TL;DR
Le Digital Markets Act (DMA) est un reglement europeen entre en vigueur en mars 2024 qui impose des obligations specifiques aux grandes plateformes numeriques (gatekeepers) en matiere de consentement et de tracage. Pour les editeurs de sites web, le DMA renforce l'exigence d'un consentement explicite avant tout partage de donnees avec les services des gatekeepers (Google, Meta, Amazon, Apple, etc.). Concretement, il impacte la facon dont vous configurez vos cookies, votre CMP et vos integrations publicitaires.
Qu'est-ce que le Digital Markets Act ?
Le Digital Markets Act (DMA) est un reglement de l'Union europeenne qui vise a reguler les pratiques des grandes plateformes numeriques designees comme "gatekeepers" (controleurs d'acces). Adopte en 2022 et applicable depuis mars 2024, il complete le RGPD en ajoutant des obligations specifiques sur le consentement, le croisement de donnees et la transparence publicitaire.
Contrairement au RGPD qui s'applique a tout responsable de traitement, le DMA cible specifiquement les plateformes dominantes : Google (Search, Ads, Maps, Android, Chrome), Meta (Facebook, Instagram, WhatsApp, Messenger), Amazon, Apple, Microsoft, ByteDance (TikTok) et quelques autres. Mais ses effets se repercutent sur tous les sites qui utilisent les services de ces gatekeepers.
Comment le DMA affecte-t-il la gestion des cookies sur votre site ?
Le DMA affecte votre site des lors que vous utilisez des services fournis par un gatekeeper : Google Analytics, Google Ads, Meta Pixel, Amazon Ads ou tout autre outil de ces plateformes. Le reglement interdit aux gatekeepers de croiser les donnees de leurs differents services sans consentement explicite de l'utilisateur.
Le consentement renforce pour les services des gatekeepers
L'article 5(2) du DMA interdit aux gatekeepers de combiner les donnees personnelles collectees via leur service de plateforme avec les donnees provenant d'autres services, sauf consentement explicite. En pratique, Google ne peut plus fusionner vos donnees Google Analytics avec les donnees Google Ads ou YouTube sans que l'utilisateur ait donne un consentement specifique.
Pour les editeurs de sites, cela signifie que votre bandeau de consentement doit permettre a l'utilisateur d'accepter ou de refuser separement le partage de donnees avec chaque gatekeeper. Un simple bouton "Accepter tous les cookies" ne suffit pas si l'utilisateur ne comprend pas que ses donnees seront croisees entre plusieurs services Google.
L'impact sur Google Consent Mode et les signaux publicitaires
Google a adapte le Consent Mode v2 pour se conformer au DMA. Les deux nouveaux parametres ajoutes (ad_user_data et ad_personalization) repondent directement aux exigences du DMA : ils permettent a l'editeur de signaler si l'utilisateur a consenti au partage de ses donnees avec Google pour la publicite personnalisee et l'utilisation de ses donnees first-party.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
DMA vs RGPD : quelles differences pour les cookies ?
Le DMA et le RGPD sont complementaires, pas concurrents. Le RGPD regit le traitement des donnees personnelles par toute organisation. Le DMA ajoute une couche supplementaire d'obligations specifiques aux gatekeepers et, par extension, aux editeurs qui utilisent leurs services.
Quelles actions concretes pour votre site ?
Meme si le DMA cible les gatekeepers, les editeurs de sites doivent adapter leur configuration pour rester conformes. Voici les actions a mener.
Mettre a jour votre CMP pour transmettre les bons signaux
Votre CMP doit transmettre les parametres ad_user_data et ad_personalization en plus de ad_storage et analytics_storage. Sans ces signaux, Google considere que l'utilisateur n'a pas consenti au partage de ses donnees, ce qui desactive les fonctionnalites publicitaires avancees.
Verifier la granularite de votre bandeau de consentement
Le DMA exige un consentement specifique pour le croisement de donnees. Votre bandeau doit permettre a l'utilisateur de comprendre quels services de gatekeepers sont utilises et d'accepter ou refuser ce partage. Les categories de cookies (analytique, publicitaire, fonctionnel) restent pertinentes, mais la transparence sur les destinataires des donnees devient encore plus importante.
Documenter le flux de donnees vers les gatekeepers
Ajoutez a votre politique de cookies la liste des services de gatekeepers utilises sur votre site, les donnees transmises et les finalites. Le DMA renforce la transparence : l'utilisateur doit pouvoir identifier clairement quels gatekeepers recoivent ses donnees.
Erreurs frequentes liees au DMA et aux cookies
Penser que le DMA ne concerne que les GAFAM. Le DMA concerne directement les gatekeepers, mais il impacte tous les sites qui utilisent leurs services. Si vous utilisez Google Analytics, Google Ads ou Meta Pixel, les obligations du DMA vous concernent indirectement.
