La concentration du secteur du numérique conduit à un train réglementaire très encombré en 2022, à la fois dans l’UE et aux États-Unis. Si l’agenda fédéral américain est essentiellement axé sur le droit de la concurrence, celui de l’UE a une portée plus large, y compris les questions de confidentialité et de transfert des données. À l’instar de la supervision post-2008 des banques « trop grandes pour faire faillite », l’ambiance est également au ciblage des entreprises numériques d’importance systémique, alias « les contrôleurs d’accès ». Il faudra bien déterminer qui entrera dans cette catégorie, car le processus de désignation n’est pas nécessairement très clair. La façon dont les agendas réglementaires convergeront, ou non, entre l’UE et les États-Unis à l’avenir est une question cruciale.
Un problème de concentration du marché
L’essor des grandes entreprises numériques atteignant une taille systémique sur de nombreux marchés crée de nombreux défis politiques et réglementaires. Les sujets abordés abondent : vie privée des utilisateurs, fiscalité, DPI, droits des consommateurs et du travail, désinformation et, surtout, concurrence. Une question centrale qui recoupe la plupart de ces questions est le niveau de concentration de l’économie numérique. La proposition selon laquelle la concurrence n’est « qu’à un clic » ne s’est pas concrétisée en dehors de quelques réussites, pas plus que les solutions autour du contrôle des données et de l’impact des outils numériques tels que l’IA sur le bien-être des utilisateurs.
À la mi-2020, la capitalisation boursière des grandes entreprises technologiques avait atteint près de 25% du S&P500 – valorisation qui a sans aucun doute été stimulée par la pandémie de COVID-19 et l’évolution des habitudes de consommation depuis. Cette augmentation de la capitalisation boursière a stimulé l’appétit pour les fusions et acquisitions. Entre 2010 et 2019, chacune des grandes entreprises numériques américaines a dépensé en moyenne 23 milliards de dollars en cash pour des acquisitions, soit près de trois fois plus que la moyenne des entreprises du Top 200 américain.
L’accès et l’exploitation des données sont au cœur de la question de la concentration. Qu’elles soient considérées comme intrants pour la production (au même titre que les matières premières, la main-d’œuvre, le capital) ou comme un actif incorporel à part entière, les données permettent :
- Des économies d’échelle hors du commun (coûts fixes importants et coûts marginaux proche de zéro);
- Des effets de réseau et des effets rétroactifs auto-entretenues (une augmentation de l’utilisation d’un service numérique attirera plus d’utilisateurs et augmentera sa valeur, ce qui tend également à « verrouiller » les consommateurs, les créateurs de contenu et les fournisseurs);
- Des économies de gamme (contrairement aux autres actifs corporels, les données sont « non rivales » et peuvent être exploitées, sans dépréciation, dans des différents marchés et écosystèmes);
- Des effets de valorisation (à partir de données brutes, volontaires ou observées, la valorisation prend une trajectoire exponentielle avec les données déduites dérivées à l’aide d’algorithmes).
Un agenda législatif surchargé
Les aspects règlementaires ont pris de l’ampleur lentement mais surement au cours de la dernière décennie. En 2013, la numérisation de l’économie incite l’OCDE et le G20 à lancer une révision de fond de la fiscalité internationale. En 2017, le concept de « droit des plateformes » – situé entre le droit de la concurrence et le droit de la vie privée – est introduit. Plusieurs auditions parlementaires en 2019 et 2020, aux États-Unis et dans l’UE, mettent en lumière l’impact des plateformes numériques et l’insuffisance de la réglementation. Les autorités de la concurrence lancent de multiples enquêtes avec plus ou moins de succès: Amazon et Apple respectivement concernant le pouvoir de négociation des entreprises usagers, Meta / Facebook concernant sa politique d’acquisition, Alphabet / Google concernant la publicité en ligne et son moteur de recherche. Depuis, l’environnement réglementaire s’est sérieusement surchargé avec une multitude d’initiatives législatives en 2022, promulguées ou susceptibles de l’être dans les années à venir.
