Projet de loi visant à sécuriser et réguler l'espace numérique
TITRE Ier : Protection des mineurs en ligne
L'article 10 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique est ainsi rédigé :
« Art. 10. – I. – L'Autorité de régulation de la communication audiovisuelle et numérique veille à ce que les contenus pornographiques mis à la disposition du public par un service de communication au public en ligne ne puissent pas être accessibles aux mineurs et en conséquence, à ce que les personnes dont l'activité est d'éditer un tel service de communication au public en ligne vérifient préalablement l'âge de leurs utilisateurs.
« Elle établit et publie à cette fin, dans un délai de six mois après la promulgation de la présente loi, après avis de la Commission nationale de l'informatique et des libertés, un référentiel déterminant les caractéristiques techniques applicables aux systèmes de vérification de l'âge mis en place pour l'accès aux services de communication au public en ligne qui mettent à la disposition du public des contenus pornographiques, en matière de fiabilité du contrôle de l'âge des utilisateurs et de respect de leur vie privée.
« II. – (Supprimé) ».
I. – Après l'article 10 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, il est inséré un article 10-1 ainsi rédigé :
« Art. 10-1. – I. – Lorsqu'une personne dont l'activité est d'éditer un service de communication au public en ligne permettant d'avoir accès à des contenus pornographiques ne met pas en œuvre un système de vérification de l'âge conforme aux caractéristiques techniques du référentiel mentionné à l'article 10, l'Autorité de régulation de la communication audiovisuelle et numérique lui fait part de ses observations par une lettre motivée, remise par tout moyen propre à en établir la date de réception. Le destinataire de cette lettre dispose d'un délai de quinze jours pour présenter ses observations en retour.
« À l'expiration de ce délai, l'Autorité de régulation de la communication audiovisuelle et numérique peut, le cas échéant après avis du président de la Commission nationale de l'informatique et des libertés, mettre en demeure la personne dont l'activité est d'éditer un service de communication au public en ligne permettant l'accès à des contenus pornographiques de se conformer, dans un délai de quinze jours, aux caractéristiques techniques du référentiel mentionné au même article 10. Cette mise en demeure peut être assortie d'une injonction de prendre toute mesure de nature à empêcher l'accès des mineurs aux contenus incriminés. L'Autorité de régulation de la communication audiovisuelle et numérique rend publique cette mise en demeure.
« II. – Lorsque la personne dont l'activité est d'éditer un service de communication au public en ligne mettant à la disposition du public des contenus pornographiques ne se conforme pas à la mise en demeure à l'expiration de ce délai, l'Autorité de régulation de la communication audiovisuelle et numérique peut, après avis du président de la Commission nationale de l'informatique et des libertés, prononcer une sanction pécuniaire dans les conditions prévues à l'article 42-7 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication.
« Le montant de la sanction prend en compte la nature, la gravité et la durée du manquement ainsi que les avantages tirés de ce manquement et les manquements commis précédemment.
« Lorsque la personne dont l'activité est d'éditer un service de communication au public en ligne permettant d'avoir accès à des contenus pornographiques a mis en œuvre un système de vérification de l'âge qui n'est pas conforme au référentiel de l'article 10 de la présente loi, la sanction ainsi prononcée ne peut excéder 75 000 euros ou 1 % du chiffre d'affaires mondial hors taxes réalisé au cours de l'exercice précédent, le plus élevé des deux montants étant retenu. Ce maximum est porté à 150 000 euros ou 2 % du chiffre d'affaires mondial hors taxes en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive.
« Lorsque la personne dont l'activité est d'éditer un service de communication au public en ligne permettant d'avoir accès à des contenus pornographiques n'a mis en œuvre aucun système de vérification de l'âge ou s'est contenté d'une déclaration de majorité, la sanction ainsi prononcée ne peut excéder 250 000 euros ou 4 % du chiffre d'affaires mondial hors taxes réalisé au cours de l'exercice précédent, le plus élevé des deux montants étant retenu. Ce maximum est porté à 500 000 euros ou 6 % du chiffre d'affaires mondial hors taxes en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive.
« Les sanctions pécuniaires sont recouvrées comme les créances de l'État étrangères à l'impôt et au domaine.
« II bis (nouveau). – Sans préjudice de l'engagement de la procédure prévue au II, lorsque l'Autorité de régulation de la communication audiovisuelle et numérique constate que l'absence de mise en conformité à la mise en demeure mentionnée au I par la personne dont l'activité est d'éditer un service de communication au public en ligne concernée permet à des mineurs d'avoir accès à des contenus pornographiques en violation de l'article 227-24 du code pénal, l'Autorité de régulation de la communication audiovisuelle et numérique peut notifier aux fournisseurs de services d'accès à internet, par tout moyen propre à en établir la date de réception, les adresses électroniques des services de communication au public en ligne ayant fait l'objet de la procédure décrite au I du présent article, ainsi que celles des services qui reprennent le même contenu, en totalité ou de manière substantielle et qui présentent les mêmes modalités d'accès. Ces personnes doivent alors empêcher l'accès à ces adresses dans un délai de quarante-huit heures. Toutefois, en l'absence de mise à disposition par la personne éditant le service de communication au public en ligne des informations mentionnées à l'article 1-1 de la présente loi, l'Autorité de régulation de la communication audiovisuelle et numérique peut procéder à la notification prévue au présent II bis sans avoir mis en œuvre la procédure prévue au I.
« Les utilisateurs des services de communication au public en ligne auxquels l'accès est empêché sont dirigés vers une page d'information de l'Autorité de régulation de la communication audiovisuelle et numérique indiquant les motifs de la mesure de blocage.
« L'Autorité de régulation de la communication audiovisuelle et numérique peut également notifier les adresses électroniques de ces services de communication au public en ligne ainsi que celles des services qui reprennent le même contenu, en totalité ou de manière substantielle et qui présentent les mêmes modalités d'accès, aux moteurs de recherche ou aux annuaires, lesquels disposent d'un délai de cinq jours afin de faire cesser le référencement du service de communication au public en ligne.
« Une copie des notifications adressées aux fournisseurs de services d'accès à internet et aux moteurs de recherche ou aux annuaires est adressée simultanément à la personne dont l'activité est d'éditer le service de communication au public en ligne concernée.
« Les mesures prévues au présent II bis sont prononcées pour une durée maximale de vingt-quatre mois. Leur nécessité est réévaluée, d'office ou sur demande, au minimum tous les douze mois. Lorsque les faits mentionnés au premier alinéa du I ne sont plus constitués, l'Autorité de régulation de la communication audiovisuelle et numérique avise sans délai les destinataires des notifications prévues au présent II bis de la levée de ces mesures.
« L'Autorité de régulation de la communication audiovisuelle et numérique rend public chaque année un rapport d'activité sur les conditions d'exercice et les résultats de son activité, qui précise notamment le nombre de décisions d'injonction et les suites qui y ont été données, ainsi que le nombre d'adresses électroniques qui ont fait l'objet d'une mesure de blocage d'accès ou de déréférencement. Ce rapport est remis au Gouvernement et au Parlement.
« III. – Sans préjudice des articles L. 521-1 et L. 521-2 du code de justice administrative, les personnes mentionnées aux I et II bis du présent article peuvent demander au président du tribunal administratif ou au magistrat délégué par celui-ci l'annulation des mesures mentionnées aux mêmes I et II bis dans un délai de cinq jours à compter de leur réception.
« Il est statué sur la légalité de la notification dans un délai d'un mois à compter de la saisine. L'audience est publique.
« Les jugements rendus en application des premier et deuxième alinéas du présent III sont susceptibles d'appel dans un délai de dix jours à compter de leur notification. Dans ce cas, la juridiction d'appel statue dans un délai de trois mois à compter de sa saisine.
« IV. – Pour tout manquement aux obligations définies au II bis du présent article, l'Autorité de régulation de la communication audiovisuelle et numérique peut, dans les conditions prévues à l'article 42-7 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, prononcer une sanction pécuniaire.
« Toutefois, aucune sanction ne peut être prononcée lorsqu'en raison de motifs de force majeure ou d'impossibilité de fait qui ne lui sont pas imputables, la personne concernée est placée dans l'impossibilité de respecter l'obligation qui lui a été faite, ou lorsque la procédure prévue au III du présent article a été engagée, tant qu'elle n'a pas fait l'objet d'une décision devenue définitive.
« Le montant de la sanction prend en compte la nature, la gravité et la durée du manquement ainsi que les avantages tirés de ce manquement et les manquements commis précédemment.
« Pour les manquements aux obligations prévues au II bis, le montant de la sanction ne peut excéder la somme de 75 000 euros ou une somme équivalente à 1 % du chiffre d'affaires mondial hors taxes, le plus élevé des deux montants étant retenu. Ce maximum est porté à 150 000 euros ou 2 % du chiffre d'affaires mondial hors taxes en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive.
« Les sanctions pécuniaires sont recouvrées comme les créances de l'État étrangères à l'impôt et au domaine.
« V. – Les agents de l'Autorité de régulation de la communication audiovisuelle et numérique peuvent, s'ils ont été spécialement habilités à cet effet par l'autorité et assermentés dans les conditions prévues au 2° du I de l'article 19 de la loi n° 86-1067 du 30 septembre 1986 précitée, constater par procès-verbal qu'un service de communication au public en ligne mettant à la disposition du public des contenus pornographiques ne met pas en œuvre un système de vérification de l'âge conforme aux caractéristiques techniques du référentiel mentionné à l'article 10 de la présente loi ou permet à des mineurs d'avoir accès à un contenu pornographique.
« VI. – Les conditions d'application du présent article sont précisées par décret en Conseil d'État. »
II (nouveau). – L'article 23 de la loi n° 2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales est abrogé.
La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique est ainsi modifiée :
1° L'article 6-2 est ainsi rédigé :
« Art. 6-2. – I. – Si un fournisseur de services d'hébergement n'a jamais fait l'objet d'une demande en application de l'article 6-1 en vue de retirer une image ou représentation de mineurs présentant un caractère pornographique relevant de l'article 227-23 du code pénal, l'autorité administrative mentionnée à l'article 6-1 de la présente loi communique à ladite personne des informations sur les procédures et les délais applicables, au moins douze heures avant d'émettre la demande de retrait.
« II. – Si la personne mentionnée au I du présent article ne peut se conformer à une demande de retrait pour des motifs tenant à la force majeure ou à une impossibilité de fait qui ne lui sont pas imputables, y compris pour des raisons techniques ou opérationnelles objectivement justifiables, elle informe de ces motifs, sans retard indu, l'autorité administrative qui a émis la demande de retrait.
« Le délai indiqué au deuxième alinéa de l'article 6-1 commence à courir dès que les motifs mentionnés au premier alinéa du présent II ont cessé d'exister.
« Si la personne mentionnée au I ne peut se conformer à une demande de retrait, au motif que cette dernière contient des erreurs manifestes ou ne contient pas suffisamment d'informations pour en permettre l'exécution, elle informe de ces motifs, sans retard indu, l'autorité administrative qui a émis la demande de retrait, et demande les éclaircissements nécessaires.
« Le délai indiqué au deuxième alinéa de l'article 6-1 commence à courir dès que le fournisseur de services d'hébergement a reçu les éclaircissements nécessaires.
« III. – Lorsqu'un fournisseur de services d'hébergement retire une image ou représentation de mineurs présentant un caractère pornographique relevant de l'article 227-23 du code pénal, il en informe, dans les meilleurs délais, le fournisseur de contenus en précisant les motifs qui ont conduit au retrait de l'image ou de la représentation et des droits dont il dispose pour contester la demande de retrait devant la juridiction administrative compétente. Il lui transmet en outre une copie de la demande de retrait. » ;
2° Après le même article 6-2, sont insérés des articles 6-2-1 et 6-2-2 ainsi rédigés :
« Art. 6-2-1. – I. – Le fait, pour les fournisseurs de services d'hébergement, de ne pas retirer les images ou les représentations de mineurs présentant un caractère pornographique relevant de l'article 227-23 du code pénal dans un délai de vingt-quatre heures à compter de la réception de la demande de retrait prévue à l'article 6-1 de la présente loi, est puni d'un an d'emprisonnement et de 250 000 euros d'amende.
« Lorsque l'infraction définie au premier alinéa du présent article est commise de manière habituelle par une personne morale, le montant de l'amende peut être porté à 4 % de son chiffre d'affaires mondial hors taxes de l'exercice précédent.
« II. – Les personnes morales déclarées responsables pénalement, dans les conditions prévues à l'article 121-2 du code pénal, des infractions définies au I du présent article encourent, outre l'amende suivant les modalités prévues à l'article 131-38 du code pénal, les peines prévues aux 2° et 9° de l'article 131-39 du même code. L'interdiction prévue au 2° du même article 131-39 est prononcée pour une durée de cinq ans au plus et porte sur l'activité professionnelle dans l'exercice ou à l'occasion de laquelle l'infraction a été commise.
« Art. 6-2-2. – I. – Sans préjudice des articles L. 521-1 et L. 521-2 du code de justice administrative, les fournisseurs de services d'hébergement et les fournisseurs de contenus concernés par une demande en application de l'article 6-1 de la présente loi en vue de retirer une image ou représentation de mineurs présentant un caractère pornographique relevant de l'article 227-23 du code pénal ainsi que la personnalité qualifiée mentionnée à l'article 6-1 de la présente loi peuvent demander au président du tribunal administratif ou au magistrat délégué par celui-ci l'annulation de cette demande, dans un délai de quarante-huit heures à compter, soit, de sa réception, soit, s'agissant du fournisseur de contenus, du moment où il est informé par le fournisseur de services d'hébergement du retrait du contenu.
« II. – Il est statué sur la légalité de l'injonction de retrait dans un délai de soixante-douze heures à compter de la saisine. L'audience est publique.
« III. – Les jugements rendus sur la légalité de la décision en application du I sont susceptibles d'appel dans un délai de dix jours à compter de leur notification. Dans ce cas, la juridiction d'appel statue dans un délai d'un mois à compter de sa saisine.
