Proposition de résolution en application de l'article 73 quinquies du Règlement, visant à l'application stricte du cadre réglementaire numérique de l'Union européenne et appelant au renforcement des conditions d'une réelle souveraineté numérique européenne

N° 444

SÉNAT

SESSION ORDINAIRE DE 2024-2025

RAPPORT

FAIT

au nom de la commission des affaires européennes (1) sur la proposition de résolution européenne en application de l'article 73 quinquies du Règlement, visant à l'application stricte du cadre réglementaire numérique de l'Union européenne
et appelant au renforcement des conditions d'une réelle souveraineté numérique européenne,

Par Mmes Catherine MORIN-DESAILLY et Florence BLATRIX CONTAT,

Sénatrices

Voir les numéros :

AVANT-PROPOS

« Le numérique défie l'Europe : il ébranle la puissance économique traditionnelle en captant la valeur et en bouleversant secteurs et marchés ; il se joue de l'impôt et exploite la concurrence fiscale entre États membres de l'Union européenne ; il défie les règles de droit et fait advenir dans le cyberespace des règles concurrentes aux règles étatiques. »

En 2013, dans son rapport d'information intitulé « l'Union européenne, colonie du monde numérique ? »^1(*), la commission des affaires européennes du Sénat se faisait « lanceuse d'alerte » sur les risques induits par la numérisation des sociétés et des économies européennes, qui, selon elle, menaçaient la capacité des États membres de l'Union européenne à maîtriser leurs données, posaient la question de « la survie de l'esprit européen » et même de « l'avenir de la civilisation européenne ».

Douze ans plus tard, où en est l'Europe numérique ?

Après une prise de conscience tardive, l'Union européenne et les États membres ont fini par bâtir un cadre normatif inédit à l'échelle mondiale pour réguler le numérique et garantir un usage des données personnelles, incarné par le Règlement général sur la protection des données (RGPD). Puis, le règlement européen sur les marchés numériques (ou Digital Market Act - DMA), entré en vigueur le 6 mars 2024, vise à maintenir une concurrence équitable entre plateformes en ligne sur le marché intérieur, alors que le règlement européen sur les services numériques (ou Digital Services Act - DSA), entré en vigueur le 17 février 2024, tend à inciter les plateformes en ligne à suivre des règles de transparence, de modération des contenus et de lutte contre les contenus illicites.

Cependant, force est de constater que les très grandes plateformes en ligne et les principaux moteurs de recherche, devenus oligopolistiques, dominant le marché européen sont américains et chinois.

Ainsi, la moitié de la population mondiale se connecte au moins une fois par mois à un service de Meta (Facebook, Instagram, WhatsApp, etc.). Le système d'exploitation Windows de Microsoft représente 68,5 % des systèmes installés et son moteur de recherche, Bing, est le deuxième le plus utilisé dans le monde après Google, qui malgré une baisse récente au niveau mondial, est utilisé par les citoyens européens dans 90 % des cas. Le chiffre d'affaires 2023 d'Amazon, leader mondial du commerce en ligne, était de 574,8 milliards de dollars et Apple représente 22 % des ventes de téléphonie mobile dans l'Union européenne.

La dépendance des États membres et des citoyens de l'Union européenne à l'égard de leurs services est donc réelle. Elle ne fait que s'accroître au fur et à mesure de la numérisation des économies européennes et du développement des usages.

Or, le modèle économique de ces acteurs, qui recherche le profit absolu, est fondé sur le « clic rémunérateur » et la captation de l'attention des utilisateurs.

Les conséquences de ce modèle toxique sont désormais bien documentées : diffusion de fausses nouvelles, mise en exergue de contenus violents sexualisés et extrêmes, réelle porosité aux actions de manipulation de l'information et aux ingérences étrangères, et atteinte à la santé mentale des jeunes...

Sur ce point, lors de son audition au Sénat, la « lanceuse d'alerte » Frances Haugen, ancienne ingénieure chez Facebook, expliquait que les plateformes en ligne privilégient toujours l'optimisation du profit à la sécurité des enfants.