Aux États-Unis, la Maison-Blanche a publié des « Principes pour l’amélioration de la concurrence et la responsabilité des plateformes technologiques visant à promouvoir la concurrence » et, tout récemment, son Modèle pour une charte de droits relatifs l’IA. C’est surtout au Congrès que les propositions de loi s’accumulent. En tenant compte des prochaines élections de mi-mandat, certaines d’entre elles pourraient bien être adoptées, notamment l’American Innovation and Choice Online (AICO) Act, l’Open App Markets (OAM) Act et l’Augmenting Compatibility and Competition by Enabling Service Switching (ACCESS) Act. Trois autres projets de loi visent spécifiquement à restreindre les fusions et acquisitions : l’Ending Platform Monopolies (EPM) Act, le Platform Competition and Opportunity (PCO) Act et le Competition and Transparency in Digital Advertising (CTDA) Act. Il existe plusieurs autres mesures législatives au niveau des États, y compris en Californie.
En Europe, quatre ans après le règlement général sur la protection des données (RGPD) axé sur la protection des données et de la vie privée, l’UE s’est lancée dans un programme ambitieux, avec notamment: le paquet sur les services numériques, composé de la loi sur les marchés numériques (Digital Markets Act, DMA) et de la loi sur les services numériques (Digital Services Act, DSA); la stratégie data composée de la loi sur les données (Data Act) et de la loi sur la gouvernance des données (Data Governance Act) ; la Loi sur l’intelligence artificielle (AI Act) et une éventuelle loi sur la responsabilité en matière d’IA (AI Liability Act) ; Une directive sur le travail sur les plateformes (Platform Work Directive) et une déclaration européenne non contraignante sur les droits et principes numériques.
Plusieurs pays européens ont introduit leurs propres processus législatifs, ainsi que l’Australie (News Media Bargaining Code, mars 2021) et le Japon (Loi sur l’amélioration de la transparence et de l’équité des plateformes numériques, février 2021).
Top 20 des entreprises par capitalisation boursière en mars 2022
Une question de droit de la concurrence, mais pas seulement
Ces initiatives réglementaires diffèrent par leur portée et leur contenu. La plupart d’entre elles visent le pouvoir de marché des entreprises numérique et à promouvoir la concurrence:
- Accroître le pouvoir de négociation des entreprises utilisatrices, en restreignant ou en interdisant (i) l’auto-préférence des propres produits de la plateforme, (ii) la vente liée et le regroupement (en permettant par exemple de désinstaller toute application logicielle préinstallée sur son service de plate-forme de base) et (iii) la restriction des clauses de la Nation la Plus Favorisée (empêchant les entreprises utilisatrices d’offrir des conditions plus favorables sur d’autres plateformes);
- Élargir l’accès et la portabilité des données, notamment par : (i) la portabilité des données (permettre aux consommateurs de conserver leurs données personnelles lorsqu’ils passent à d’autres fournisseurs), (ii) l’interopérabilité des plateformes, (iii) l’accès des entreprises utilisatrices aux données et (iv) la transparence des conditions d’accord de l’utilisateur ;
- Le contrôle des fusions et acquisition, y compris l’avis préalable et l’approbation par les autorités de la concurrence, couvrant à la fois les fusions et acquisitions (i) entre concurrents directs et (ii) avec des entreprises en amont ou en aval.
La portée de certaines initiatives va bien au-delà de la concurrence et couvre:
- Protection de la vie privée en ligne et prévention de l’utilisation abusive des données, notamment par le consentement explicite de l’utilisateur sur la réaffectation et le partage des données, et des règles plus explicites d’accès aux données et de partage avec des tiers;
- La modération du contenu et la responsabilité des plateformes (et de l’IA), y compris en prévoyant des exonérations de responsabilité générale;
- L’emploi des plateformes: prévention de la classification erronée des travailleurs (en tant que travailleurs indépendants plutôt qu’en tant qu’employés);
- Le transfert et le partage de données: encadrer le transfert de données entre les autorités publiques et les fournisseurs du secteur privé;
- La fiscalité: réformer les règles sur l’impôt sur le bénéfice des entreprises pour tenir compte de la création de valeur générée par les utilisateurs et de la mobilité des actifs incorporels.
Initiatives réglementaires en cours aux États-Unis et au niveau Européen
Le tableau suivant récapitule les principales initiatives, qu’elles aient été adoptées ou envisagées, respectivement au niveau de l’UE et au niveau fédéral américain.
