DSA et DMA : Ce que les plateformes en ligne et les marchés numériques doivent savoir
What you need to know: DSA et DMA : Ce que les plateformes en ligne et les marchés numériques doivent savoir
Le règlement sur les services numériques et le règlement sur les marchés numériques redéfinissent fondamentalement les obligations des plateformes en ligne et des contrôleurs d'accès. Ce guide présente les personnes concernées, les exigences applicables et le calendrier d'application.
Le règlement sur les services numériques (règlement 2022/2065, applicable à partir de février 2024) et le règlement sur les marchés numériques (règlement 2022/1925, applicable à partir de mai 2023) forment ensemble le cadre réglementaire de l'UE pour les marchés numériques. Ces deux textes sont liés mais distincts : le DSA régit la manière dont les intermédiaires en ligne gèrent les contenus et les utilisateurs ; le DMA régit la manière dont les plateformes dominantes traitent les utilisateurs professionnels et les concurrents.
Comprendre lequel s'applique à vous — et ce qu'il exige — revêt une importance croissante. La Commission applique activement les deux règlements, et les coordinateurs nationaux pour les services numériques sont désormais opérationnels dans l'ensemble des États membres.
Règlement sur les services numériques (DSA)
Champ d'application et obligations graduées
Le DSA s'applique à tous les services d'intermédiation en ligne comptant des utilisateurs dans l'UE, quel que soit le lieu d'établissement du prestataire. Les obligations sont graduées en fonction du type de service et de la taille — les plateformes plus grandes font face à des exigences plus lourdes.
| Niveau | Qui | Exemples | |--------|-----|---------| | Tous les services d'intermédiation | Tout intermédiaire en ligne | FAI, fournisseurs de DNS, fournisseurs de transit | | Services d'hébergement | Services stockant des contenus fournis par les utilisateurs | Hébergement web, stockage en nuage | | Plateformes en ligne | Services d'hébergement qui diffusent des contenus au public | Places de marché, boutiques d'applications, réseaux sociaux, plateformes d'avis | | Très grandes plateformes en ligne (VLOP) | Plateformes en ligne comptant ≥45 M d'utilisateurs mensuels actifs en moyenne dans l'UE | Désignées par la Commission | | Très grands moteurs de recherche en ligne (VLOSE) | Moteurs de recherche comptant ≥45 M d'utilisateurs mensuels actifs en moyenne dans l'UE | Désignés par la Commission |
Principales obligations DSA par niveau
Tous les services d'intermédiation :
- Conditions générales d'utilisation claires
- Point de contact unique pour les autorités
- Rapports de transparence
Services d'hébergement (en plus) :
- Mécanisme de signalement des contenus illicites (notification et action)
- Informer les utilisateurs du retrait de contenus et leur proposer des voies de recours
- Signaler les infractions pénales aux autorités répressives lorsqu'elles sont détectées
Plateformes en ligne (en plus) :
- Pas de pratiques trompeuses (dark patterns) — la conception de l'interface ne doit pas tromper les utilisateurs pour les amener à des choix qu'ils n'auraient pas autrement faits
- Identification claire de toute publicité, sans ciblage fondé sur des données de catégories particulières ni sur des mineurs
- Transparence des systèmes de recommandation — au moins une option de recommandation non fondée sur le profilage
- Mécanismes de traitement des plaintes et de recours, incluant l'accès au règlement extrajudiciaire des litiges
- Transparence sur les conditions générales et leur application
VLOP et VLOSE (en plus) :
- Évaluations annuelles des risques systémiques portant sur : la diffusion de contenus illicites, les impacts sur les droits fondamentaux, le discours civique et l'intégrité électorale, les violences fondées sur le genre, la protection des mineurs
- Audits indépendants des évaluations des risques et des mesures d'atténuation
- Accès en temps réel aux données pour les chercheurs accrédités
- Protocoles de réponse aux crises (la Commission peut les activer dans des circonstances exceptionnelles)
- Interdiction du ciblage fondé sur le profilage des mineurs et des catégories sensibles de données
Application du DSA et amendes
Les coordinateurs nationaux pour les services numériques (CSN) sont les principaux organes chargés de l'application. La Commission européenne assure l'application directe à l'égard des VLOP et des VLOSE.
