C'est un flot de nouvelles réglementations européennes qui viennent ces derniers temps réguler le domaine numérique qui en avait besoin. Marc-Emmanuel, Responsable du pôle Noms de domaine et Internet chez Novagraaf, aborde ici les règlementations sous le prisme des titulaires de marques.
Définition et application des règlementations européennes dans le domaine du numérique
DSA : Le règlement sur les services numériques (Digital Services Act, ou DSA) a été publié le 27 octobre 2022. Il s'est appliqué en deux temps. D'abord uniquement pour les très grandes plateformes en ligne et les très grands moteurs de recherche depuis le 25 août 2023. Et depuis le 17 février 2024 pour les autres plateformes. Depuis cette date, les Etats ont également habilité leurs coordinateurs pour les services numériques. En France, il s'agit de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom).
DMA : Le 12 octobre 2022, soit près de deux ans après la proposition de la Commission, le règlement sur les marchés numériques (Digital Markets Act, ou DMA) a été publié au journal officiel de l'Union européenne. Il est officiellement entré en application le 2 mai 2023. Mais c'est surtout depuis le 7 mars 2024 que les plateformes qualifiées de « contrôleurs d'accès » doivent se conformer à ses nouvelles obligations.
NIS2 : La Directive sur la Sécurité des Réseaux et de l'Information 2 (NIS 2) de l'Union européenne a été publiée le 27 décembre 2022 au Journal Officiel de l'Union européenne et elle prévoit un délai de 21 mois pour que chaque Etat membre transpose en droit national les différentes exigences réglementaires. NIS 2 rentrera donc en vigueur en France au plus tard en octobre 2024.
Les Acteurs visés par ces nouvelles règlementations européennes
DSA : Sont concernées, la plupart
des entreprises proposant des “services
intermédiaires” aux
utilisateurs européen, à savoir les
fournisseurs d'accès à internet, cloud
computing, places de marché, réseaux sociaux…
En revanche, les courriels et messageries privées ne sont
pas concernés.
Des obligations supplémentaires sont prévues pour les
hébergeurs, dont les plateformes, et plus encore pour les
“très grandes plateformes” (plus de 45 millions
d'utilisateurs actifs chaque mois, soit 10 % de la population
européenne) ainsi que les “très grands moteurs
de recherche en ligne” (plus de 45 millions de consommateurs
de l'UE). Là encore, ces seuils pourront être
ultérieurement revus.
DMA : Il s'agit exclusivement
des grandes plateformes : celles qui ont
un “poids important sur le marché
intérieur”, fournissent “un
service de plateforme essentiel qui constitue un point
d'accès majeur permettant aux entreprises
utilisatrices d'atteindre leurs utilisateurs
finaux” et “[jouissent] d'une
position solide et durable, dans ses activités, ou
[jouiront], selon toute probabilité, d'une telle
position dans un avenir proche”, énumère
le règlement.
Plus précisément, une plateforme est définie
comme “contrôleur d'accès” (entre
une entreprise et un utilisateur) si elle cumule :
- une position économique forte : au moins 7,5 milliards d'euros de chiffre d'affaires réalisés dans l'Espace économique européen ou une capitalisation boursière / valeur marchande d'au moins 75 milliards d'euros avec une activité dans au moins trois Etats membres ;
- le contrôle d'un “service de plateforme essentiel” (moteur de recherche, réseau social, messagerie, place de marché en ligne…) utilisé par au moins 45 millions d'Européens par mois et au moins 10 000 professionnels par an dans l'Union ;
- le dépassement de ces seuils au cours des trois années précédentes (caractère “solide et durable” de sa position sur le marché).
NIS 2 : La Directive sur la Sécurité des Réseaux et de l'Information 2 (NIS2) de l'Union européenne vise principalement quatre catégories d'acteurs :
- Les Fournisseurs de Services Essentiels (FSE), opérant dans des secteurs clés comme l'énergie, les transports, la santé et les services financiers, dont le bon fonctionnement est vital pour la société et l'économie.
- Les Prestataires de Services Numériques (PSN), englobant les plateformes en ligne, les services de cloud computing, les moteurs de recherche, et autres, qui fournissent des services numériques au public.
- Les Autorités Nationales de Cybersécurité, désignées par chaque État membre pour superviser la mise en œuvre de la directive et veiller à la conformité des FSE et des PSN.
- Les Fournisseurs de Services Numériques de Confiance (FSNC), offrant des services tels que la certification électronique ou la signature électronique, également soumis à certaines obligations de sécurité.
Quelles sont les obligations pour les titulaires de marques ?
DSA : Si le DSA ne remet pas en cause la responsabilité limitée des plateformes vis-à-vis des contenus et produits illicites qu'elles hébergent (notion d'hébergeur “passif”), celles-ci doivent en revanche proposer un outil permettant aux utilisateurs de les signaler. Une fois ce signalement effectué, elles ont alors l'obligation de retirer ces contenus et produits ou d'en bloquer rapidement l'accès.