Pour certains observateurs, comme Bernard Benhamou, secrétaire général de l'Institut pour la souveraineté numérique, « les données sont un outil de contrôle des populations ». Ce faisant, leur influence sur les systèmes démocratiques est grandissante.

À titre d'exemple, le réseau social TikTok, dont les pratiques et les liens avec le régime chinois avaient été dénoncés par la commission d'enquête du Sénat^2(*), a ainsi été accusé de faciliter les tentatives d'ingérences étrangères dans le premier tour de l'élection présidentielle en Roumanie par la Cour constitutionnelle du pays, qui a, en conséquence, annulé ce scrutin.

En outre, ces acteurs en viennent parfois à contester publiquement les règles européennes. Ainsi, Mark Zuckerberg, fondateur de Meta, a critiqué avec virulence la réglementation européenne sur le numérique, le
7 janvier 2025, annonçant vouloir « travailler avec le Président Trump pour faire pression sur les gouvernements du monde entier qui s'en prennent aux entreprises américaines » et estimant que « l'Europe a un nombre croissant de lois qui institutionnalisent la censure et empêchent l'innovation ». Cela prend une tournure plus grave depuis que ces critiques ont été reprises par le nouveau président des États-Unis.

Voilà pourquoi la proposition de résolution européenne précitée appelle à une application stricte et rapide des pouvoirs d'enquête et de sanction prévus par le DSA, afin que les très grandes plateformes en ligne qui souhaitent bénéficier du marché intérieur en respectent les règles. Dans le même temps, l'Union européenne n'a pas manifesté de réelle volonté politique pour construire son autonomie stratégique numérique, en assumant une politique industrielle globale et ambitieuse. Cette menace, qui a été maintes fois dénoncée par le Sénat, est parfaitement identifiée par le « rapport sur l'avenir de la compétitivité européenne », remis par Mario Draghi à la Commission européenne le 9 septembre 2024, qui appelle l'Union européenne à un « choc de compétitivité ». Dans ce dernier, l'ancien Président de la Banque centrale européenne (BCE) et Président du Conseil des ministres italien constate que l'essor de la technologie numérique est la principale cause de l'écart de compétitivité entre l'Union européenne et les États-Unis. Il souligne l'impératif, pour l'Europe, d'accélérer l'innovation, en particulier dans le numérique, en concentrant les programmes de recherche sur un plus petit nombre de priorités, en procédant à une évaluation de la réglementation numérique, en réduisant le coût de déploiement de l'intelligence artificielle (IA), ou encore, en promouvant le partage des données.

La proposition de résolution européenne n° 351 (2024-2025) déposée par le groupe Socialiste, Écologiste et Républicain du Sénat, dans le même esprit, appelle de ses voeux une stratégie numérique européenne renouvelée qui doit permettre la mise en place d'une politique industrielle volontariste, d'une politique de recherche ambitieuse et d'un écosystème numérique démocratique robuste afin d'instaurer des plateformes européennes souveraines et un cloud souverain européen, ceci devant en outre permettre à l'Union européenne de jouer un rôle dans le développement de l'intelligence artificielle (IA) et des technologies quantiques.

I. L'UNION EUROPÉENNE DISPOSE D'UN CADRE DE RÉGULATION DU NUMÉRIQUE AMBITIEUX AUJOURD'HUI MIS AU DÉFI

A. LA RECHERCHE D'UN DÉVELOPPEMENT DU NUMÉRIQUE CONFORME AUX PRINCIPES DES DÉMOCRATIES EUROPÉENNES PAR DES TEXTES NOVATEURS DONT L'AMBITION A ÉTÉ SOUTENUE PAR LE SÉNAT

Depuis 2016, l'Union européenne s'est dotée d'un cadre normatif pionnier dans le domaine du numérique, qui tente de concilier protection et valorisation sécurisée des données, concurrence équitable, retrait des contenus illicites et transparence.

