Les incidences du Digital Market Act (DMA) sur les données personnelles

Dans le cadre de sa stratégie numérique, les différentes institutions de l’Union européennes se sont accordées sur le Règlement relatif aux marchés contestables et équitables dans le secteur numérique (Digital Market Act – « DMA »).

Si ce texte est centré sur la concurrence, il a également une incidence sur la protection des données personnelles et, en ce sens, vient compléter le RGPD.

Le DMA introduit la notion de « contrôleur d’accès » ou « Gatekeeper »¹ sur lequel il fait peser un certain nombre d’obligations. En cas de conservation du Règlement dans sa version actuelle, seront notamment concernés par cette notion les GAFAM, mais également TikTok, Alibaba ou encore Booking.

Dans son avis relatif à la proposition de Règlement rendu le 10 février 2021, le Comité Européen de la Protection des Données soulignait les fortes imbrications entre le droit de la concurrence et la protection des données personnelles pour conclure à leur complémentarité.

Le texte comporte en effet des dispositions essentiellement liées à la protection des données. On relève ainsi l’obligation pour le contrôleur d’accès de :

s’abstenir de combiner les données personnelles provenant d’un service essentiel qu’il propose aux utilisateurs avec celles provenant d’un autre service sauf à ce que ces derniers y consentent conformément au RGPD. Par exemple, cela empêcherait la combinaison de données provenant de Facebook et avec d’autres provenant de WhatsApp ;
s’abstenir d’utiliser les données générées par les activités des entreprises (y compris par leurs utilisateurs finaux) dans le cadre de leur utilisation de ses services dits « de plateforme essentiels »², ainsi que les données fournies par ces entreprises ou utilisateurs finaux ;
assurer la portabilité des données générées par l’activité des entreprises utilisatrices ou des utilisateurs finaux ;
procurer à tout fournisseur tiers de moteurs de recherche en ligne, à sa demande et à des conditions équitables, raisonnables et non discriminatoires, un accès aux données concernant les classements, requêtes, clics et vues en lien avec les recherches générées par les utilisateurs finaux sur les moteurs de recherche en ligne du contrôleur d’accès, sous réserve d’anonymisation des données personnelles ;
permettre une mise en place du recueil du consentement de l’utilisateur aussi aisée pour les entreprises utilisatrices de ses services que pour lui-même;
faire réaliser par la Commission européenne un audit des techniques de profilage des consommateurs qu’il applique.

Les contrôleurs d’accès devront par conséquent s’assurer d’être en mesure de respecter ces nouvelles obligations et ce, avant janvier 2023, date d’entrée en vigueur de ce nouveau Règlement.

Frédéric DUMONT / Pauline BUCHE / Erwan LE GUEN

¹ En synthèse il s’agit une entreprise qui a un poids important sur le marché intérieur, assure un service de plateforme essentiel qui constitue un point d’accès majeur permettant aux entreprises utilisatrices d’atteindre leurs utilisateurs finaux, et jouit d’une position solide et durable dans ses activités.

² L’article 2 du DMA liste les services suivants : services d’intermédiation en ligne, moteurs de recherche en ligne, services de réseaux sociaux en ligne, services de plateformes de partage de vidéos, services de communications interpersonnelles non fondés sur la numérotation, systèmes d’exploitation, services d’informatique en nuage, services de publicité, y compris tous réseaux publicitaires, échanges publicitaires et autre service d’intermédiation publicitaire, fournis par un fournisseur de l’un quelconque des services de plateforme essentiels énumérés.

Image par Shutterstock

Découvrez le Livre Blanc : "Intelligence artificielle : quels enjeux juridiques"

Télécharger

Les incidences du Digital Market Act (DMA) sur les données personnelles

Abonnez vous à notre Newsletter