| Infraction | Amende maximale | |------------|----------------| | Non-respect des obligations DSA | 6 % du chiffre d'affaires annuel mondial | | Non-respect des mesures provisoires de la Commission | 5 % du chiffre d'affaires quotidien moyen mondial | | Infraction répétée | Restriction temporaire de l'accès au marché de l'UE |
Pour les VLOP et les VLOSE, la Commission peut également imposer des remèdes structurels en cas de non-conformité systématique.
Règlement sur les marchés numériques (DMA)
Champ d'application : uniquement les contrôleurs d'accès
Le DMA s'applique exclusivement aux contrôleurs d'accès désignés — des entreprises qui fournissent des services de plateforme essentiels et satisfont aux seuils de désignation. La désignation est effectuée par la Commission européenne.
Contrôleurs d'accès actuellement désignés (en date d'avril 2026) : Alphabet (Google), Amazon, Apple, ByteDance (TikTok), Meta et Microsoft. La désignation peut être étendue à mesure que les marchés évoluent.
Critères de désignation en tant que contrôleur d'accès (au moins l'un doit être satisfait quantitativement ou qualitativement) :
- Capitalisation boursière de ≥75 milliards EUR ou chiffre d'affaires annuel dans l'UE de ≥7,5 milliards EUR au cours des trois derniers exercices financiers
- ≥45 millions d'utilisateurs finaux mensuels actifs dans l'UE pour le service de plateforme essentiel
- ≥10 000 utilisateurs professionnels annuels actifs dans l'UE au cours du dernier exercice financier
Services de plateforme essentiels couverts par le DMA :
- Services d'intermédiation en ligne (places de marché, boutiques d'applications)
- Moteurs de recherche en ligne
- Services de réseaux sociaux en ligne
- Services de partage de vidéos
- Services de communication interpersonnelle indépendants d'un numéro (messagerie)
- Systèmes d'exploitation
- Navigateurs web
- Assistants virtuels
- Services d'informatique en nuage
- Services de publicité en ligne (liés à un contrôleur d'accès désigné)
Obligations DMA pour les contrôleurs d'accès
Les contrôleurs d'accès sont soumis à une liste d'obligations et d'interdictions (articles 5 et 6), notamment :
- Interopérabilité — les contrôleurs d'accès dans le domaine de la messagerie doivent permettre aux services de messagerie tiers d'interopérer à des niveaux de base (texte, images, fichiers)
- Portabilité des données — les utilisateurs finaux et les utilisateurs professionnels doivent pouvoir transférer leurs données vers d'autres plateformes
- Classement équitable — les contrôleurs d'accès ne peuvent pas accorder un traitement préférentiel à leurs propres services dans les classements (pas d'auto-préférence dans les résultats de recherche, les boutiques d'applications, etc.)
- Pas de combinaison de données personnelles entre services sans consentement explicite lorsque l'utilisateur n'y a pas consenti
- Ouverture des boutiques d'applications — les utilisateurs professionnels doivent pouvoir distribuer des applications via des canaux alternatifs ; les utilisateurs doivent pouvoir définir des applications par défaut
- Pas de couplage — les contrôleurs d'accès ne peuvent pas exiger que les utilisateurs utilisent un service de plateforme essentiel comme condition d'accès à un autre
- Accès aux données — les utilisateurs professionnels doivent avoir accès aux données générées par leur utilisation de la plateforme du contrôleur d'accès
Application du DMA et amendes
La Commission européenne dispose de la compétence exclusive pour l'application du DMA.
| Infraction | Amende maximale | |------------|----------------| | Non-respect des obligations DMA | 10 % du chiffre d'affaires annuel mondial | | Infraction répétée | 20 % du chiffre d'affaires annuel mondial | | Non-conformité systématique | Remèdes structurels (p. ex. cession d'unités commerciales) | | Omission de notification de concentrations | 1 à 5 % du chiffre d'affaires annuel mondial |
La Commission a déjà ouvert des procédures formelles contre plusieurs contrôleurs d'accès désignés et imposé des mesures provisoires.