1. Le règlement général sur la protection des données (RGPD) garantit les droits des citoyens sur leurs données personnelles

Les données sont au coeur de l'économie numérique, elles en sont même « la matière première ». Mais à la différence du pétrole, et aux autres ressources physiques nouvelles qui avaient accompagné les précédentes révolutions industrielles et technologiques, les données sont illimitées. La numérisation des économies et des sociétés a pour conséquence première la production et la mise à disposition de nouvelles données, du fait de l'activité des personnes (ex : achat en ligne, démarches administratives dématérialisées, conduite d'un véhicule assisté par un ordinateur de bord, etc.).

Dès lors qu'elles sont captées et recueillies pour faire l'objet d'un traitement de données, ce dernier peut servir à de multiples bénéficiaires. De plus, une donnée peut faire l'objet de plusieurs traitements par divers acteurs.

« La valorisation des données résulte essentiellement de leur traitement et de leur mise en relation : agrégation, rapprochement de jeux de données de sources diverses, analyses, extrapolations. Prise isolément, une donnée ne génère en effet généralement que très peu de valeur. » ^3(*)

Or, les grands acteurs du numérique disposent désormais de technologies leur permettant de traiter des données en masse (big data), en particulier avec l'intelligence artificielle (IA).

Économiquement, cette valorisation des données permet aux entreprises du numérique de créer de nouveaux services numériques (avec des coûts décroissants) et de les personnaliser en « ciblant » les goûts, habitudes et préférences des individus. Elle leur confère également des positions dominantes qui leur permettent de mettre des « barrières à l'entrée » pour décourager d'éventuels concurrents.

Politiquement et géopolitiquement, la détention et le contrôle des données est devenu un enjeu stratégique majeur. Il permet de tout connaître des habitudes et des goûts des individus et, dans les régimes autoritaires, de les surveiller. Dans nos sociétés, il facilite également la possibilité d'influencer leurs décisions, leurs votes...

Or, les services numériques dans l'Union européenne sont très largement assurés par des entreprises extra-européennes.

Ainsi, le moteur de recherche Google est utilisé pour 90 % des recherches en ligne dans l'Union européenne.

Concernant l'utilisation des réseaux sociaux, en novembre 2024, 269 millions de personnes utilisaient Instagram dans l'Union européenne, 261 faisaient de même avec Facebook, 160 avec TikTok et 105 millions étaient actives sur X.

Enfin, trois entreprises américaines^4(*) se partageaient 72 % du marché européen fin 2022 et 66 % du marché mondial du cloud fin 2023 (Amazon web services : 31 % ; Microsoft Azure : 24 % ; Google cloud : 11%).

b) Le règlement général sur la protection des données (RGDPD) permet à chacun de garder la maîtrise de ses données

Face à cette tendance à la marchandisation et à la manipulation des données, sous l'influence de la législation pionnière de la France dite « Informatique et libertés » du 6 janvier 1978, l'Union européenne a reconnu les droits d'une personne à garder la maîtrise de ses données en adoptant le règlement général sur la protection des données (RGPD)^5(*).

Ce règlement est d'autant plus protecteur que sa portée est extraterritoriale. Il s'applique en effet à tout traitement de données personnelles, automatisé ou non, « effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union [européenne], que le traitement ait lieu ou non dans l'Union ». Ses dispositions sont applicables indépendamment du lieu de traitement effectif des données.

Ce faisant, les transferts de données personnelles vers des pays tiers doivent aussi respecter les garanties du RGPD. Le règlement prévoit une liste d'éléments qui, cumulés, permettent à la Commission européenne d'évaluer le caractère adéquat du niveau de protection des données du pays tiers (législation interne du pays, existence d'une ou de plusieurs autorités de contrôle indépendantes en matière de protection des données, engagements internationaux pris par le pays, etc.).

Puis si l'examen de ces éléments est probant, la Commission adopte alors une décision d'adéquation^6(*), qui établit qu'un pays tiers (c'est-à-dire un pays non lié par le RGPD) ou une organisation internationale assure un niveau de protection adéquat des données personnelles. Une telle décision d'adéquation a pour effet de permettre le transfert, sans exigences supplémentaires, de données personnelles depuis les États membres soumis au RGPD vers le pays tiers ou l'organisation concerné.

