RGPD et DMA : vers une convergence du droit de la concurrence et de la protection des données personnelles

Dans un marché européen marqué par l’évolution constante des services numériques, le Comité européen de protection des données (le « CEDP ») et la Commission européenne ont approuvé le 9 octobre 2025 des lignes directrices communes visant à clarifier les points de contact communs entre le Digital Markets Act (le « DMA ») et le Règlement Général sur la Protection des Données (le « RGPD »).

Ce travail conjoint marque un tournant sur les marchés numériques qui doivent désormais répondre à des défis interconnectés entre droits des individus au respect de leur vie privée et à la protection de leurs données personnelles d’une part, et équité et contestabilité des marchés numériques sous l’angle du droit de la concurrence d’autre part.

Si le DMA et le RGPD poursuivent des objectifs différents, ils n’en sont pas moins complémentaires en matière de protection des personnes physiques.

Entre lignes directrices et réalité des pratiques, comment s’articulent ces deux régimes juridiques ?

1. Lignes directrices communes sur l’interaction entre le DMA et le RGPD

Tandis que le RGPD s’applique aux entreprises établies dans l’Union européenne (« UE ») ou proposant leurs services à des personnes physiques établies dans l’UE, le DMA s’applique aux services de plateforme essentiels fournis ou proposés par des contrôleurs d’accès à des entreprises utilisatrices ou à des utilisateurs finaux établis dans l’Union européenne.  

Sont considérés comme services de plateforme essentiels une liste limitative de services numériques listés par l’article 2(2) du DMA, tels que les systèmes d’exploitation, les assistants virtuels ou les services d’intermédiation en ligne, et sont considérés comme contrôleurs d’accès les entreprises fournissant ces services et désignés par la Commission européenne.  

Si le champ d’application du DMA est moins large que celui du RGPD, il est important de noter que les services visés sont systématiquement concernés par des problématiques liées à la protection des données, les contrôleurs d’accès pouvant être qualifiés de responsable de traitement ou de sous-traitant selon les cas.

Ainsi, la Commission européenne et le CEPD ont souhaité, via des lignes directrices conjointes, fournir des orientations pour une interprétation et une application cohérente de ces deux règlementations, à la lumière de certaines dispositions du DMA pouvant impliquer un traitement de données par les contrôleurs d’accès ou faisant référence à des concepts et dispositions du RGPD.  

Soumises à consultation publique jusqu’au 4 décembre 2025, ces recommandations mettent en avant les points de rencontre et de convergence entre droit de la concurrence et protection des données.

2. Convergences des textes entre droits des utilisateurs et obligations des plateformes

Les liens entre ces deux régimes juridiques se matérialisent notamment par différentes dispositions du DMA et du RGPD.  

 

Si les contrôleurs d’accès peuvent être amenés à traiter des données à caractère personnel, le DMA pose des limites et définit à son article 5(2) quatre pratiques strictement interdites, sauf consentement de l’utilisateur final :  

  • le traitement aux fins de la fourniture de services de publicités en ligne des données à caractère personnel des utilisateurs finaux qui recourent à des services de tiers utilisant des services de plateforme essentiels fournis par le contrôleur d’accès ;
  • la combinaison des données personnelles des utilisateurs du service concernées avec celles provenant de tout autre service fourni par le même contrôleur d’accès ou de service tiers ;
  • l’utilisation croisée de données personnelles provenant du service concerné dans le cadre de services fournis séparément par le contrôleur d’accès ;
  • l’inscription des utilisateurs finaux à d’autres services du contrôleur d’accès dans le but de combiner des données personnelles.  

Ces pratiques interdites sont en réalité déjà abordées par le droit à la protection des données qui interdit la prospection commerciale sans consentement des personnes physiques, ou fait de la combinaison et du croisement de données personnelles un des critères rendant obligatoire la réalisation d’une analyse d’impact à la protection des données (« AIPD »).  

En intégrant ces pratiques, le DMA va donc plus loin, et participe à la protection des personnes concernées, en mettant à la charge des contrôleurs d’accès des obligations complémentaires à celles leur incombant au titre du RGPD.  

Une limite posée par l’article 5(2) du DMA est toutefois à noter : l’obligation qui incombe aux contrôleurs d’accès d’obtenir le consentement des utilisateurs finaux ne porte pas atteinte à leur possibilité de traiter ces données à caractère personnel lorsque cela est nécessaire pour se conformer à une obligation légale, pour protéger des intérêts vitaux ou pour l’exécution d’une mission d’intérêt public.

