Menu
× Accueil Supprimer un compte Blog En savoir plus
← Blog Nouveaux enjeux Intermédiaire 17 min

DSA et DMA : comment l'Europe réécrit les règles du jeu numérique

DSA et DMA : comment l'Europe réécrit les règles du jeu numérique

Le RGPD a posé les fondations en 2018 : vos données vous appartiennent, et toute organisation qui les traite doit le justifier. Mais le RGPD ne dit rien — ou presque — sur ce que les plateformes font de vos contenus, sur la manière dont un algorithme décide ce que vous voyez, ou sur le fait que cinq entreprises américaines contrôlent l'accès de 450 millions d'Européens à l'économie numérique.

L'Europe a comblé ces angles morts avec deux règlements adoptés en 2022 et applicables depuis début 2024 : le DSA (Digital Services Act) et le DMA (Digital Markets Act). Le premier s'attaque aux contenus et à la transparence. Le second s'attaque aux positions dominantes. Ensemble, ils forment le cadre réglementaire le plus ambitieux au monde pour encadrer les géants du numérique.

Cet article décortique ces deux textes, leurs obligations concrètes et ce qu'ils changent pour vous au quotidien.

Le DSA : responsabiliser les plateformes sur les contenus

Un vide juridique vieux de vingt ans

Avant le DSA, la responsabilité des plateformes reposait sur la directive e-Commerce de 2000 — un texte pensé quand Google n'existait que depuis deux ans et que Facebook n'était pas né. Son principe : un hébergeur n'est pas responsable des contenus de ses utilisateurs, à condition d'agir "promptement" quand on lui signale un contenu illicite.

Vingt-quatre ans plus tard, ce cadre était devenu absurde. YouTube héberge 800 millions de vidéos. TikTok diffuse des millions de contenus par heure. Des algorithmes décident en temps réel quels contenus amplifier et lesquels enterrer. Les plateformes n'étaient plus de simples hébergeurs passifs — elles étaient devenues des éditeurs de fait, sans en assumer la responsabilité.

Le Règlement (UE) 2022/2065 — le Digital Services Act — est entré en application le 17 février 2024 pour toutes les plateformes en ligne opérant dans l'UE.

Les obligations pour toutes les plateformes

Le DSA ne cible pas que les géants. Il s'applique à tout service intermédiaire opérant dans l'UE, avec des obligations croissantes selon la taille. Voici les règles qui concernent toutes les plateformes, quelle que soit leur audience.

Un mécanisme de signalement des contenus illicites. Chaque plateforme doit mettre en place un système simple et accessible permettant à tout utilisateur de signaler un contenu qu'il estime illégal — pas seulement contraire aux conditions d'utilisation, mais illégal au sens du droit national ou européen. La plateforme doit traiter ces signalements "en temps opportun", de manière non arbitraire et diligente. Fini les formulaires kafkaïens à six niveaux qui découragent le signalement.

La transparence des systèmes de recommandation. C'est l'une des dispositions les plus concrètes pour l'utilisateur. Chaque plateforme qui utilise un algorithme de recommandation (un fil d'actualité, un flux "Pour toi", un classement de résultats) doit expliquer, dans ses conditions générales et de manière compréhensible, les principaux paramètres de ce classement. Et surtout : elle doit proposer au moins une option de classement non basée sur le profilage de l'utilisateur. Concrètement, Instagram, TikTok ou YouTube doivent vous offrir un fil chronologique ou un classement non personnalisé.

L'interdiction de la publicité ciblée pour les mineurs. Le DSA interdit purement et simplement le ciblage publicitaire à destination des utilisateurs que la plateforme sait être mineurs. Pas d'exception, pas de "consentement parental" qui servirait de passe-droit. Si la plateforme sait que vous avez 15 ans, elle ne peut pas vous montrer de la publicité basée sur votre profil comportemental.