En pratique, ces règles ont conduit la Cour de justice de l'Union européenne (CJUE) à annuler le dispositif Privacy shield (ou bouclier de la protection des données), validé par la Commission européenne et signé entre l'Union européenne et les États-Unis avant l'entrée en vigueur du RGPD, le 1^er août 2016. Dans un arrêt « Schrems II »^7(*), la Cour a, en effet considéré que le Privacy shield :

- ne fournissait pas les garanties nécessaires pour limiter l'accès des autorités publiques américaines aux données personnelles concernées dans l'Union européenne, compte tenu des lois américaines^8(*) sur la surveillance ;

- n'assurait ni une protection judiciaire efficace contre les programmes de surveillance américains, ni le droit à un recours effectif pour les personnes localisées sur le territoire d'un État membre de l'Union européenne devant un organisme offrant des garanties substantiellement équivalentes à celles exigées par le droit de l'Union européenne.

À la suite de cette annulation, les transferts de données personnelles entre les États membres de l'Union européenne et les États-Unis n'étaient plus juridiquement sécurisés et l'efficacité du RGPD a été démontrée pour « contrer », en partie au moins, la portée extraterritoriale des lois américaines.

En effet, sans remettre en cause la possibilité pour les services de renseignement américains de « piocher » dans les données personnelles des entreprises nationales ayant des activités en Europe, le président Joe Biden a adopté, le 7 octobre 2022, un décret présidentiel (executive order) qui soumet ces collectes de données aux principes de nécessité et de proportionnalité, et instaure une nouvelle procédure de recours auprès d'une cour de contrôle de la protection des données. Cette cour a le pouvoir d'enquêter sur les plaintes des citoyens européens et de prendre des décisions correctives contraignantes.

En conséquence, le 10 juillet 2023, la Commission européenne a pris une nouvelle décision d'adéquation pour les transferts de données entre l'Union européenne et les États-Unis. Elle en modifie peu les conditions de transfert qui restent d'une grande fragilité.

Ce faisant, l'Union européenne dispose d'un cadre protecteur qui s'impose comme un levier d'influence juridique.

c) L'encouragement au partage sécurisé des données

Une fois ce cadre protecteur mis en oeuvre, l'Union européenne a adopté plusieurs textes précisant les modalités sécurisées de partage des données, afin de ne pas rester à l'écart de « l'économie de la donnée » :

- le règlement sur la gouvernance européenne des données (Data Governance Act)^9(*), adopté en mai 2022 et entré en vigueur en septembre 2023, tend à faciliter la réutilisation de données protégées du secteur public (données personnelles, informations commerciales, propriété intellectuelle) et a donné un statut aux fournisseurs de services d'intermédiation de données (certification obligatoire) ;

- le règlement sur les données (ou Data Act)^10(*), adopté en décembre 2023 et entré en vigueur en janvier 2024, a pour objectif d'assurer une meilleure répartition de la valeur issue de l'utilisation des données personnelles et non personnelles entre les acteurs économiques (en particulier via des objets connectés). Il facilite donc le partage des données entre entreprises et avec le consommateur ainsi que le changement de fournisseur de services de traitement de données, permet l'utilisation des données détenues par les entreprises, par les organismes publics des États membres et de l'Union européenne, sous réserve que ceux-ci justifient d'un besoin exceptionnel, prévoit des règles d'interopérabilité pour les données, et met en place des garanties contre les accès illicites des gouvernements des pays tiers aux données non personnelles contenues dans le cloud.

Ainsi, les États membres et l'Union européenne ont établi un cadre normatif unique au monde qui permet d'exploiter et de valoriser les données, tout en assurant un niveau élevé de protection des données personnelles et de la vie privée de leurs détenteurs.

Mais alors que le rapport Draghi précité a attiré l'attention sur le risque de chevauchement réglementaire et d'incohérences entre le règlement européen sur l'intelligence artificielle et le RGPD, et a préconisé l'élaboration de règles simplifiées ainsi qu'une mise en oeuvre harmonisée du RGPD, la Commission européenne a annoncé vouloir présenter une nouvelle stratégie sur l'utilisation des données, afin d'en assouplir de nouveau le partage et l'utilisation.

