DMA : les législateurs de l'UE refusent de modifier les dispositions sur les données dans le texte définitif

Malgré l’insistance des parties prenantes, le texte définitif de la loi sur les marchés numériques (Digital Markets Act, DMA), contenant des changements importants apportés à une mesure clé liée aux données, ne sera pas révisé, selon une note consultée par EURACTIV.

Le texte définitif du DMA a révélé des modifications apportées à une mesure sur la combinaison des données sur plusieurs plateformes. Alors que les experts en concurrence, les défenseurs de la vie privée et les éditeurs ont demandé qu’elle soit modifiée, le texte restera tel quel, ont confirmé deux législateurs de premier plan.

Les colégislateurs européens sont parvenus à un accord politique sur le DMA le 24 mars. Les détails techniques du texte ont ensuite été peaufinés dans le plus grand secret jusqu’à la diffusion d’un projet définitif jeudi dernier (14 avril). Le document ne manquait pas de surprises de dernière minute.

Un changement crucial, souligné par plusieurs parties prenantes, concerne les dispositions relatives à la combinaison des données personnelles provenant des différents services. Avant la dernière négociation politique, le texte de cet article avait été revu avec une formulation proposée par le Conseil irlandais des libertés civiles (CILC).

Pour Johnny Ryan, membre important du CILC, le texte original était imparfait car il obligeait les plateformes des contrôleurs d’accès (gatekeepers) à donner à l’utilisateur « le choix spécifique » quant à la possibilité de combiner ou non ses données personnelles.

Cette formulation singulière était jugée ambiguë, car elle signifiait que le contrôleur d’accès ne pouvait demander le consentement qu’une seule fois pour toutes sortes d’activités de traitement des données.

La proposition alternative consistait à exiger de la plateforme qu’elle demande le consentement pour chaque finalité de traitement. Selon M. Ryan, cela obligerait le contrôleur d’accès à divulguer toutes ses activités de traitement des données, donnant ainsi à la Commission le pouvoir de les superviser directement.

En revanche, toutes ces références ont été supprimées dans la version finale de l’article. Le CILC a réagi en envoyant une lettre aux législateurs de l’UE, signée par d’éminents experts de la concurrence comme l’ancien économiste en chef de la Commission, Tommaso Valletti, des universitaires comme Shoshana Zuboff, des défenseurs de la vie privée et des représentants de la société civile.

« Nous, les signataires, avons intérêt à défendre la concurrence, les droits à la protection des données et à la vie privée, ainsi que la protection des consommateurs. Nous pensons que les failles du texte du 13 avril de l’article 5 (1) a de la loi sur les marchés numériques risquent d’être exploitées par les contrôleurs d’accès afin de les compromettre », peut-on lire dans la lettre.

La lettre pointe du doigt trois problèmes. L’omission des « finalités spécifiques de traitement » est considérée comme créant une ambiguïté juridique permettant au contrôleur d’accès de traiter toutes les données de son entreprise avec un seul bouton de consentement.

Cette omission empêcherait également la Commission de contrôler les pratiques de combinaison de données des contrôleurs d’accès.

En outre, un nouveau paragraphe empêchant les contrôleurs d’accès d’utiliser les données personnelles des utilisateurs de leurs clients à des fins publicitaires a été inclus. Cependant, la lettre souligne que cette formulation suggère que la publicité est une finalité de traitement des données unique, alors que l’affichage d’une publicité implique de nombreuses activités de traitement des données.

Ces arguments ont été repris dans une autre lettre ouverte de Digital Content Next et du Conseil européen des éditeurs, deux organisations représentant des médias de premier plan.

Selon eux, l’article créerait une faille permettant aux contrôleurs d’accès de combiner les données de tous leurs services avec un seul accord de consentement, alors que tous les autres acteurs économiques seraient toujours soumis au RGPD sans ambiguïté.

En outre, les éditeurs sont particulièrement préoccupés par la formulation relative aux services publicitaires qui autoriseraient une option de consentement unique, car ils « souffrent déjà de la présence dominante des contrôleurs d’accès sur le marché de la publicité numérique. »

« Le DMA crée un véritable choix pour les utilisateurs finaux leur donnant le pouvoir de décider s’ils veulent accepter que les contrôleurs d’accès les pistent sur des sites web tiers, et exige des contrôleurs d’accès qu’ils fournissent des services équivalents si les utilisateurs finaux ne consentent pas à ces pratiques », peut-on lire dans la lettre de réponse, signée par les eurodéputés Andreas Schwab et René Repasi, consultée par EURACTIV.

Pour ces deux législateurs, l’article s’appuie sur le RGPD, la loi européenne sur la protection des données, notamment pour son concept de consentement et son principe de limitation des finalités. Les deux textes de loi ayant une base juridique différente, les eurodéputés ont souligné que le RGPD ne pouvait ni modifier ni annuler le RGPD.

« Il est donc redondant de réitérer la référence à “chaque finalité de traitement” dans le DMA puisque le RGPD inclut déjà le principe selon lequel le choix et le consentement doivent être présentés pour chaque finalité de traitement », poursuit la lettre de réponse.

Enfin, les eurodéputés ont repoussé les inquiétudes liées à la publicité, soulignant que la formulation du DMA ne dispense pas les contrôleurs d’accès de fournir une liste des finalités de traitement pour les services publicitaires.

« La loi sur les marchés numériques renforce à la fois le principe du consentement et place la barre plus haut pour les pratiques d’utilisation des données des contrôleurs d’accès », conclut la note.

Ainsi, pour M. Ryan du CICL, l’ambiguïté demeure, et la question est maintenant de savoir jusqu’où ira la Commission européenne dans la mise en œuvre du DMA.