Le Data Market Act vise à lutter contre les pratiques anticoncurrentielles des géants d’internet pour corriger les déséquilibres causés par leur domination sur le marché numérique européen.
La Commission européenne a désigné 6 entreprises, à savoir Apple, Amazon, Alphabet, Byte Dance, Meta et Microsoft, pour une liste de services dits de plateforme essentiels.
Elle leur reproche d’ériger des barrières à l’entrée en accumulant des données à caractère personnel de tiers utilisant leurs services de publicité en ligne à leurs seuls avantages.
L’objectif est concurrentiel et non la protection de la donnée. Le règlement interdit donc aux Contrôleurs d’Accès désignés de :
- traiter les informations à caractère personnel dont il dispose via leurs différents services & plateformes à des fins de la fourniture de services de publicité en ligne.
- combiner ou croiser les informations à caractère personnel dont il dispose via ses différents services & plateformes, ou via des services tiers.
Le but est d’empêcher les géants d’Internet d’utiliser les données accumulées via un premier service pour bénéficier d’un effet de levier sur un deuxième service, au détriment de potentiels concurrents sur ce second service. Par exemple, Google ne pourra plus traiter les données dont il dispose via Google Analytics pour fournir ses services Googles Ads, ni combiner ou croiser des données entre Google Analytics et Google Ads, à moins d’avoir obtenu le consentement de l’utisateur final.
Les contrôleurs d’accès désignés ont jusqu’au 6 mars 2024 pour se mettre en conformité.
L’effet boomerang de cette règlementation c’est que de nombres direction marketing utilisent de manière combinée Google Analytics 4 et les services Google Ads, afin de lier les données acquises via GA4 avec les campagnes publicitaires Google Ads.
Or le Data Market Act interdit le partage ou le croisement de données personnelles acquises via Google Analytics avec les services Google Ads sans le consentement spécifique de l’utilisateur final.
Cette exigence de consentement spécifique vient s’ajouter au consentement déjà exigé pour les cookies analytiques ou publicitaires et pourrait aussi concerner les données que les clients BtoB de Google ont haché avant leur communication à Google.
Le DMA vient perturber le travail de nombreuses directions marketing, prises entre le risque de perte d’audiences liée à l’exigence de nouveaux consentements et le risque de se voir couper les outils Google.
Mais il ne faut pas perdre de vue que le DMA n’a pas pour objectif la protection de la vie privée mais de lutter contre les pratiques anticoncurrentielles des géants d’internet, dont Google, de limiter l’effet de levier obtenu en accumulant des données via des services GA pour obtenir un avantage compétitif sur le marché de la publicité en ligne.
Or une donnée hachée par un client BtoB de Google avant le transfert à Google n’est anonyme que du point de vue de Google, mais pas du client, qui lui détient la clé de hachage. A ce titre, même le partage de données hachées pourrait tomber sous l’exigence d’un consentement spécifique.
Les clients BtoB de Google ont déjà reçu des communications en ce sens.