Qui est réellement concerné
La plupart des PME ne sont soumises qu'au niveau de base du DSA — elles doivent disposer de conditions générales d'utilisation claires, d'un mécanisme de notification et d'action pour les contenus illicites si elles hébergent du contenu généré par les utilisateurs, et s'abstenir de toute pratique trompeuse. Ces exigences sont gérables.
Les plateformes dont la base d'utilisateurs dans l'UE est en croissance doivent surveiller si elles s'approchent du seuil de 45 millions d'utilisateurs déclenchant la désignation en tant que VLOP — la charge de conformité augmente considérablement à partir de ce moment.
Le DMA ne concerne actuellement que les six contrôleurs d'accès désignés. À moins que votre entreprise en fasse partie, les obligations du DMA ne s'appliquent pas directement. Cependant, si vous distribuez des applications via des plateformes de contrôleurs d'accès, publiez du contenu sur des réseaux sociaux ou faites de la publicité via des services publicitaires de contrôleurs d'accès, vous bénéficiez des obligations imposées par le DMA à ces contrôleurs — un accès plus équitable, la portabilité des données et un classement transparent.
Recommandations pratiques pour les plateformes de taille intermédiaire
- Auditez vos conditions générales d'utilisation et votre interface pour détecter les pratiques trompeuses — l'interdiction prévue par le DSA est applicable à tous les niveaux de plateforme
- Mettez en place un processus de notification et d'action si vous hébergez du contenu généré par les utilisateurs — un mécanisme pour recevoir, évaluer et traiter les signalements de contenus illicites est obligatoire
- Publiez un rapport de transparence annuel couvrant les actions de modération des contenus — requis pour les plateformes en ligne
- Révisez vos pratiques publicitaires — si vous ciblez la publicité, assurez-vous de ne pas utiliser de données de catégories particulières ni de profiler des mineurs
- Surveillez vos chiffres d'utilisateurs — si vous vous approchez de 45 millions d'utilisateurs mensuels actifs dans l'UE, la désignation en tant que VLOP déclenche des obligations nettement plus exigeantes ; commencez une analyse des écarts avant de franchir ce seuil
Dernière mise à jour : avril 2026.
Foire aux questions
Quelle est la différence entre le DSA et le DMA ?
Le règlement sur les services numériques (règlement 2022/2065) et le règlement sur les marchés numériques (règlement 2022/1925) traitent de problèmes différents bien qu'ils s'appliquent tous deux aux plateformes en ligne. Le DSA régit la manière dont les services d'intermédiation gèrent les contenus illicites, les droits des utilisateurs et la transparence des plateformes — il s'applique à un large éventail de services, des hébergeurs de base aux plus grands réseaux sociaux, avec des obligations graduées selon la taille et le type en vertu des articles 11 à 43. Le DMA régit la concurrence et la contestabilité des marchés numériques — il s'applique exclusivement aux entreprises désignées comme « contrôleurs d'accès » par la Commission européenne qui fournissent des services de plateforme essentiels à grande échelle. Les deux règlements peuvent s'appliquer simultanément à la même entreprise : un contrôleur d'accès désigné exploitant un réseau social doit se conformer à la fois à ses obligations DSA en tant que très grande plateforme en ligne et à ses obligations DMA en tant que contrôleur d'accès.
Qui est un « contrôleur d'accès » au sens du règlement sur les marchés numériques ?
