DMA et DSA : quel impact sur la protection des données personnelles ?

Le Digital Markets Act (DMA)¹ et le Digital Services Act (DSA)² constituent un socle législatif européen sans précédent pour réguler internet et ses risques.

Ils s’inscrivent dans la lignée des textes de portée internationale, comme le règlement général sur la protection des données personnelles (RGPD)³, dont ils complètent les dispositions. Cette complémentarité est d’ailleurs prévue par le DMA et le DSA⁴, qui confirment que ces textes s’appliquent « sans préjudice » du RGPD, mais également d’autres textes en matière de protection des données personnelles, tels que la Directive vie privée et communications électroniques⁵.

La présente alerte a pour objet d’expliquer l’articulation des nombreuses dispositions du DMA et du DSA qui portent sur les données personnelles avec celles du RGPD et de la Directive vie privée et communications électroniques, qui restent les textes de référence en la matière.

I. Le DMA : un renforcement de la protection des données personnelles en régulant la concurrence sur les marchés numériques

Le DMA a pour but d’encadrer les activités des « contrôleurs d’accès » qui fournissent des services de plateforme essentiels (ex : les moteurs de recherche, les réseaux sociaux, etc.). Pour en savoir davantage sur cette notion et les sanctions qui leur sont applicables en cas de non-respect des obligations détaillées ci-dessous, nous vous invitons à consulter notre alerte DLA Piper sur le sujet.

Les contrôleurs d’accès étant amenés à traiter un volume important de données tant personnelles que non personnelles, le DMA a donc prévu un certain nombre de dispositions venant encadrer ces traitements, lesquelles complètent et précisent la règlementation sur les données personnelles.

a. La nécessité de recueillir le consentement des utilisateurs pour certains traitements

(i) La nature des traitements soumis à consentement

Dans un objectif (i) de rééquilibrage de la concurrence entre les différents acteurs et (ii) de renforcement du contrôle des données personnelles par les personnes concernées, le DMA interdit aux contrôleurs d’accès les pratiques suivantes, sauf consentement des utilisateurs finaux⁶ :

• le traitement aux fins de la fourniture de services de publicité en ligne, des données personnelles des utilisateurs qui utilisent des sites internet et des applications logicielles de tiers reposant sur les services fournis par les contrôleurs d’accès ;
• la combinaison des données personnelles des utilisateurs du service du contrôleur d’accès avec les données collectées auprès de tous autres services fournis par le même contrôleur d’accès ou par un tiers ;
• le recours au croisement de données personnelles provenant des différents services fournis par le contrôleur d’accès, y compris d’autres services de plateforme essentiel, et vice versa ;
• l’inscription des utilisateurs finaux à d’autres services du contrôleur d’accès afin de procéder à une combinaison de leurs données

(ii) Les conditions de recueil du consentement

Les critères de validité du consentement sont ceux prévus par le RGPD, c’est-à-dire un consentement libre, spécifique, éclairé et univoque avec la possibilité de pouvoir le retirer à tout moment et de manière simple⁷. A cette fin, les contrôleurs d’accès doivent donner une plus grande liberté de choix :

• en proposant une alternative aux pratiques listées au point (i) ci-dessus par une offre moins personnalisée, mais équivalente, et en informant les utilisateurs finaux qu’ils peuvent avoir accès à cette offre à défaut de consentement ;
• en prévoyant des mesures adéquates pour la gestion du consentement, notamment à travers une solution conviviale (c’est-à-dire facilement accessible et rapide) permettant à l’utilisateur final de donner, modifier ou retirer son consentement de façon explicite, claire et simple.

En cas de non-respect de ces conditions, les sanctions du RGPD sont pleinement applicables.

(iii) Les bases légales des traitements des contrôleurs d’accès

Le DMA prévoit que l’obligation d’obtenir le consentement des utilisateurs est sans préjudice de la possibilité pour les contrôleurs d’accès de recourir à certaines bases légales énumérées de manière limitative pour justifier de la licéité du traitement⁸. Il s’agit (i) du respect d’une obligation légale, (ii) de la sauvegarde des intérêts vitaux des utilisateurs ou d’une autre personne physique, ou encore (iii) de l’exécution d’une mission d’intérêt public. En revanche, l’exécution du contrat et l’intérêt légitime sont clairement exclus par le DMA.

b. Les règles régissant les conditions d’accès et d’utilisation des données fournies ou générées dans le cadre des services de plateforme essentiels

(i) Une interdiction des contrôleurs d’accès de traiter les données des entreprises utilisatrices et des utilisateurs finaux

Le DMA a instauré une interdiction pour les contrôleurs d’accès d’utiliser les données (notamment les données personnelles) fournies ou générées par les entreprises utilisatrices de leurs services ou par les utilisateurs finaux, dans le but de fournir des services similaires à ceux de ces entreprises utilisatrices⁹. Cette interdiction s’explique par la possibilité pour les contrôleurs d’accès d’avoir un double rôle, à la fois de fournisseur de services de plateforme essentiels et de fournisseur d’autres services pouvant être en concurrence avec ceux de ces entreprises utilisatrices¹⁰.

