Nous examinons aujourd'hui le rapport d'information sur le Digital market act. La proposition de règlement, présentée par la Commission en décembre dernier, prévoit d'imposer des obligations spécifiques aux grandes plateformes numériques en tant qu'elles sont des gatekeepers, c'est-à-dire des « contrôleurs d'accès » à un marché en ligne. Il s'agit d'une évolution profonde de la régulation européenne qui passerait d'un contrôle ex post des abus de position dominante à des exigences ex ante.

La période est un peu insolite pour présenter un rapport, mais l'actualité de ce rapport est telle qu'il me semblait important qu'il fût présenté avant la pause estivale.

Le rapport porte sur le projet de Digital Market Act (DMA), c'est-à-dire sur l'une des deux parties du paquet législatif présenté par 15 décembre dernier. L'autre partie, le Digital Service Act, fera l'objet d'un autre rapport présenté par Aude Bono-Vandorme et Constance Le Grip. J'ai souhaité, pour ma part, que nos travaux soient terminés suffisamment tôt pour qu'ils puissent contribuer utilement aux débats à venir au Parlement européen à la rentrée. Les travaux au Parlement et au Conseil devraient aboutir l'an prochain, la présidence française du Conseil s'y emploiera.

L'objectif du DMA est de résoudre les problèmes structurels posés par les « grandes plateformes » désignées sous le nom de « contrôleurs d'accès », gatekeeper en anglais – si vous le voulez bien, je continuerai à employer la forme anglaise qui me semble finalement plus simple. Il s'agit, pour dire les choses clairement, des GAFAM (Google, Apple, Facebook, Amazon, Microsoft) et de quelques autres entreprises de l'économie numérique qui ont acquis un quasi-monopole au niveau mondial et un pouvoir de marché démesuré.

Alors pourquoi ce nouveau texte, le DMA ? Eh bien parce que le droit classique de la concurrence était trop lent, comme l'a montré la succession d'affaires relatives aux GAFAM depuis le début des années 2010. Les sanctions arrivent trop tard, sont peu dissuasives, et entre-temps de nouvelles pratiques sont intervenues qui nécessitent de nouvelles procédures.

La Commission a donc proposé une régulation ex ante, c'est-à-dire que des obligations sont imposées sans qu'il soit besoin de constater une violation effective du droit de la concurrence – un petit peu comme si on présumait un abus de position dominante. Cela permet d'interdire certains comportements avant même qu'ils soient mis en place, et de réagir plus vite en cas de manquement.

Le texte a naturellement suscité beaucoup de critiques de la part des GAFAM. Par ailleurs, des universitaires et des think tanks ont dénoncé le caractère discriminatoire du texte, puisqu'il s'agit d'une régulation asymétrique (seules quelques entreprises, essentiellement américaines, seront concernées) mais aussi le manque de visibilité et de sécurité juridique pour les entreprises en question.

L'idée générale du rapport est de dire que l'insécurité juridique est surtout due à la rédaction même du texte, à un travail insuffisant sur les définitions et à des procédures peu adaptées. Il est donc possible de gagner à la fois sur le plan de la sécurité juridique et de l'efficacité sans renoncer aux ambitions du texte ou à l'exigence de flexibilité. Le rapport montre ainsi, et ce sera le cheminement de mon exposé, que les concepts fondamentaux à la base du texte doivent être précisés voire repensés, sans recours aux actes délégués ; ensuite, que les obligations doivent être présentées de manière plus claire sinon il sera impossible de les faire appliquer correctement et de les adapter ; enfin, que les autorités nationales de régulation doivent être associées à la mise en œuvre du texte.

J'ajoute qu'au-delà des auditions et des publications existantes, nous avons essayé le plus possible de formuler des propositions et des solutions originales.

Tout d'abord, il faut revoir les concepts fondamentaux et les procédures de désignation pour améliorer la sécurité juridique. Les concepts fondamentaux doivent être clarifiés. Ces concepts, qui servent de base aux procédures, sont définis de manière ambiguë ou incohérente par rapport aux autres textes européens, même récents comme le règlement Plateform to business (P2B). Par exemple, les concepts d'entreprises utilisatrices, d'utilisateur final ou de fournisseurs de service n'ont pas toujours une définition cohérente.