« IV. – Les modalités d'application du présent article sont précisées par décret en Conseil d'État. »
TITRE II : Protection des citoyens dans l'environnement numérique
I. – La loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication est ainsi modifiée :
1° A (nouveau) Au premier alinéa du III de l'article 33-1, après les mots : « en application des articles 43-4 et 43-5 », sont insérés les mots : « ou mentionné au second alinéa de l'article 43-2 » ;
1° B (nouveau) L'article 33-3 est complété par un III ainsi rédigé :
« III. – Par dérogation aux I et II, les services de médias audiovisuels à la demande relevant de la compétence de la France en application des articles 43-4 et 43-5 ou mentionnés au second alinéa de l'article 43-2 peuvent être diffusés sans formalité préalable. » ;
1° C (nouveau) Au premier alinéa de l'article 42, après le mot : « audiovisuelle », sont insérés les mots : « , les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne » ;
1° Après le même premier alinéa, il est inséré un alinéa ainsi rédigé :
« Les éditeurs et distributeurs de services de communication audiovisuelle, les opérateurs de réseaux satellitaires et les prestataires techniques auxquels ces personnes recourent peuvent être mis en demeure de respecter les obligations imposées par les dispositions prises sur le fondement de l'article 215 du traité sur le fonctionnement de l'Union européenne portant sur l'interdiction de diffusion de contenus de services de communication audiovisuelle. » ;
2° Le premier alinéa de l'article 42-10 est ainsi modifié :
a) À la première phrase, après le mot : « loi », sont insérés les mots : « ou de la règlementation européenne prise sur le fondement de l'article 215 du traité sur le fonctionnement de l'Union européenne portant sur l'interdiction de diffusion de contenus de services de communication audiovisuelle » ;
b) (nouveau) À la seconde phrase, après le mot : « satellitaire », sont insérés les mots : « , par une personne dont l'activité est d'offrir un accès à des services de communication au public en ligne », après le mot : « télévision », sont insérés les mots : « ou d'un service de médias audiovisuels à la demande » et, après les mots : « compétence de la France », sont insérés les mots : « ou mentionnés au second alinéa de l'article 43-2 » ;
3° (nouveau) L'article 43-2 est complété par un alinéa ainsi rédigé :
« Les articles 1er, 15, 42, 42-1, 42-7 et 42-10 de la présente loi sont applicables aux services de médias audiovisuels à la demande diffusés en France ne relevant pas de la compétence d'un autre État membre de l'Union européenne, d'un autre État partie à l'accord sur l'Espace économique européen ou d'un autre État partie à la Convention européenne, du 5 mai 1989, sur la télévision transfrontière. » ;
4° (nouveau) Au II de l'article 43-7, après le mot : « sens », sont insérés les mots : « du premier alinéa ».
II. – L'article 11 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique est ainsi rédigé :
« Art. 11. – I. – L'Autorité de régulation de la communication audiovisuelle et numérique peut mettre en demeure toute personne mentionnée au I de l'article 1-1 de la présente loi de retirer les contenus ou de faire cesser la diffusion des contenus qui contreviennent aux dispositions prises sur le fondement de l'article 215 du traité sur le fonctionnement de l'Union européenne portant sur l'interdiction de diffusion de contenus provenant des personnes visées par les sanctions. La personne destinataire de la mise en demeure dispose d'un délai de soixante-douze heures pour présenter ses observations.
« II. – À l'expiration de ce délai et en cas d'inexécution, l'autorité peut notifier aux fournisseurs de services d'accès à internet la liste des adresses électroniques des services de communication au public en ligne hébergeant ou diffusant des contenus provenant des personnes ayant fait l'objet de la mise en demeure, afin qu'elles empêchent dans un délai fixé par l'Autorité de régulation de la communication audiovisuelle et numérique l'accès à ces adresses. Toutefois, en l'absence d'éléments d'identification des personnes mentionnées au I de l'article 1-1 de la présente loi, l'autorité peut procéder à cette notification sans avoir préalablement demandé le retrait ou la cessation de la diffusion des contenus dans les conditions prévues au même I.
« L'autorité peut également notifier les adresses électroniques dont les contenus contreviennent aux dispositions mentionnées au I du présent article aux moteurs de recherche ou aux annuaires, lesquels prennent toute mesure utile destinée à faire cesser leur référencement.
« III. – L'autorité peut agir d'office ou sur saisine du ministère public ou de toute personne physique ou morale.
« IV. – En cas de méconnaissance de l'obligation de retirer les contenus ou de faire cesser la diffusion des contenus mentionnés au I du présent article, l'autorité peut prononcer à l'encontre de l'auteur de ce manquement, dans les conditions prévues à l'article 42-7 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, une sanction pécuniaire dont le montant, fixé en fonction de la gravité du manquement, ne peut excéder 4 % du chiffre d'affaires hors taxes réalisé au cours du dernier exercice clos calculé sur une période de douze mois ou, en l'absence de chiffre d'affaires, 250 000 euros. Ce maximum est porté à 6 % en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive ou, en l'absence de chiffre d'affaires, à 500 000 euros. La méconnaissance de l'obligation d'empêcher l'accès aux adresses notifiées ou de prendre toute mesure utile destinée à faire cesser le référencement du service de communication au public en ligne en application du second alinéa du II du présent article peut être sanctionnée dans les mêmes conditions. Dans ce dernier cas, l'amende ne peut toutefois excéder 1 % du chiffre d'affaires hors taxes réalisé au cours du dernier exercice clos calculé sur une période de douze mois ou, en l'absence de chiffre d'affaires, 75 000 euros. Ce maximum est porté à 2 % en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive ou, en l'absence de chiffre d'affaires, à 150 000 euros.
« Lorsque sont prononcées, à l'encontre de la même personne, une amende administrative en application du présent article et une amende pénale en application de l'article 459 du code des douanes à raison des mêmes faits, le montant global des amendes prononcées ne dépasse pas le maximum légal le plus élevé des sanctions encourues.
« V (nouveau). – Les modalités d'application du présent article sont précisées par décret en Conseil d'État. »
Le code pénal est ainsi modifié :
1° L'article 131-35-1 est ainsi rétabli :
« Art. 131-35-1. – I. – Pour les délits mentionnés au II du présent article, le tribunal peut ordonner à titre complémentaire la suspension du ou des comptes d'accès à un ou plusieurs services en ligne ayant été utilisés pour commettre l'infraction, y compris si ces services n'ont pas constitué le moyen unique ou principal de cette commission. Le présent alinéa s'applique aux comptes d'accès aux services de plateforme en ligne définis au 4° du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance en l'économie numérique, aux services de réseaux sociaux en ligne et aux services de plateformes de partage de vidéo au sens du règlement 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828.
« La suspension est prononcée pour une durée maximale de 6 mois ; cette durée est portée à un an lorsque la personne est en état de récidive légale.
« Le prononcé de la peine complémentaire mentionnée au premier alinéa et la dénomination du compte d'accès ayant été utilisé pour commettre l'infraction est signifié aux fournisseurs de services concernés. À compter de cette signification et pour la durée d'exécution de la peine complémentaire, ils procèdent au blocage du ou des comptes précités et mettent en œuvre, dans les limites prévues par l'article 46 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, des mesures permettant de procéder au blocage des autres comptes d'accès à leur service éventuellement détenus par la personne condamnée et d'empêcher la création de nouveaux comptes par la même personne.
« Le fait, pour le fournisseur, de ne pas procéder au blocage du ou des comptes visés par la peine complémentaire est puni de 75 000 euros d'amende.
« Pour l'exécution de la peine complémentaire mentionnée au premier alinéa et par dérogation au troisième alinéa de l'article 702-1 du code de procédure pénale, la première demande de relèvement de cette peine peut être portée par la personne condamnée devant la juridiction compétente à l'issue d'un délai de trois mois après la décision initiale de condamnation.
« II. – Les délits pour lesquels cette peine complémentaire est encourue sont :
« 1° Les délits prévus aux articles 222-33, 222-33-1-1, 222-33-2, 222-33-2-1, 222-33-2-2, 222-33-2-3 et au deuxième alinéa de l'article 222-33-3 ;
« 2° Les délits prévus aux articles 225-4-13, 225-5, 225-6 et 225-10 ;
« 3° Les délits prévus aux articles 226-1 à 226-3, 226-4-1 et 226-8 ;
« 4° Les délits prévus aux articles 227-4-2 et 227-22 à 227-24 ;
« 5° Les délits prévus aux articles 223-1-1, 226-10, 226-21, 226-22, 413-13 et 413-14 ;
« 6° Les délits prévus aux articles 312-10 à 312-12 ;
« 7° Les délits de provocation prévus aux articles 211-2, 223-13, 227-18 à 227-21, 412-8 et 431-6 ;
« 8° Le délit prévu à l'article 421-2-5 ;
« 9° Les délits prévus aux articles 431-1, 433-3 et 433-3-1 ;
« 10° Les délits prévus aux cinquième, septième et huitième alinéas de l'article 24 et à l'article 24 bis de la loi du 29 juillet 1881 sur la liberté de la presse. » ;
2° (nouveau) L'article 131-6 est ainsi modifié :
a) Après le 12°, il est inséré un 12° bis ainsi rédigé :
« 12° bis L'interdiction, pour une durée de trois ans au plus, d'accéder à un ou plusieurs services de plateforme en ligne définis au 4° du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance en l'économie numérique, services de réseaux sociaux en ligne et services de plateformes de partage de vidéo au sens du règlement 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 ; les dispositions du présent alinéa s'appliquent lorsque l'infraction a été commise en recourant à un service en ligne, y compris si celui-ci n'a pas été le moyen unique ou principal de cette commission ; »
b) Au dernier alinéa, après la référence : « 12° », est insérée la référence : « , 12° bis » ;
3° (nouveau) Après le 13° de l'article 132-45, il est inséré un 13° bis ainsi rédigé :
« 13° bis Lorsque l'infraction a été commise en recourant à un service en ligne, y compris si celui-ci n'a pas été le moyen unique ou principal de cette commission, s'abstenir d'accéder à certains services désignés par la juridiction ; les dispositions du présent alinéa sont applicables aux services de plateforme en ligne tels que définis au 4° du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance en l'économie numérique, aux services de réseaux sociaux en ligne et aux services de plateformes de partage de vidéo au sens du règlement 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 ; ».
II (nouveau). – Après le 9° de l'article 41-2 du code de procédure pénale, il est inséré un 9° bis ainsi rédigé :
« 9° bis Ne pas accéder, pour une durée qui ne saurait excéder six mois, à un ou des services de plateforme en ligne définis au 4° du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance en l'économie numérique, services de réseaux sociaux en ligne et services de plateformes de partage de vidéo au sens du règlement 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 ; ».
L'article 12 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique est ainsi rédigé :
« Art. 12. – I. – Lorsque l'un de ses agents spécialement désignés et habilités à cette fin constate qu'un service de communication au public en ligne réalise manifestement des opérations constituant les infractions mentionnées aux articles 226-4-1, 226-18 et 323-1 du code pénal et à l'article L. 163-4 du code monétaire et financier, l'autorité administrative met en demeure la personne dont l'activité est d'éditer le service de communication au public en ligne en cause, sous réserve qu'elle ait mis à disposition les informations mentionnées à l'article 1-1 de la présente loi, de cesser les opérations constituant l'infraction constatée. Elle l'informe également de la mesure conservatoire mentionnée au deuxième alinéa du présent I prise à son encontre et l'invite à lui adresser ses observations dans un délai de cinq jours.
« Simultanément, l'autorité administrative notifie l'adresse électronique du service concerné aux fournisseurs de navigateurs internet au sens du 11 de l'article 2 du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique, aux fins de la mise en œuvre de mesures conservatoires.
« La personne destinataire d'une notification prend sans délai, à titre conservatoire, toute mesure utile consistant à afficher un message avertissant l'utilisateur du risque de préjudice encouru en cas d'accès à cette adresse. Ce message est clair, lisible, unique et compréhensible et permet aux utilisateurs d'accéder au site internet officiel du groupement d'intérêt public pour le dispositif national d'assistance aux victimes d'actes de cybermalveillance.
« Cette mesure conservatoire est mise en œuvre pendant une durée de sept jours.
« Lorsque l'autorité administrative, le cas échéant après avoir pris connaissance des observations de la personne dont l'activité est d'éditer le service de communication au public en ligne en cause, estime que le constat mentionné au premier alinéa du présent I n'est plus valable, elle demande sans délai aux personnes destinataires d'une notification de mettre fin aussitôt aux mesures conservatoires.
« II. – Lorsque la personne dont l'activité est d'éditer le service de communication au public en ligne en cause n'a pas mis à disposition les informations mentionnées à l'article 1-1 de la présente loi, lorsque celles-ci ne permettent pas de la contacter ou lorsqu'au terme du délai mentionné au premier alinéa du I du présent article, le cas échéant après que cette personne a fait valoir ses observations, il apparaît que le constat mentionné au même premier alinéa est toujours valable, l'autorité administrative peut, par une décision motivée, enjoindre aux fournisseurs de navigateurs internet au sens du 11 de l'article 2 du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique, aux fournisseurs de services d'accès à internet ou aux fournisseurs de systèmes de résolution de noms de domaine de prendre sans délai toute mesure utile destinée à empêcher l'accès à l'adresse de ce service pour une durée maximale de trois mois. La décision de l'autorité administrative désigne quel fournisseur est chargé d'empêcher l'accès à l'adresse de ce service, en fonction de l'injonction émise et de la nature de la mesure envisagée.
« Les utilisateurs des services de communication au public en ligne auxquels l'accès est empêché en application des mesures mentionnées au premier alinéa du présent II sont dirigés vers une page d'information de l'autorité administrative compétente indiquant les motifs de la mesure de blocage.
