Le Paquet Numérique : après le RGPD(P), le véritable RGPD ?

novembre 2nd, 2022 | Posted by Claude-Etienne Armingaud in Concurrence | Données Personnelles | e-commerce | Europe | Législation | Marketing | Réseaux sociaux | Technologies

« Le pétrole de la nouvelle économie… » C’est souvent par cette expression surannée que sont décrites les données qui résultent de notre utilisation des technologies. Dans le même temps, les géants américains du numérique enchainent les amendes pour non-respect du RGPD[1] (voir notamment la récente amende record prononcée à l’encontre d’Instagram par l’autorité de protection des données irlandaise[2]), et poussent ainsi la Commission européenne à développer de nouveaux outils afin de toujours plus encadrer les utilisations de ces données.

Cette initiative, le « Paquet Numérique », se compose respectivement des DMA[3], DSA[4] et DA[5] et ses objectifs sont clairs – suppléer le RGPD pour les autres données qui seraient issues des utilisateurs, peu important qu’elles fussent personnelles, et instaurer un partage visant une meilleur distribution d’une valeur aujourd’hui accaparée par des acteurs en position quasi-monopolistiques.

Ainsi :

  • le DSA vise à assurer la fiabilité, la prévisibilité et la sûreté de l’environnement numérique, permettant ainsi le bon fonctionnement du marché intérieur ;
  • le DA cherche à s’assurer d’une répartition équitable « de la valeur produite par les données » entre les utilisateurs des produits connectés générant ladite donnée et les fabricants de ces objets et promouvoir l’accès et l’utilisation de ces données[6] ; et
  • le DMA vise à « garantir à toutes les entreprises la contestabilité et l’équité des marchés dans le secteur numérique de l’Union là où des contrôleurs d’accès[7] sont présents, au profit des entreprises utilisateurs et des utilisateurs finaux »3.

Le Paquet Numérique s’inscrit dans la continuité des arrêts des juridictions de l’Union européenne qui soulignent les différents abus qui peuvent découler d’une place prépondérante dans ce marché en pleine expansion[8]. En témoigne le récent rejet du Tribunal de l’essentiel du recours de Google[9] contre l’arrêt de la Commission européenne[10].

Deux générations et demie de loi de Moore après la refonte du cadre général, applicables aux seules données à caractère personnel. Le Paquet Numérique s’en inspire pour mettre en place des principes de gouvernance et de conformité applicables à l’ensemble des données, qu’elles soient personnelles ou non. Une telle situation n’est pas si surprenante au regard des aspirations européennes face aux hégémonies numériques, par trop étrangères. Une évolution, plus qu’une révolution, le Paquet Numérique aspire, tout comme son aîné, à dicter le tempo mondial en la matière.

Une évolution des piliers du RGPD – Qui dit maux, dit consentement

Le Paquet Numérique couvre à la fois un périmètre plus restreint (à travers les seuils s’application du DMA) et plus large (n’étant pas astreint aux seules données à caractère personnel) que le RGPD. Cependant, il s’inspire de ses interprétations par le CEPD[11]et le complète sur certains aspects dont la mise en œuvre a vu certaines dérives.

Ainsi, les Lignes Directrices du CEPD relatives aux designs trompeurs (ou ‘dark patterns’ en anglais) sur les réseaux sociaux[12] avaient regretté la fatigue au consentement (ou ‘consent fatigue’ en anglais) qui résultait des demandes récurrentes aux utilisateurs de fourniture de leur consentement, notamment dans le cadre de la publicité en ligne. L’article 5 du DMA prend note de cette dérive et interdit au contrôleur d’accès (agissant également en responsable du traitement au sens du RGPD) de réitérer « sa demande de consentement pour la même finalité plus d’une fois par période d’un an ».

Toujours sur la publicité en ligne, le DMA semble exclure tout possibilité pour les contrôleurs d’accès de recourir aux bases légales de l’intérêt légitime et de la nécessité pour l’exécution d’un contrat, qui restent encore aujourd’hui trop souvent invoquées. Dans le même temps, le DSA[13] réaffirme la nécessité d’un consentement comme unique base légale possible pour la publicité comportementale.

Et comme un consentement ne saurait être valide sans une bonne information, le DSA souligne « la nécessité d’obtenir le consentement de la personne concernée avant de traiter ses données à caractère personnel aux fins de service de publicité »[14]. Le recueil du consentement induit une obligation renforcée de la part des plateformes de délivrer une information « manière claire et non ambiguë et en temps réel »[15] sur le fonctionnement de leur algorithme ; prérequis d’un consentement spécifique, libre et éclairé[16] de la personne concernée.

La consolidation des fondations du RGPD – Un champ vaste et des sanctions lourdes

Afin d’assurer sa mise en œuvre effective, le Paquet Numérique introduit de nouvelles sanctions financières calculées, à l’instar du RGPD, sur le chiffre d’affaires des acteurs – jusqu’à 10% (voire 20% en cas de récidive[17]) du chiffre d’affaires global de l’entreprise pour le DMA et 6% du chiffre d’affaires global pour le DSA[18]. Quant au DA[19],, il reviendra aux États membres lors de la transposition d’édicter des sanctions « effectives, proportionnées et dissuasives ».