(ii) Une obligation d’assurer la portabilité effective des données des utilisateurs finaux

Dans le prolongement de l’article 20 du RGPD, le DMA garantit aux utilisateurs finaux un droit gratuit à la portabilité de leurs données, leur permettant d’obtenir auprès des contrôleurs d’accès un accès effectif et immédiat à leurs données collectées dans le cadre des services de plateforme essentiels concernés afin que ces données puissent être ré-utilisées par l’utilisateur ou par un tiers autorisé par l’utilisateur¹¹. L’objectif ainsi recherché par le DMA est de permettre à l’utilisateur final de reprendre le contrôle de ses données et de faciliter le changement de plateforme.

(iii) Une obligation d’assurer aux entreprises utilisatrices un droit d’accès à leurs données et à celles des utilisateurs finaux

Les contrôleurs d’accès doivent assurer aux entreprises utilisatrices de services de plateforme essentiels un droit d’accès aux données qu’elles et les utilisateurs finaux ont fournies ou générées dans le cadre de leur utilisation des services de plateforme essentiels¹².

Lorsque des données personnelles sont en jeu, les contrôleurs d’accès sont tenus de permettre aux entreprises utilisatrices d’obtenir le consentement de leurs utilisateurs finaux pour l’accès à leurs données et leur extraction¹³. Un tel partage des données devra être limité aux données qui sont directement liées à l’utilisation faite par les utilisateurs finaux en lien avec les produits ou services de l’entreprise utilisatrice¹⁴.

(iv) Une obligation d’assurer aux moteurs de recherche un droit d’accès à leurs données

Les contrôleurs d’accès doivent fournir aux entreprises fournissant des moteurs de recherche en ligne, un droit d’accès aux données concernant les classements, requêtes, clics et vues en lien avec les recherches gratuites et payantes générées par les utilisateurs finaux de ces moteurs de recherche¹⁵.

Ces données constituant des données personnelles, le contrôleur d’accès doit en garantir la protection, notamment contre les risques de réidentification, par des moyens adéquats, comme l’anonymisation des données, tout en préservant la qualité ou l’utilité de ces données¹⁶.

c. L’interopérabilité des données vis-à-vis des fournisseurs tiers de services de messagerie

Les contrôleurs d’accès doivent assurer et faciliter l’interopérabilité de leur messagerie (WhatsApp, Facebook Messenger, iMessage…) avec celles des fournisseurs tiers de services de communications interpersonnelles non fondés sur la numérotation (Signal, Telegram…), lorsque ces fournisseurs tiers en font la demande, en fournissant gratuitement les interfaces techniques nécessaires ou solutions similaires à cet effet¹⁷.

Conformément au principe de minimisation des données du RGPD, le DMA prévoit que le contrôleur d’accès ne doit transférer au fournisseur tiers que les données personnelles des utilisateurs qui sont strictement nécessaires à la fourniture d’une interopérabilité effective¹⁸. En outre, le contrôleur d’accès et le fournisseur tiers doivent veiller à ce que l’interopérabilité ne compromette pas la sécurité et la protection des données personnelles, conformément aux obligations qui leur incombent en vertu du RGPD¹⁹.

d. L’obligation de transparence sur les pratiques de profilage

Dans un objectif de transparence, le DMA impose aux contrôleurs d’accès de soumettre à la Commission européenne une description soumise à un audit indépendant, de toutes les techniques de profilage²⁰ mises en œuvre dans le cadre de leurs services de plateforme essentiels²¹. Le DMA leur impose également de mettre à la disposition du public un aperçu de cette description et de la mettre à jour une fois par an.

II. Le DSA : un environnement numérique sûr et responsable y compris en matière de protection des données personnelles

Le DSA a pour but d’encadrer les activités des services intermédiaires (ex : fournisseurs d’accès à internet, services cloud, etc.), des services d’hébergement, des plateformes en ligne (ex : marketplace), des très grandes plateformes en ligne et des très grands moteurs de recherche, en veillant à mieux protéger les internautes et leurs droits fondamentaux. Pour en savoir davantage sur les acteurs visés par ce texte, nous vous invitons à consulter notre alerte DLA Piper.

a. Des obligations renforcées de transparence en matière de publicité ciblée et de systèmes de recommandation

(i) La publicité ciblée

Les fournisseurs de plateforme en ligne qui présentent de la publicité sur leur interface en ligne, sont tenues de²² :

• présenter une information individualisée et plus transparente aux utilisateurs du service, notamment (ii) en identifiant chaque publicité comme une communication commerciale, (ii) en indiquant la personne pour le compte de laquelle cette publicité est présentée et (iii) en précisant les principaux paramètres utilisés pour présenter cette publicité, y compris lorsque celle-ci est fondée sur le profilage. Ces exigences s’appliquent sans préjudice des dispositions du RGPD notamment concernant le droit d’opposition au profilage et la nécessité d’obtenir le consentement avant tout traitement de données à des fins de publicité ciblée ;
• ne pas procéder à du profilage sur la base de catégories particulières de données personnelles²³, telles que l'origine raciale, les opinions politiques ou encore les convictions religieuses.

