Digital Markets Act (DMA) : des premiers effets chez Microsoft

Le Digital Markets Act (DMA), la législation sur les marchés numériques de l’Union européenne, est enfin entré en vigueur le 1er novembre 2023 au terme de longues négociations. Par cette nouvelle réglementation, l’UE entend garantir une concurrence équitable en ligne. Le DMA vise avant tout à empêcher les « contrôleurs d’accès » (gatekeepers, en anglais) tels que Microsoft, Google, Amazon et autres d’abuser de leur position dominante sur le marché. Ce nouveau texte interdit donc certaines pratiques anticoncurrentielles des géants du numérique et les oblige à ouvrir leurs services aux applications d’autres prestataires. Le DMA commence à porter ses fruits : Microsoft a modifié les modalités d’installation de Windows pour l’Espace économique européen. Cette petite victoire n’est pourtant qu’une goutte d’eau dans l’océan.

Inscrit dans un large train de mesures législatives, le DMA est destiné à réglementer et à moderniser l’écosystème numérique de l’EU. Il vise avant tout à offrir aux petites entreprises des conditions équitables au regard de la concurrence et à veiller à ce que toutes les parties impliquées agissent en toute transparence. L’objectif ? Stimuler la force d’innovation du secteur. Le DMA prévoit que les contrôleurs d’accès n’auront plus le droit de limiter l’accès à leurs plateformes et d’accorder à leurs produits un traitement plus favorable. Par ailleurs, ils devront désormais obtenir le consentement explicite des utilisateurs pour pouvoir regrouper leurs données provenant de sources diverses. De même, ils ne pourront plus contraindre les internautes à partager avec eux des données provenant d’autres plateformes. Enfin, ils n’auront plus la possibilité d’empêcher tout utilisateur de désinstaller des applications préinstallées.

Le DMA contraint les services de plateforme à la transparence
Le DMA impose aux contrôleurs d’accès de divulguer leurs algorithmes, de faciliter l’accès à leurs plateformes aux petites entreprises et de partager leurs données avec celles-ci. Résultat à la clé : plus d’interopérabilité pour les utilisateurs. À l’avenir, ils devront également pouvoir recevoir des messages d’autres applications, notamment avec les grands services de messagerie tels que WhatsApp. Les prestataires doivent de plus donner aux utilisateurs accès à leurs données et permettre une migration vers d’autres plateformes. C’est là un moyen d’éviter les effets propriétaire et de renforcer la concurrence. Point intéressant à noter : la charge de la preuve incombe désormais aux contrôleurs d’accès. Ce sera donc à eux de prouver qu’ils se conforment au DMA. Ces nouvelles obligations de conformité imposées à Microsoft et ses comparses devraient bénéficier essentiellement aux petites et moyennes entreprises du secteur de la gestion des données. En cas de manquements répétés, les contrôleurs d’accès risquent une amende pouvant aller jusqu’à 20 % de leur chiffre d’affaires annuel. Ils pourront également se voir imposer des astreintes pouvant atteindre 5 % de leur chiffre d’affaires journalier moyen à l’échelle mondiale.

À partir de quand une entreprise est-elle considérée comme un « contrôleur d’accès » ?
Conformément au DMA, tout prestataire est considéré comme contrôleur d’accès dès lors qu’il remplit trois grands critères et qu’il fournit un service de plateforme essentiel dans l’un des domaines suivants : moteurs de recherche en ligne, services d’intermédiation en ligne, services en ligne de téléchargement de programmes informatiques ou pour téléphones portables, navigateurs Web, réseaux sociaux, plateformes de partage de vidéos, certains services de communication, assistants virtuels, services de cloud computing, services publicitaires en ligne, places de marché en ligne et systèmes d’exploitation. Les trois grands critères définis par le DMA sont la pertinence pour le marché intérieur en termes de taille, le positionnement solide et durable et le contrôle d’un point d’accès majeur utilisé comme passerelle entre les utilisateurs commerciaux et finaux.

Les six premières entreprises catégorisées comme contrôleurs d’accès par la Commission européenne sont Microsoft, Alphabet, Amazon, Apple, ByteDance et Meta. Dans le cas de Microsoft, c’est le poids de Windows et l’exploitation du réseau social LinkedIn qui ont été déterminants. La Commission européenne se penche également sur le sort de Bing, Edge et Microsoft Advertising. Les services cloud de Microsoft Azure et OneDrive ainsi que les applications Office, pourtant dominantes sur le marché, ne sont pas concernés pour le moment. Il semble qu’en la matière, le champ d’application du DMA n’aille pas encore assez loin.

Microsoft adapte Windows aux exigences du DMA
Quoi qu’il en soit, les premiers effets de la nouvelle législation de l’UE se font déjà sentir. Comme il a été annoncé, Microsoft a modifié Windows pour se conformer aux exigences du DMA, du moins à condition que l’utilisateur indique dès l’installation qu’il se trouve dans un pays de l’Espace économique européen. Celui-ci se voit alors proposer d’autres possibilités de connexion outre la solution d’authentification unique (SSO) via les services de Microsoft, par exemple. Microsoft répercute également dans tout le système le paramétrage des applications effectué par l’utilisateur et lui permet de désinstaller des applications Windows. Désormais, le prestataire demande une autorisation explicite de la part de l’utilisateur avant d’utiliser son compte Microsoft pour synchroniser ses données entre ses différents appareils Windows. De plus, les développeurs peuvent spécifier des moteurs de recherche alternatifs dans la barre de tâches de la recherche Windows. Compte tenu des exigences du DMA, Microsoft Copilot, le nouvel assistant IA de Microsoft, ne sera pas disponible pour l’instant dans la version Windows européenne. Cette mesure ne s’applique cependant pas à la plateforme cloud M365, ce qui montre bien à quel point l’application du DMA est limitée.

Le DMA n’est qu’une protection modeste contre la dépendance numérique
Même si le Digital Markets Act constitue un pas dans la bonne direction qui s’est longtemps fait attendre, on peut se demander s’il atteindra réellement ses objectifs, du moins dans le secteur des logiciels. Tant que l’application de cette loi reste ponctuelle, les contrôleurs d’accès trouveront toujours des failles, par exemple en adaptant leurs produits de manière superficielle. Notre dépendance numérique vis-à-vis des États-Unis, savamment entretenue et développée depuis longtemps, est trop importante. Les clients l’ont délibérément ignorée ces dernières années, en dépit des nombreux scandales et amendes qui ont souvent mis des contrôleurs d’accès tels que Microsoft à la une. Il est donc essentiel que les clients assument à nouveau leurs responsabilités et revoient leur stratégie. Plutôt que de se procurer le plus de logiciels possible auprès d’un seul et même fournisseur, ils feraient bien de mieux répartir les risques. Sans cela, la dépendance numérique risque d’avoir des conséquences dramatiques, danger d’autant plus réel à l’ère de l’intelligence artificielle. Il existe bel et bien une solution qui a fait ses preuves : le modèle hybride, qui mêle des services cloud fournis par plusieurs prestataires, le BYOL (« bring your own license ») et des logiciels installés sur site. Les entreprises et administrations sont alors gagnantes : elles sont plus indépendantes, courent moins de risques en termes de protection des données et peuvent profiter des effets positifs du marché des logiciels d’occasion.