Quelle articulation entre le DMA et le RGPD ?

Nos avocats apportent un éclairage sur l’articulation entre les dispositions du Digital Markets Act qui touchent aux données personnelles et celles existantes du RGPD.

Points clés :

• Le DMA entre en application le 2 mai prochain.
• Il contient de nombreuses convergences avec le RGPD (consentement, fonction de vérification de la conformité, accountability).
• Certaines dispositions peuvent également entrainer des difficultés d’application simultanée (portabilité, profilage, sanctions).

Article co-rédigé avec Franceline Bidy

Le règlement (UE) 2022/1925 relatif aux marchés contestables et équitables dans le secteur numérique, connu sous le nom de « Digital Markets Act » (« DMA »), a été adopté le 14 septembre 2022, publié au Journal officiel de l’Union européenne le 12 octobre 2022 et est entré en vigueur le 1^er novembre de la même année. Le DMA entrera en application le 2 mai 2023, sauf certaines dispositions¹ qui sont applicables depuis le 1^er novembre 2022. Rappelons que s’agissant d’un règlement, le texte est applicable directement et ne nécessite pas en tant que tel de mesures de transposition nationales.

Le DMA s’applique aux services de plateforme essentiels² fournis ou proposés par des contrôleurs d’accès³ à des entreprises utilisatrices⁴ établies dans l’Union Européenne (« UE ») ou à des utilisateurs finaux⁵ établis ou situés dans l’UE.

Les dates importantes à retenir concernant l’application du DMA sont les suivantes :

Ce texte définit de nouvelles règles pour un secteur numérique équitable et compétitif.

A cette fin, l’article 5 du DMA met à la charge des contrôleurs d’accès de nouvelles obligations et interdictions, notamment :

• l’obligation de permettre aux entreprises utilisatrices de proposer les mêmes produits et services aux utilisateurs finaux par l’intermédiaire de services d’intermédiation en ligne tiers à des prix ou conditions différents de ceux proposés par les services d’intermédiation en ligne du contrôleur d’accès⁶; 
• l’encadrement de la possibilité pour le contrôleur d’accès de réutiliser, combiner ou croiser les données à caractère personnel provenant des services de plateforme essentiel⁷.

L'article 6 énonce des obligations « susceptibles d'être précisées » par la Commission européenne, par acte d’exécution⁸, telles que :

• l’obligation de permettre aux utilisateurs finaux de désinstaller toute application préinstallée sur la plateforme du contrôleur d’accès sauf logiciels essentiels au fonctionnement du système d'exploitation⁹ ;
• l’obligation pour le contrôleur d'accès de s'abstenir de traiter plus favorablement dans ses services de classement, ses propres produits ou services¹⁰.

Par ailleurs, l’article 7 du DMA aborde les obligations d’interopérabilité imposées au contrôleur d’accès.

1. CONVERGENCES ET SIMILITUDES ENTRE LE DMA ET LE RGPD

1.1. Référence au consentement du RGPD pour certains traitements de données personnelles effectués par les contrôleurs d’accès

1.1.1. Consentement des utilisateurs finaux pour réutiliser, combiner ou croiser leurs données personnelles

Le législateur européen a constaté que « Les contrôleurs d’accès collectent souvent directement les données à caractère personnel des utilisateurs finaux aux fins de la fourniture de services de publicité en ligne lorsque les utilisateurs finaux utilisent des sites internet et des applications logicielles de tiers. Les tiers fournissent en outre aux contrôleurs d’accès les données à caractère personnel de leurs utilisateurs finaux aux fins de l’utilisation de certains services fournis par les contrôleurs d’accès dans le cadre de leurs services de plateforme essentiels, par exemple des audiences personnalisées. […] Cette situation offre aux contrôleurs d’accès des avantages potentiels en ce qui concerne l’accumulation de données »¹¹.

Afin de remédier à cette situation, l'article 5.2 du DMA impose aux contrôleurs d’accès l’obligation d’obtenir le consentement de l'utilisateur final – au sens du RGPD - pour réutiliser, combiner ou croiser leurs données personnelles lorsque lesdits utilisateurs finaux utilisent les services des entreprises utilisatrices ou les autres services du contrôleur d’accès.  