C'est pourquoi la commission des affaires européennes du Sénat, qui est favorable par principe aux efforts de simplification du cadre normatif européen, veillera toutefois à la préservation du RGPD et du rôle des autorités nationales de protection des données qui ont prouvé leur efficacité pour protéger les citoyens sans décourager l'innovation.

2. Le règlement européen sur les marchés numériques (Digital Markets Act - DMA) et le règlement européen sur les services numériques (Digital Services Act - DSA)

Pour faire face à la fragmentation juridique qui caractérisait le marché numérique en Europe, la Commission européenne a présenté le 15 décembre 2020 une proposition de règlement relatif à un marché intérieur des services numériques (« règlement sur les services numériques », ou DSA, qui renforce et actualise les règles horizontales définissant les responsabilités et obligations des prestataires de services numériques dans l'Union), conjointement à sa proposition de règlement relatif aux marchés numériques (Digital Markets Act ou DMA, visant à assurer une concurrence plus équitable entre les acteurs du numérique).

a) Deux propositions relativement ambitieuses visant à mettre fin au « Far West » numérique11(*)

Publiés en décembre 2020 et déposés sur le bureau des assemblées parlementaires françaises le 4 février 2021, ces deux textes sont des maillons essentiels du marché unique du numérique.

Le DSA est un règlement européen dont le but est de freiner la diffusion de contenus illégaux et d'instaurer plus de transparence entre les plateformes en ligne et leurs utilisateurs. Pour cela, le DSA distingue les petites plateformes en ligne, les « très grandes plateformes en ligne » et les « très grands moteurs de recherche ». Le DSA détermine un seuil de 45 millions d'utilisateurs par mois pour être désigné très grande plateforme ou très grand moteur de recherche. Sont ainsi concernés les « fournisseurs de services intermédiaires en ligne », c'est-à-dire les hébergeurs, les réseaux sociaux, les moteurs de recherche, les plateformes de voyage et d'hébergement, ou encore les sites de vente. Le DSA n'est pas un outil de gestion de crises mais de gestion des risques.

Le DMA vise à mieux encadrer les activités économiques des plus grandes plateformes, qualifiées de « contrôleurs d'accès » par la Commission européenne dans la mesure où les plus petites entreprises et les consommateurs sont dépendants de leurs services et où la concurrence des autres sociétés se trouve freinée. Sont donc concernées les grandes plateformes ayant un poids important sur le marché intérieur, fournissant un service essentiel qui constitue un point d'accès majeur et bénéficiant d'une position solide et durable.

Pour être désignée contrôleur d'accès, une plateforme doit remplir plusieurs critères cumulatifs :

- une position économique forte, c'est-à-dire au moins 7,5 milliards d'euros de chiffre d'affaires réalisés dans l'Espace économique européen ou une capitalisation boursière d'au moins 75 milliards d'euros avec une activité dans au moins trois États membres ;

- le contrôle d'un service de plateforme essentiel (moteur de recherche, réseau social, messagerie, place de marché en ligne, etc.) utilisé par au moins 45 millions d'Européens par mois et au moins 10 000 professionnels par an dans l'Union ;

- et une position durable sur le marché, attestée par le dépassement, au cours des trois années précédentes, des seuils énumérés aux deux premiers critères.

Toute société remplissant ces critères a l'obligation d'en informer la Commission dans les deux mois. En retour, cette dernière dispose à son tour de deux mois pour la désigner contrôleur d'accès. Ensuite, les plateformes disposent d'un délai maximum de six mois pour se conformer aux obligations prévues par le DMA.