L'interdiction du ciblage basé sur des données sensibles. Au-delà des mineurs, le DSA interdit à toute plateforme de cibler des publicités sur la base de catégories de données sensibles au sens du RGPD : origine ethnique, opinions politiques, convictions religieuses, orientation sexuelle, données de santé. Meta ne peut plus vendre aux annonceurs la possibilité de cibler les "personnes intéressées par l'islam" ou les "personnes en situation de dépression" — ce que ses outils publicitaires permettaient auparavant.

Le droit de contester une décision de modération. Si une plateforme supprime votre contenu, restreint votre compte ou refuse de retirer un contenu que vous avez signalé, vous avez le droit de contester cette décision. D'abord auprès de la plateforme elle-même, puis auprès d'un organisme de règlement extrajudiciaire des litiges certifié dans votre pays. Ce droit est fondamental : il brise le monopole des plateformes sur les décisions de modération.

Le saviez-vous ? Avant le DSA, aucun texte européen n'obligeait une plateforme à vous expliquer pourquoi votre contenu avait été supprimé. Facebook, YouTube ou TikTok pouvaient retirer une publication sans justification, et votre seul recours était un formulaire de "réexamen" interne — jugé par la même entreprise qui avait pris la décision initiale.

Les VLOP : des obligations renforcées pour les très grandes plateformes

Le DSA crée une catégorie spéciale : les VLOP (Very Large Online Platforms) et les VLOSE (Very Large Online Search Engines). Seuil d'entrée : 45 millions d'utilisateurs actifs mensuels dans l'UE, soit environ 10 % de la population européenne. La Commission a désigné les premières VLOP en avril 2023 : Google Search, YouTube, Amazon, Meta (Facebook, Instagram), TikTok, X (ex-Twitter), LinkedIn, Pinterest, Snapchat, Booking.com, AliExpress, entre autres.

Ces plateformes géantes ont trois obligations supplémentaires :

  • Évaluation annuelle des risques systémiques : diffusion de contenus illégaux, manipulation électorale, effets sur la santé mentale des mineurs — chaque VLOP doit documenter et atténuer ces risques.
  • Audit indépendant : un organisme externe vérifie la conformité au DSA chaque année. En France, le coordinateur des services numériques est l'Arcom (ex-CSA).
  • Accès aux données pour les chercheurs : les VLOP doivent fournir un accès à des chercheurs agréés pour permettre des études indépendantes sur les risques systémiques. Une rupture : jusqu'ici, les plateformes contrôlaient totalement l'accès à leurs données internes.

À retenir :

  • Le DSA s'applique depuis le 17 février 2024 à toutes les plateformes en ligne dans l'UE
  • Obligations universelles : signalement, transparence algorithmique, interdiction de la pub ciblée pour les mineurs
  • Les VLOP (>45M utilisateurs UE) ont des obligations renforcées : évaluation des risques, audit indépendant, accès aux données pour la recherche

Le DMA : casser les monopoles des gatekeepers

Le problème : six entreprises contrôlent l'accès au numérique

Le DSA s'occupe de ce qui se passe sur les plateformes. Le DMA s'occupe de ce qui se passe entre les plateformes et le reste de l'économie.

Vous voulez installer une application sur votre iPhone ? Vous passez par l'App Store d'Apple. Vendre en ligne ? Amazon ou Google Shopping. Communiquer ? WhatsApp (Meta). Chercher une information ? Google. Ces entreprises ne sont plus de simples acteurs du marché — elles sont le marché.

Le Règlement (UE) 2022/1925 — le Digital Markets Act — est entré en application le 6 mars 2024. Il cible spécifiquement les gatekeepers : les entreprises qui contrôlent un "service de plateforme essentiel" et qui, par leur taille et leur position, ont la capacité de verrouiller un marché.

Qui sont les gatekeepers ?