L’article 5.2 du DMA impose donc également le consentement comme base de licéité du traitement de données personnelles et par défaut permet de comprendre que l’intérêt légitime du contrôleur d’accès ou l’exécution du contrat¹² ne peuvent pas être considérés comme tels au sens du RGPD.

S’agissant des conditions de validité du consentement, définies par référence au RGPD¹³ qui prévoit que le consentement valide doit être libre, spécifique, éclairé et univoque, le DMA vient préciser les moyens permettant au contrôleur d’accès de proposer une liberté de choix à l’individu lors de la collecte de son consentement par le biais de trois mesures :

• Tout d’abord, le contrôleur d’accès doit permettre aux utilisateurs finaux de consentir ou non librement aux traitements nécessitant la réutilisation, la combinaison ou le croisement de leurs données personnelles en proposant une autre possibilité (un autre service) moins personnalisée, mais équivalente. Il est également précisé que « l’autre possibilité moins personnalisée ne devrait pas être différente ou de qualité moindre par rapport au service offert aux utilisateurs finaux qui donnent leur consentement, sauf si une baisse de la qualité résulte directement du fait que le contrôleur d’accès n’est pas en mesure de traiter ces données à caractère personnel ou de connecter les utilisateurs finaux à un service »¹⁴ ;
• Ensuite, il est imposé au contrôleur d’accès de présenter une solution conviviale à l’utilisateur final pour que celui-ci puisse donner, modifier ou retirer son consentement de façon explicite, claire et simple¹⁵ ;
• Enfin, le DMA précise que les contrôleurs d'accès ne seront pas autorisés à répéter leur demande de consentement aux mêmes fins plus d'une fois au cours d'une période donnée d'un an si un utilisateur final a refusé ou retiré son consentement aux pratiques de combinaison de données, d'utilisation croisée et de connexion d'un contrôleur d'accès¹⁶.

Le DMA vient ainsi compléter les conditions prévues par le RGPD et les lignes directrices du Comité européen de la protection des données (CEPD)¹⁷ relatives au consentement¹⁸ en proposant plusieurs mesures permettant au contrôleur d’accès d’obtenir un consentement valide.

1.1.2. Consentement de l’utilisateur final nécessaire pour le partage des données personnelles entre le contrôleur d’accès et les entreprises utilisatrices

Selon l’article 6.10 du DMA, le contrôleur d’accès a l’obligation d’obtenir le consentement de l’utilisateur final avant de partager, avec les entreprises utilisatrices, ses données à caractère personnel (agrégées ou non agrégées), fournies ou générées dans le cadre de l’utilisation des services de plateforme essentiels par lesdites entreprises utilisatrices et par les utilisateurs finaux qui se servent des produits et services fournis par ces entreprises utilisatrices.

A titre d’illustration, prenons le cas d’un individu qui crée un compte sur une plateforme de vente en ligne dont l’objet est d’acquérir les produits de plusieurs entreprises utilisatrices. Lors de la création du compte, l’individu communique à la plateforme de vente en ligne ses coordonnées bancaires ainsi que son adresse postale. Nous comprenons que le consentement de l’individu sera nécessaire pour que le contrôleur d’accès puisse communiquer les coordonnées bancaires dudit individu à l’entreprise utilisatrice lui ayant vendu ses produits via la plateforme du contrôleur d’accès.

Cette disposition démontre la volonté du législateur européen de renforcer la vigilance et le contrôle des individus sur leurs données personnelles.

Cependant, l’obligation du RGPD d’obtenir un consentement spécifique pour chaque finalité pourrait rendre complexe l’application de l’article 6.10 du DMA. La question se pose de savoir comment le contrôleur d’accès obtiendra un consentement spécifique si le partage des données avec les entreprises utilisatrices poursuit plusieurs finalités - le DMA visant de manière générale une opération de traitement - le partage de données - sans indiquer de finalité spécifique - et si le contrôleur d’accès travaille avec un nombre infini d’entreprises utilisatrices. Il pourrait être nécessaire d’obtenir autant de consentements que de finalités poursuivies.

Les équipes en charge de l’application des dispositions du RGPD, du fait de leur expérience et leur expertise concernant le consentement, pourraient être mises à contribution pour l’application des dispositions de l’article 6.10 du DMA.