Désignation des « contrôleurs d’accès »
Une caractéristique fréquente de l’agenda réglementaire numérique est l’accent mis sur la réglementation asymétrique. Plusieurs textes législatifs ciblent spécifiquement les entreprises numériques de taille systémiques, les « Big Tech », plutôt que les entreprises numériques dans leur ensemble. A l’instar du cadre de surveillance mis en place par le Conseil sur stabilité financière pour les institutions financières d’importance systémique après 2008 (dont les banques dites « trop grandes pour faire faillite »), l’intention est d’accroître la surveillance réglementaire des entreprises qui ont un pouvoir de marché hors-norme et bien établi.
Le Digital Markets Act vise ainsi les « contrôleurs d’accès », les entreprises dépassant (i) EUR 75Mds de capitalisation boursière ou EUR 7,5Mds de chiffre d’affaires, et (ii) 45 millions d’utilisateurs finaux mensuels et 10 000 utilisateurs professionnels annuels en Europe, et fournissant des « services de plateforme de base » dans des secteurs numériques clés : places de marché, médias sociaux, moteurs de recherche, publicité, systèmes d’exploitation, partage de vidéos, navigateurs Web, cloud computing. La liste officielle devrait être divulguée en août 2023. Elle devrait inclure Alphabet (Chrome, Google, Android), Apple (iOS, Music), Meta (Facebook, WhatsApp, Instagram), Amazon (Amazon marketplace, Prime Video, Music), Microsoft (Windows), ainsi que Netflix, HBO, Sky, Dazn, Spotify (partage de vidéos et de musique).
Le processus de désignation de ces « Contrôleurs d’accès » pourrait devenir problématique. Il reste à déterminer s’il s’appuiera réellement sur des critères définis objectivement – comme c’est le cas pour les banques systémiques – ou s’il fera l’objet d’une décision discrétionnaire de la Commission européenne. L’utilisation de la capitalisation boursière comme indicateur du pouvoir des marché est assez contestable si l’intention est de viser des objectifs de concurrence. Les sociétés cotées aux États-Unis ont une capitalisation boursière plus élevée en raison de la profondeur et de la liquidité du marché boursier américain et de l’utilisation généralisée des programmes de rachat d’actions, qui ne reflète pas forcément la valorisation intrinsèque de l’entreprise ou son pouvoir de marché. Il n’est pas clair si d’autres catégories, les sociétés non cotées et des entreprises publiques seront également pris en compte. Pour donner un exemple, les plateformes TikTok et SHEIN sont gérées par des sociétés chinoises non-cotées, qui n’ont donc pas de capitalisation boursière et dont la valorisation des actifs est sujette à caution – estimée à USD140Mds pour ByteDance (TikTok) et à USD100Mds pour SHEIN. Quant à Telegram, l’un des principaux services de messagerie en Europe, on en sait très peu. L’entreprise est officiellement domiciliée aux îles Vierges britanniques avec un « centre opérationnel » à Dubaï.
La nécessité d’un dialogue transatlantique
La manière dont l’agenda réglementaire convergera entre l’UE et les États-Unis est une question cruciale – compte tenu de la taille de leurs marchés de consommateurs (et donc d’utilisateurs de plateformes) et du niveau d’intégration des deux blocs économiques. L’accord Privacy Shield de 2016, visant à stabiliser le transfert de données et le respect de la vie privée, a été contesté par les tribunaux et invalidé par la CJUE sur la base du RGPD, entraînant entre autres la suspension de Google Analytics dans plusieurs pays européens. Alors que la Maison Blanche a récemment signé un décret pour mettre en œuvre l’accord-cadre transatlantique révisé de mars 2022 sur la confidentialité des données, il n’est pas du tout acquis qu’il résoudra les incohérences entre les exigences du RGPD européen et le cadre réglementaire américain.
Depuis 2021, le Conseil UE-États-Unis sur le commerce et la technologie a précisément l’ambition d’apporter une coordination en matière de politique et de réglementation. Sur le plan politique, le processus aboutissant au Digital Markets Act et Digital Services Act a fait grincer les dents de nombres de responsables américains, qui s’inquiètent de l’impact disproportionné sur leurs champions numériques. Il existe également de réelles différences conceptuelles dans l’élaboration des politiques réglementaires entre les États-Unis et l’Europe : grands principes accompagnés d’interprétation ex post par les litiges et recours collectifs aux États-Unis, réglementation et exigences détaillées ex ante en Europe.