Confondre conformite RGPD et conformite DMA. Etre conforme au RGPD ne suffit pas. Le DMA ajoute des exigences specifiques sur le croisement de donnees entre services. Un bandeau cookies conforme au RGPD peut ne pas l'etre au sens du DMA si les signaux ad_user_data et ad_personalization ne sont pas transmis.
Ignorer les mises a jour de votre CMP. Les CMP mettent regulierement a jour leurs integrations pour supporter les nouvelles exigences du DMA. Ne pas mettre a jour votre CMP peut entrainer une perte de fonctionnalites publicitaires sans que vous le sachiez.
Ne pas adapter sa politique de cookies. Le DMA exige une transparence accrue sur les destinataires des donnees. Si votre politique de cookies ne mentionne pas explicitement les gatekeepers et le croisement de donnees, elle est incomplete.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Checklist DMA et cookies
- Identifier tous les services de gatekeepers utilises sur votre site (Google, Meta, Amazon, Apple, etc.)
- Verifier que votre CMP transmet les parametres ad_user_data et ad_personalization
- S'assurer que le bandeau de consentement offre une granularite suffisante pour les services des gatekeepers
- Mettre a jour votre politique de cookies pour lister les gatekeepers et les donnees partagees
- Tester le comportement de vos tags quand l'utilisateur refuse le partage de donnees
- Documenter votre configuration dans votre registre de traitement
- Suivre les decisions de la Commission europeenne concernant les gatekeepers designes
- Mettre a jour votre CMP regulierement pour integrer les nouvelles exigences
Conclusion
Le DMA ne remplace pas le RGPD, il le complete. Pour les editeurs de sites, l'impact principal concerne la configuration de la CMP et la transparence envers les utilisateurs sur le partage de donnees avec les gatekeepers. Les sites qui utilisent des services Google, Meta ou Amazon doivent adapter leur configuration pour transmettre les bons signaux de consentement.
Le point de depart : verifier que votre CMP est a jour et que les quatre parametres du Consent Mode v2 sont correctement configures. Lancez un scan gratuit de votre site avec FlowConsent pour identifier les traceurs des gatekeepers presents sur vos pages.
Questions fréquentes
Qu'est-ce qu'un gatekeeper au sens du Digital Markets Act ?
Un gatekeeper est une grande plateforme numerique designee par la Commission europeenne parce qu'elle controle un service de plateforme essentiel (moteur de recherche, reseau social, systeme d'exploitation, navigateur, etc.) avec une position durable sur le marche. Les gatekeepers actuels incluent Alphabet (Google), Meta, Amazon, Apple, Microsoft et ByteDance.
Le DMA oblige-t-il a modifier mon bandeau de cookies ?
Pas directement, mais indirectement oui. Le DMA exige que les gatekeepers obtiennent un consentement explicite pour croiser les donnees entre leurs services. Votre bandeau doit permettre a l'utilisateur de consentir specifiquement a ce partage, ce qui implique souvent une mise a jour de votre CMP et des signaux Consent Mode transmis.
Quelle est la difference entre le DMA et le RGPD pour les cookies ?
Le RGPD exige le consentement pour le depot de cookies non essentiels. Le DMA ajoute une obligation specifique : les gatekeepers ne peuvent pas croiser les donnees entre leurs differents services sans consentement separe. Les deux reglements se cumulent, ils ne se substituent pas l'un a l'autre.
Les sanctions du DMA sont-elles plus severes que celles du RGPD ?
Oui, potentiellement. Le DMA prevoit des amendes allant jusqu'a 10 % du chiffre d'affaires mondial du gatekeeper, et jusqu'a 20 % en cas de recidive. Le RGPD plafonne a 4 % du CA mondial. Mais ces sanctions visent les gatekeepers, pas les editeurs de sites individuels.
Comment le DMA affecte-t-il mes campagnes Google Ads et Meta Ads ?
Le DMA impacte la capacite de Google et Meta a utiliser vos donnees pour le ciblage publicitaire. Si vos utilisateurs ne consentent pas au croisement de donnees, les fonctionnalites de remarketing et de ciblage avance sont limitees. C'est pourquoi la configuration correcte du Consent Mode v2 et des signaux de consentement Meta (CAPI) est essentielle.
Mon site est hors Europe : le DMA me concerne-t-il quand meme ?
Le DMA s'applique aux gatekeepers operant dans l'UE. Si votre site utilise les services de ces gatekeepers pour cibler des utilisateurs europeens, les exigences du DMA impactent indirectement votre configuration. En revanche, si vous ne ciblez pas de trafic europeen, le DMA n'a pas d'impact direct sur votre site.