En septembre 2023, la Commission européenne a désigné six gatekeepers : Alphabet (Google), Amazon, Apple, ByteDance (TikTok), Meta et Microsoft. Critères cumulatifs : CA annuel dans l'EEE supérieur à 7,5 milliards d'euros (ou capitalisation >75 milliards), au moins 45 millions d'utilisateurs finaux et 10 000 entreprises utilisatrices dans l'UE, et une position enracinée sur les trois dernières années. Au total, 22 services ont été désignés, de Google Search à WhatsApp en passant par iOS, Chrome, Windows ou Amazon Marketplace.

Le saviez-vous ? Samsung a été évalué par la Commission mais n'a pas été désigné gatekeeper. Samsung a démontré que son navigateur internet mobile ne remplissait pas les critères de position enracinée. La désignation n'est pas automatique — c'est un processus contradictoire où l'entreprise peut contester avec des données.

Les six obligations clés du DMA

Le DMA impose aux gatekeepers une série d'obligations précises, assorties de délais stricts. Voici les six plus significatives.

1. L'interopérabilité des messageries. L'article 7 du DMA impose aux gatekeepers qui opèrent des services de messagerie de permettre l'interopérabilité avec d'autres fournisseurs. En clair : WhatsApp doit pouvoir recevoir des messages envoyés depuis Signal ou Telegram, et inversement. Les messages texte et les images devaient être interopérables dès mars 2024. Les appels vocaux et vidéo, d'ici 2027. Les conversations de groupe, d'ici 2027 également.

Si tous vos contacts utilisent WhatsApp, vous êtes contraint d'utiliser WhatsApp — c'est l'effet de réseau, le verrou fondamental des messageries. L'interopérabilité brise ce verrou. Meta a publié sa spécification technique, mais aucune messagerie tierce n'a encore finalisé l'intégration à grande échelle. Le mécanisme juridique existe ; l'adoption suivra.

2. L'interdiction du croisement de données entre services. L'article 5(2) interdit aux gatekeepers de combiner les données personnelles collectées par différents services sans le consentement explicite de l'utilisateur. Concrètement : Meta ne peut plus croiser votre profil Facebook avec vos données Instagram et WhatsApp pour constituer un super-profil publicitaire — sauf si vous l'y autorisez librement. Google ne peut plus fusionner vos données Gmail, YouTube, Maps et Search en un seul profil.

C'est le complément direct du RGPD. Le RGPD exige un consentement pour le traitement. Le DMA va plus loin en interdisant par défaut le croisement entre les services d'un même gatekeeper — là où le RGPD laissait la porte ouverte à l'"intérêt légitime".

3. L'interdiction de l'auto-préférencement. L'article 6(5) interdit aux gatekeepers de favoriser leurs propres produits dans leurs classements. Google ne peut plus afficher Google Shopping en position privilégiée dans Google Search. Amazon ne peut plus favoriser ses produits "Amazon Basics" sur sa marketplace. Google avait déjà été condamné à 2,4 milliards d'euros en 2017 pour cette pratique — le DMA transforme cette jurisprudence en interdiction structurelle permanente.

4. La portabilité des données en temps réel. L'article 6(9) impose un accès continu et en temps réel aux données via des API. Le RGPD prévoyait déjà un droit à la portabilité, mais en pratique cela se résumait à un fichier ZIP à télécharger une fois. Le DMA change la donne : migrer de Gmail à ProtonMail ou de Google Photos à un service européen doit être fluide, pas punitif.

5. La possibilité de désinstaller les applications préinstallées. L'article 6(3) interdit aux gatekeepers d'imposer des apps que l'utilisateur ne peut pas supprimer. Smartphone Android ? Vous devez pouvoir désinstaller Chrome, YouTube ou Gmail. iPhone ? Safari, Plans ou Mail. La fin du "bloatware" imposé.