Il faut dire aussi que la traduction française du texte n'est pas toujours de bonne qualité, ce qui ajoute une difficulté supplémentaire et rend l'ensemble complètement illisible.

J'aimerais m'arrêter sur le concept le plus fondamental de tous, celui de « service de plateformes essentiel », puisque les obligations ne concernent que ces services de plateforme des gatekeepers. Or le texte ne donne pas une véritable définition de ces services essentiels, mais simplement, en guise de définition, une liste un peu arbitraire.

Quand on regarde la liste, on s'aperçoit qu'elle est particulièrement longue et que loin de ne comprendre que des services de plateforme « essentiels », elle comprend aussi des services qui ne sont pas, à proprement parler, des services de plateforme ! Au sens strict, un service de plateforme est un service d'intermédiation qui met en relation par exemple un vendeur et un acheteur ou, de manière générale, des entreprises et leurs clients. Or dans la liste on trouve, à côté des services d'intermédiation en ligne, des moteurs de recherche, des systèmes d'exploitation et des réseaux sociaux – qui sont en effet les services principaux proposés par les GAFAM –, des services qui n'ont pas le caractère de plateforme : je pense aux services de cloud, aux messageries et aux services de publicité. À propos des services de publicité, la Commission elle-même a dû se rendre compte qu'il y avait un problème, puisqu'elle précise qu'ils ne seront considérés comme des services de plateforme « essentiels » que pour autant qu'ils sont proposés par le fournisseur d'un autre service de plateforme essentiel…

Et à côté de cela, il manque certains services à la liste, notamment les assistants vocaux, qui sont actuellement assimilés à des « moteurs de recherche », mais qui présentent des spécificités qui ne sont pas prises en compte par le texte. Il manque aussi les navigateurs web, qui sont pourtant un élément important de l'écosystème Apple et Google.

Le rapport propose donc de séparer les « services de plateforme » en deux catégories :

- les services de plateforme « essentiels » au sens strict, c'est-à-dire au cœur d'un écosystème de plateforme ( core plateform services en anglais) ;

- les services de plateforme « non essentiels » ou « secondaires », qui ne sont pas au cœur de l'écosystème, mais qui contribuent à renforcer sa capacité de verrouillage grâce à des synergies.

Dans cette deuxième catégorie, on trouverait le cloud, les services de publicité, de messagerie, et les navigateurs.

L'intérêt de cette distinction serait d'écarter du champ du texte les acteurs qui ne proposent que des services de plateforme « secondaires », tout en prenant en compte l'ensemble des services proposés par les gatekeepers, y compris donc leurs services secondaires. Concrètement, un acteur qui ne fait que du cloud ne sera pas considéré comme un gatekeeper. En revanche, les activités cloud de Microsoft, Apple, etc., seront concernées, avec des obligations spécifiques, puisqu'elles sont liées à d'autres services au sein d'un même écosystème. Cette distinction entre des services « cœur de métier » et des services connexes permettrait donc de mieux cerner la dimension « écosystémique » des grandes plateformes.

Ensuite, la méthodologie de désignation des gatekeepers doit être simplifiée et améliorée. Et c'est précisément cette dimension écosystémique qui est absente, également, de la procédure de désignation des gatekeepers.

La désignation des gatekeepers est excessivement complexe, à cause de l'existence de deux procédures concurrentes mais pas indépendantes, l'une fondée sur des critères qualitatifs, l'autre sur des critères quantitatifs. En pratique, la procédure fondée sur des critères quantitatifs risque de se substituer à la procédure fondée sur des critères qualitatifs, qui est pourtant bien plus pertinente, parce qu'elle permet de mieux cibler les entreprises véritablement problématiques. À l'inverse, la procédure quantitative pourrait défavoriser les entreprises européennes, qui sont naturellement plus puissantes sur leur marché domestique sans forcément avoir une position dominante au niveau mondial.