La Commission européenne pourra aussi désigner comme contrôleur d'accès une entreprise qui n'atteindrait pas tous les seuils mais serait considérée comme trop dominante, en fonction de certains critères (taille de la plateforme, y compris le chiffre d'affaires et la valeur boursière, nombre d'entreprises utilisatrices et d'utilisateurs finaux, effets de réseau et avantages tirés des données ou capacité d'analyse de celles-ci, effets d'échelle et de gamme, y compris en ce qui concerne les données et, le cas échéant, les activités en dehors de l'Union, captivité des entreprises utilisatrices ou des utilisateurs finaux, structure conglomérale). Les entreprises concernées pourront contester leur désignation.

b) Des obligations découlant des statuts de plateforme en ligne ou de contrôleur d'accès

Le DSA et le DMA imposent diverses exigences pour les plateformes en lignes et contrôleurs d'accès.

Ainsi, aux termes du DSA, les plateformes ont l'obligation :

- de veiller à rédiger leurs conditions générales de façon compréhensible, c'est-à-dire simple, intelligible, aisément accessible et sans ambiguïté, y compris les informations relatives aux possibilités de recours pour l'utilisateur ;

- d'informer leurs utilisateurs de toute modification importante de leurs conditions générales ;

- d'établir des rapports de transparence portant sur leurs systèmes internes de traitement des réclamations et leurs activités de modération des contenus ;

- de suspendre, pendant une période raisonnable et après avertissement, la fourniture de leurs services aux utilisateurs diffusant fréquemment des contenus manifestement illicites ;

- et de prendre des mesures appropriées et proportionnées afin de garantir un niveau élevé de protection de la vie privée, de la sûreté et de la sécurité des mineurs.

Le DMA, quant à lui, vise à limiter les avantages grâce auxquels les contrôleurs d'accès peuvent conserver une position dominante sur le marché, prévoyant ainsi :

- l'interdiction pour un contrôleur d'accès de favoriser ses propres services et produits par rapport à ceux des entreprises qui les utilisent, ou d'exploiter les données de ces dernières pour les concurrencer. Il ne peut pas non plus imposer les logiciels les plus importants (comme les navigateurs ou les moteurs de recherche) par défaut à l'installation de son système d'exploitation ;

- la possibilité pour une entreprise utilisatrice de promouvoir son offre hors d'une plateforme à laquelle elle est liée, ainsi que de conclure des contrats avec ses clients ou proposer ses propres services aux consommateurs indépendamment de cette dernière ;

- l'accès pour toute entreprise aux données générées par ses activités et aux informations liées aux annonces publicitaires qu'elle finance sur une plateforme ;

- la nécessité d'un consentement explicite d'un utilisateur pour l'utilisation de ses données personnelles à des fins de publicité ciblée ;

- la garantie d'une interopérabilité des principaux services de messagerie (tels que WhatsApp ou Facebook Messenger) avec leurs concurrents plus petits ;

- l'information de la Commission en cas d'acquisitions et de fusions.

c) Des possibilités d'enquête et de sanctions associées, dont la Commission européenne

(1) Les sanctions prévues au titre du DSA

En vertu du DSA, si, sur la base d'informations obtenues au cours de sa surveillance ou de sources fiables, en cas de manquement, la Commission soupçonne une infraction, elle peut décider d'ouvrir une enquête. Si la Commission continue de soupçonner une infraction à la législation sur les services numériques à la suite de l'enquête, elle peut ouvrir une procédure. Toutefois, avant d'adopter toute décision de sanction, elle doit entendre les responsables de la plateforme concernée. Si la violation est confirmée, alors la Commission peut lui infliger une amende dans la limite de 6 % de son chiffre d'affaires mondial annuel au cours de l'exercice précédent, ainsi que lui ordonner de prendre des mesures pour remédier au manquement dans un délai fixé.

En outre, si la plateforme ne respecte pas les mesures visant à remédier au manquement, elle peut se voir appliquer des astreintes allant jusqu'à 5 % de son chiffre d'affaires quotidien moyen mondial par jour de retard.

Enfin, en dernier recours, en cas de manquements graves et répétés, la Commission européenne peut demander la suspension temporaire du service, sous réserve que : (i) elle ait invité les parties intéressées à présenter des observations écrites dans un délai qui ne peut être inférieur à 14 jours ouvrables, en décrivant les mesures qu'elle entend demander et en identifiant le ou les destinataires visés, (ii) elle ait demandé au coordinateur pour les services numériques de l'État membre d'établissement de demander à l'autorité judiciaire compétente une injonction de restreindre temporairement l'accès au service concerné par l'infraction et (iii) ledit coordinateur demande l'ordonnance. Cette dernière doit être rendue par un juge de l'État membre d'établissement de la plateforme.