(ii) Les systèmes de recommandation

Le DSA impose aux fournisseurs de plateforme en ligne ayant recours aux systèmes de recommandation consistant à présenter sur l’interface de manière hiérarchisée les informations, de fournir aux destinataires du service une information facilement compréhensible sur²⁴ :

• les principaux paramètres utilisés dans leurs systèmes de recommandation, y compris lorsque les informations sont hiérarchisées sur la base du profilage et du comportement en ligne des destinataires ;
• les options dont ils disposent pour configurer ces paramètres via une fonctionnalité directement et aisément accessible.

b. Le renforcement de la protection des mineurs en ligne

Le DSA vient renforcer la protection des mineurs en ligne²⁵ :

• en imposant aux fournisseurs de plateforme en ligne de mettre en place des mesures appropriées et proportionnées notamment à travers des interfaces en ligne avec par défaut le plus haut niveau de protection de la vie privée, de sécurité et de sûreté des mineurs (rappelant ainsi le principe de protection des données par défaut instauré par le RGPD) ; et
• en interdisant aux fournisseurs de plateforme en ligne de présenter des publicités qui reposent sur du profilage en utilisant des données personnelles de personnes dont ils savent, « avec une certitude raisonnable », qu’elles sont mineures. Cette interdiction implique de mettre en œuvre des systèmes d’authentification d’âge fiables et qui ne nécessitent pas, conformément au principe de minimisation des données du RGPD, de traiter des données à caractère personnel supplémentaires.

c. Les obligations d’évaluation et d’atténuation des risques

Ces obligations sont au cœur du dispositif de régulation du DSA et reposent sur un ensemble de mesures visant à évaluer et atténuer les risques systémiques pouvant découler de la conception, du fonctionnement ou de l’utilisation des services des très grandes plateformes en ligne et de très grands moteurs de recherche en ligne, notamment en ce qui concerne la modération des contenus, la publicité en ligne et les systèmes de recommandation²⁶.

Parmi les catégories de risques systémiques devant être évaluées, le DSA mentionne l’incidence réelle ou prévisible de ces services sur l’exercice des droits fondamentaux, lesquels incluent le droit à la vie privée et la protection des données ainsi que le droit à la non-discrimination²⁷.

Le DSA préconise :

• d’évaluer notamment les systèmes algorithmiques sur lesquels s’appuient les systèmes de recommandation et systèmes publicitaires en étant vigilant sur les collectes de données qu’ils peuvent comporter ainsi que les processus de modération des contenus qui peuvent être automatisés ou non pour détecter et identifier des contenus illicites ou des informations contraires aux conditions générales²⁸;
• de mettre en place des mesures d’atténuation raisonnables et visant à atténuer efficacement les risques systémiques recensés, notamment en adaptant les systèmes algorithmiques pour prévenir et réduire les biais ou limiter l’exposition à la publicité²⁹.

Toutes ces mesures d’évaluation et d’atténuation peuvent impliquer des traitements de données personnelles en particulier si elles recourent à des moyens automatisés. Elles devront donc être soumises aux principes du RGPD, et en particulier au principe de nécessité et de proportionnalité, notamment dans le cadre de la modération de contenus ou de lutte contre les « contenus illicites ».

d. L’accès aux données par les chercheurs agréés

Le DSA prévoit un contrôle des très grandes plateformes en ligne et des très grands moteurs de recherche en ligne par des « chercheurs agréés » affiliés à un organisme de recherche³⁰. Ce contrôle se traduit par l’obligation pour ces plateformes de fournir aux chercheurs agréés un accès à leurs données à la seule fin de procéder à des recherches contribuant à l’identification, au recensement et à la compréhension des risques systémiques³¹ ainsi qu’à l’évaluation des mesures devant être prises pour atténuer ces risques³².

Les demandes d’accès des chercheurs devront être proportionnées et conformes au RGPD lorsqu’elles portent sur des données pouvant comporter des données personnelles. Les fournisseurs devront anonymiser ou pseudonymiser les données personnelles, sauf si cela ne permettait pas aux chercheurs de poursuivre l’objectif poursuivi³³. Des actes délégués de la Commission européenne devraient établir les conditions spécifiques dans lesquelles un partage des données avec les chercheurs pourra intervenir en conformité avec le RGPD³⁴.