Les critères quantitatifs, d'ailleurs, ne sont pas suffisamment bien définis dans le texte, puisque la notion « d'entreprise » et de « chiffre d'affaires » est floue. La Commission a prévu de les préciser par voie d'actes délégués, ce qui n'est pas satisfaisant. Les seuils ne sont pas suffisamment affinés en fonction des types de services de plateforme. Par exemple, il faut qu'une plateforme rassemble 10 000 utilisateurs professionnels pour être considérée comme un « service de plateforme essentiel » : pour un service d'intermédiation comme une marketplace c'est dérisoire, mais pour d'autres services cela peut être beaucoup !

Il faudrait donc préciser dans le texte lui-même les critères quantitatifs, en tenant compte de la nature de la plateforme, et affirmer clairement que ces critères n'ont qu'une portée indicative. Le rapport propose en toute logique de supprimer le recours aux actes délégués en la matière ainsi que la possibilité de désigner un gatekeeper uniquement à partir de critères quantitatifs.

Corrélativement, il faudrait renforcer la procédure qualitative et insister sur la dimension écosystémique des gatekeepers. Une entreprise ne devrait pas pouvoir être désignée comme gatekeeper si elle ne propose pas au moins deux services de plateforme. Rien n'empêchera de réguler dans un second temps les « gatekeepers sectoriels » comme Booking ou Airbnb.

Pour mieux tenir compte de cette dimension écosystémique, il faudrait en outre qu'un gatekeeper puisse se voir imposer des obligations minimales sur ses services de plateforme qui, sans être en position dominante, profitent d'un « effet écosystème » en s'appuyant sur les données et les capacités d'investissement du gatekeeper. Typiquement, le service de vidéo à la demande compris dans l'abonnement d'Amazon n'est pas en position dominante, mais si un jour il le devient, il sera dans une situation presque impossible à contester pour la concurrence.

Un autre critère qualitatif dont ne tient pas suffisamment compte le texte, c'est la présence ou non d'alternatives viables à la plateforme du gatekeeper et la liberté de choix des utilisateurs, notamment des utilisateurs finaux. De manière générale, le texte néglige la liberté de choix des consommateurs, comme on le voit aussi dans l'analyse des obligations de fond.

J'en viens donc à la deuxième partie, relative aux obligations elles-mêmes. Leur portée et leurs objectifs doivent être précisés pour gagner en clarté, en souplesse et en efficacité.

Les obligations poursuivent deux objectifs : d'une part, la contestabilité, c'est-à-dire la possibilité d'une concurrence effective et d'autre part, l'équité, c'est-à-dire le partage de la valeur entre les gatekeepers et leurs utilisateurs professionnels

Ces deux objectifs sont liés, puisqu'il est fréquent qu'un gatekeeper utilise sa position de monopole pour imposer des conditions financières inéquitables. Il s'agit néanmoins de deux objectifs distincts. Par exemple, le fait d'interdire à Apple d'imposer une commission de 30 % sur toutes les transactions qui passent par son app store – interdiction qu'il faudrait rendre explicite et généraliser à l'ensemble des services d'intermédiation – ne vient pas remédier à un problème de concurrence, mais à un déséquilibre structurel entre un contrôleur d'accès en situation de quasi-monopole et des entreprises utilisatrices qui ne peuvent pas atteindre leurs clients sans cette plateforme.

Il faudrait ajouter explicitement au texte un troisième objectif, la liberté de choix des utilisateurs finaux. La liberté de choix est bien sûr liée à la diversité de l'offre et donc à la contestabilité des marchés, mais elle devrait aussi être prise en compte comme un objectif à part entière. Dans certains cas, le texte défend clairement les intérêts des entreprises concurrentes au détriment de l'intérêt des consommateurs, par exemple en donnant aux vendeurs le droit de vendre sur plusieurs plateformes, mais pas sur leur propre site. Le texte défend donc les intermédiaires et leur droit à toucher une commission, plutôt que le droit d'acheter directement et moins cher au fournisseur.

Mais surtout, le problème vient du fait que le texte ne précise pas, pour chaque obligation, l'objectif principal qu'elle poursuit, ni le résultat attendu de la bonne application du texte. Il sera donc relativement facile pour les gatekeepers de respecter la lettre des obligations mais d'atteindre de manière détournée les effets que ces obligations ont pour but d'éviter. Il existe certes un dispositif anti-contournement, mais il est laborieux et incomplet ; par exemple, il ne mentionne pas les techniques de manipulation par l'interface .

