Le Digital Markets Act (DMA) est un règlement de l'Union européenne qui cible les grandes plateformes numériques agissant en tant que « gardiens d'accès » – généralement les géants technologiques qui dominent certains marchés numériques. Le DMA vise à garantir une concurrence loyale en imposant des restrictions à ces gardiens, notamment en interdisant des pratiques telles que l'auto-préférencement, le confinement des utilisateurs dans des écosystèmes et l'utilisation déloyale des données des utilisateurs professionnels. Il complète le Digital Services Act (DSA) et est entré en vigueur en mai 2023, la conformité devant être respectée à partir de mars 2024.
Si votre entreprise opère en ligne dans l'UE ou cible des utilisateurs européens, il est essentiel de comprendre le DMA, même si vous n'êtes pas un contrôleur d'accès. Les contrôleurs d'accès sont des entreprises ayant un impact significatif sur le marché intérieur. Mais les petites entreprises peuvent également être concernées, notamment si elles interagissent avec des plateformes de contrôleur d'accès ou s'appuient sur elles. La conformité peut impliquer des modifications en matière d'interopérabilité, d'accès aux données, de transparence publicitaire et de pratiques de consentement des utilisateurs.
Les entreprises doivent s'assurer que les utilisateurs font des choix éclairés, librement et sans contrainte, en alignant les pratiques de consentement sur les normes du RGPD. Un concept central du DMA est l'exigence du consentement explicite de l'utilisateur pour le traitement des données, en particulier lorsque les données personnelles sont combinées entre plusieurs services. Le simple regroupement du consentement dans les conditions générales ou l'utilisation de modèles manipulatoires (appelés « dark patterns ») ne sont plus acceptables en vertu du DMA.
Pour garantir la conformité au DMA, les entreprises doivent :
Déterminer le rôle du DMA :
Déterminez s’ils sont qualifiés de « gardiens » selon les critères de la DMA.
Examiner les pratiques en matière de données :
Examinez comment les données sont collectées, traitées et combinées sur toutes les plateformes.
Mettre à jour les mécanismes de consentement :
Mettre à jour les mécanismes de consentement pour garantir que les utilisateurs sont informés et que le consentement est donné librement.
Politiques d'évaluation :
Contrats d'audit, règles de plateforme et politiques de transparence algorithmique.
Document de conformité :
Préparez et conservez une documentation complète pour démontrer la conformité.
La DMA s'applique principalement aux plateformes numériques désignées comme contrôleurs d'accès par la Commission européenne. Un contrôleur d'accès :
Réalise généralement un chiffre d'affaires annuel dans l'UE d'au moins 7,5 milliards d'euros ou une valeur marchande d'au moins 75 milliards d'euros ;
Fournit des services de plateforme essentiels (tels que des moteurs de recherche, des boutiques d'applications, des réseaux sociaux, etc.) à plus de 45 millions d'utilisateurs mensuels dans l'UE ;
Opère dans au moins trois États membres de l'UE ;
Cependant, les entreprises non contrôleurs d'accès doivent néanmoins s'adapter aux règles qui leur sont imposées, en particulier si elles utilisent ces plateformes ou en dépendent. Par conséquent, la sensibilisation et la conformité indirecte sont nécessaires pour de nombreuses entreprises numériques.
La loi européenne sur l'IA recoupe les lois sur la confidentialité des données telles que le RGPD et confère ainsi un certain nombre de droits en matière de confidentialité des données aux consommateurs, notamment :
Les consommateurs doivent donner un consentement spécifique, éclairé et sans ambiguïté, sans aucune tactique de manipulation, et ont le droit de retirer leur consentement à tout moment.
Les consommateurs doivent pouvoir transférer facilement leurs données vers d’autres services et savoir qu’il existe une interopérabilité entre eux.
Les gardiens ne peuvent pas privilégier eux-mêmes leurs propres services et produits et doivent permettre aux utilisateurs de désinstaller les applications préinstallées qui font partie des plateformes des gardiens.
Les consommateurs sont autorisés à se plaindre de tout non-respect des règles par les contrôleurs.
Les consommateurs ont le droit de savoir comment leurs données sont collectées, utilisées et partagées.
Les pratiques de consentement aux cookies sont particulièrement importantes dans le cadre de la DMA, car cette loi vise à empêcher les contrôleurs d'accès d'utiliser des cookies pour combiner les données des utilisateurs entre différents services ou plateformes.