La notion de base légale bien connue des praticiens du RGPD trouve alors sa place dans les pratiques commerciales des contrôleurs d’accès.

Le DMA vient également bouleverser les pratiques en matière de consentement, notamment en :  

  • introduisant la possibilité pour les contrôleurs d’accès de proposer une alternative moins personnalisée mais équivalente aux pratiques interdites pour contourner le recueil du consentement ; et  
  • prévoyant la nécessité d’un opt-in séparé pour chaque finalité poursuivie dans le cadre de l’article 5(2) DMA, comme le préconisent les lignes directrices conjointes précitées.  

Là encore se retrouvent les principes d’ores-et-déjà prévus par le RPGD, qui imposent un consentement libre, éclairé et spécifique ; les lignes directrices communes du CEPD et de la Commission européenne alertant sur le déséquilibre des pouvoirs entre les utilisateurs finaux (personnes concernées) et les contrôleurs d’accès.  

Coexistent également, aux yeux des autorités européennes, le droit à la portabilité des données, prévu par l’article 6(9) du DMA qui impose aux contrôleurs d’accès de garantir gratuitement à l’utilisateur final la portabilité effective des données fournies par lui ou générées par son activité, dans la continuité du droit à la portabilité prévu par l’article 20 du RGPD.  

Alors que les entreprises dominantes peuvent avoir tendance à dissimuler la véritable ampleur de leurs pratiques en matière de données, dégradant ainsi la qualité de leurs services et nuisant aux consommateurs sous l’angle de la concurrence, les principes de transparence et d’accountability issus du RGPD viennent rééquilibrer les rapports sur le marché.  

Ainsi, il n’est aujourd’hui plus possible de nier la coexistence et la coordination nécessaire du droit de la concurrence et du droit à la protection des données personnelles.  

3. Quelles implications pour le marché numérique ?

Il ressort de l’ensemble des points évoqués ci-avant que le DMA ne peut être efficace en tant que régime de régulation des marchés numériques que s’il est interprété et mis en œuvre dans le respect des droits et libertés fondamentaux, et partant du droit à la protection des données personnelles.

Ainsi, les contrôleurs d’accès et plus largement les fournisseurs de services numériques doivent aujourd’hui adapter leurs usages et inclure dans leurs pratiques commerciales les problématiques liées à la protection des données, puisqu’il y a fort à parier que les autorités de régulation des marchés étendront désormais de plus en plus leurs contrôles aux dispositions du RGPD et autres lois applicables en matière de protection des données.  

En effet, dans les cas où une entreprise abuserait de sa position dominante pour influencer les personnes concernées, et forcer leur consentement via le modèle du consent-or-pay par exemple, les autorités sauront faire preuve de sévérité, comme en témoigne la sanction de 150.000.000 d’euros infligée à Apple par l’Autorité de la Concurrence le 28 mars 2025 en raison du caractère abusif des conditions de son dispositif App Tracking Transparency (ATT) imposant une fenêtre de recueil de consentement avant tout opération de ciblage publicitaire.  

En tant qu’entreprises utilisatrices et utilisateurs finaux, les autres acteurs du marchés et personnes concernées pourront également bénéficier de ce rapprochement entre droit de la concurrence et droit à la protection des données, en articulant les droits et pratiques commerciales interdites au titre du DMA à la lumière de leurs droits sur leurs données personnelles au titre du RGPD.  

A l’inverse, les dispositions du DMA pourraient venir modifier les pratiques établies par le droit de la protection des données, notamment en matière de recueil de consentement ou de publicité ciblée, et faire ainsi évoluer les usages, à une période où les institutions européennes tendent à modifier et simplifier le RGPD.  

Dans le monde numérique, la synergie entre droit de la concurrence et droit à la protection des données semble bel et bien essentielle pour garantir l’équilibre du marché tout en favorisant l’innovation.  

Pour toute question ou besoin d’accompagnement, n’hésitez pas à contacter notre équipe IT/Data !  

Jeannie Mongouachon, avocate associée et Juliette Lobstein, avocate collaboratrice chez Squair

Lire l'article
Ecouter l'épisode
Lire le communiqué
Voir la vidéo
En savoir plus
4 novembre 2025
Say, hi !
Cta Arrow
Saturday - Thursday :
8:30 am - 10:45 pm
Call for an appointment

hello@libertylaw.com

Brand logo

© 2024

Squair

Pages
Accueil
Activités
Équipe
Actualités
Contact
Informations Légales
Mentions Légales
Conditions générales d'utilisation
Politique de confidentialité