Les obligations ne précisent pas non plus à quels services elles s'appliquent. Par défaut, elles sont censées s'appliquer à tous les services de plateforme essentiels du gatekeeper. Mais certaines obligations n'ont de sens que pour certains services ; d'autres, au contraire, pourraient être appliquées à plusieurs services, mais de manière plus ou moins pertinente, car elles sont formulées de manière trop générale. Comment s'y retrouver ?

Bref : les obligations sont souvent peu claires et excessivement rigides, ce qui posera à la fois un problème de sécurité juridique et de flexibilité.

En effet, comme les obligations sont purement matérielles et que l'effet recherché n'est pas indiqué, elles seront difficiles à adapter, sauf à les modifier complètement. Actuellement, le texte prévoit la possibilité de créer de nouvelles obligations par voie d'actes délégués. Évidemment, cette procédure est souple, puisqu'elle permet à la Commission de légiférer sans le Parlement ni le Conseil… mais en l'occurrence, elle aurait l'inconvénient d'être contraire à l'article 290 du TFUE. Les actes délégués peuvent éventuellement modifier les éléments « non essentiels » d'un texte, mais certainement pas créer de nouvelles obligations.

En fait, à chaque fois qu'elle a été confrontée à une difficulté, la Commission a toujours trouvé la même solution : les actes délégués. Mais cela nuit à l'intelligibilité et à la prévisibilité de la norme et crée un risque de contentieux. La bonne solution aurait été de faire un effort sur la conception du texte même et sur sa rédaction.

La proposition du rapport est donc la suivante : définir précisément des obligations service par service, et les classer par catégories de plateforme, en précisant à chaque fois l'objectif principal et le but recherchés. Les actes délégués pourront seulement permettre d'actualiser les obligations et de préciser par quels moyens l'effet recherché par chaque obligation doit être atteint, sans rien changer à la liste des obligations et à l'effet recherché par chacune d'elles.

Le rapport propose aussi de renforcer, sur le fond, les obligations existantes ou de soumettre au régime systématique de l'article 5 certaines obligations actuellement soumises au régime plus souple de l'article 6. Je n'entre pas dans le détail ici. Le rapport propose, enfin, de créer des obligations nouvelles : rendre automatique la transmission des algorithmes au régulateur ; encadrer les changements substantiels de conditions générales d'utilisation et les rendre moins discrétionnaires ; promouvoir certaines normes minimales d'interopérabilité entre les services de réseaux sociaux. Ce dernier point est sans doute le plus délicat, nous pourrons revenir dessus si vous le souhaitez.

Enfin, la troisième partie du rapport affirme qu'il faut donner un véritable rôle aux Etats membres et aux autorités nationales de régulation pour s'assurer que la mise en œuvre du texte sera efficace.

La Commission tient à faire appliquer le texte seul, sans aide extérieure, si l'on excepte le recours ponctuel à des experts indépendants. Les Etats membres ne sont mentionnés que dans un seul article du texte, qui leur donne la possibilité de demander l'ouverture d'une enquête en vue de la désignation d'un gatekeeper, et encore à condition que trois Etats membres le demandent. Les Etats membres ne peuvent même pas demander l'ouverture d'un autre type d'enquête (enquêtes pour violations systématiques, enquêtes sur de nouvelles pratiques). Aucun rôle ne leur est attribué, si ce n'est parfois un rôle consultatif dans le cadre de la comitologie.

Bien sûr, il est légitime que les normes soient harmonisées et qu'il n'y ait qu'une autorité de décision au niveau européen, pour éviter les écarts de doctrine et apporter une réponse cohérente aux problèmes posés par les gatekeepers. Mais le texte souffre d'une procédure de mise en œuvre excessivement centralisée. Cela ne pose pas seulement des difficultés de principe liées à l'absence de contre-pouvoir, cela risque aussi de nuire à l'efficacité du texte. Au plus, la Commission disposera de 80 ETP, puisés dans d'autres services, pour la mise en œuvre du DMA. C'est dérisoire : au Royaume-Uni, l'autorité de régulation chargée du numérique, qui vient d'être créée, compte déjà 200 personnes !