Les plateformes doivent également coopérer avec des “signaleurs de confiance”. Il s'agit d'organes, associations ou individus labellisés au sein de chaque Etat en vertu de leur expertise et qui voient leurs notifications traitées en priorité.
Les places de marché en ligne, qui réunissent des vendeurs et des consommateurs comme Amazon ou Airbnb, doivent quant à elles afficher un certain nombre d'informations relatives aux produits et services qu'elles vendent, et détenir des informations permettant de tracer les vendeurs de biens et services illicites.
DMA : Les obligations du Digital Markets Act (DMA) qui peuvent intéresser les titulaires de marque incluent l'interdiction des pratiques d'auto-préférence, avec lesquelles les plateformes numériques favorisent leurs propres produits au détriment des autres marques.
De plus, la transparence dans les pratiques algorithmiques est requise, obligeant les plateformes à divulguer comment les produits sont classés et recommandés. La protection des données des utilisateurs est également prioritaire, interdisant aux plateformes de réutiliser les données personnelles collectées pour d'autres prestations.
De plus, l'égalité d'accès et de traitement est garantie, évitant des conditions déloyales pour les utilisateurs professionnels.
En somme, le DMA vise à assurer une concurrence équitable et à protéger les utilisateurs et leurs données, offrant aux titulaires de marque un environnement plus transparent et sécurisé pour leurs produits sur les plateformes numériques.
NIS 2 : Les registres des noms de domaine de premiers niveau et les entités fournissant des services d'enregistrement de noms de domaine doivent mettre en place des procédures de vérification des informations des titulaires des noms de domaine, les données qui ne sont pas à caractères personnelles doivent être rendues publiques et il doit être donné accès aux données spécifiques d'enregistrement de noms de domaine sur demande légitime et dans le respect du droit de la protection des données, en 72h maximum. Il sera potentiellement plus facile d'avoir accès aux informations sur le titulaire d'un nom de domaine pour un titulaire de marque dans le cas de cybersquatting, de phishing ou autres…
Les sanctions pour les titulaires de marques
DSA : Dans le cadre du DSA, chaque Etat membre doit déterminer les sanctions applicables dans la limite de 6 % du revenu ou du chiffre d'affaires annuel de la société (plafond abaissé à 1 % en cas d'informations incorrectes ou de refus d'enquête sur place). Les astreintes sont limitées à 5 % du chiffre d'affaires quotidien. Pour les très grandes plateformes, la Commission peut contrôler elle-même le respect de la législation. Les entreprises qui ne respecteraient pas les règles de manière répétée pourront être interdites.
DMA : Si elle estime qu'un contrôleur d'accès ne respecte pas ses obligations prévues par le DMA, la Commission peut lui indiquer des mesures concrètes à mettre en œuvre. Si celui-ci persiste, il peut se voir infliger des amendes allant jusqu'à 10 % de son chiffre d'affaires mondial total. En cas de récidive, cette amende peut atteindre 20 % de ce chiffre d'affaires.
En cas de non-respect systématique du DMA (règles enfreintes au moins trois fois en huit ans), la Commission peut ouvrir une enquête de marché et, si nécessaire, imposer des mesures telles que l'interdiction d'acquérir d'autres entreprises pendant une période donnée.
NIS 2 : Ces sanctions peuvent varier en fonction des législations nationales de chaque État membre de l'UE, mais la directive exige que les sanctions soient effectives, proportionnées et dissuasives.
Voici quelques exemples de sanctions qui pourraient être imposées en cas de non-respect de NIS2 :
Sanctions financières : Les entreprises qui ne respectent pas les obligations de sécurité imposées par la directive pourraient être passibles de sanctions financières. Ces amendes peuvent être proportionnées à la gravité de l'infraction et au préjudice causé.
Mesures administratives : Les autorités nationales de cybersécurité peuvent prendre des mesures administratives à l'encontre des entreprises qui ne respectent pas NIS2. Cela peut inclure des avertissements, des ordres de mise en conformité ou des suspensions temporaires d'activité.
Publication de la violation : Les autorités nationales peuvent être autorisées à publier les violations de NIS2, ce qui pourrait entraîner une réputation négative pour l'entreprise concernée.
Interdiction d'activité : Dans les cas graves de non-conformité ou de violations répétées, les autorités nationales pourraient être autorisées à interdire temporairement ou définitivement à une entreprise de fournir certains services ou d'opérer dans certains secteurs.
Toutes ces règlementations sont des avancées positives pour les titulaires de marques et notamment dans la protection de leurs droits en ligne, qui trop souvent n'obtenaient pas de réponse à leurs réclamations.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.