« À l'issue de la durée prescrite au premier alinéa du présent II, la mesure destinée à empêcher l'accès à l'adresse du service peut être prolongée de six mois au plus sur avis conforme de la personnalité qualifiée mentionnée au III. Une durée supplémentaire de six mois peut être prescrite selon la même procédure.
« L'autorité administrative établit une liste des adresses des services de communication au public en ligne dont l'accès a été empêché et vérifie, à l'approche de l'expiration de la durée prescrite au deuxième alinéa du présent II, si ces mêmes adresses sont toujours actives et, le cas échant, si le constat de l'infraction est toujours valable.
« Pour l'application du premier alinéa du présent II, on entend par fournisseur de système de résolution de noms de domaine toute personne mettant à disposition un service permettant la traduction d'un nom de domaine en un numéro unique identifiant un appareil connecté à internet.
« Les décisions prises en application des premier et deuxième alinéas du présent II sont notifiées par l'autorité administrative, sous la réserve mentionnée au premier alinéa du I du présent article, à la personne dont l'activité est d'éditer le service de communication au public en ligne en cause.
« L'autorité peut également notifier les adresses électroniques dont les contenus contreviennent aux dispositions mentionnées au I du présent article aux moteurs de recherche ou aux annuaires, lesquels prennent toute mesure utile destinée à faire cesser leur référencement.
« L'autorité administrative peut à tout instant demander aux personnes mentionnées au premier alinéa du présent II de mettre fin aux mesures mentionnées au même premier alinéa lorsqu'il apparaît que le constat sur lequel elles étaient fondées n'est plus valable. Le cas échéant, elle informe la personne qualifiée mentionnée au III du présent article de sa décision.
« III. – L'autorité administrative transmet sans délai les demandes mentionnées aux I et II du présent article, ainsi que les adresses électroniques des services de communication en ligne concernés, à une personnalité qualifiée désignée en son sein par la Commission nationale pour l'informatique et les libertés pour la durée de son mandat au sein de la commission. La personnalité qualifiée s'assure du caractère justifié des mesures et des conditions d'établissement, de mise à jour, de communication et d'utilisation de la liste des adresses électroniques concernées. Elle peut saisir le collège de la Commission nationale pour l'informatique et les libertés lorsque l'enjeu le justifie. Elle peut à tout moment enjoindre à l'autorité administrative de mettre fin aux mesures qu'elle a prises sur le fondement des mêmes I et II.
« Lorsque la personne dont l'activité est d'éditer le service de communication au public en ligne en cause saisit la personne qualifiée d'un recours administratif, le blocage est suspendu le temps de l'instruction de ce recours par la personnalité qualifiée.
« La personne qualifiée rend public chaque année un rapport d'activité, annexé au rapport public prévu à l'article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui comporte des éléments notamment relatifs :
« 1° Au nombre et aux motifs des mesures conservatoires demandées en application du I du présent article ;
« 2° Au nombre, aux motifs et à la nature des mesures demandées en application du II du présent article ;
« 3° Au nombre d'adresses de services de communication au public en ligne concernées ;
« 4° Au nombre et à la nature des recommandations formulées à l'égard de l'autorité administrative ;
« 5° Au nombre de recours administratifs dont elle a été saisie et aux délais moyens d'instruction de ces recours ;
« 6° Aux moyens nécessaires à l'amélioration de ses conditions d'exercice.
« IV. – Tout manquement aux obligations définies au présent article par la personne destinataire d'une notification ou d'une injonction de l'autorité administrative est puni des peines prévues au 3° du III de l'article 6.
« V. – Les modalités d'application du présent article, notamment la désignation de l'autorité administrative compétente ainsi que le contenu et les modalités de présentation du message d'avertissement sont précisées par décret en Conseil d'État après avis de la Commission nationale de l'informatique et des libertés. »
TITRE III : RENFORCER LA CONFIANCE ET LA CONCURRENCE DANS L'ÉCONOMIE DE LA DONNÉE
La section 2 du chapitre II du titre IV du livre IV du code de commerce est complétée par un article L. 442-12 ainsi rédigé :
« Art. L. 442-12. – I. – Pour l'application du présent article, on entend par :
« 1° “Service d'informatique en nuage” : un service numérique qui permet l'administration à la demande et l'accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits ;
« 2° “Avoir d'informatique en nuage” : un avantage temporaire octroyé par un fournisseur de services d'informatique en nuage à ses utilisateurs, utilisable sur ses différents services, sous la forme d'un montant de crédits offert.
« II. – Un fournisseur de services d'informatique en nuage ne peut octroyer un avoir d'informatique en nuage à une personne exerçant des activités de production, de distribution ou de services que pour une durée limitée qui ne peut excéder un an, y compris si l'octroi de cet avoir est renouvelé.
« L'octroi d'un avoir d'informatique en nuage ne peut être assorti d'une condition d'exclusivité de quelque nature que ce soit du bénéficiaire vis-à-vis du fournisseur de cet avoir.
« Les modalités d'application du présent II sont précisées par décret en Conseil d'État.
« III. – Il est interdit à tout fournisseur de services d'informatique en nuage de facturer, dans le cadre des contrats qu'il conclut avec une personne exerçant des activités de production, de distribution ou de services, des frais au titre du transfert de données vers les infrastructures de cette personne ou vers celles mises à disposition, directement ou indirectement, par un autre fournisseur.
« Les frais liés à un changement de fournisseur de services d'informatique en nuage sont autorisés jusqu'à la date mentionnée au II de l'article 36 de la loi n° du visant à sécuriser et réguler l'espace numérique, sous réserve que la facturation se limite aux coûts réels directement liés à ce changement et soit communiquée de façon transparente aux utilisateurs.
« En cas de désaccord sur la facturation des frais mentionnés au deuxième alinéa du présent III, l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut être saisie des différends dans les conditions prévues à l'article L. 36-8 du code des postes et des communications électroniques.
« IV. – Toute conclusion d'un contrat en violation des II et III est punie d'une amende administrative, dont le montant ne peut excéder 200 000 euros pour une personne physique et un million d'euros pour une personne morale. Le maximum de l'amende encourue est porté à 400 000 euros pour une personne physique et deux millions d'euros pour une personne morale, en cas de réitération du manquement dans un délai de deux ans à compter de la date à laquelle la première décision de sanction est devenue définitive.
« V. – Il est interdit à toute personne de subordonner la vente d'un produit ou service à la conclusion concomitante d'un contrat de fourniture de services d'informatique en nuage dès lors que celle-ci constitue une pratique commerciale déloyale au sens de l'article L. 121-1 du code de la consommation. »
Chapitre II : Interopérabilité des services d'informatiques en nuage
I. – Pour l'application du présent chapitre, on entend par :
1° « Service d'informatique en nuage » : le service défini au 1° du I de l'article L. 442-12 du code de commerce ;
2° « Actifs numériques » : tous les éléments en format numérique sur lesquels l'utilisateur d'un service d'informatique en nuage a un droit d'utilisation, y compris des actifs qui ne sont pas inclus dans le champ de sa relation contractuelle avec le service d'informatique en nuage. Ces actifs comprennent notamment les données, les applications, les machines virtuelles et les autres technologies de virtualisation, telles que les conteneurs ;
3° « Équivalence fonctionnelle » : un niveau minimal de fonctionnalité assuré dans l'environnement d'un nouveau service d'informatique en nuage après le changement de fournisseur, de manière à garantir aux utilisateurs un usage des éléments essentiels du service à des niveaux équivalents de performance, de sécurité, de résilience opérationnelle et de qualité que le service d'origine au moment de la résiliation du contrat.
II. – Les fournisseurs de services d'informatique en nuage assurent la conformité de leurs services avec les exigences essentielles :
1° D'interopérabilité, dans des conditions sécurisées, avec les services de l'utilisateur ou avec ceux fournis par d'autres fournisseurs d'informatique en nuage pour le même type de fonctionnalités ;
2° De portabilité des actifs numériques, dans des conditions sécurisées, vers les services de l'utilisateur ou vers ceux fournis par d'autres fournisseurs d'informatique en nuage couvrant le même type de fonctionnalités ;
3° De mise à disposition gratuite aux utilisateurs et aux fournisseurs de services tiers désignés par ces utilisateurs, à la fois, d'interfaces de programmation d'applications nécessaires à la mise en œuvre de l'interopérabilité et de la portabilité mentionnées aux 1° et 2° du présent II et d'informations suffisamment détaillées sur le service d'informatique en nuage concerné pour permettre aux utilisateurs ou aux services de fournisseurs tiers de communiquer avec ce service.
I. – L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse précise les règles et les modalités de mise en œuvre des exigences mentionnées au II de l'article 8, notamment par l'édiction de spécifications d'interopérabilité et de portabilité.
Pour l'édiction de ces spécifications, l'autorité mentionnée au premier alinéa du présent article tient compte des spécificités propres aux infrastructures, aux plateformes et aux logiciels de services d'informatique en nuage. Elle peut, à cet effet, demander à un ou plusieurs organismes de normalisation de lui faire des propositions. Elle veille également à la bonne articulation de ces spécifications avec celles éventuellement édictées par les autorités compétentes des autres États membres de l'Union européenne ou figurant au sein des codes de conduite européens relatifs aux services d'informatique en nuage.
II. – Les fournisseurs de services d'informatique en nuage se conforment aux obligations mentionnées au II de l'article 8 précisées, le cas échéant, par les décisions de l'autorité mentionnée au I du présent article.
Ils publient et mettent à jour régulièrement une offre de référence technique d'interopérabilité précisant les conditions de mise en conformité de leurs services avec les obligations mentionnées au II de l'article 8.
III. – Les fournisseurs de services d'informatique en nuage dont les services correspondent à des ressources informatiques modulables et variables limitées à des éléments d'infrastructure tels que les serveurs, les réseaux et les ressources virtuelles nécessaires à l'exploitation de l'infrastructure, sans donner accès aux services, logiciels et applications d'exploitation qui sont stockés, traités ou déployés sur ces éléments d'infrastructure, prennent les mesures en leur pouvoir afin de faciliter une équivalence fonctionnelle dans l'utilisation du service de destination, lorsqu'il couvre le même type de fonctionnalités.
IV. – Les conditions d'application du présent article, le délai de précision des règles et des modalités de mise en œuvre des exigences mentionnées au II de l'article 8 ainsi que le délai de mise en conformité des fournisseurs de services d'informatique en nuage à ces règles sont précisés par décret après consultation de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.
I. – L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut, de manière proportionnée aux besoins liés à l'accomplissement de ses missions, et sur la base d'une décision motivée :
1° Recueillir auprès des personnes physiques ou morales fournissant des services d'informatique en nuage les informations ou documents nécessaires pour s'assurer du respect par ces personnes des obligations mentionnées au II de l'article 8 et aux II et III de l'article 9 ;
2° Procéder auprès de ces mêmes personnes à des enquêtes.
Ces enquêtes sont menées dans les conditions prévues aux II à IV de l'article L. 32-4 et à l'article L. 32-5 du code des postes et des communications électroniques.
L'autorité veille à ce que ne soient pas divulguées les informations recueillies en application du présent article, lorsqu'elles sont protégées par un secret mentionné aux articles L. 311-5 à L. 311-8 du code des relations entre le public et l'administration.
II. – En cas de désaccord sur les conditions de mise en œuvre des obligations mentionnées au II de l'article 8 et aux II et III de l'article 9 de la présente loi, l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut être saisie des différends dans les conditions prévues à l'article L. 36-8 du code des postes et des communications électroniques.
Sa décision est motivée et précise les conditions équitables, d'ordre technique et financier, de mise en œuvre des obligations mentionnées au II de l'article 8 et aux II et III de l'article 9 de la présente loi.
III. – L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut, soit d'office, soit à la demande du ministre chargé du numérique, d'une organisation professionnelle, d'une association agréée d'utilisateurs ou de toute personne physique ou morale concernée, sanctionner les manquements aux obligations mentionnées au II de l'article 8 et aux II et III de l'article 9 qu'elle constate de la part d'un fournisseur de services d'informatique en nuage.
Ce pouvoir de sanction est exercé dans les conditions prévues à l'article L. 36-11 du code des postes et des communications électroniques. Par dérogation aux dixième à douzième alinéas du III du même article L. 36-11, la formation restreinte de l'autorité mentionnée à l'article L. 130 du même code peut prononcer à l'encontre du fournisseur de services d'informatique en nuage en cause une sanction pécuniaire dont le montant est proportionné à la gravité du manquement et aux avantages qui en sont tirés, sans pouvoir excéder 3 % du chiffre d'affaires hors taxes du dernier exercice clos, taux porté à 5 % en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive.
IV (nouveau). – Le président de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse saisit l'Autorité de la concurrence des abus de position dominante et des pratiques entravant le libre exercice de la concurrence dont il pourrait avoir connaissance dans le secteur de l'informatique en nuage. Cette saisine s'effectue dans les conditions prévues à l'article L. 36-10 du code des postes et des communications électroniques.
Chapitre II bis : Transparence sur le marché de l'informatique en nuage
(Division nouvelle)
Les fournisseurs d'informatique en nuage et leurs intermédiaires mettent à disposition sur leur site internet les informations suivantes et les tiennent à jour :
1° Des informations concernant l'emplacement physique de toute l'infrastructure informatique déployée pour le traitement des données de leurs services individuels ;
2° L'existence d'un risque d'accès gouvernemental aux données de l'utilisateur du service d'informatique en nuage ;
3° Une description des mesures techniques, juridiques et organisationnelles adoptées par le fournisseur d'informatique en nuage afin d'empêcher l'accès gouvernemental aux données lorsque ce transfert ou cet accès créerait un conflit avec le droit de l'Union européenne ou le droit national de l'État membre concerné.
Les sites internet mentionnés au présent article sont mentionnés dans les accords contractuels relatifs à tous les services de traitement des données proposés par les fournisseurs d'informatique en nuage et leurs intermédiaires.
