AdmisConcours
← Décryptages thématiques
Droit de l'Union européenne 19/03/2026

Le DSA et le DMA, piliers de la régulation européenne des plateformes numériques : l'autonomie de la Commission à l'épreuve des pressions transatlantiques

Le réseau social X (ex-Twitter) a payé en mars 2026 l'amende de 120 millions d'euros que la Commission européenne lui avait infligée le 5 décembre 2025 pour trois infractions au Digital Services Act (DSA). X a simultanément proposé des correctifs sur le système des coches bleues et dispose d'un délai jusqu'au 28 avril 2026 pour soumettre des solutions pour les deux autres manquements (registre publicitaire, accès aux données des chercheurs). Parallèlement, X a déposé le 20 février 2026 un recours devant la Cour de justice de l'Union européenne (CJUE), dénonçant une « enquête incomplète » et des « violations des droits de la défense ». Cette affaire constitue la première sanction prononcée au titre du DSA et cristallise un bras de fer inédit entre une institution européenne et une plateforme américaine adossée au pouvoir politique de Washington, dans un contexte de tensions transatlantiques aiguës.

L'architecture réglementaire : DSA et DMA, les deux piliers

L'Union européenne a construit, entre 2022 et 2024, un dispositif réglementaire sans équivalent mondial pour encadrer l'économie numérique. Deux règlements complémentaires en constituent les piliers.

Le Digital Services Act (DSA, règlement UE 2022/2065 du 19 octobre 2022, applicable aux très grandes plateformes depuis le 25 août 2023 et à l'ensemble des plateformes depuis le 17 février 2024) régule les contenus et services des plateformes numériques. Il impose des obligations graduées selon la taille de la plateforme : obligations de transparence sur la modération des contenus, mécanismes de signalement et de retrait des contenus illicites, interdiction des dark patterns (interfaces trompeuses, art. 25), transparence du registre publicitaire (art. 39), accès aux données pour les chercheurs agréés (art. 40), et obligations renforcées de gestion des risques systémiques pour les très grandes plateformes (VLOP, Very Large Online Platforms, plus de 45 millions d'utilisateurs actifs mensuels dans l'UE). La Commission européenne assure directement la supervision des VLOP (19 plateformes désignées, dont X, Meta, TikTok, Google, Amazon, Apple). Les sanctions peuvent atteindre 6 % du chiffre d'affaires mondial annuel.

Le Digital Markets Act (DMA, règlement UE 2022/1925 du 14 septembre 2022, applicable depuis le 2 mai 2023, obligations de conformité depuis le 6 mars 2024) régule les pratiques de marché des « contrôleurs d'accès » (gatekeepers), c'est-à-dire les grandes plateformes qui constituent des points de passage obligés pour les utilisateurs professionnels (7 entreprises désignées : Alphabet/Google, Amazon, Apple, ByteDance/TikTok, Meta, Microsoft, Booking). Le DMA interdit notamment l'auto-préférence, l'utilisation croisée des données entre services, le verrouillage des utilisateurs (lock-in), et le profilage publicitaire des mineurs. Les sanctions peuvent atteindre 10 % du chiffre d'affaires mondial (20 % en cas de récidive). Apple et Meta ont été sanctionnées en avril 2025 (500 millions et 200 millions d'euros respectivement).

L'affaire X : anatomie de la première sanction DSA

L'enquête contre X a été ouverte le 18 décembre 2023, sur la base de soupçons de violations dans plusieurs domaines. La Commission a retenu trois griefs, tous notifiés en juillet 2024.

Le système des coches bleues constitue le premier grief (45 millions d'euros). Historiquement réservé aux comptes authentifiés, le badge a été ouvert à tout abonné payant (7 €/mois) par Elon Musk après le rachat de Twitter en 2022, sans vérification significative de l'identité. La Commission qualifie cette pratique de « conception trompeuse » (dark pattern) au sens de l'article 25 du DSA. Elle précise que le DSA n'impose pas aux plateformes de vérifier l'identité de leurs membres, mais leur interdit de prétendre faussement qu'une telle vérification a eu lieu.

Le registre publicitaire constitue le deuxième grief (35 millions d'euros). L'article 39 du DSA oblige les VLOP à mettre à disposition du public un registre consultable de toutes les publicités diffusées, incluant l'identité des commanditaires et le public ciblé. Le registre de X souffrait de défauts de conception structurels et d'obstacles à l'accès.