Depuis l'entrée en vigueur du DSA, dix procédures ont été ouvertes par la Commission européenne : une contre X, trois contre TikTok, une contre AliExpress, deux contre Meta (Facebook et Instagram) et une contre Temu. À ce jour, des conclusions préliminaires ont été adoptées s'agissant de l'enquête contre X, et un dossier a été clôturé, celui contre TikTok et de son programme « Lite Rewards », auquel la plateforme a finalement renoncé.

(2) Les sanctions prévues par le DMA

Au titre du DMA, la Commission peut décider de procéder à des enquêtes de marché, soit en vue de désigner un contrôleur d'accès, soit en cas de non-respect systématique d'une ou plusieurs obligations par un contrôleur d'accès. Elle est dotée à cet effet de pouvoirs d'investigation (recueil de renseignements, auditions, inspections, accès aux systèmes informatiques, audits et expertises) et peut ordonner des mesures provisoires.

En cas de violation établie d'obligations, la Commission peut infliger à l'entreprise des amendes à concurrence de 10 % du chiffre d'affaires mondial total (jusqu'à 20 % en cas de récidive). Elle peut aussi prononcer des astreintes jusqu'à 5 % du chiffre d'affaires quotidien mondial total. Si l'entreprise enfreint la législation européenne de façon répétée (au moins trois violations en l'espace de huit ans), la Commission peut ouvrir une enquête de marché, voire imposer des mesures correctives comportementales ou structurelles, par exemple obliger l'entreprise à céder une activité (vente d'unités, d'actifs, de droits de propriété intellectuelle ou de marques) ou lui interdire d'acquérir des entreprises qui fournissent des services dans le numérique ou des services de collecte de données.

Les autorités nationales de concurrence peuvent être chargées d'enquêter ou prendre l'initiative de procéder à des enquêtes ; elles transmettent alors leurs conclusions à la Commission. En outre, leurs agents doivent prêter assistance aux enquêteurs de la Commission pour les inspections, en requérant au besoin la force publique. Une coopération (échanges d'informations et mise en oeuvre des mesures d'exécution) est par ailleurs rendue possible dans le cadre du Réseau européen de la concurrence (REC).

Des enquêtes sont actuellement en cours, au titre du DMA, contre Apple, Google ou encore Meta. Cinq des enquêtes ont été ouvertes le 25 mars 2024, deux semaines après l'entrée en vigueur du règlement. Considérant que le DMA laisse un délai de douze mois à la Commission pour clore son enquête, les premières enquêtes ouvertes sont encore en cours. Dès que la Commission aura rédigé ses conclusions préliminaires, elle devra les transmettre au contrôleur d'accès concerné, qui aura la possibilité de les contester, avant que la décision finale ne soit rendue. Cette dernière est susceptible de recours devant la Cour de justice de l'Union européenne (CJUE).

d) Des exigences européennes adaptées en droit français par la loi « SREN »

Promulguée le 21 mai 2024, la loi n° 2024-449 visant à sécuriser et à réguler l'espace numérique (SREN) a bénéficié d'apports importants du Sénat. Parmi ses nombreuses dispositions^12(*), plusieurs tendent à faciliter la mise en oeuvre du DMA et du DSA.