Chapitre III : Régulation des services d'intermédiation de données
L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse est l'autorité compétente en matière de services d'intermédiation de données, en application de l'article 13 du règlement (UE) 2022/868 du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données).
L'autorité est consultée sur les projets de lois et de décrets relatifs aux services d'intermédiation de données. Elle est associée, à la demande du ministre chargé du numérique, à la préparation de la position française dans les négociations internationales dans le domaine des services d'intermédiation de données. Elle participe, à la demande du même ministre, à la représentation française dans les organisations internationales et européennes compétentes en ce domaine.
L'autorité coopère avec les autorités compétentes des autres États membres de l'Union européenne, avec la Commission européenne et avec le comité européen de l'innovation dans le domaine des données institué à l'article 29 du règlement (UE) 2022/868 du 30 mai 2022 précité, afin de veiller à une application coordonnée et cohérente de la réglementation.
I. – L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut, de manière proportionnée aux besoins liés à l'accomplissement de ses missions, et sur la base d'une décision motivée :
1° Recueillir auprès des personnes physiques ou morales fournissant des services d'intermédiation de données les informations ou documents nécessaires pour s'assurer du respect par ces personnes des exigences définies au chapitre III du règlement (UE) 2022/868 du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) ou dans les actes délégués pris pour son application ;
2° Procéder auprès des mêmes personnes à des enquêtes dans les conditions prévues aux II à IV de l'article L. 32-4 et à l'article L. 32-5 du code des postes et des communications électroniques.
Elle veille à ce que ne soient pas divulguées les informations recueillies en application du présent article, lorsqu'elles sont protégées par un secret mentionné aux articles L. 311-5 à L. 311-8 du code des relations entre le public et l'administration.
II. – L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut se saisir d'office ou être saisie par toute personne physique ou morale concernée, et notamment par le ministre chargé des communications électroniques, par une organisation professionnelle ou par une association agréée d'utilisateurs, de manquements aux exigences énoncées au chapitre III du règlement (UE) 2022/868 du 30 mai 2022 précité de la part d'un prestataire de services d'intermédiation de données.
Elle exerce son pouvoir de sanction dans les conditions prévues à l'article L. 36-11 du code des postes et des communications électroniques.
Par dérogation au sixième alinéa du I du même article L. 36-11, le prestataire de services d'intermédiation de données qui a fait l'objet d'une mise en demeure par l'autorité consécutive à un manquement aux exigences mentionnées au chapitre III du règlement (UE) 2022/868 du 30 mai 2022 précité doit s'y conformer dans un délai de trente jours.
Par dérogation aux dixième à douzième alinéas du III de l'article L. 36-11 du code des postes et des communications électroniques, la formation restreinte de l'autorité mentionnée à l'article L. 130 du même code peut prononcer à l'encontre du prestataire de services d'intermédiation de données en cause l'une des sanctions suivantes :
1° Une sanction pécuniaire dont le montant tient compte des critères fixés à l'article 34 du règlement (UE) 2022/868 du 30 mai 2022 précité, sans pouvoir excéder 3 % du chiffre d'affaires mondial hors taxes du dernier exercice clos, taux porté à 5 % en cas de nouvelle violation de la même obligation. À défaut d'activité permettant de déterminer ce plafond, la sanction ne peut excéder un montant de 150 000 euros, porté à 375 000 euros en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive ;
2° La suspension de la fourniture du service d'intermédiation de données ;
3° La cessation de la fourniture du service d'intermédiation de données, dans le cas où le prestataire n'aurait pas remédié à des manquements graves ou répétés malgré l'envoi d'une mise en demeure en application du troisième alinéa du présent II.
L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse saisit, avant toute décision, la Commission nationale de l'informatique et des libertés des pratiques de prestataires de services d'intermédiation de données de nature à soulever des questions liées à la protection des données à caractère personnel et tient compte de ses observations éventuelles.
Dans des conditions fixées par décret, cette autorité tient compte, le cas échéant, des observations éventuelles de la Commission nationale de l'informatique et des libertés lorsqu'elle traite :
1° Des demandes formulées par les prestataires de services d'intermédiation de données en application du paragraphe 9 de l'article 11 du règlement (UE) 2022/868 du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) ;
2° Des réclamations des personnes physiques ou morales ayant recours aux services d'intermédiation de données relatives au champ d'application du même règlement (UE) 2022/868 du 30 mai 2022 précité.
L'autorité informe la Commission nationale de l'informatique et des libertés de toute procédure ouverte en application du présent article. Elle lui communique, dans des conditions fixées par décret, toute information utile permettant à la commission de formuler ses observations éventuelles sur les questions liées à la protection des données à caractère personnel dans un délai de quatre semaines suivant la date de sa saisine. Le cas échéant, l'autorité tient la commission informée des suites données à la procédure.
La Commission nationale de l'informatique et des libertés communique à l'autorité les faits dont elle a connaissance dans le cadre de sa mission de contrôle du respect des exigences en matière de protection des données à caractère personnel et qui pourraient constituer des manquements de services d'intermédiation de données à leurs obligations au regard des dispositions du chapitre III du règlement (UE) 2022/868 du 30 mai 2022 précité.
À la première phrase du cinquième alinéa de l'article L. 130 du code des postes et des communications électroniques, la première occurrence du mot « et » est remplacée par le signe « , » et, après le mot : « périodiques », sont insérés les mots : « ainsi que dans celles prévues au second alinéa du III de l'article 10 et aux huitième à onzième alinéas de l'article 12 de la loi n° du visant à sécuriser et réguler l'espace numérique ».
I. – À titre expérimental et pour une durée de trois ans à compter de la promulgation de la présente loi, sont autorisés les jeux proposés par l'intermédiaire d'un service de communication au public en ligne qui permettent l'obtention, reposant sur un mécanisme faisant appel au hasard, par les joueurs ayant consenti un sacrifice financier, d'objets numériques monétisables, à l'exclusion de l'obtention de tout gain monétaire, sous réserve que ces objets ne puissent pas être cédés, directement ou indirectement par l'intermédiaire de toute personne physique ou morale, à titre onéreux à toute entreprise de jeux.
Constituent des objets numériques monétisables au sens de l'alinéa précédent, à l'exclusion des actifs numériques relevant du 2° du L. 54-10-1 du code monétaire et financier, les éléments de jeu qui confèrent aux seuls joueurs un ou plusieurs droits associés au jeu, et qui sont susceptibles d'être cédés, directement ou indirectement, à titre onéreux à des tiers.
Les entreprises de jeux à objets numériques monétisables s'assurent de l'intégrité, de la fiabilité, de la transparence des opérations de jeu et de la protection des mineurs. Elles veillent à prévenir le jeu excessif ou pathologique, les activités frauduleuses ou criminelles ainsi que le blanchiment de capitaux et le financement du terrorisme.
II. – La liste des catégories de jeux autorisées à titre expérimental dans les conditions prévues par le présent article est fixée par décret, après avis de l'Autorité nationale des jeux dont les observations tiennent notamment compte des risques de développement d'offres illégales de jeux en ligne.
III. – Au plus tard six mois avant la fin de l'expérimentation, le Gouvernement remet au Parlement un rapport d'évaluation sur les effets de cette expérimentation, proposant les suites à lui donner.
TITRE V : PERMETTRE À L'ÉTAT D'ANALYSER PLUS EFFICACEMENT L'ÉVOLUTION DES MARCHÉS NUMÉRIQUES
Le I de l'article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux œuvres culturelles à l'ère numérique est ainsi modifié :
1° À la deuxième phrase du cinquième alinéa, les mots : « ce cadre, ce service » sont remplacés par les mots : « le cadre de ses activités d'expérimentation et de recherche publique mentionnées aux deux alinéas précédents, le service mentionné au premier alinéa » ;
1° bis (nouveau) À la troisième phrase du même cinquième alinéa, après les mots : « les opérateurs de plateforme », sont insérés les mots : « et les fournisseurs de systèmes d'exploitation conservant les données des plateformes » ;
1° ter (nouveau) La dernière phrase dudit cinquième alinéa est remplacée par deux phrases ainsi rédigées : « Les données collectées dans le cadre des activités d'expérimentation mentionnées au cinquième alinéa sont détruites à l'issue des travaux, et au plus tard neuf mois après leur collecte. Les données collectées dans le cadre des activités de recherche publique mentionnées au sixième alinéa sont détruites à l'issue des travaux, au plus tard cinq ans après leur collecte. » ;
2° Les cinq dernières phrases du même cinquième alinéa, dans sa rédaction résultant des 1° à 1° ter du présent article, deviennent le septième alinéa ;
3° La première phrase de l'avant-dernier alinéa est complétée par les mots et une phrase ainsi rédigée : « , notamment à des fins de recherches contribuant à la détection, à la détermination et à la compréhension des risques systémiques dans l'Union au sens de l'article 34, paragraphe 1 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques. Il bénéficie de l'accès aux données des fournisseurs de très grandes plateformes en ligne ou de très grands moteurs de recherche en ligne dans les conditions prévues à l'article 40, paragraphe 12 du même règlement, ainsi que de l'accès à ces mêmes données lorsqu'elles sont stockées sur des terminaux mobiles, avec le concours des fournisseurs de systèmes d'exploitation. » ;
4° Au dernier alinéa, le mot : « avant-dernier » est remplacé par le mot : « sixième ».
Le II de l'article L. 324-2-1 du code du tourisme est ainsi modifié :
1° Le premier alinéa est ainsi modifié :
a) Après la première occurrence des mots : « la commune », la fin de la première phrase est ainsi rédigée : « qui le demande a accès jusqu'au 31 décembre de l'année suivant celle au cours de laquelle un meublé de tourisme a été mis en location aux données de nature à lui permettre de contrôler le respect des obligations prévues au même article L. 324-1-1. Ces données sont mises à la disposition de la commune par l'organisme unique chargé de recueillir ces données qui lui sont transmises de manière électronique par les personnes mentionnées au I. » ;
b) La deuxième phrase est supprimée ;
2° Au dernier alinéa, les mots : « précise la fréquence et les modalités techniques de transmission des informations mentionnées au premier alinéa du présent II » sont remplacés par les mots : « désigne l'organisme unique mentionné au premier alinéa du présent II et détermine la nature des données mentionnées au même premier alinéa, leur durée de conservation, les délais de réponse, la fréquence et les modalités techniques de leur transmission » et les mots : « de la personne mentionnée au I à répondre aux demandes des communes » sont remplacés par les mots : « des personnes mentionnées au I à satisfaire à leur obligation de transmission des données à ce même organisme unique ».
TITRE VI : RENFORCER LA GOUVERNANCE DE LA RÉGULATION DU NUMÉRIQUE
Après l'article 7 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, il est inséré un article 7-1 ainsi rédigé :
« Art. 7-1. – Dans l'exercice de ses missions, le coordinateur pour les services numériques mentionné à l'article 49, paragraphe 2 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques peut, dans le cadre d'une convention, recourir à l'assistance technique du service administratif de l'État mentionné à l'article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux œuvres culturelles à l'ère numérique, notamment pour toute question liée aux analyses de données, aux codes sources, aux programmes informatiques, aux traitements algorithmiques ou à l'audit des algorithmes.
« Le service administratif mentionné au premier alinéa du présent article peut, pour des travaux relevant de son domaine d'expertise, proposer son assistance technique au coordinateur pour les services numériques pour la conduite des missions de ce dernier.
« Le coordinateur pour les services numériques veille à associer le service administratif aux missions de coopération relatives au développement de l'expertise et des capacités de l'Union européenne en matière d'évaluation des questions systémiques et émergentes mentionnées à l'article 64 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité.
« Lorsqu'il est sollicité au titre du présent article, le service administratif conduit ses travaux en toute indépendance. Il assure la confidentialité des informations recueillies dans le cadre de l'exercice de ses missions et limite leur utilisation aux seules fins nécessaires à ses missions.
« La convention mentionnée au premier alinéa du présent article précise les mécanismes de la coopération entre le coordinateur pour les services numériques et le service administratif, ainsi que les conditions propres à garantir la confidentialité des informations qu'ils se transmettent. »
Le titre Ier du livre Ier du code de justice administrative est complété par un chapitre V ainsi rédigé :
« Chapitre V
« Contrôle des opérations de traitement de données à caractère personnel effectuées par les juridictions administratives dans l'exercice de leur fonction juridictionnelle
« Art. L. 115-1. – Le Conseil d'État est chargé du contrôle des opérations de traitement des données à caractère personnel effectuées dans l'exercice de leur fonction juridictionnelle :
« 1° Par les juridictions administratives, sous réserve de l'article L. 453 du code de l'organisation judiciaire pour le Conseil supérieur de la magistrature et de l'article L. 111-18 du code des juridictions financières pour les juridictions régies par ce même code ;
« 2° Par le Tribunal des conflits.
« Ce contrôle est exercé, en toute indépendance, par une autorité constituée d'un membre du Conseil d'État, élu par l'assemblée générale, pour une durée de trois années, renouvelable une fois.
« L'autorité de contrôle veille à ce que les traitements de données personnelles soient mis en œuvre conformément au règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) et à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
« Elle connaît des réclamations relatives aux opérations de traitements de données personnelles soumises à son contrôle.
« Pour l'exercice de ses missions, l'autorité de contrôle dispose des pouvoirs mentionnés à l'article 58 du règlement (UE) 2016/679 du 27 avril 2016 précité et aux articles 20, 21 et 22 de la loi n° 78-17 du 6 janvier 1978 précitée, excepté ceux relatifs au prononcé d'une astreinte ou d'une amende. Pour l'application des mêmes articles 20, 21 et 22, l'autorité de contrôle exerce indistinctement les compétences dévolues au président et à la formation restreinte de la commission mentionnée à l'article 8 de la même loi. Le secret ne peut lui être opposé.
« Elle dispose des ressources humaines, matérielles et techniques nécessaires à l'exercice de ses fonctions, fournies par le Conseil d'État.
