Les obligations ne précisent pas non plus à quels services elles s'appliquent. Par défaut, elles sont censées s'appliquer à tous les services de plateforme essentiels du gatekeeper. Mais certaines obligations n'ont de sens que pour certains services ; d'autres, au contraire, pourraient être appliquées à plusieurs services, mais de manière plus ou moins pertinente, car elles sont formulées de manière trop générale. Comment s'y retrouver ?
Bref : les obligations sont souvent peu claires et excessivement rigides, ce qui posera à la fois un problème de sécurité juridique et de flexibilité.
En effet, comme les obligations sont purement matérielles et que l'effet recherché n'est pas indiqué, elles seront difficiles à adapter, sauf à les modifier complètement. Actuellement, le texte prévoit la possibilité de créer de nouvelles obligations par voie d'actes délégués. Évidemment, cette procédure est souple, puisqu'elle permet à la Commission de légiférer sans le Parlement ni le Conseil… mais en l'occurrence, elle aurait l'inconvénient d'être contraire à l'article 290 du TFUE. Les actes délégués peuvent éventuellement modifier les éléments « non essentiels » d'un texte, mais certainement pas créer de nouvelles obligations.
En fait, à chaque fois qu'elle a été confrontée à une difficulté, la Commission a toujours trouvé la même solution : les actes délégués. Mais cela nuit à l'intelligibilité et à la prévisibilité de la norme et crée un risque de contentieux. La bonne solution aurait été de faire un effort sur la conception du texte même et sur sa rédaction.
La proposition du rapport est donc la suivante : définir précisément des obligations service par service, et les classer par catégories de plateforme, en précisant à chaque fois l'objectif principal et le but recherchés. Les actes délégués pourront seulement permettre d'actualiser les obligations et de préciser par quels moyens l'effet recherché par chaque obligation doit être atteint, sans rien changer à la liste des obligations et à l'effet recherché par chacune d'elles.
Le rapport propose aussi de renforcer, sur le fond, les obligations existantes ou de soumettre au régime systématique de l'article 5 certaines obligations actuellement soumises au régime plus souple de l'article 6. Je n'entre pas dans le détail ici. Le rapport propose, enfin, de créer des obligations nouvelles : rendre automatique la transmission des algorithmes au régulateur ; encadrer les changements substantiels de conditions générales d'utilisation et les rendre moins discrétionnaires ; promouvoir certaines normes minimales d'interopérabilité entre les services de réseaux sociaux. Ce dernier point est sans doute le plus délicat, nous pourrons revenir dessus si vous le souhaitez.
Enfin, la troisième partie du rapport affirme qu'il faut donner un véritable rôle aux Etats membres et aux autorités nationales de régulation pour s'assurer que la mise en œuvre du texte sera efficace.
La Commission tient à faire appliquer le texte seul, sans aide extérieure, si l'on excepte le recours ponctuel à des experts indépendants. Les Etats membres ne sont mentionnés que dans un seul article du texte, qui leur donne la possibilité de demander l'ouverture d'une enquête en vue de la désignation d'un gatekeeper, et encore à condition que trois Etats membres le demandent. Les Etats membres ne peuvent même pas demander l'ouverture d'un autre type d'enquête (enquêtes pour violations systématiques, enquêtes sur de nouvelles pratiques). Aucun rôle ne leur est attribué, si ce n'est parfois un rôle consultatif dans le cadre de la comitologie.
Bien sûr, il est légitime que les normes soient harmonisées et qu'il n'y ait qu'une autorité de décision au niveau européen, pour éviter les écarts de doctrine et apporter une réponse cohérente aux problèmes posés par les gatekeepers. Mais le texte souffre d'une procédure de mise en œuvre excessivement centralisée. Cela ne pose pas seulement des difficultés de principe liées à l'absence de contre-pouvoir, cela risque aussi de nuire à l'efficacité du texte. Au plus, la Commission disposera de 80 ETP, puisés dans d'autres services, pour la mise en œuvre du DMA. C'est dérisoire : au Royaume-Uni, l'autorité de régulation chargée du numérique, qui vient d'être créée, compte déjà 200 personnes !
Dans la version actuelle du texte, aucun mécanisme de concertation entre la Commission et les autorités nationales de régulation n'est prévu. Un tel mécanisme serait pourtant nécessaire pour créer un cadre de dialogue entre les gatekeepers et le régulateur, donner aux petites entreprises un interlocuteur susceptible de recueillir les plaintes et mobiliser les moyens des autorités nationales de concurrence au service des enquêtes de marché. S'il est vrai que les acteurs régulés par le DMA auront une dimension internationale, ses bénéficiaires seront principalement des entreprises de taille modeste et des particuliers. Pour tous ces utilisateurs, il est nécessaire que le régulateur central ait des « relais » au niveau national.
Il faudrait, surtout, s'assurer d'une bonne articulation entre le DMA, qui est fondé sur le marché intérieur (comme il s'agit d'une régulation ex ante ), et le droit de la concurrence, qui restera pleinement applicable en parallèle. Paradoxalement, les autorités nationales de concurrence n'auront pas le droit de lancer une procédure contre les gatekeepers sur le fondement du DMA, mais rien ne les empêchera de le faire sur le fondement du droit interne. Et comme il n'y a pas de mécanisme de concertation, le risque de conflits de compétence et de divergences de jurisprudence n'est pas à exclure.
Le rapport propose donc la création d'un réseau européen des autorités nationales de régulation, sur le modèle du Réseau européen de la concurrence ou du BEREC. Ces réseaux permettent de coordonner l'action des autorités nationales en matière respectivement de concurrence et de régulation des télécoms. Vu le succès de ces instances, il n'est pas compréhensible que la Commission n'ait pas pensé à créer l'équivalent pour la régulation du secteur numérique.
Le réseau européen de la régulation numérique rassemblerait les autorités nationales de régulation désignées compétentes par les différents Etats membres. Il faudrait, pour chaque État membre, une autorité « chef de file », et éventuellement d'autres autorités qui seraient associées pour apporter leur expertise dans tel secteur particulier. En France, l'autorité chef de file pourrait être l'Autorité de la concurrence ou l'ARCEP (qui a davantage l'habitude de la régulation ex ante ) ; la CNIL pourrait également être associée pour l'application des obligations qui impliquent la gestion et la protection des données.
Ce réseau de coordination permettrait aux autorités nationales d'exercer les fonctions suivantes : faire un travail d'analyse et « faire remonter » à la Commission les informations pertinentes et les anomalies qu'elle constate ; jouer le rôle de médiateur ou de mécanisme de règlement des différends ; recueillir les plaintes des particuliers et des entreprises et décider de les traiter elle-même ou de les renvoyer à la Commission ; demander à la Commission d'ouvrir une procédure d'infraction à l'encontre d'un gatekeeper ; participer activement aux enquêtes décidées par la Commission et bénéficier, par délégation, de ses pouvoirs d'instruction.
Pour conclure : je suis favorable à la démarche et aux objectifs du DMA, car nous avons besoin d'une régulation ex ante pour résoudre des problèmes structurels posés par les gatekeepers. Mais nous regrettons le manque de clarté du texte, concernant les procédures aussi bien que les normes de fond. Cela risque de nuire à sa bonne mise en œuvre, de même que l'absence de mécanisme de coordination des autorités nationales de régulation. Si nous voulons que le DMA soit un succès, il faut donc renforcer les fragilités juridiques du texte et construire une véritable architecture de régulation.