, la Commission pourra exiger une amende de 10 % du chiffre d’affaires mondial total (20 % en cas de récidive) en cas de non-respect.
Le calendrier
- publication au Journal officiel : 12 octobre 2022
- entrée en application : 2 mai 2023
- échéances : les acteurs concernés ont jusqu’au 6 mars 2024 pour montrer patte blanche
Digital Services Act (DSA)
En plus de vouloir mettre en avant les PME du numérique, le Digital Services Act (DSA) s’attaque au ciblage et à la recommandation algorithmique, à la désinformation et aux risques systémiques que peut engendrer l’usage des grandes plateformes numériques.
Les acteurs concernés
Le DSA concerne les fournisseurs d’accès à internet, de cloud, les marketplaces, les réseaux sociaux ou encore les plateformes de partage de contenus qui rassemblent plus de 45 millions d’utilisateurs mensuels en Europe. Une première "shortlist" de 19 acteurs (Google Search, Bing, LinkedIn, X, Wikipédia, YouTube, etc.) a été dévoilée par la Commission européenne.
Le changement de paradigme
Désormais, les plateformes numériques devront expliquer la raison du ciblage de certains contenus et s’engager à offrir une alternative de recommandation non fondée sur le profilage. Autre fait notable, la Commission européenne réclame aussi un droit de regard sur les algorithmes et demande l’organisation d’audits annuels.
Lire aussi : Les entreprises et administrations françaises au cœur de la Directive NIS 2
Par ailleurs, les plateformes numériques devront être plus transparentes sur la modération des contenus ou des comptes et se doter d’un outil de signalement de contenus illégaux relié à un "signaleur de confiance".
Pour lutter contre la désinformation, le DSA implique une analyse annuelle des risques systémiques que peuvent générer ces plateformes et moteurs de recherche sur l’incitation à la haine, les droits fondamentaux, les processus électoraux, ou encore la santé publique. Ces derniers devront accorder aux chercheurs un accès à leurs données clés pour mieux appréhender l’évolution de ces risques.
Le calendrier
- publication au Journal officiel : 27 octobre 2022
- entrée en application : 25 août 2023
- échéances : extension des acteurs concernés au 1er février 2024
Data Governance Act - DGA
Le Data Governance Act (DGA) et le Data Act (voir ci-après) s’inscrivent dans une stratégie menée par la Commission européenne pour la création d’un marché unique européen de la donnée.
Ainsi, le DGA vise à favoriser le partage des données personnelles et non personnelles, et ce précise la Commission, "au profit des citoyens et des entreprises de l’Union européenne (UE), en créant des emplois et en stimulant l’innovation". Il devrait instaurer plus de cohérence dans les pratiques de réutilisation de données, favoriser leur interopérabilité ainsi que celle des services dédiés.
Les domaines concernés
Le DGA concerne des domaines stratégiques tels que la santé, l’environnement, l’énergie, l’agriculture, la mobilité, la finance, l’industrie manufacturière, l’administration publique et les compétences.
Le changement de paradigme
Avec l’entrée en application de ce règlement, les organismes du secteur public peuvent désormais réutiliser certaines catégories de données publiques. Pour ce faire, ils doivent "respecter les conditions de réutilisation fixées par l’Administrateur général des données (AGD). Ces dernières doivent être non discriminatoires, transparentes, proportionnées, justifiées et rendues publiques", précise la Commission européenne.
Les services d’intermédiation de données constituent de nouveaux acteurs qui mettent en relation les personnes ou les entreprises qui disposent de données avec ceux qui souhaiteraient les utiliser. Là encore, l’AGD est chargé de réglementer les fournisseurs de services.
Lire aussi : Règlement eIDAS : une révision opportune
Le DGA prévoit aussi la mise en place d’un Conseil européen de l’innovation en matière de données (EDIB). Par ailleurs, le DGA formalise la notion d’altruisme en matière des données (data altruism), c’est-à-dire l’incitation au partage des données qui sont utiles à l’intérêt général.
Le calendrier
- publication au Journal officiel : 2 juin 2022
- entrée en application : 24 septembre 2023
Data Act
À l’instar et en complément du Data Governance Act, le Data Act s’inscrit dans une démarche globale. Ce règlement vient surtout spécifier qui peut créer de la valeur à partir des données et dans quelles conditions. Le Conseil de l’Union européenne liste quatre grands objectifs :
- "garantir l’équité dans la répartition de la valeur produite par les données entre les acteurs de l’environnement numérique" ;
- "stimuler le développement d’un marché des données concurrentiel" ;
- "ouvrir des perspectives pour l’innovation fondée sur les données" ;
- "rendre les données plus accessibles à tous".
Les acteurs concernés
Le Data Act vise, à différentes échelles, les fabricants et fournisseurs de services d’objets connectés et leurs utilisateurs (citoyens ou entreprises). En ce qui concerne les objets connectés, le règlement voit large, balayant ainsi les appareils électroménagers intelligents, les assistants vocaux ou encore les machines industrielles intelligentes.
Le changement de paradigme
Si la notion de protection des secrets d’affaires est bien présente dans le règlement, celui-ci prévoit tout de même que des organismes publics tels que la Commission européenne, la Banque centrale européenne et d’autres organes de l’UE puissent accéder de manière exceptionnelle (urgence publique, mission d’intérêt public…) aux données détenues par le secteur privé.
Lire aussi : 1,3 milliard d’euros pour la transition numérique et la cybersécurité en Europe
Par ailleurs, le Data Act permet aux utilisateurs de changer plus facilement de fournisseur de cloud. "Des garanties contre les transferts illicites de données ont également été introduites, de même que des normes d’interopérabilité pour le partage et le traitement des données", confirme le Conseil. "Enfin, l’avantage de cette nouvelle loi devrait être de pouvoir rendre le service après-vente de certains appareils moins cher et plus efficace."
Le calendrier
- adoption de la loi : 27 novembre 2023
- publication au Journal officiel : 22 décembre 2023
- entrée en application : à partir du 12 septembre 2025, jusqu’au 12 septembre 2027 pour certaines dispositions