« Les agents mis à la disposition de l'autorité de contrôle sont astreints au secret pour les faits, actes ou renseignements dont ils ont eu connaissance en raison de leurs fonctions, sous peine des sanctions prévues aux articles 226-13 et 413-10 du code pénal.
« L'autorité de contrôle adresse au vice-président du Conseil d'État et présente au Parlement un rapport public annuel. Ce rapport établit un bilan de son activité. Il peut comporter des observations et des recommandations relatives à son domaine d'intervention.
« Un décret en Conseil d'État précise les modalités d'application du présent article. »
I. – Le titre V du livre IV du code de l'organisation judiciaire est complété par un chapitre III ainsi rédigé :
« Chapitre III
« Contrôle des opérations de traitement des données à caractère personnel effectuées par les juridictions judiciaires et leur ministère public dans l'exercice de leur fonction juridictionnelle
« Art. L. 453. – La Cour de cassation est chargée du contrôle des opérations de traitement des données à caractère personnel effectuées, dans l'exercice de leur fonction juridictionnelle, par les juridictions judiciaires et par leur ministère public, ainsi que par le Conseil supérieur de la magistrature dans l'exercice de ses fonctions disciplinaires.
« Ce contrôle est exercé, en toute indépendance, par une autorité constituée d'un conseiller à la Cour de cassation, élu par l'assemblée des magistrats du siège hors hiérarchie de ladite Cour, pour une durée de trois années, renouvelable une fois.
« L'autorité de contrôle veille à ce que les traitements de données personnelles soient mis en œuvre conformément au règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) et à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
« Elle connaît des réclamations relatives aux opérations de traitement de données à caractère personnel soumises à son contrôle.
« Pour l'exercice de ses missions, l'autorité de contrôle dispose des pouvoirs mentionnés à l'article 58 du règlement (UE) 2016/679 du 27 avril 2016 précité et aux articles 20, 21 et 22 de la loi n° 78-17 du 6 janvier 1978 précitée, excepté ceux relatifs au prononcé d'une astreinte ou d'une amende. Pour l'application des mêmes articles 20, 21 et 22, l'autorité de contrôle exerce indistinctement les compétences dévolues au président et à la formation restreinte de la commission mentionnée à l'article 8 de la même loi. Le secret ne peut lui être opposé.
« Elle dispose des ressources humaines, matérielles et techniques nécessaires à l'exercice de ses fonctions, fournies par la Cour de cassation.
« Les agents mis à la disposition de l'autorité de contrôle sont astreints au secret pour les faits, actes ou renseignements dont ils ont eu connaissance en raison de leurs fonctions, sous peine des sanctions prévues aux articles 226-13 et 413-10 du code pénal.
« L'autorité de contrôle adresse au premier président de la Cour de cassation et présente au Parlement un rapport public annuel. Ce rapport établit un bilan de son activité. Il peut comporter des observations et des recommandations relatives à son domaine d'intervention.
« Un décret en Conseil d'État précise les modalités d'application du présent article.
« Art. L. 454. – La Cour de cassation connaît des recours formés par toute personne physique ou morale contre une décision de l'autorité de contrôle qui lui fait grief.
« La Cour de cassation connaît également des recours formés par toute personne concernée en cas d'abstention de l'autorité de contrôle de traiter une réclamation ou d'informer son auteur, dans un délai de trois mois, de l'état de l'instruction ou de l'issue de cette réclamation.
« Un décret en Conseil d'État précise les modalités d'application du présent article. »
II. – Le V de l'article 19 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est complété par les mots : « et leur ministère public ».
Le chapitre Ier du titre Ier du livre Ier du code des juridictions financières est complété par une section 6 ainsi rédigée :
« Section 6
« Contrôle des opérations de traitement des données à caractère personnel effectuées par les juridictions régies par le présent code dans l'exercice de leur fonction juridictionnelle
« Art. L. 111-18. – La Cour des comptes est chargée du contrôle des opérations de traitements de données à caractère personnel effectuées, dans l'exercice de leur fonction juridictionnelle, par les juridictions régies par le présent code et par leur ministère public.
« Ce contrôle est exercé, en toute indépendance, par une autorité constituée d'un magistrat de la Cour des comptes, élu par la chambre du conseil, pour une durée de trois années, renouvelable une fois.
« L'autorité de contrôle veille à ce que les traitements de données personnelles soient mis en œuvre conformément au règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) et à la loi n° 78-17 du 16 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
« Elle connaît des réclamations relatives aux opérations de traitement de données personnelles soumises à son contrôle.
« Pour l'exercice de ses missions, l'autorité de contrôle dispose des pouvoirs mentionnés à l'article 58 du règlement (UE) 2016/679 du 27 avril 2016 précité et aux articles 20, 21 et 22 de la loi n° 78-17 du 6 janvier 1978 précitée, excepté ceux relatifs au prononcé d'une astreinte ou d'une amende. Pour l'application des mêmes articles 20, 21 et 22, l'autorité de contrôle exerce indistinctement les compétences dévolues au président et à la formation restreinte de la commission mentionnée à l'article 8 de la même loi. Le secret ne peut lui être opposé.
« Elle dispose des ressources humaines, matérielles et techniques nécessaires à l'exercice de ses fonctions, fournies par la Cour des comptes.
« Les agents mis à la disposition de l'autorité de contrôle sont astreints au secret pour les faits, actes ou renseignements dont ils ont eu connaissance en raison de leurs fonctions, sous peine des sanctions prévues aux articles 226-13 et 413-10 du code pénal.
« L'autorité de contrôle adresse au premier président de la Cour des comptes et présente au Parlement un rapport public annuel. Ce rapport établit un bilan de son activité. Il peut comporter des observations et des recommandations relatives à son domaine d'intervention.
« Un décret en Conseil d'État précise les modalités d'application du présent article. »
TITRE VIII : ADAPTATIONS DU DROIT NATIONAL
La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique est ainsi modifiée :
1° Après l'article 1er, sont insérés des articles 1-1 et 1-2 ainsi rédigés :
« Art. 1-1. – I. – Les personnes dont l'activité est d'éditer un service de communication au public en ligne mettent à la disposition du public, dans un standard ouvert :
« 1° S'il s'agit de personnes physiques, leurs nom, prénoms, domicile et numéro de téléphone et, si elles sont assujetties aux formalités d'inscription au registre du commerce et des sociétés ou au registre national des entreprises en tant qu'entreprise du secteur des métiers et de l'artisanat, le numéro de leur inscription ;
« 2° S'il s'agit de personnes morales, leur dénomination ou leur raison sociale et leur siège social, leur numéro de téléphone et, s'il s'agit d'entreprises assujetties aux formalités d'inscription au registre du commerce et des sociétés ou au registre national des entreprises en tant qu'entreprise du secteur des métiers et de l'artisanat, le numéro de leur inscription, leur capital social et l'adresse de leur siège social ;
« 3° Le nom du directeur ou du codirecteur de la publication et, le cas échéant, celui du responsable de la rédaction, au sens de l'article 93-2 de la loi n° 82-652 du 29 juillet 1982 sur la communication audiovisuelle ;
« 4° Le nom, la dénomination ou la raison sociale et l'adresse et le numéro de téléphone du fournisseur de services d'hébergement.
« II. – Les personnes éditant à titre non professionnel un service de communication au public en ligne peuvent ne tenir à la disposition du public, pour préserver leur anonymat, que le nom, la dénomination ou la raison sociale et l'adresse du fournisseur de services d'hébergement, sous réserve d'avoir communiqué à ce fournisseur les éléments d'identification personnelle mentionnés au I.
« Les fournisseurs de services d'hébergement sont assujettis au secret professionnel dans les conditions prévues aux articles 226-13 et 226-14 du code pénal, pour tout ce qui concerne la divulgation de ces éléments d'identification personnelle ou de toute information permettant d'identifier la personne concernée. Ce secret professionnel n'est pas opposable à l'autorité judiciaire.
« III. – Toute personne nommée ou désignée dans un service de communication au public en ligne dispose d'un droit de réponse, sans préjudice des demandes de correction ou de suppression du message qu'elle peut adresser au service.
« La demande d'exercice du droit de réponse est adressée au directeur de la publication ou, lorsque la personne éditant à titre non professionnel a conservé l'anonymat, au fournisseur de services d'hébergement qui la transmet sans délai au directeur de la publication. Elle est présentée, au plus tard, dans un délai de trois mois à compter de la mise à disposition du public du message justifiant cette demande.
« Le directeur de la publication est tenu d'insérer dans les trois jours de leur réception les réponses de toute personne nommée ou désignée dans le service de communication au public en ligne, sous peine d'une amende de 3 750 euros, sans préjudice des autres peines et dommages-intérêts auxquels l'article pourrait donner lieu.
« Les conditions d'insertion de la réponse sont celles prévues à l'article 13 de la loi du 29 juillet 1881 sur la liberté de la presse. La réponse est gratuite.
« Un décret en Conseil d'État fixe les modalités d'application du présent III.
« IV. – Les chapitres IV et V de la loi du 29 juillet 1881 précitée sont applicables aux services de communication au public en ligne et la prescription acquise dans les conditions prévues à l'article 65 de la même loi.
« Art. 1-2. – Est puni d'un an d'emprisonnement et de 75 000 euros d'amende le fait, pour une personne physique ou le dirigeant de droit ou de fait d'une personne morale dont l'activité est d'éditer un service de communication au public en ligne, de ne pas respecter les I et II de l'article 1-1 de la présente loi.
« Les personnes morales peuvent être déclarées pénalement responsables des manquements aux mêmes I et II, dans les conditions prévues à l'article 121-2 du code pénal. Elles encourent une peine d'amende, suivant les modalités prévues à l'article 131-38 du même code, ainsi que les peines mentionnées aux 2° et 9° de l'article 131-39 dudit code. L'interdiction mentionnée au 2° du même article 131-39 est prononcée pour une durée de cinq ans au plus et porte sur l'activité professionnelle dans l'exercice ou à l'occasion de laquelle l'infraction a été commise. » ;
2° L'intitulé du chapitre II du titre Ier est ainsi rédigé : « Les fournisseurs de services intermédiaires » ;
3° Au début du même chapitre II, est ajoutée une section 1 intitulée : « Définitions et obligations relatives aux fournisseurs de services intermédiaires » qui comprend les articles 5 à 6 ;
4° Après l'article 5, il est inséré un article 5-1 ainsi rédigé :
« Art. 5-1. – I. – On entend par “services de la société de l'information” les services définis à l'article premier, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information.
« II. – On entend par “services intermédiaires” les services de la société de l'information définis à l'article 3, paragraphe g, du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques). » ;
5° L'article 6 est ainsi rédigé :
« Art. 6. – I. – 1. On entend par “service d'accès à internet”, un service de simple transport, au sens de l'article 3, paragraphe g, point i) du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques), dont l'activité consiste à offrir un accès à des services de communication au public en ligne ;
« 2. On entend par “services d'hébergement”, les services définis au même article 3, paragraphe g, point iii), du même règlement ;
« 3. On entend par “moteur de recherche en ligne”, un service défini audit article 3, paragraphe j, dudit règlement ;
« 4. On entend par “plateforme en ligne”, un service défini au même article 3, paragraphe i, du même règlement ;
« 5. On entend par “service de réseaux sociaux en ligne”, un service défini à l'article 2, paragraphe 7 du règlement 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques).
« II. – Les personnes dont l'activité consiste à fournir un service intermédiaire au sens de l'article 3, paragraphe g du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité ne sont pas des producteurs, au sens de l'article 93-3 de la loi n° 82-652 du 29 juillet 1982 sur la communication audiovisuelle.
« III. – Les personnes dont l'activité consiste à fournir un service d'hébergement ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère manifestement illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible.
« Elles ne peuvent voir leur responsabilité pénale engagée à raison des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance du caractère manifestement illicite de l'activité ou de l'information ou si, dès le moment où elles en ont eu connaissance, elles ont agi promptement pour retirer ces informations ou en rendre l'accès impossible.
« Les premier et deuxième alinéas du présent III ne s'appliquent pas lorsque le destinataire du service agit sous l'autorité ou le contrôle de la personne qui fournit le service d'hébergement.
« IV. – 1. Les personnes dont l'activité consiste à fournir un service d'accès à internet informent leurs abonnés de l'existence de moyens techniques permettant de restreindre l'accès à certains services ou de les sélectionner et leur proposent au moins un de ces moyens sans surcoût. Un décret, pris après avis de la Commission nationale de l'informatique et des libertés, précise les fonctionnalités minimales et les caractéristiques techniques auxquelles ces moyens répondent, compte tenu de la nature de l'activité de ces personnes.
« Les personnes mentionnées au premier alinéa du présent 1 informent également leurs abonnés de l'existence de moyens de sécurisation permettant de prévenir les manquements à l'obligation définie à l'article L. 336-3 du code de la propriété intellectuelle.
« 2. Dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, les fournisseurs de services d'accès à internet informent également leurs abonnés de la quantité de données consommées dans le cadre de la fourniture d'accès au réseau et indiquent l'équivalent des émissions de gaz à effet de serre correspondant.
« Les équivalents d'émissions de gaz à effet de serre correspondant à la consommation de données sont établis suivant une méthodologie mise à disposition par l'Agence de l'environnement et de la maîtrise de l'énergie.
« 3. Les fournisseurs de services d'accès à internet informent leurs abonnés de l'interdiction de procéder en France métropolitaine et dans les départements d'outre-mer à des opérations de vente à distance, d'acquisition, d'introduction en provenance d'un autre État membre de l'Union européenne ou d'importation en provenance de pays tiers de produits du tabac manufacturé dans le cadre d'une vente à distance, ainsi que des sanctions légalement encourues pour de tels actes.
« Tout manquement à cette obligation est puni d'un an d'emprisonnement et de 250 000 euros d'amende.