6. L'ouverture des app stores — le sideloading. L'article 6(4) oblige les gatekeepers à permettre l'installation d'applications depuis des sources alternatives. Apple, qui verrouillait l'iPhone à son App Store (et sa commission de 30 %), doit désormais autoriser les stores tiers. Apple s'est conformé via iOS 17.4, mais avec des conditions restrictives que la Commission juge insuffisantes — d'où l'enquête ouverte en 2024.

Le saviez-vous ? La commission de 30 % prélevée par Apple sur chaque achat dans l'App Store génère un chiffre d'affaires estimé à plus de 20 milliards de dollars par an. Pour les développeurs, c'est une taxe incontournable : pas d'App Store, pas d'accès aux 1,5 milliard d'utilisateurs iPhone. Le DMA vise directement ce verrou économique.

À retenir :

  • Le DMA est en application depuis le 6 mars 2024 et cible six gatekeepers : Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft
  • Il impose l'interopérabilité des messageries, interdit le croisement de données et l'auto-préférencement, renforce la portabilité et ouvre les app stores
  • Contrairement au droit de la concurrence classique (sanctions a posteriori), le DMA pose des interdictions structurelles a priori

Les premières mises en application

La Commission européenne passe à l'offensive

Le DSA et le DMA ne sont pas des textes décoratifs. Dès les premiers mois d'application, la Commission européenne a ouvert plusieurs enquêtes majeures.

Apple et le sideloading. En juin 2024, la Commission a ouvert une procédure formelle contre Apple, estimant que les conditions imposées pour les app stores alternatifs sur iOS (notamment les "Core Technology Fees" — des frais de 0,50 EUR par installation au-delà d'un million) ne respectaient pas l'esprit du DMA. Apple permet techniquement le sideloading, mais les conditions financières et techniques découragent les développeurs d'utiliser les alternatives. La Commission y voit un contournement.

Meta et le modèle "pay or consent". En juillet 2024, la Commission a conclu que le modèle proposé par Meta — payer un abonnement mensuel (9,99 EUR/mois sur le web, 12,99 EUR/mois sur mobile) pour ne pas être pisté, ou accepter le ciblage publicitaire complet — ne respectait pas le DMA. Le choix binaire "payer ou être surveillé" ne constitue pas un consentement libre au sens du règlement. La Commission exige une troisième option : un service gratuit avec une publicité moins intrusive (ciblage contextuel, pas comportemental).

Google et l'auto-préférencement. En mars 2024, la Commission a ouvert une enquête sur la manière dont Google affiche les résultats dans Google Search, soupçonnant un auto-préférencement persistant au profit de Google Shopping, Google Flights et Google Hotels — malgré la condamnation de 2017.

TikTok désigné VLOP. ByteDance (maison mère de TikTok) a été désigné à la fois gatekeeper (DMA) et VLOP (DSA). TikTok fait l'objet d'une enquête DSA ouverte en février 2024 sur la protection des mineurs, la transparence publicitaire et l'accès aux données pour les chercheurs. L'application TikTok Lite (version avec récompenses pour le visionnage) a été suspendue dans l'UE après une injonction de la Commission.

Les sanctions : un pouvoir de dissuasion réel

Les amendes sont calibrées pour faire mal, même aux plus riches : jusqu'à 6 % du CA mondial pour le DSA, 10 % pour le DMA (20 % en récidive). Pour Alphabet, 10 % du CA, c'est environ 30 milliards de dollars — bien au-delà des amendes RGPD record. Le DMA prévoit aussi une arme ultime en cas de non-conformité systématique : le démantèlement structurel (cession d'activités). Obliger Google à se séparer de YouTube, ou Meta à céder Instagram : c'est juridiquement possible.

DSA, DMA, RGPD : trois textes, trois fonctions

Comment les trois règlements s'articulent

Une confusion fréquente : le DSA et le DMA "remplaceraient" le RGPD. C'est faux. Les trois textes coexistent et se complètent. Le RGPD est le socle : il protège vos données personnelles et vous donne des droits concrets. Le DSA ajoute la responsabilité sur les contenus : modération, transparence algorithmique, recours. Le DMA ajoute la concurrence : interopérabilité, ouverture, non-discrimination.