Dans la version actuelle du texte, aucun mécanisme de concertation entre la Commission et les autorités nationales de régulation n'est prévu. Un tel mécanisme serait pourtant nécessaire pour créer un cadre de dialogue entre les gatekeepers et le régulateur, donner aux petites entreprises un interlocuteur susceptible de recueillir les plaintes et mobiliser les moyens des autorités nationales de concurrence au service des enquêtes de marché. S'il est vrai que les acteurs régulés par le DMA auront une dimension internationale, ses bénéficiaires seront principalement des entreprises de taille modeste et des particuliers. Pour tous ces utilisateurs, il est nécessaire que le régulateur central ait des « relais » au niveau national.

Il faudrait, surtout, s'assurer d'une bonne articulation entre le DMA, qui est fondé sur le marché intérieur (comme il s'agit d'une régulation ex ante ), et le droit de la concurrence, qui restera pleinement applicable en parallèle. Paradoxalement, les autorités nationales de concurrence n'auront pas le droit de lancer une procédure contre les gatekeepers sur le fondement du DMA, mais rien ne les empêchera de le faire sur le fondement du droit interne. Et comme il n'y a pas de mécanisme de concertation, le risque de conflits de compétence et de divergences de jurisprudence n'est pas à exclure.

Le rapport propose donc la création d'un réseau européen des autorités nationales de régulation, sur le modèle du Réseau européen de la concurrence ou du BEREC. Ces réseaux permettent de coordonner l'action des autorités nationales en matière respectivement de concurrence et de régulation des télécoms. Vu le succès de ces instances, il n'est pas compréhensible que la Commission n'ait pas pensé à créer l'équivalent pour la régulation du secteur numérique.

Le réseau européen de la régulation numérique rassemblerait les autorités nationales de régulation désignées compétentes par les différents Etats membres. Il faudrait, pour chaque État membre, une autorité « chef de file », et éventuellement d'autres autorités qui seraient associées pour apporter leur expertise dans tel secteur particulier. En France, l'autorité chef de file pourrait être l'Autorité de la concurrence ou l'ARCEP (qui a davantage l'habitude de la régulation ex ante ) ; la CNIL pourrait également être associée pour l'application des obligations qui impliquent la gestion et la protection des données.

Ce réseau de coordination permettrait aux autorités nationales d'exercer les fonctions suivantes : faire un travail d'analyse et « faire remonter » à la Commission les informations pertinentes et les anomalies qu'elle constate ; jouer le rôle de médiateur ou de mécanisme de règlement des différends ; recueillir les plaintes des particuliers et des entreprises et décider de les traiter elle-même ou de les renvoyer à la Commission ; demander à la Commission d'ouvrir une procédure d'infraction à l'encontre d'un gatekeeper ; participer activement aux enquêtes décidées par la Commission et bénéficier, par délégation, de ses pouvoirs d'instruction.

Pour conclure : je suis favorable à la démarche et aux objectifs du DMA, car nous avons besoin d'une régulation ex ante pour résoudre des problèmes structurels posés par les gatekeepers. Mais nous regrettons le manque de clarté du texte, concernant les procédures aussi bien que les normes de fond. Cela risque de nuire à sa bonne mise en œuvre, de même que l'absence de mécanisme de coordination des autorités nationales de régulation. Si nous voulons que le DMA soit un succès, il faut donc renforcer les fragilités juridiques du texte et construire une véritable architecture de régulation.

Comme souvent avec les textes européens, les différences de traditions juridiques posent des difficultés. Il est d'autant plus nécessaire que la Commission européenne et les autorités nationales de régulation travaillent ensemble.

Les propositions de votre rapport sont très précises et je crois, pour certaines, nouvelles et originales. Puisque que le texte est encore en cours de négociations et qu'il est largement possible de l'améliorer, pourquoi ne pas envisager une proposition de résolution européenne (PPRE) après la suspension estivale ?

C'est une excellente idée, madame la présidente. Nous pourrions en effet apporter une contribution utile aux débats ; si vous pensez que ce soit opportun, je travaillerai dès la rentrée à l'élaboration d'une PPRE à l'attention du gouvernement et des institutions européennes.

La commission judiciaire de la Chambre des représentants a adopté début juillet plusieurs textes visant à protéger les consommateurs et favoriser une plus grande concurrence sur Internet. Sont particulièrement visés Google, Apple, Facebook et Amazon.