« Les personnes morales peuvent être déclarées pénalement responsables de cette infraction dans les conditions prévues à l'article 121-2 du code pénal. Elles encourent une peine d'amende, suivant les modalités prévues à l'article 131-38 du même code, ainsi que les peines mentionnées aux 2° et 9° de l'article 131-39 dudit code. L'interdiction mentionnée au 2° du même article 131-39 est prononcée pour une durée de cinq ans au plus et porte sur l'activité professionnelle dans l'exercice ou à l'occasion de laquelle l'infraction a été commise.
« 4. Lorsque les fournisseurs de services d'accès à internet invoquent, à des fins publicitaires, la possibilité qu'ils offrent de télécharger des fichiers dont ils ne sont pas les fournisseurs, ils font figurer dans cette publicité une mention facilement identifiable et lisible rappelant que le piratage nuit à la création artistique.
« V. – 1. Les personnes dont l'activité consiste à fournir des services d'hébergement concourent à la lutte contre la diffusion de contenus constituant les infractions mentionnées aux articles 211-2, 222-33, 222-33-1-1, 222-33-2, 222-33-2-1, 222-33-2-2, 222-33-2-3, 223-1-1, 223-13, 225-4-13, 225-5, 225-6, 225-10, 226-1 à 226-3, 226-4-1, 226-8, 227-4-2, 227-18 à 227-21, 227-22 à 227-24, 226-10, 226-21, 226-22, 312-10 à 312-12, 412-8, 413-13, 413-14, 421-2-5, 431-1, 433-3, 433-3-1 et 431-6 et au deuxième alinéa de l'article 222-33-3 du code pénal, ainsi qu'aux cinquième, septième et huitième alinéas de l'article 24 et à l'article 24 bis de la loi du 29 juillet 1881 sur la liberté de la presse.
« À ce titre, elles informent promptement les autorités compétentes de toutes activités illicites mentionnées au premier alinéa du présent 1 qui leur seraient signalées et qu'exerceraient les destinataires de leurs services.
« Tout manquement à cette obligation d'information est puni d'un an d'emprisonnement et de 250 000 euros d'amende.
« Les personnes morales peuvent être déclarées pénalement responsables de cette infraction, dans les conditions prévues à l'article 121-2 du code pénal. Elles encourent une peine d'amende, suivant les modalités prévues à l'article 131-38 du même code, ainsi que les peines mentionnées aux 2° et 9° de l'article 131-39 dudit code. L'interdiction mentionnée au 2° du même article 131-39 est prononcée pour une durée de cinq ans au plus et porte sur l'activité professionnelle dans l'exercice ou à l'occasion de laquelle l'infraction a été commise.
« 2. Les personnes qui fournissent des services d'hébergement procurent aux personnes qui éditent un service de communication au public en ligne des moyens techniques permettant à celles-ci de satisfaire aux conditions d'identification prévues au I de l'article 1-1 de la présente loi.
« 3. La méconnaissance de l'obligation d'informer immédiatement les autorités compétentes prévue à l'article 18 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) est punie d'un an d'emprisonnement et de 250 000 euros d'amende.
« Lorsque l'infraction prévue au premier alinéa du présent 3 est commise de manière habituelle par une personne morale, le montant de l'amende peut être porté à 6 % de son chiffre d'affaires mondial hors taxes pour l'exercice précédent la sanction.
« VI. – 1. Dans les conditions fixées aux II bis à III bis de l'article L. 34-1 du code des postes et des communications électroniques, les personnes dont l'activité consiste à fournir des services d'accès à internet ou des services d'hébergement détiennent et conservent les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus des services dont elles sont prestataires.
« Un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, définit les données mentionnées au premier alinéa du présent 1 et détermine la durée et les modalités de leur conservation.
« 2. Tout manquement aux obligations mentionnées au 1 du présent VI est puni d'un an d'emprisonnement et de 250 000 euros d'amende. Le fait de ne pas déférer à la demande d'une autorité judiciaire d'obtenir communication des éléments mentionnés au même 1 est puni des mêmes peines.
« Les personnes morales peuvent être déclarées pénalement responsables de ces infractions dans les conditions prévues à l'article 121-2 du code pénal. Elles encourent une peine d'amende, suivant les modalités prévues à l'article 131-38 du même code, ainsi que les peines mentionnées aux 2° et 9° de l'article 131-39 dudit code. L'interdiction mentionnée au 2° du même article 131-39 est prononcée pour une durée de cinq ans au plus et porte sur l'activité professionnelle dans l'exercice ou à l'occasion de laquelle l'infraction a été commise.
« VII. – Toute plateforme en ligne dont l'activité sur le territoire français dépasse un seuil de nombre de connexions déterminé par décret, qu'elle soit ou non établie sur le territoire français, met en œuvre des procédures et des moyens humains et technologiques proportionnés permettant, lorsqu'elle a une activité de stockage de contenus, de conserver temporairement les contenus qui lui ont été signalés comme contraires aux dispositions mentionnées au 1 du V du présent article et qu'elle a retirés ou rendus inaccessibles, aux fins de les mettre à la disposition de l'autorité judiciaire pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales.
« La durée et les modalités de conservation de ces contenus sont définies par un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés.
« VIII. – Les personnes dont l'activité consiste à fournir un service de réseau social dont l'activité sur le territoire français dépasse un seuil de nombre de connexions déterminé par décret sont tenus, lors de l'inscription à l'un de leurs services d'un mineur âgé de moins de quinze ans et dans le cas où leur offre de service implique un traitement de données à caractère personnel, de prévoir une information à destination du mineur et des titulaires de l'autorité parentale sur l'utilisation civique et responsable dudit service et sur les risques juridiques auxquels ils s'exposent en cas de diffusion par le mineur de contenus haineux, à l'occasion du recueil des consentements mentionnés au deuxième alinéa de l'article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
« IX. – Le fait, pour toute personne, de présenter aux personnes dont l'activité consiste à fournir des services d'hébergement un contenu ou une activité comme étant illicite dans le but d'en obtenir le retrait ou d'en faire cesser la diffusion, alors qu'elle sait cette information inexacte, est puni d'une peine d'un an d'emprisonnement et de 15 000 euros d'amende. »
La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique est ainsi modifiée :
1° Après l'article 6, est insérée une section 2 intitulée : « Dispositions relatives à la lutte contre les contenus terroristes et pédopornographiques » qui comprend les articles 6-1 à 6-2-2 ;
2° L'article 6-1 est ainsi modifié :
a) À la première phrase du premier alinéa, les mots : « mentionnée au III de l'article 6 de la présente loi » sont remplacés par les mots : « dont l'activité est d'éditer un service de communication au public en ligne » et les mots : « mentionnées au 2 du I du même article 6 » sont remplacés par les mots : « fournisseurs de services d'hébergement » ;
b) À la seconde phrase du même premier alinéa, les mots : « personnes mentionnées au 1 du I de l'article 6 de la présente loi » sont remplacés par les mots : « fournisseurs de services d'accès à internet » ;
c) Au deuxième alinéa, les mots : « personnes mentionnées au même 1 » sont remplacés par les mots : « fournisseurs de services d'accès à internet » et les mots : « mentionnée au III du même article 6 des informations mentionnées à ce même III » sont remplacés par les mots : « dont l'activité est d'éditer un service de communication au public en ligne des informations mentionnées à l'article 1-1 de la présente loi » ;
d) Au dernier alinéa, les mots : « au 1 du VI » sont remplacés par les mots : « au 3 du IV » ;
3° Au second alinéa du II de l'article 6-1-3, le taux : « 4 % » est remplacé par le taux : « 6 % » ;
4° Le second alinéa des I et II de l'article 6-1-5 est complété par une phrase ainsi rédigée : « L'audience est publique. » ;
5° L'article 6-2 devient l'article 6-5.
La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique est ainsi modifiée :
1° Après l'article 6-2-2, dans sa rédaction résultant de la présente loi, est insérée une section 3 intitulée : « Dispositions relatives à l'intervention de l'autorité judiciaire » qui comprend les articles 6-3 à 6-5, dans leur rédaction résultant de la présente loi ;
2° Les articles 6-3 et 6-4 sont ainsi rédigés :
« Art. 6-3. – Le président du tribunal judiciaire, statuant selon la procédure accélérée au fond, peut prescrire à toute personne susceptible d'y contribuer toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d'un service de communication au public en ligne.
« Il détermine les personnes ou catégories de personnes auxquelles une demande peut être adressée par l'autorité administrative dans les conditions prévues à l'article 6-4.
« Art. 6-4. – Lorsqu'une décision judiciaire exécutoire a ordonné toute mesure propre à empêcher l'accès à un service de communication au public en ligne dont le contenu relève des infractions mentionnées au 1 du V de l'article 6 de la présente loi, l'autorité administrative, saisie le cas échéant par toute personne intéressée, peut demander aux personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne ou aux fournisseurs de services d'hébergement ou à toute personne ou catégorie de personnes visée par cette décision judiciaire, pour une durée ne pouvant excéder celle restant à courir pour les mesures ordonnées par cette décision, d'empêcher l'accès à tout service de communication au public en ligne qu'elle aura préalablement identifié comme reprenant le contenu du service mentionné par ladite décision, en totalité ou de manière substantielle.
« Dans les mêmes conditions et pour la même durée, l'autorité administrative peut également demander à tout exploitant d'un service reposant sur le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus proposés ou mis en ligne par des tiers de faire cesser le référencement des adresses électroniques donnant accès aux services de communication au public en ligne mentionnés au premier alinéa du présent article.
« L'autorité administrative tient à jour une liste des services de communication au public en ligne mentionnés au même premier alinéa qui ont fait l'objet d'une demande de blocage d'accès en application de cet alinéa ainsi que des adresses électroniques donnant accès à ces services et met cette liste à la disposition des annonceurs, de leurs mandataires et des services mentionnés au 2° du II de l'article 299 du code général des impôts. Ces services sont inscrits sur cette liste pour la durée restant à courir des mesures ordonnées par l'autorité judiciaire. Pendant toute la durée de l'inscription sur ladite liste, les annonceurs, leurs mandataires et les services mentionnés au même 2° qui entretiennent des relations commerciales, notamment pour y pratiquer des insertions publicitaires, avec les services de communication au public en ligne figurant sur cette liste sont tenus de rendre publique sur leur site internet, au moins une fois par an, l'existence de ces relations et de les mentionner au rapport annuel, s'ils sont tenus d'en adopter un.
« Lorsqu'il n'est pas procédé au blocage ou au déréférencement desdits services, le président du tribunal judiciaire, statuant selon la procédure accélérée au fond, peut prescrire toute mesure destinée à faire cesser l'accès aux contenus de ces services. »
La loi n° 2004-575 pour la confiance dans l'économie numérique est ainsi modifiée :
1° Après l'article 6-5, dans sa rédaction résultant de la présente loi, est insérée une section 4 intitulée : « Coordinateur pour les services numériques et coopération entre les autorités compétentes » qui comprend les articles 7 à 9-2 ;
2° L'article 7 est ainsi rédigé :
« Art. 7. – Les autorités compétentes désignées en application de l'article 49 du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) sont :
« 1° L'Autorité de régulation de la communication audiovisuelle et numérique ;
« 2° L'autorité administrative chargée de la concurrence et de la consommation ;
« 3° La Commission nationale de l'informatique et des libertés.
« L'Autorité de régulation de la communication audiovisuelle et numérique est désignée coordinateur des services numériques, au sens du même article 49 du règlement (UE) 2022/2065 du 19 octobre 2022 précité, sans préjudice des compétences de chacune des autorités administratives compétentes qui concourent à la mise en œuvre du même règlement. » ;
3° Après le même article 7, sont insérés des articles 7-2 et 7-3 ainsi rédigés :
« Art. 7-2. – Le coordinateur des services numériques veille à ce que les autorités mentionnées à l'article 7 coopèrent étroitement et se prêtent mutuellement assistance, dans le cadre de l'application du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques), de manière cohérente et efficace.
« Ces autorités peuvent se communiquer librement les informations dont elles disposent et se consulter mutuellement aux fins de l'accomplissement de leurs missions respectives au titre du même règlement, sans que ni le secret des affaires, ni le secret de l'instruction, ni la protection des données personnelles n'y fassent obstacle.
« Lorsqu'à l'occasion de l'exercice de ses compétences au titre de la présente section, l'une de ces autorités constate des faits qui relèvent de la compétence d'une autre, elle l'en informe et lui transmet les informations correspondantes.
« Les modalités de mise en œuvre du présent article sont précisées par voie de conventions entre ces mêmes autorités.
« Art. 7-3. – Le coordinateur pour les services numériques siège au comité européen des services numériques mentionné à l'article 61 du règlement (UE) 2022/2065 du 19 octobre 2022 précité. Lorsque les questions examinées par le comité relèvent de la compétence d'une autre autorité que celle désignée à l'article 7 de la présente loi en tant que coordinateur de services numériques, l'autorité compétente concernée participe au comité aux côtés du coordinateur.