1.2. Similitudes entre le rôle de DPO introduit par le RGPD et la fonction de vérification de la conformité créée par le DMA

Le DMA instaure une obligation pour les contrôleurs d’accès de mettre en place « une fonction de vérification de la conformité », pouvant être constituée d’un ou plusieurs responsables de la conformité et travaillant en étroite collaboration avec l’organe de direction du contrôleur d’accès¹⁹. Cette fonction doit notamment assurer les missions d’organisation, de suivi et de contrôle des activités du contrôleur d’accès pour assurer le respect du DMA, d’information et de conseil de la direction et des employés du contrôleur d’accès, mais également de coopération avec la Commission²⁰.

Le rôle de vérification de conformité mis en place par le RGPD, quant à lui, est confié au délégué à la protection des données (plus souvent nommé « DPO », acronyme de son appellation en anglais), qui est chargé de missions similaires à celles listées par le DMA, pour ce qui est de la protection des données personnelles et de l’application du RGPD²¹.

Aucune disposition du DMA ne s’oppose à ce que la fonction de vérification de la conformité soit confiée au DPO désigné par le contrôleur d’accès qui pourrait s’appuyer sur l’organisation existante pour assister le contrôleur d’accès à respecter ses obligations au regard du DMA et du RGPD.

1.3. Référence aux obligations associées au principe d’« accountability »

De manière générale, le DMA impose aux contrôleurs d’accès de démontrer le respect des obligations découlant du texte²². Il prévoit plus précisément l’obligation pour tout contrôleur d’accès désigné depuis moins de six mois d’établir un rapport, décrivant de manière détaillée et transparente les mesures mises en œuvre pour garantir sa conformité au texte, et de remettre ce rapport à la Commission européenne²³. Ce rapport devra être mis à jour annuellement.

Une synthèse de ce rapport sera alors accessible à tous via un lien hypertexte inséré sur le site internet de la Commission européenne.

Le DMA semble créer une obligation d’« accountability » (ou « responsabilité » en français) bien connue des spécialistes de la protection des données personnelles. Cependant l’obligation d’« accountability » issue du DMA est plus stricte et précisément encadrée que celle prévue dans le RGPD, ce dernier n’imposant pas aux responsables de traitement d’adresser un rapport à l’autorité de contrôle, mais simplement d’être en mesure de démontrer le respect des obligations leur incombant conformément au règlement²⁴.

2. DIFFERENCES ET INTERROGATIONS CONCERNANT L’APPLICATION SIMULTANEE DU DMA ET DU RGPD

2.1. Différences entre le droit à la portabilité introduit par le DMA et le droit à la portabilité du RGPD

L’article 6.9 du DMA dispose que « Le contrôleur d’accès assure aux utilisateurs finaux et aux tiers autorisés par un utilisateur final, à leur demande et gratuitement, la portabilité effective des données fournies par l’utilisateur final ou générées par l’activité de l’utilisateur final dans le cadre de l’utilisation du service de plateforme essentiel concerné, y compris en fournissant gratuitement des outils facilitant l’exercice effectif de cette portabilité des données, et notamment en octroyant un accès continu et en temps réel à ces données ».

L’utilisateur final dispose d’un droit à la portabilité de ses données dans le cadre du DMA. Le même utilisateur final, nommé « personne concernée » dans le RGPD, dispose également d’un droit à la portabilité de ses données personnelles dans le cadre du RGPD si certaines conditions sont réunies²⁵.

Le contrôleur d’accès, agissant également en tant que responsable de traitement, aura donc l’obligation de respecter deux droits à la portabilité qui ne sont pas identiques.

En effet, le périmètre du droit à la portabilité du DMA, portant sur les données personnelles et non personnelles fournies par l’utilisateur final ou générées par son activité, est plus large que le périmètre du droit à la portabilité du RGPD, portant quant à lui uniquement sur les données personnelles fournies par l’individu et ne pouvant être exercé que quand la base de licéité du traitement est le consentement ou l’exécution du contrat.

Le DMA prévoit en outre que ce droit à la portabilité devra être assuré par les contrôleurs d’accès « y compris en fournissant gratuitement des outils facilitant l'exercice effectif de cette portabilité des données, et notamment en octroyant un accès continu et en temps réel à ces données »²⁶.

