Destiné à encadrer les relations entre, d’une part, les GAFAM (Google, Apple, Facebook, Amazon et Microsoft), ainsi que, ne l’oublions pas, les BATX (Baidu, Alibaba, Tencent et Xiaomi) et, d’autre part, les entreprises utilisatrices afin de veiller à une meilleure concurrence des plateformes en ligne, le règlement sur les marchés numériques, le Digital Markets Act (DMA) a été publié ce mercredi 12 octobre au JO de l'UE. Il est, au côté du règlement sur les services numériques, le Digital Services Act (DSA), l'un des deux textes majeurs de régulation de l'espace numérique européen en général. Contrairement au DSA qui s'applique à toutes les entreprises proposant des services intermédiaires aux utilisateurs européens, le DMA cible uniquement les plateformes dites "systémiques" qui sont des "contrôleurs d'accès" (gatekeepers) à l'entrée d'internet.

Pour recevoir cette qualification, un prestataire de services informatiques doit satisfaire à trois critères vérifiés par la Commission européenne :

• avoir un "poids important sur le marché intérieur" (en particulier, proposer des services de plateforme essentiels dans au moins trois Etats membres et disposer d’une certaine taille - chiffre d’affaires ou de valorisation boursière) ;
• assurer un "service de plateforme essentiel" constituant un "point d'accès majeur", en assurant : (i) un des services essentiels, à savoir, en particulier, des services d’informatique en nuage (cloud) et (ii) un enregistrement au sein de l'UE d'au moins 10 000 entreprises utilisatrices actives par an notamment ; et
• jouir d'une position "solide et durable" dans le cadre des activités de fourniture des services essentiels mentionnés à l'article 2 du DMA : cette exigence sera remplie dès lors que les seuils visés plus haut seront atteints.

Ce nouveau règlement doit être articulé avec un autre, sur la résilience opérationnelle (DORA - Digital Operational Resilience Act), qui soumet les entreprises du secteur financier européen à des exigences élevées en termes de cybersécurité, notamment dans leurs relations de sous-traitance auprès de prestataires de services informatiques.

En particulier, DORA soumettra les prestataires de services informatiques critiques de pays tiers :

• à l’obligation d’implanter une filiale dans l’UE ; et
• à la surveillance des autorités européennes de supervision du secteur financier, à savoir l’Autorité européenne des marchés financiers (ESMA), l’Autorité bancaire européenne (EBA) et l’Autorité européenne des assurances et des pensions professionnelles (EIOPA), avec le pouvoir d’infliger des pénalités financières dans certains cas.

Dès lors, il y a fort à parier que des GAFAM fournissant des services de cloud critiques seront appréhendés à la fois par le DMA et DORA.

Frédérick Lacroix, avocat associé du cabinet Clifford Chance

_________________________________

Pour aller plus loin : voir le rapport du Haut Comité Juridique de la Place Financière de Paris (HCJP) sur le cloud bancaire, qui analyse en détail la situation et les réponses apportées par DORA : https://www.banque-france.fr/sites/default/files/rapport_42_f.pdf