Un exemple concret. Vous utilisez Instagram (Meta). Le RGPD vous donne le droit d'accéder à toutes les données qu'Instagram détient sur vous. Le DSA oblige Instagram à vous expliquer pourquoi tel contenu apparaît dans votre fil et à vous proposer un fil non algorithmique. Le DMA interdit à Meta de croiser vos données Instagram avec celles de WhatsApp sans votre consentement, et vous garantit de pouvoir exporter vos données en continu vers un service concurrent.

Trois textes, trois leviers, un même objectif : rééquilibrer le rapport de force entre les plateformes et les citoyens.

Le saviez-vous ? L'Europe est la seule zone au monde à disposer de ce triptyque réglementaire complet (données + contenus + concurrence). Les États-Unis n'ont pas d'équivalent fédéral du RGPD ni du DSA. La Chine a des textes similaires sur le papier (PIPL, règlements sur les algorithmes) mais leur application diffère radicalement dans un contexte autoritaire.

Ce que le DSA et le DMA changent concrètement pour vous

Cinq changements tangibles au quotidien

Au-delà des textes juridiques, voici ce que le DSA et le DMA changent dans votre vie numérique de tous les jours.

1. Vous pouvez choisir un fil non algorithmique. Instagram, TikTok, Facebook, YouTube doivent vous proposer une option de classement non basée sur le profilage — un fil chronologique ou un classement par popularité brute. Le DSA rend cette option obligatoire, pas optionnelle au bon vouloir de la plateforme.

2. Moins de publicité ciblée invasive. L'interdiction du ciblage basé sur les données sensibles et sur le profilage des mineurs réduit la granularité du ciblage publicitaire. Plus de pubs vous ciblant parce qu'un algorithme a inféré votre état de santé ou vos convictions religieuses. La publicité ne disparaît pas — mais elle devient moins intrusive.

3. Vous pouvez contester une suppression de contenu. Post supprimé sur Facebook ? Compte restreint sur TikTok ? Vous pouvez saisir un organisme extrajudiciaire indépendant. Le DSA rend ce droit de recours universel et obligatoire.

4. Vous pouvez installer des apps hors des stores officiels. Le sideloading sur iOS signifie que vous n'êtes plus prisonnier de l'App Store d'Apple. Des stores alternatifs peuvent proposer des applications à des conditions différentes — potentiellement moins chères.

5. La portabilité de vos données s'améliore. Le DMA impose une portabilité continue et en temps réel via API, là où le RGPD ne prévoyait qu'un export ponctuel. Quitter Gmail pour ProtonMail, WhatsApp pour Signal : le transfert doit être fluide, pas punitif.

Ce qui reste à surveiller

Ces textes sont récents. Leur efficacité dépendra de trois facteurs. D'abord, la conformité réelle des gatekeepers : Apple a ouvert le sideloading mais avec des conditions que la Commission juge restrictives, et Meta propose un modèle "pay or consent" que la Commission rejette. Les gatekeepers disposent de ressources juridiques considérables pour contester et temporiser. Ensuite, l'interopérabilité des messageries : le principe est posé, mais la mise en oeuvre technique (chiffrement, spam) reste un défi. Enfin, l'application effective du DSA par les régulateurs nationaux — en France, les moyens de l'Arcom seront déterminants. Un régulateur sous-dimensionné, c'est un texte qui reste sur le papier.

FAQ — Questions fréquentes sur le DSA et le DMA

Quelle est la différence entre le DSA et le DMA ?