Dans la mesure où un même comportement pourrait souffrir les griefs cumulés du RGPD et du Paquet Numérique, le cumul des sanctions demeure aujourd’hui une interrogation.

Nul doute que l’ambiguïté théorique jouera en faveur de l’effet dissuasif des sanctions, d’autant que le champs d’application retenu pour ces textes est vaste et se libère du critère de direction des activités vers un public européen :

  • Le DMA a vocation à s’appliquer à tout contrôleurs d’accès si les utilisateurs finals sont « résidents ou situés » dans l’Union européenne ;
  • Le DSA s’applique à tout service intermédiaire fourni à des bénéficiaires « résidents » dans l’Union européenne ; et
  • Le DA s’impose notamment (i) aux fabricants de produits, fournisseurs introduisant des produits apparentés sur le marché européen et les utilisateurs de ces produits et services, (ii) aux détenteurs de données qui rendent disponible ces données à des destinataires situés dans l’Union européenne,

quel que soit le lieu d’établissement de ces acteurs.

Conclusion

Au-delà de renforcer le dynamisme de l’économie européenne et la protection de ses constituants, le Paquet Numérique souligne la volonté de l’Union européenne de fixer les lignes des minima acceptables de l’économie numérique et d’inspirer le plus grand nombre de pays à s’inscrire dans ce sillage vertueux. Et au regard des nombreuses initiatives inspirées du RGPD, l’effet de contagion ou de domino, selon que l’on est un pessimiste ou un optimiste, devrait là encore se ressentir.

À notre sens, l’image des hydrocarbures n’a plus lieu d’être : les données s’apparentent plutôt à l’uranium. Un combustible pour aller de l’avant, certes, mais dont les déchets doivent être gérés avec délicatesse. Sinon, gare à l’accident.


[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, « RGPD »).

[2] Amende record à l’encontre d’Instagram à la suite de l’intervention du Comité européen pour la protection des données, CNIL, 15 septembre 2022. Disponible sur : https://www.cnil.fr/fr/amende-record-lencontre-dinstagram-la-suite-de-lintervention-du-comite-europeen-pour-la-protection

[3] Position du Parlement européen arrêtée en première lecture le 5 juillet 2022 en vue de l’adoption du règlement (UE) 2022/… du Parlement européen et du Conseil relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques).

[4] Proposition de règlement (UE) 2020/0361 du Parlement européen et du Conseil relatif à un marché intérieur des services numériques et modifiant la directive 2000/31/CE

[5] Proposition de règlement (UE) 2022/0047 du Parlement européen et du Conseil fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données, p.3.

[6] Proposition de règlement (UE) 2022/0047 du Parlement européen et du Conseil fixant des règles harmonisées pour l’équité de l’accès aux données et de l’utilisation des données, p.3.

[7] Cette nouvelle notion recouvre les acteurs ayant un impact substantiel sur les marchés numériques, tels que les moteurs de recherche à grande parts de marché, face auxquelles les entreprises à plus petite échelle demeurent dépendantes.

[8] Tribunal de l’Union européenne, décision T-604/18 ; Google LLC c/ Commission européenne. Décision notamment relative à la préinstallation d’applications natives Android et à la difficulté pour les utilisateurs de mettre en œuvre leur droit à la portabilité de leurs données (cf. §84).

[9] Communiqué de presse n° 147/22, Cour de Justice de l’Union européenne, 14 septembre 2022, Luxembourg.

[10] Résumé de la décision de la Commission du 18 juillet 2018 relative à une procédure d’application de l’article 102 du traité sur le fonctionnement de l’Union européenne et de l’article 54 de l’accord EEE (Affaire AT.40099 — Google Android).

[11] Site internet du CEPD : https://edpb.europa.eu/about-edpb/about-edpb/who-we-are_fr.

[12] Lignes directrices 3/2022 relatives aux motifs néfastes dans les interfaces des plateformes de médias sociaux : comment les reconnaître et les éviter, CEPD, adoptées le 14 mars 2022, p.14.

[13] DSA, Considérant 52 : « Les exigences du présent règlement concernant la fourniture d’informations relatives à la publicité sont sans préjudice de l’application des dispositions pertinentes du règlement (UE) 2016/679, en particulier des dispositions relatives au droit d’opposition à la prise de décision individuelle automatisée, y compris le profilage, et en particulier à la nécessité d’obtenir le consentement de la personne concernée avant de traiter des données à caractère personnel à des fins de publicité ciblée »

[14] DSA, Considérant 52

[15] DSA, Article 24.

[16] Eu égard à l’obligation de transparence de l’Article 5 du RGPD.

[17] DMA, Article 30(2).

[18] DSA, Article 59.

[19] DA, Article 33.

Première publication dans Le Journal du Management Juridique d’entreprises n°90 en collaboration avec Cmaille Scarparo, avec l’assistance de Louise Bégué

You can follow any responses to this entry through the RSS 2.0 Responses are currently closed, but you can trackback.