« Aux fins d'exercer les compétences que lui confient les articles 63, 64 et 65 du règlement (UE) 2022/2065 du 19 octobre 2022 précité, le coordinateur pour les services numériques exerce une mission de veille et d'analyse des risques systémiques mentionnés à l'article 34 du même règlement sur le territoire national. » ;
4° Après l'article 8, il est inséré un article 8-1 ainsi rédigé :
« Art. 8-1. – L'Autorité de régulation de la communication audiovisuelle et numérique veille, dans les conditions prévues à la présente section, au respect :
« 1° Par les personnes dont l'activité consiste à fournir un service intermédiaire, des obligations prévues aux paragraphes 1 et 5 de l'article 9, aux paragraphes 1 et 5 de l'article 10 et aux articles 11 à 15 du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) ;
« 2° Par les personnes dont l'activité consiste à fournir un service d'hébergement, des obligations prévues par les articles 16 et 17 du même règlement ;
« 3° Par les personnes dont l'activité consiste à fournir un service de plateforme en ligne, à l'exception des microentreprises ou des petites entreprises au sens de l'article 19 dudit règlement, des obligations prévues :
« a) Aux articles 20 à 24 du même règlement ;
« b) À l'article 25 du même règlement, à l'exception des pratiques mentionnées au 1° de l'article L. 133-1 du code de la consommation ;
« c) Aux a à c du paragraphe 1 et le paragraphe 2 de l'article 26, l'article 27 et le paragraphe 1 de l'article 28 du règlement (UE) 2022/2065 du 19 octobre 2022 précité. » ;
5° Après l'article 9, il est inséré un article 9-1 ainsi rédigé :
« Art. 9-1. – I. – Pour l'accomplissement des missions et compte tenu des responsabilités qui lui sont confiées par la présente section, l'Autorité de régulation de la communication audiovisuelle et numérique peut :
« 1° Exercer auprès des fournisseurs de services intermédiaires mentionnés à l'article 8-1, ou de toute autre personne mentionnée au paragraphe 1 de l'article 51 du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques), les pouvoirs d'enquête et d'exécution prévus à ce même article 51, dans les conditions prévues par la présente section ;
« 2° Recueillir, auprès de tout fournisseur de service intermédiaire qui propose un service sur le territoire national, les informations nécessaires à l'élaboration des demandes d'examen mentionnées aux articles 58 ou 65 du règlement (UE) 2022/2065 du 19 octobre 2022 précité.
« II. – Pour la recherche et la constatation des manquements aux obligations mentionnées à l'article 8-1 ou pour l'application des articles 57, 60, 66 ou 69 du règlement (UE) 2022/2065 du 19 octobre 2022 précité, les agents habilités et assermentés de l'Autorité de régulation de la communication audiovisuelle et numérique peuvent procéder, de six heures à vingt et une heures, à des inspections dans tout lieu, local, enceinte, installation ou établissement utilisé par un fournisseur de service intermédiaire pour les besoins de son activité commerciale, industrielle, artisanale ou libérale, afin d'examiner, de saisir, de prendre ou d'obtenir des copies d'informations sous quelque forme et sur quelque support de stockage que ce soit.
« Le procureur de la République territorialement compétent en est préalablement informé.
« Lorsqu'il y a lieu de soupçonner que les informations relatives à un manquement aux obligations prévues par le même règlement sont conservées soit dans les parties des lieux, locaux, enceintes, installations ou établissements affectées au domicile privé, soit dans de tels lieux, locaux, enceintes, installations ou établissements entièrement affectés au domicile privé, la visite ne peut se dérouler qu'après l'autorisation du juge des libertés et de la détention du tribunal judiciaire dans le ressort duquel sont situés les locaux à visiter, dans les conditions prévues au III du présent article.
« III. – Le responsable de ces lieux, locaux, enceintes, installations ou établissements est informé de son droit d'opposition à la visite.
« Lorsqu'il exerce ce droit, la visite ne peut se dérouler qu'après l'autorisation du juge des libertés et de la détention du tribunal judiciaire dans le ressort duquel sont situés les locaux à visiter. Toutefois, lorsque l'urgence, la gravité des faits à l'origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, la visite peut avoir lieu sans que le responsable mentionné au premier alinéa du présent III en ait été informé, sur autorisation préalable du juge des libertés et de la détention. Dans ce cas, ce responsable ne peut s'opposer à la visite. La visite s'effectue sous l'autorité et le contrôle du juge des libertés et de la détention qui l'a autorisée, en présence de l'occupant des lieux ou de son représentant, qui peut se faire assister d'un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l'autorité des personnes chargées de procéder au contrôle.
« L'ordonnance ayant autorisé la visite est exécutoire au seul vu de la minute. Elle mentionne que le juge ayant autorisé la visite peut être saisi à tout moment d'une demande de suspension ou d'arrêt de cette visite. Elle indique le délai et la voie de recours applicables. Elle peut faire l'objet, suivant les règles prévues par le code de procédure civile, d'un appel devant le premier président de la cour d'appel.
« III bis (nouveau). – Il est dressé un procès-verbal des vérifications et visites menées en application du présent article ; le cas échéant, la liste des documents saisis lui est annexée. Ce procès-verbal est dressé contradictoirement lorsque les vérifications et visites sont effectuées sur place ou sur convocation.
« Les documents saisis en application du II du présent article sont restitués sur décision du procureur de la République, d'office ou sur requête, dans un délai maximal de six mois à compter de la visite.
« IV. – A. – Pour l'application du présent article, l'Autorité de régulation de la communication audiovisuelle et numérique peut, lorsque cela est nécessaire :
« 1° Enjoindre au fournisseur concerné de mettre fin à un ou plusieurs manquements aux obligations mentionnées à l'article 8-1 dans un délai déterminé et prononcer une astreinte dans les conditions prévues au III de l'article 9-2 ;
« 2° Enjoindre au fournisseur concerné de prendre toute mesure corrective de nature structurelle ou comportementale proportionnée au manquement et nécessaire pour faire cesser effectivement le manquement ;
« 3° Adopter des injonctions à caractère provisoire, lorsque le manquement constaté paraît susceptible de créer un dommage grave.
« Elle peut aussi saisir l'autorité judiciaire, afin que cette dernière ordonne les mesures mentionnées aux 1° à 3° du présent A.
« Elle peut également constater qu'il n'y a plus lieu de statuer.
« B. – Pour l'application du I du présent article, l'Autorité de régulation de la communication audiovisuelle et numérique peut également accepter des engagements proposés par les fournisseurs de service intermédiaire de nature à mettre un terme au manquement constaté.
« La proposition d'engagements des fournisseurs de service intermédiaire est suffisamment détaillée, notamment en ce qui concerne le calendrier et la portée de leur mise en œuvre, ainsi que leur durée, pour permettre à l'Autorité de régulation de la communication audiovisuelle et numérique de procéder à son évaluation.
« Cette dernière peut, de sa propre initiative ou sur demande du fournisseur concerné, modifier les engagements qu'elle a acceptés ou y mettre fin si l'un des faits sur lesquels la décision d'engagements repose a subi un changement important ou si cette décision repose sur des informations incomplètes, inexactes ou trompeuses fournies par le fournisseur ou toute autre personne mentionnée au 1° du I du présent article.
« V. – A. – Dans les conditions prévues au premier alinéa du paragraphe 3 de l'article 51 du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques), l'Autorité de régulation de la communication audiovisuelle et numérique peut enjoindre au fournisseur concerné, dans les meilleurs délais, de :
« 1° Soumettre un plan d'action établissant les mesures nécessaires pour mettre fin au manquement ;
« 2° Veiller à ce que ces mesures soient prises ;
« 3° Rendre un rapport sur les mesures prises.
« B. – Dans les conditions prévues aux troisième et quatrième alinéas du même paragraphe 3, elle peut saisir l'autorité judiciaire, afin que cette dernière ordonne une mesure de restriction temporaire de l'accès au service du fournisseur concerné, mentionnée audit paragraphe 3.
« Un décret en Conseil d'État fixe les modalités d'application du présent article et précise les voies de recours contre les mesures prononcées en application du IV et du présent V. » ;
6° Après le même article 9, il est inséré un article 9-2 ainsi rédigé :
« Art. 9-2. – I. – L'Autorité de régulation de la communication audiovisuelle et numérique peut mettre le fournisseur concerné en demeure de se conformer, le cas échéant dans le délai qu'elle fixe, aux obligations mentionnées à l'article 8-1. Lorsque le fournisseur concerné ne satisfait pas aux mesures d'enquête mentionnées aux I à III de l'article 9-1, elle peut prononcer une injonction de satisfaire à ces mesures, qui peut être assortie d'une astreinte dans les conditions prévues au III du même article 9-1.
« II. – Lorsque le fournisseur concerné ne se conforme pas à la mise en demeure ou à l'injonction qui lui est adressée en application du I du présent article ou ne satisfait pas aux mesures prises en application des pouvoirs d'exécution mentionnés aux IV et V de l'article 9-1, l'Autorité de régulation de la communication audiovisuelle et numérique peut, dans les conditions prévues à l'article 42-7 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, prononcer une sanction pécuniaire.
« Le montant de la sanction pécuniaire, ainsi que celui de l'astreinte dont est assortie le cas échéant l'injonction de se mettre en conformité, prennent en considération :
« 1° La nature, la gravité et la durée du manquement ;
« 2° Le fait que le manquement a été commis de manière intentionnelle ou par négligence ;
« 3° Les manquements commis précédemment par le fournisseur concerné ;
« 4° La situation financière du fournisseur concerné ;
« 5° La coopération du fournisseur concerné avec les autorités compétentes ;
« 6° La nature et la taille du fournisseur concerné ;
« 7° Le degré de responsabilité du fournisseur concerné, en tenant compte des mesures techniques et organisationnelles prises par ce fournisseur pour se conformer au règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques).
« III. – La sanction pécuniaire ainsi prononcée ne peut excéder 6 % du chiffre d'affaires mondial hors taxes de l'exercice précédent la sanction. Par dérogation, le montant de la sanction prononcée en cas de refus de déférer aux demandes du régulateur dans le cadre d'une enquête conduite en application des I à III de l'article 9-1 ne peut excéder 1 % du chiffre d'affaires mondial hors taxes de l'exercice précédent la sanction.
« Le montant maximal de l'astreinte ne peut excéder 5 % du chiffre d'affaires mondial hors taxes journalier moyen du fournisseur concerné sur l'exercice précédent l'astreinte, par jour, calculé à compter de la date spécifiée dans la décision de l'Autorité de régulation de la communication audiovisuelle et numérique.
« IV. – L'Autorité de régulation de la communication audiovisuelle et numérique peut rendre publiques les mises en demeure et sanctions qu'elle prononce. Elle détermine dans sa décision les modalités de cette publication, qui tiennent compte de la gravité du manquement. Elle peut également ordonner l'insertion de ces mises en demeure et sanctions dans des publications, journaux et supports qu'elle désigne, aux frais des fournisseurs faisant l'objet de la mise en demeure ou de la sanction.
« Les sanctions pécuniaires sont recouvrées comme les créances de l'État étrangères à l'impôt et au domaine. »
Chapitre II : Modification du code de la consommation
Le code de la consommation est ainsi modifié :
1° L'article liminaire est ainsi modifié :
a) Le 15° est ainsi rédigé :
« 15° Plateforme en ligne : une plateforme en ligne au sens du i de l'article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché intérieur des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) ; »
b) Sont ajoutés des 17° et 18° ainsi rédigés :
« 17° Moteur de recherche en ligne : un moteur de recherche en ligne au sens du j de l'article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité ;
« 18° Comparateur en ligne : tout service de communication au public en ligne consistant en la fourniture d'informations permettant la comparaison des prix et des caractéristiques de biens et de services proposés par des professionnels. » ;
2° L'article L. 111-7 est ainsi modifié :
a) Le I est abrogé ;
b) Le II est ainsi modifié :
– au premier alinéa, les mots : « opérateur de plateforme » sont remplacés par les mots : « fournisseur de place de marché en ligne ou de comparateur » ;
– au 1°, les mots : « référencement, de classement » sont remplacés par les mots : « classement, ainsi que, s'agissant des comparateurs en ligne, de référencement » ;
– au cinquième alinéa, les mots : « opérateurs de plateforme » sont remplacés par les mots : « personnes mentionnées au premier alinéa » ;
– au sixième alinéa, les mots : « opérateur de plateforme en ligne dont l'activité consiste en la fourniture d'informations permettant la comparaison des prix et des caractéristiques de biens et de services proposés par des professionnels » sont remplacés par les mots : « fournisseur de comparateur en ligne » ;
– au septième alinéa, les mots : « l'opérateur de plateforme en ligne » sont remplacés par les mots : « les personnes mentionnées au premier alinéa » ;
3° L'article L. 111-7-1 est abrogé ;
4° Au premier alinéa de l'article L. 111-7-2, les mots : « aux articles L. 111-7 et L. 111-7-1 du présent code » sont remplacés par les mots : « à l'article L. 111-7 » ;
5° Au premier alinéa de l'article L. 111-7-3, dans sa rédaction résultant de la loi n° 2022-309 du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public, les mots : « opérateurs de plateformes en ligne mentionnés à l'article L. 111-7 du présent code » sont remplacés par les mots : « fournisseurs de plateformes en ligne, de moteurs de recherche en ligne et de comparateurs en ligne » ;
6° À la première phrase du second alinéa de l'article L. 112-8, le mot : « plateforme » est remplacé par le mot : « interface » ;
7° Le titre III du livre Ier est complété par un chapitre III ainsi rédigé :
« Chapitre III
« Obligations des fournisseurs de plateformes en ligne
« Art. L. 133-1. – Est puni d'un emprisonnement de deux ans et d'une amende de 300 000 euros dont le montant peut être porté, de manière proportionnée aux avantages tirés du délit, à 6 % du chiffre d'affaires mondial hors taxes réalisé au cours de l'exercice précédent pour une personne morale, le fait pour un fournisseur de places de marché :
« 1° De méconnaitre ses obligations relatives à la conception, à l'organisation ou à l'exploitation d'une interface en ligne, en violation de l'article 25 du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) ;
« 2° De ne pas respecter :
« a) Les obligations de traçabilité des professionnels utilisant leurs plateformes en ligne prévues à l'article 30 du même règlement ;
« b) Les obligations de conception de l'interface en ligne prévues à l'article 31 dudit règlement ;
« c) Les obligations relatives au droit à l'information des consommateurs prévues à l'article 32 du même règlement.
« Art. L. 133-2. – En cas d'infraction à l'article L. 133-1, l'autorité administrative chargée de la concurrence et de la consommation peut, après en avoir avisé le procureur de la République, demander à la juridiction civile d'enjoindre à l'auteur des pratiques de se mettre en conformité. Le juge peut assortir son injonction d'une astreinte journalière ne pouvant excéder un montant de 5 % du chiffre d'affaires mondial hors taxes journalier moyen réalisé au cours du dernier exercice clos. Si les comptes de l'entreprise concernée ont été consolidés ou combinés en vertu des textes applicables à sa forme sociale, le chiffre d'affaires pris en compte est celui figurant dans les comptes consolidés ou combinés de l'entreprise consolidante ou combinante.