L'accès aux données par les chercheurs constitue le troisième grief (40 millions d'euros). L'article 40 du DSA impose aux VLOP de permettre aux chercheurs indépendants d'accéder aux données publiques pour détecter les risques systémiques (désinformation, manipulation électorale, radicalisation). X avait créé des obstacles entravant cette recherche.

Le montant total de 120 millions d'euros reste bien en deçà du maximum théorique de 6 % du CA mondial (estimé entre 180 et 240 millions d'euros pour X). La Commission a appliqué des critères de proportionnalité.

Les pressions transatlantiques : un test pour l'autonomie réglementaire

L'amende a déclenché une réaction politique américaine d'une intensité inédite dans le contentieux numérique. Le vice-président JD Vance a dénoncé une atteinte à la liberté d'expression. Le secrétaire d'État Marco Rubio a qualifié l'amende d'« attaque contre le peuple américain ». Elon Musk a déclaré que « l'UE devrait être abolie ». En représailles, X a bloqué l'accès du compte publicitaire de la Commission européenne — un geste sans précédent.

Face à ces pressions, la vice-présidente Henna Virkkunen (souveraineté technologique) a répondu que l'amende « n'avait rien à voir avec de la censure ». La France a soutenu la décision, le Quai d'Orsay rappelant que « la conformité au DSA n'est pas optionnelle ». X a finalement payé l'amende et soumis des correctifs, tout en contestant devant la CJUE (recours en annulation, art. 263 TFUE, déposé le 20 février 2026).

Cet épisode illustre un enjeu constitutionnel fondamental : l'autonomie de la Commission dans l'exercice de ses pouvoirs d'exécution. En droit de l'UE, la Commission dispose d'un pouvoir de sanction autonome en matière de concurrence (art. 101-102 TFUE) et, désormais, de régulation numérique (DSA/DMA). Ce pouvoir est exercé sous le contrôle juridictionnel de la CJUE, mais échappe à toute interférence des États membres ou d'États tiers. L'article 17§3 TUE garantit cette indépendance : les membres de la Commission « ne sollicitent ni n'acceptent d'instructions d'aucun gouvernement, d'aucune institution, d'aucun organe ou organisme ». Le fait que X ait payé l'amende malgré les déclarations hostiles de la Maison Blanche confirme l'effectivité du mécanisme.

Le DSA dans le paysage mondial de la régulation numérique

L'approche européenne se distingue radicalement de celles des autres grandes juridictions. Les États-Unis n'ont adopté aucune législation fédérale équivalente : la section 230 du Communications Decency Act (1996) protège largement les plateformes contre la responsabilité du fait des contenus publiés par des tiers. Le Royaume-Uni a adopté l'Online Safety Act (2023), centré sur les contenus illicites et préjudiciables, mais moins ambitieux sur la transparence algorithmique et la gouvernance des données. La Chine a adopté des réglementations strictes (loi sur la sécurité des données de 2021, loi sur la protection des informations personnelles de 2021), mais dans une logique de contrôle étatique distincte du modèle européen fondé sur les droits fondamentaux.

L'UE revendique un modèle de régulation fondée sur les droits (rights-based regulation), articulé autour de la Charte des droits fondamentaux (liberté d'expression, art. 11 ; protection des données, art. 8 ; protection des consommateurs, art. 38) et du principe de proportionnalité. Le DSA et le DMA s'inscrivent dans un corpus plus large : RGPD (2016), Data Act (2023), AI Act (2024), Cyber Resilience Act (2024), directive NIS 2 (2022) — formant ce que la Commission qualifie de « décennie numérique européenne ».

Enjeux pour les concours

Le DSA et le DMA constituent un sujet incontournable pour les épreuves de droit de l'Union européenne, de questions européennes et de culture générale. Le candidat doit maîtriser l'architecture à deux piliers : DSA (contenus/services, obligations graduées, supervision VLOP par la Commission, sanctions jusqu'à 6 % du CA) et DMA (marchés, contrôleurs d'accès, sanctions jusqu'à 10 %). L'affaire X offre un cas pratique pour illustrer le mécanisme d'application (enquête, griefs, amende, correctifs, recours CJUE — art. 263 TFUE), la notion de dark pattern (art. 25 DSA), les obligations de transparence publicitaire (art. 39) et d'accès aux données (art. 40). La dimension politique est essentielle : les pressions transatlantiques testent l'autonomie institutionnelle de la Commission (art. 17§3 TUE), qui s'est révélée effective. La comparaison avec les modèles américain (section 230 CDA), britannique (Online Safety Act) et chinois enrichit l'analyse de la spécificité du modèle européen de régulation fondée sur les droits fondamentaux et le principe de proportionnalité.