Ainsi :

- au titre du DMA, la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et l'Autorité de la concurrence, en coopération avec la Commission européenne dans le cadre du « Réseau européenne concurrence », sont désignées comme autorités compétentes. Des pouvoirs d'inspection et d'enquête leur sont reconnus et des juridictions spécialisées sont chargées de traiter des litiges résultant de ce règlement ;

- de plus, le ministre chargé de l'économie ou son représentant est habilité à adresser à la Commission européenne, conjointement avec au moins trois autres États membres, une demande d'ouverture d'enquête de marché lorsqu'il existe des motifs raisonnables de soupçonner qu'une entreprise est « contrôleur d'accès » ;

- au titre du DSA, l'ARCOM est désignée comme coordinateur des services numériques en France. Mais la Commission nationale de l'informatique et des libertés (CNIL) est chargée de vérifier le respect par les plateformes des limitations posées en matière de profilage publicitaire. Quant à la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), elle est compétente pour contrôler le respect des obligations des fournisseurs de places de marché. Conformément au DSA, leurs pouvoirs d'enquête, d'exécution et de sanction sont également précisés ;

- la loi instaure également un réseau national de coordination de la régulation des services numériques^13(*) ;

- les procédures et sanctions de la loi pour la confiance en l'économie numérique^14(*), de la loi relative à la liberté de communication^15(*) et du code électoral sont mises en conformité avec le DSA.

* ¹ Rapport d'information n° 443 (2012-2013) sur l'Union européenne, « colonie du monde numérique ? », de Mme Catherine Morin-Desailly au nom de la commission des affaires européennes du Sénat, en date du 20 mars 2013.

* ² Rapport n° 831 (2022-2023) de la commission d'enquête sur l'utilisation du réseau social TikTok, son exploitation des données, sa stratégie d'influence

* ³ Rapport n°7 (2019-2020) de la commission d'enquête du Sénat sur la souveraineté numérique, p 55.

* ⁴ Amazon web services (AWS) ; Microsoft Azure ; Google cloud. Études du synergy research group.

* ⁵ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

* ⁶ Une telle décision peut être prise sur la base de l'article 45 du RGPD.

* ⁷ CJUE, 16 juillet 2020, Data Protection Commissioner/Maximillian Schrems et Facebook Ireland, aff. C-311-18.

* ⁸ Ainsi, le Cloud Act (pour Clarifying Lawful Overseas Use of Data Act), adopté en mars 2018, après le RGPD européen, prévoit que toute société dont le siège est aux États-Unis, ainsi que les sociétés contrôlées par elle, doit communiquer aux autorités américaines, sur leur demande, les données de communication placées sous son contrôle, sans considération du lieu de stockage de ces données. Cette loi permet aux autorités américaines de s'affranchir des procédures classiques de demandes d'entraide entre États et de coopération judiciaire internationale. Et sa portée est explicitement extraterritoriale puisqu'elle vise les « communications, données et informations localisées à l'intérieur comme en dehors des États-Unis ».

En outre, le Foreign Intelligence Surveillance Act (FISA) autorise les agences de renseignement américaines à collecter des données de citoyens et d'entreprises, en dehors du territoire des États-Unis.

* ⁹ Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données).

* ¹⁰ Règlement (UE) 2023/ du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l'équité de l'accès aux données et de l'utilisation des données et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (règlement sur les données).

* ¹¹ Expression usuelle de l'ancien commissaire européen en charge du numérique, Thierry Breton, qui a exposé sa vision des enjeux actuels devant la commission des affaires européennes du Sénat le 29 janvier 2025 : https://www.senat.fr/compte-rendu-commissions/20250127/euro.html#toc2.

* ¹² Ce projet de loi renforce la protection des mineurs en ligne et celle des citoyens dans l'environnement numérique. Elle vise également à lutter contre les pratiques déloyales entre entreprises sur le marché de l'informatique en nuage et à mieux assurer leur interopérabilité, ainsi qu'à assurer la protection des données sensibles ou stratégiques. Il a été examiné au Sénat par une commission spéciale présidée par Mme Catherine Morin-Desailly et dont les rapporteurs étaient M. Patrick Chaize et M. Loïc Hervé.

* ¹³ Outre l'ARCOM et la CNIL, ce réseau comprend l'Arcep (autorité de régulation des communications électroniques, des postes et de la distribution de la presse), désignée comme « gendarme du cloud », la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et la plateforme de signalement des contenus illicites sur Internet, PHAROS.

* ¹⁴ Loi n°2004-475 du 21 juin 2004.

* ¹⁵ Lois n°86-1067 du 30 septembre 1986.