La DMA exige que :
les utilisateurs puissent choisir d'accepter ce suivi ;
un refus ne doit pas entraîner de dégradation du service ;
les bannières de cookies et les outils de consentement soient clairs, conviviaux et entièrement conformes ;
les choix de cookies soient respectés d'une session à l'autre ;
les utilisateurs peuvent facilement retirer leur consentement.
Le non-respect de la DMA peut entraîner des sanctions importantes, notamment :
Des amendes pouvant atteindre 10 % du chiffre d’affaires annuel mondial de l’entreprise, ou jusqu’à 20 % en cas d’infractions répétées.
Des astreintes pouvant atteindre 5 % du chiffre d’affaires quotidien en cas de non-respect persistant.
Dans des cas extrêmes, la Commission européenne peut imposer des mesures correctives structurelles, comme exiger d’une entreprise qu’elle cède certaines parties de ses activités.
La conformité avec la DMA peut être obtenue en prenant quelques mesures clés :
Examiner les pratiques en matière de données pour obtenir le consentement :
Assurez-vous d'obtenir un consentement explicite et éclairé avant de stocker ou d'accéder à des cookies non essentiels. Les cases pré-cochées et le consentement implicite ne sont pas conformes.
Proposer des choix clairs :
Permettre aux utilisateurs d'accepter ou de refuser différentes catégories de cookies sans influencer leur choix et rendre le retrait du consentement transparent
Assurer une expérience utilisateur symétrique :
Rendre « rejeter tout » aussi facilement accessible que « accepter tout » sans encombrer les options sous plusieurs clics ou avec une formulation confuse
Évitez les motifs sombres et les regroupements :
Assurez-vous que le consentement peut être donné librement, spécifiquement et non conditionnel
Mettre en œuvre la gestion du consentement :
Des plateformes comme CookieHub offrent un moyen simple de gérer le consentement des consommateurs pour le traitement des données
Rester en conformité n'est pas seulement une obligation légale, mais aussi une nécessité concurrentielle.
Une plateforme complète de gestion du consentement comme CookieHub peut aider les entreprises à se conformer au DMA en fournissant des outils pour collecter, gérer et documenter le consentement valide des utilisateurs de manière transparente et conforme au RGPD, garantissant ainsi aux utilisateurs des choix clairs et précis et la possibilité de retirer leur consentement à tout moment.
La DMA cible les grandes plateformes en ligne agissant en tant que « contrôleurs » afin de garantir une concurrence loyale et de prévenir les pratiques anticoncurrentielles sur le marché numérique dans l'ensemble de l'UE. Elle s'applique aux grandes entreprises technologiques qui fournissent des services de plateforme essentiels tels que les moteurs de recherche, les réseaux sociaux, les boutiques d'applications et les places de marché en ligne.
Un contrôleur d'accès est une grande plateforme en ligne qui contrôle l'accès à d'importants marchés numériques et constitue une passerelle essentielle entre les entreprises et les utilisateurs. Ces plateformes bénéficient d'une position économique solide, d'une base d'utilisateurs importante et exploitent des services essentiels tels que des boutiques d'applications, des moteurs de recherche, des réseaux sociaux ou des places de marché en ligne. La DMA définit des critères spécifiques pour identifier les contrôleurs d'accès en fonction de leur taille, du nombre d'utilisateurs et de leur impact sur le marché intérieur.
Les données personnelles désignent toute information relative à une personne identifiée ou identifiable, telle que les noms, les adresses e-mail, les données de localisation ou les identifiants en ligne, que les plateformes peuvent collecter, traiter ou utiliser dans leurs services.
Les données sensibles comprennent les informations personnelles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques, les informations sur la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne.
La Commission européenne est la principale autorité de régulation chargée de faire respecter la DMA et de superviser sa conformité dans les États membres de l’UE.
Les règles du DMA s'appliquent spécifiquement aux acteurs qui respectent certains seuils de taille et d'impact sur le marché. Les plateformes numériques et les entreprises de plus petite taille qui ne répondent pas à ces critères sont exemptées de la réglementation du DMA.
Des informations plus détaillées et des documents officiels sont disponibles sur le site Web de la Commission européenne consacré au Digital Markets Act.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