Le DSA (Digital Services Act) encadre les contenus et la responsabilité des plateformes en ligne : modération, transparence algorithmique, publicité, protection des mineurs. Il s'applique à toutes les plateformes. Le DMA (Digital Markets Act) encadre la concurrence et cible exclusivement les gatekeepers (Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft) pour empêcher les pratiques anticoncurrentielles : auto-préférencement, verrouillage des écosystèmes, croisement de données entre services.

Le DSA et le DMA remplacent-ils le RGPD ?

Non. Les trois textes coexistent. Le RGPD protège vos données personnelles (accès, effacement, portabilité). Le DSA protège vos droits en tant qu'utilisateur de plateformes (contenus, algorithmes, recours). Le DMA protège la concurrence et votre liberté de choix face aux gatekeepers. Si vous voulez savoir quelles données Instagram détient sur vous, c'est le RGPD. Si vous voulez un fil non algorithmique, c'est le DSA. Si vous voulez installer une app hors de l'App Store, c'est le DMA.

Qu'est-ce qu'un gatekeeper au sens du DMA ?

Un gatekeeper est une entreprise qui contrôle un "service de plateforme essentiel" (moteur de recherche, système d'exploitation, marketplace, réseau social, messagerie, navigateur, assistant virtuel, plateforme publicitaire) et qui remplit trois critères : un CA annuel dans l'EEE supérieur à 7,5 milliards d'euros (ou une capitalisation supérieure à 75 milliards), au moins 45 millions d'utilisateurs et 10 000 entreprises utilisatrices dans l'UE, et une position enracinée sur les trois dernières années. Six entreprises sont désignées : Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft.

WhatsApp va-t-il vraiment devenir interopérable avec Signal ou Telegram ?

Le DMA l'impose (article 7). Meta a publié les spécifications techniques. Messages texte et images devaient être interopérables dès mars 2024, appels et groupes d'ici 2027. En pratique, les messageries tierces doivent intégrer le protocole et en faire la demande. Le mécanisme est en place, mais l'interopérabilité à grande échelle prendra du temps.

Comment signaler un manquement au DSA ou au DMA ?

Pour le DSA, adressez-vous au coordinateur des services numériques de votre pays — en France, l'Arcom (arcom.fr). Pour le DMA, l'application est centralisée à la Commission européenne via le formulaire de la DG Concurrence.

Agissez sur vos données, pas seulement sur les contenus

Le DSA et le DMA renforcent vos droits face aux plateformes. Mais ces nouveaux leviers s'ajoutent à ceux que le RGPD vous donne déjà — et que vous pouvez exercer dès maintenant, sans attendre qu'un régulateur agisse à votre place.

Demander l'accès à vos données, exiger leur suppression, refuser le profilage publicitaire, récupérer vos informations pour changer de service : ces droits existent depuis 2018. La plupart des gens ne les utilisent pas, faute de savoir comment s'y prendre.

Fairmi simplifie cette démarche. Vous choisissez les entreprises qui détiennent vos données, vous sélectionnez le droit que vous voulez exercer, et la demande est générée pour vous. Pas de jargon juridique, pas de modèle de lettre à rédiger. Juste vos droits, mis en pratique.

Exercer mes droits maintenant ->

Dans la même série

Avancé

IA générative et données personnelles : ce que ChatGPT change pour vous

ChatGPT, Claude, Midjourney : comment l'IA générative collecte vos données, pourquoi le RGPD peine à suivre, ce que l'IA Act impose, et comment vous protéger concrètement.

18 min
Intermédiaire

Cybersécurité en 2025 : ransomwares, phishing et comment vous protéger

Ransomwares, phishing, vols de données massifs : état des lieux des cybermenaces en France et 10 gestes concrets pour protéger vos données personnelles.

18 min
Avancé

Souveraineté numérique : l'Europe peut-elle s'émanciper des géants ?

Cloud souverain, Chips Act, Mistral AI, CLOUD Act, Gaia-X : état des lieux complet de la dépendance numérique européenne et des stratégies pour en sortir.

16 min