Parallèlement, le président Joe Biden a signé un vaste décret ce 9 juillet 2021 dont l'ambition est de promouvoir la concurrence dans l'économie américaine. Le texte (dont la référence aux lois antitrust de Roosevelt est très nette) concerne des secteurs très variés, dont bien entendu le numérique.

Parmi les mesures les plus emblématiques, on trouve la possibilité donnée aux régulateurs comme la Federal Trade Commission (FTC) de démanteler les GAFAM via des scissions imposées en cas de conflit d'intérêts entre leurs activités de plateforme et de vente. Comme en Europe, les GAFAM s'alarment des conséquences possibles du DMA.

Ces nouvelles réglementations américaines pourraient-elles ouvrir de nouvelles perspectives et inscrire les outils du DMA dans un environnement juridique plus favorable à sa mise en œuvre, si les États-Unis eux-mêmes adoptent une régulation qui s'appliquerait à ces entreprises américaines ?

C'est une très bonne chose que les États‑Unis se mettent aussi à vouloir réguler les GAFAM. Car malgré toute la volonté que l'on peut avoir au niveau européen, ces géants sont tout d'abord des entreprises américaines soumises au droit américain, et il sera toujours délicat pour nous de faire appliquer des règles de droit à portée extraterritoriale.

Le fait que le président Biden ait choisi le décret comme instrument est sans doute justifié par sa crainte que le texte, qui a été voté par la chambre des représentants, ne puisse pas passer au Sénat. Il pourrait ainsi faire en sorte que certaines dispositions votées par les démocrates puissent effectivement être appliquées.

Il se trouve que certaines de ces dispositions, nouvelles aux États-Unis, sont déjà appliquées par nos textes européens. Par exemple, sur le fait que les utilisateurs sont propriétaires de leurs données. La question de la portabilité des données, existante dans le RGPD et renforcée dans le DMA, est aussi abordée. Les États-Unis rejoignent aussi l'Union européenne sur le self-preferencing pratiqué par Google et sur le contrôle des fusions et acquisitions dans le but d'empêcher les acquisitions prédatrices.

Sur la possibilité de démantèlement, les textes américains vont plus loin que le DMA, dans la lignée de la tradition américaine qui remonte au moins à Roosevelt et que l'on a pu observer, dans le domaine des télécoms, avec le démantèlement d'ITT. De même, les Américains semblent plus ambitieux pour ce qui est de l'interopérabilité, et cela rejoint aussi une proposition du rapport. Les États-Unis vont aussi imposer à Amazon et à Apple un choix entre leurs activités d'intermédiation entre des tiers et la commercialisation de leurs propres produits.

Il y a donc une convergence entre la volonté de régulation aux États-Unis et en Europe, on ne peut que s'en féliciter.

Comme vous le soulignez, le texte ne semble pas juridiquement abouti. Est-ce que cela pourrait s'expliquer par une différence de traditions juridiques entre le droit anglo-saxon et le droit romain, le projet de règlement étant peut-être plutôt d'inspiration anglo-saxonne ? Par ailleurs, comment est accueilli le texte dans les autres États membres ?

Je ne pense pas que les imprécisions du texte viennent de la tradition anglo-saxonne : l'exigence de définitions précises et d'une méthodologie rigoureuse est partagée par tous les juristes, ce n'est heureusement pas propre au droit romain !

Le projet de DMA est généralement bien reçu dans son esprit. Tout le monde s'accorde sur la nécessité d'avoir une régulation ex ante. Certains Etats européens ont même devancé la Commission : en janvier 2021, l'Allemagne a adopté une loi pour réformer son droit de la concurrence et réguler les GAFAM. Le Royaume-Uni a suivi une voie similaire et a déjà mis en place une autorité spécifiquement dédiée à la régulation des grandes plateformes (la Digital markets unit ) qui, comme je le disais, a déjà des moyens plus importants que ceux dont la Commission sera dotée. La Commission a donc sans doute sous-évalué les efforts nécessaires à cette tâche et négligé l'importance de s'appuyer aussi sur les différents Etats membres.

La commission a ensuite autorisé le dépôt du rapport en vue de sa publication.