Les chercheurs devront par ailleurs satisfaire aux exigences suivantes pour assurer la protection des données accédées³⁵ : (i) garantir la mise en place de mesures techniques et organisationnelles, (ii) limiter l’accès aux seules données nécessaires à la détection de risques systémiques et à l’évaluation des mesures d’atténuation (iii) s’engager à mettre gratuitement à la disposition du public les résultats de leurs recherches, sous réserve des droits et des intérêts des utilisateurs du service concerné.

Les dispositions du DMA et du DSA telles que décrites ci-dessus ayant un impact sur la protection des données personnelles sont nombreuses. Bien qu’elles ne visent pas les mêmes enjeux, elles démontrent que les données tant non personnelles que personnelles sont au cœur du fonctionnement des services que ces textes entendent réguler et visant principalement les grandes plateformes numériques. Elles peuvent soulever des questions quant à leur périmètre d’application. Il conviendra donc de bien distinguer les obligations venant éclairer l’application du RGPD qui restent soumises aux sanctions du RGPD³⁶ (notamment les conditions relatives à la validité du consentement, les bases légales du traitement, les obligations de proportionnalité et transparence, etc.) et celles venant compléter le RGPD qui relèveront du DMA³⁷ ou du DSA³⁸ (obligation de faciliter la gestion du consentement, obligation d’évaluation et d’atténuation des risques etc.) dans la mesure où elles concernent principalement des obligations mises à la charge des acteurs concernés par ces textes. Ces textes seront d’application directe à compter de la date prévue à cet effet, respectivement en mai 2023 (pour le DMA) et février 2024 (pour le DSA). La Commission européenne devra dans l’intervalle adopter un certain nombre d’actes (délégués et le cas échéant d’exécution) pour assurer leur mise en œuvre effective.

Par Denise Lebeau-Marianna, Associée, & Tess Muckensturm, Avocate - DLA Piper France LLP.

Avec nos remerciements à Adrien Roussel pour sa contribution à la préparation de cette alerte.  

¹ Le DMA a été publié au JOUE le 12 octobre 2022 et sera applicable à partir du 2 mai 2023.
2 Le DSA a été publié au JOUE le 27 octobre 2022 et sera applicable à partir du 17 février 2024, sauf s’agissant des très grandes plateformes et des très grands moteurs de recherche en ligne, à qui il s’appliquera 4 mois après leur désignation comme tels par la Commission européenne.
³ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
⁴ Considérant 12 du DMA et Considérant 10 du DSA.
⁵ Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
⁶ Article 5.2 du DMA.
⁷ Considérants 36 et 37 du DMA.
⁸ Article 5.2 et Considérant 36 du DMA.
⁹ Article 6.2 du DMA.
¹⁰ Considérant 46 du DMA.
¹¹ Article 6.9 du DMA.
¹² Article 6.10 du DMA.
¹³ Considérant 60 du DMA.
¹⁴ Article 6.10 du DMA.
¹⁵ Article 6.11 du DMA.
¹⁶ Considérant 61 du DMA.
¹⁷ Article 7.1 du DMA.
¹⁸ Article 7.8 du DMA.
¹⁹ Considérant 64 du DMA.
²⁰ Tel que défini par l’article 4.4 du RGPD.
²¹ Article 15 du DMA.
²² Considérant 68 et Article 26 du DSA.
²³ Les catégories particulières de données sont visées à l'article 9.1 du RGPD.
²⁴ Considérant 70 et Article 27 du DSA.
²⁵ Considérant 71 et Article 28 du DSA.
26 Articles 34 et 35 du DSA.
27 Considérant 81 du DSA.
²⁸ Considérant 84 du DSA.
²⁹ Considérant 87 du DSA.
³⁰ Article 40 du DSA.
³¹ Au sens de l’article 34 du DSA.
³² En vertu de l’article 35 du DSA.
³³ Considérant 98 du DSA.
³⁴ Article 40.13 du DSA.
³⁵ Article 40.8 du DSA.
³⁶ Pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent ou 20 millions d’euros, le montant le plus élevé étant retenu.
³⁷ Dont les amendes peuvent aller jusqu’à 10% du chiffre d’affaires total mondial réalisé au cours de l’exercice précédent ou 20% en cas de récidive, avec une possibilité de prévoir des astreintes jusqu’à 5% du chiffre d’affaires journalier moyen au niveau mondial.
³⁸ Dont les amendes peuvent aller jusqu’à 6 % du revenu du chiffre d’affaires mondial annuel réalisé au cours de l’exercice précédent, avec une possibilité de prévoir des astreintes jusqu’à 5 % des revenus ou du chiffre d’affaires journalier moyen au niveau mondial.