Un contrôleur d'accès est une entreprise qui fournit un ou plusieurs services de plateforme essentiels — tels que des places de marché en ligne, des moteurs de recherche, des réseaux sociaux, des systèmes d'exploitation, des navigateurs, des services de messagerie ou des services d'informatique en nuage — et qui satisfait aux seuils de désignation quantitatifs de l'article 3 du règlement 2022/1925. Ces seuils sont : un chiffre d'affaires annuel dans l'UE d'au moins 7,5 milliards EUR pour chacun des trois derniers exercices financiers, ou une capitalisation boursière d'au moins 75 milliards EUR ; au moins 45 millions d'utilisateurs finaux mensuels actifs dans l'UE ; et au moins 10 000 utilisateurs professionnels annuels actifs dans l'UE au cours du dernier exercice financier. La Commission européenne conduit des procédures formelles de désignation et peut également désigner des entreprises ne satisfaisant pas à tous les seuils quantitativement si elles détiennent manifestement une position enracinée et durable. Début 2026, les contrôleurs d'accès désignés sont : Alphabet, Amazon, Apple, ByteDance, Meta et Microsoft.
Quelles obligations de modération des contenus le DSA impose-t-il ?
Les obligations de modération des contenus prévues par le DSA sont graduées par type de service. Tous les services d'hébergement doivent mettre en place un mécanisme de notification et d'action permettant à toute personne de signaler des contenus illicites en vertu de l'article 16, agir promptement sur les contenus signalés et informer l'utilisateur de tout retrait et des raisons de celui-ci. Les plateformes en ligne doivent en outre proposer un mécanisme interne de traitement des plaintes pour les utilisateurs dont le contenu est supprimé, offrir l'accès au règlement extrajudiciaire des litiges et publier des rapports annuels de transparence sur l'activité de modération en vertu de l'article 15. Les très grandes plateformes en ligne (VLOP) font face aux obligations les plus exigeantes : évaluations annuelles des risques systémiques couvrant les contenus illicites, les droits fondamentaux, l'intégrité électorale et la protection des mineurs en vertu de l'article 34 ; audits indépendants de ces évaluations ; et accès en temps réel aux données pour les chercheurs accrédités. Le DSA n'impose pas aux plateformes de surveiller proactivement l'ensemble des contenus, mais les plateformes ne peuvent pas invoquer l'exonération de responsabilité si elles ont connaissance effective de contenus illicites et ne prennent pas de mesures promptes.
Sources
- Règlement (UE) 2022/2065 — Texte intégral du Digital Services Act — Le texte législatif officiel du règlement sur les services numériques, tel que publié au Journal officiel de l'Union européenne.
- Règlement (UE) 2022/1925 — Texte intégral du Digital Markets Act — Le texte législatif officiel du règlement sur les marchés numériques, tel que publié au Journal officiel de l'Union européenne.
- Application du règlement sur les marchés numériques par la Commission européenne — Le portail officiel d'application du DMA de la Commission, comprenant les décisions de désignation des contrôleurs d'accès, les procédures en cours et les enquêtes pour non-conformité.
- Mise en œuvre du DSA par la Commission européenne — Ressources de la Commission sur l'application du DSA, les désignations VLOP/VLOSE et le réseau des coordinateurs pour les services numériques.
- Liste des désignations VLOP et VLOSE — Commission européenne — Liste officielle des très grandes plateformes en ligne et des très grands moteurs de recherche en ligne désignés au titre du DSA.
Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un conseiller juridique qualifié avant de prendre des décisions en matière de conformité.
Key takeaways: DSA et DMA : Ce que les plateformes en ligne et les marchés numériques doivent savoir
This article covers: Règlement sur les services numériques (DSA), Règlement sur les marchés numériques (DMA), Qui est réellement concerné.
- Règlement sur les services numériques (DSA)
- Règlement sur les marchés numériques (DMA)
- Qui est réellement concerné
- Recommandations pratiques pour les plateformes de taille intermédiaire
- Foire aux questions
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing — 2 minutes, every Thursday.