Cette obligation pourrait potentiellement s’avérer lourde et techniquement complexe, notamment au regard du volume de données personnelles et non personnelles traitées par les contrôleurs d’accès visés.

On peut s’interroger sur la possibilité d’exercer son droit à la portabilité simultanément sur les deux fondements et sur le droit à privilégier en cas de demande de portabilité par un utilisateur sans précision du fondement. Sur ce dernier point, le CEPD donne un début de réponse dans ses lignes directrices sur la portabilité²⁷ : « s’il ressort clairement de la demande formulée par la personne concernée que son intention n’est pas d’exercer ses droits au titre du règlement général sur la protection des données mais plutôt au titre de la législation sectorielle uniquement, alors, les dispositions du règlement général sur la protection des données relatives à la portabilité des données ne s’appliquent pas à cette demande ».

2.2. Transparence concernant les techniques de profilage : un champ d’application plus étendu instauré par le DMA

Le DMA instaure l’obligation, pour les contrôleurs d’accès, de soumettre à la Commission une description ayant fait l’objet d’un audit indépendant de toutes les techniques de profilage des consommateurs appliquées dans le cadre de ses services de plateforme essentiels²⁸. Cette description est ensuite transmise au CEPD, et un aperçu de cette description doit être publié et mis à jour annuellement par le contrôleur d’accès concerné.

Le RGPD prévoit une obligation de transparence accrue au bénéfice des personnes concernées en cas de prise de décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques sur l’individu ou l’affectant de manière significative de façon similaire²⁹. En plus des informations habituelles à fournir en cas de traitement de données personnelles, le responsable de traitement doit fournir des informations utiles concernant la logique sous-jacente de la décision, ainsi que l’importance et les conséquences du traitement pour la personne concernée. Les lignes directrices du CEPD relatives à la prise de décision automatisée³⁰ précisent que « le RGPD exige que le responsable du traitement fournisse des informations utiles sur la logique sous-jacente, mais pas nécessairement une explication complexe des algorithmes utilisés ou la divulgation de l’algorithme complet ».

Le champ d’application de l’obligation d’audit et de transparence créée par le DMA semble donc plus large que celui de l’obligation du RGPD, la première s’appliquant à tous les cas de profilage et impliquant la publication d’informations détaillées (dont semble-t-il les algorithmes utilisés) et la seconde étant restreinte aux cas de décisions automatisées ayant des effets juridiques ou significatifs sur la personne et à des informations plus générales liées à la logique sous-jacente.

2.3. Risque de cumul des sanctions du DMA et du RGPD en cas de non-respect des obligations relatives aux données personnelles

Aux termes de l’article 30 du DMA, la Commission européenne peut infliger aux contrôleurs d’accès une amende allant jusqu’à 10 % du chiffre d'affaires total réalisé par le contrôleur d’accès concerné, au niveau mondial et au cours de l'exercice précédent, lorsqu'elle constate qu’il a, volontairement ou par négligence, violé l’une des obligations prévues par les dispositions que nous venons d’évoquer. En cas de récidive, cette amende peut atteindre 20% du chiffre d’affaires.

Le RGPD prévoit, quant à lui, deux seuils de sanctions : jusqu'à 10 millions d’euros ou jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, ou jusqu’à 20 millions ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, selon les violations en cause.

Ces sanctions distinctes soulèvent plusieurs questions : en cas de violation commune, quel texte privilégier ? Est-il possible de cumuler les sanctions ? Une autorité est-elle habilitée à alerter l’autre ?

Il est à souhaiter que la coopération entre la Commission et les autorités compétentes en matière de protection des données personnelles apporte rapidement les éclaircissements nécessaires.

Conclusion

En conclusion, les interactions entre le DMA et le RGPD sont nombreuses. Selon la situation, ces interactions peuvent être positives pour les contrôleurs d’accès lorsque ces derniers ont la possibilité de capitaliser sur l’expérience et l’expertise acquises lors de l’implémentation du RGPD, pour appliquer les dispositions du DMA qui font une référence explicite au RGPD ou s’en inspirer fortement. Cependant, l’application simultanée des deux textes se révèlera très certainement complexe dans sa compréhension et sa mise en place.