« Dans ce cas, l'injonction précise les modalités d'application de l'astreinte encourue, notamment sa date d'applicabilité, sa durée et son montant. Le montant de l'astreinte est proportionné à la gravité des manquements constatés et tient compte notamment de l'importance du trouble causé.
« L'astreinte journalière court à compter du jour suivant l'expiration du délai imparti au professionnel pour se mettre en conformité avec la mesure notifiée.
« En cas d'inexécution, totale ou partielle, ou d'exécution tardive, le juge procède, après une procédure contradictoire, à la liquidation de l'astreinte.
« Art. L. 133-3. – Les personnes physiques coupables des délits punis à l'article L. 133-1 encourent également, à titre de peines complémentaires, l'interdiction, suivant les modalités prévues à l'article 131-27 du code pénal, soit d'exercer une fonction publique ou d'exercer l'activité professionnelle ou sociale dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise, soit d'exercer une profession commerciale ou industrielle, de diriger, d'administrer, de gérer ou de contrôler à un titre quelconque, directement ou indirectement, pour leur propre compte ou pour le compte d'autrui, une entreprise commerciale ou industrielle ou une société commerciale.
« Ces interdictions d'exercice ne peuvent excéder une durée de cinq ans. Elles peuvent être prononcées cumulativement.
« Les personnes morales déclarées responsables pénalement, dans les conditions prévues à l'article 121-2 du même code, des délits punis à l'article L. 133-1 du présent code encourent, outre l'amende suivant les modalités prévues à l'article 131-38 du code pénal, les peines prévues aux 2° à 9° de l'article 131-39 du même code.
« L'interdiction mentionnée au 2° du même article 131-39 porte sur l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise. Les peines prévues aux 2° à 7° dudit article 131-39 ne peuvent être prononcées que pour une durée de cinq ans au plus. » ;
8° Au premier alinéa de l'article L. 224-42-4, les mots : « opérateur de plateforme en ligne, au sens de l'article L. 111-7, proposant gratuitement aux utilisateurs finals un outil de comparaison et d'évaluation » sont remplacés par les mots : « fournisseur de comparateur en ligne » ;
9° Après l'article L. 511-7, il est inséré un article L. 511-7-1 ainsi rédigé :
« Art. L. 511-7-1. – Les agents sont habilités à rechercher et constater les infractions des fournisseurs de plateforme en ligne dont l'établissement principal est situé en France ou dont le représentant légal est établi en France aux dispositions du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) mentionnées à l'article L. 133-1 du présent code.
« Ils disposent, à cet effet, des pouvoirs définis à la section 1, aux sous-sections 1 à 5 de la section 2 ainsi qu'à la section 3 du chapitre II du présent titre. » ;
10° Le chapitre II du titre Ier du livre V est complété par une section 4 ainsi rédigée :
« Section 4
« Dispositions spécifiques aux plateformes en ligne
« Art. L. 512-66. – Pour la mise en œuvre des contrôles administratifs en vue de la recherche et de la constatation des infractions aux dispositions du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques), les agents habilités agissent dans les conditions prévues par les dispositions combinées du paragraphe 4 de l'article 49 et du paragraphe 2 de l'article 50 du même règlement.
« Art. L. 512-67. – Pour l'accès aux données des fournisseurs de plateformes en ligne mentionnées à l'article 40 du règlement mentionné à l'article L. 512-66 du présent code, les agents habilités exercent leurs pouvoirs dans les conditions prévues aux paragraphes 1 à 3 de l'article 40 du même règlement.
« Art. L. 512-68. – Les agents habilités peuvent coopérer, dans l'exercice de leurs missions, avec les agents du coordinateur des services numériques mentionné à l'article 7-2 de la loi n° 2004– 575 du 21 juin 2004 pour la confiance dans l'économie numérique. À ce titre, ils peuvent se communiquer les informations et documents détenus ou recueillis dans l'exercice de leurs missions respectives, sans que les dispositions de l'article 11 du code de procédure pénale ou celles relatives au secret professionnel ne leur soient opposables. » ;
11° L'article L. 521-3-1 est ainsi modifié :
a) Au premier alinéa, après le mot : « produits », sont insérés les mots : « et des services » et, après la référence : « L. 521-1 », sont insérés les mots : « ou à une mesure prise en application des articles L. 521-7, L. 521-16, L. 521-17, L. 521-20 et L. 521-23 » ;
b) Au 1°, les mots : « opérateurs de plateformes en ligne au sens du I de l'article L. 111-7 » sont remplacés par les mots : « fournisseurs de plateformes en ligne, de moteurs de recherche en ligne, de comparateurs en ligne ou d'agrégateurs de contenus » ;
c) Au a du 2°, les mots : « personnes relevant du I de l'article L. 111-7 du présent code » sont remplacés par les mots : « fournisseurs de plateformes en ligne, de moteurs de recherche en ligne ou de comparateurs en ligne » ;
d) Le dernier alinéa est ainsi rédigé :
« Une interface en ligne s'entend au sens de la définition qui en est donnée au point m de l'article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques). » ;
12° Au premier alinéa de l'article L. 524-3, les mots : « au 8 du I de l'article 6 » sont remplacés par les mots : « à l'article 6-3 » ;
13° La section 2 du chapitre Ier du titre III du livre V est complétée par un article L. 531-7 ainsi rédigé :
« Art. L. 531-7. – Pour la mise en œuvre du règlement mentionné à l'article L. 512-66 dans les conditions fixées au présent titre, toute fourniture d'informations inexactes, incomplètes ou trompeuses, toute absence de réponse ou non-rectification d'informations inexactes, incomplètes ou trompeuses ou tout manquement à l'obligation de se soumettre, sous réserve des recours applicables, à une opération de visite et de saisie, est punie de la sanction prévue à l'article L. 531-1. Le montant de l'amende est toutefois plafonné à 1 % du chiffre d'affaires mondial hors taxes au cours de l'exercice précédent la date des faits pour une personne morale. » ;
14° À l'article L. 532-5, les mots : « au 1 du VI » sont remplacés par les mots : « au 3 du III ».
Chapitre III : Modification du code de commerce
Le code de commerce est ainsi modifié :
1° L'article L. 420-7 est ainsi modifié :
a) Après la référence : « L. 420-5 », sont insérés les mots : « , dans le règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) » ;
b) Les mots : « 81 et 82 du traité instituant la Communauté européenne » sont remplacés par les mots : « 101 et 102 du traité sur le fonctionnement de l'Union européenne » ;
2° Le titre V du livre IV est complété par des articles L. 450-11 et L. 450-12 ainsi rédigés :
« Art. L. 450-11. – L'Autorité de la concurrence, le ministre chargé de l'économie et les fonctionnaires qu'il a désignés ou habilités conformément à l'article L. 450-1 sont les autorités nationales chargées de faire appliquer les règles mentionnées à l'article 1er, paragraphe 6, du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques).
« Art. L. 450-12. – Pour l'application des articles 101 à 103 du traité sur le fonctionnement de l'Union européenne, le ministre chargé de l'économie, les fonctionnaires qu'il a désignés ou habilités conformément aux dispositions du présent livre et l'Autorité de la concurrence disposent des pouvoirs respectifs qui leur sont reconnus par les articles du présent livre et du règlement (CE) n° 139 / 2004 du Conseil, du 20 janvier 2004, relatif au contrôle des concentrations entre entreprises et par le règlement du Conseil n° 1/2003 (CE) du 16 décembre 2002 relatif à la mise en œuvre des règles de concurrence prévues aux articles 81 et 82 du traité instituant la Communauté européenne. Les règles de procédure prévues par ces textes leur sont applicables.
« Pour l'application des articles 107 et 108 du traité sur le fonctionnement de l'Union européenne, le ministre chargé de l'économie et les fonctionnaires qu'il a désignés ou habilités conformément à l'article L. 450-1 du présent code disposent des pouvoirs qui leur sont reconnus par le titre V du livre IV.
« Le ministre chargé de l'économie, les fonctionnaires qu'il a désignés ou habilités conformément aux dispositions du présent livre et l'Autorité de la concurrence disposent des pouvoirs respectifs qui leur sont reconnus par les articles du présent livre pour la mise en œuvre des dispositions suivantes du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) :
« 1° Le paragraphe 2 de l'article 22 ;
« 2° Les paragraphes 3, 4, et 7 à 10 de l'article 23 ;
« 3° Les paragraphes 6 et 7 de l'article 38. » ;
3° À la première phrase du second alinéa du II de l'article L. 462-9, au début, est ajoutée la mention : « III. – » et les mots : « de ce règlement » sont remplacés par les mots : « du règlement n° 1/2003 du Conseil mentionné au II » ;
4° Après l'article L. 462-9-1, il est inséré un article L. 462-9-2 ainsi rédigé :
« Art. L. 462-9-2. – L'Autorité de la concurrence ainsi que le ministre chargé de l'économie et les fonctionnaires que ce dernier a désignés ou habilités conformément aux dispositions du présent livre sont les autorités nationales compétentes pour la mise en œuvre des dispositions de l'article 27 du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques). » ;
5° L'article L. 490-9 est ainsi rédigé :
« Art. L. 490-9. – Le ministre chargé de l'économie ou son représentant est compétent pour adresser à la Commission européenne une demande d'ouverture d'enquête de marché en application de l'article 41 du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques). »
I. – La loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication est ainsi modifiée :
1° À la première phrase du cinquième alinéa de l'article 14, les mots : « opérateurs de plateforme en ligne, au sens de l'article L. 111-7 du code de la consommation » sont remplacés par les mots : « fournisseurs de plateformes en ligne au sens de l'article 3, paragraphe i, du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques), moteurs de recherche en ligne au sens de l'article 3, paragraphe j, du même règlement et plateformes de partage de vidéos au sens des septième à onzième alinéa de l'article 2 de la présente loi » ;
2° Au 12° de l'article 18, les mots : « codes de bonne conduite ayant pour objet de réduire de manière significative les communications sur les services de médias audiovisuels et sur les services édités par les opérateurs de plateforme en ligne, au sens de l'article L. 111-7 du code de la consommation, ayant un impact négatif sur l'environnement » sont remplacés par les mots : « “contrats climats” adoptés en application de l'article 14 de la présente loi » ;
3° À l'intitulé du chapitre Ier du titre IV, les mots : « mentionnées à l'article L. 163-1 du code électoral » sont supprimés ;
4° L'article 58 est ainsi modifié :
a) À la première phrase du premier alinéa, les mots : « opérateurs de plateforme en ligne mentionnés au premier alinéa de l'article L. 163-1 du code électoral » sont remplacés par les mots : « fournisseurs de plateformes en ligne au sens de l'article 3, paragraphe i, du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE, moteurs de recherche en ligne au sens du paragraphe j de l'article 3 du même règlement et fournisseurs de services de plateformes de partage de vidéo au sens du règlement 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 » ;
b) Le deuxième alinéa est supprimé ;
c) Le dernier alinéa est ainsi rédigé :
« L'Autorité de régulation de la communication audiovisuelle et numérique publie un bilan périodique de l'application des mesures prises par les très grandes plateformes et les très grands moteurs de recherche en vue de lutter contre la diffusion de fausses informations susceptibles de troubler l'ordre public ou d'altérer la sincérité d'un des scrutins mentionnés au premier alinéa de l'article 33-1-1 de la présente loi. Ce bilan est établi sur la base des informations communiquées par la Commission européenne concernant les mesures adoptées par ces acteurs pour évaluer et atténuer le risque systémique de désinformation sur le fondement des articles 34 et 35 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité et pour se conformer à leurs engagements en matière de désinformation pris pour l'application de l'article 45 du même règlement, des audits indépendants prévus par l'article 37 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité ainsi que des informations rendues publiques par ces acteurs en application de l'article 42 du même règlement ou recueillies auprès d'eux dans les conditions prévues à l'article 19 de la présente loi ou à l'article 40 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité. » ;
5° L'article 60 est complété par un IV ainsi rédigé :
« IV. – L'Autorité de régulation de la communication audiovisuelle et numérique veille, dans les conditions prévues à la section 4 du chapitre II du titre Ier de la loi n° 2004-575 du 21 juin 2004 pour la confiance en l'économie numérique, au respect, par les services de plateforme de partage de vidéos dont l'établissement principal est situé en France ou dont le représentant légal est établi en France, des obligations mentionnées à la section 4 de ladite loi. »
II. – Au A du III de l'article 42 de la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République, la date : « 31 décembre 2023 » est remplacée par la date : « 17 février 2024 ».
Le titre III de la loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'information est ainsi modifié :
1° Les troisième à dernier alinéas du I de l'article 11 sont supprimés ;
2° Les articles 13 et 14 sont abrogés.
Chapitre VI : Mesures d'adaptation du code électoral
L'article L. 163-1 du code électoral est ainsi modifié :
1° Le premier alinéa est ainsi rédigé :
« Pendant les trois mois précédant le premier jour du mois d'élections générales et jusqu'à la date du tour de scrutin où celles-ci sont acquises, les très grandes plateformes en ligne et les très grands moteurs de recherche en ligne au sens de l'article 33 du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) sont tenus, au regard de l'intérêt général attaché à l'information éclairée des citoyens en période électorale et à la sincérité du scrutin, de mettre à la disposition de l'utilisateur au sein du registre prévu à l'article 39 du même règlement : » ;
2° Au début des 1° et 2°, les mots : « De fournir à l'utilisateur » sont supprimés ;
3° Au début du 3°, les mots : « De rendre public » sont supprimés ;
4° L'avant-dernier alinéa est supprimé.
La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi modifiée :
1° L'article 8 est ainsi modifié :
a) Le I devient le II et la première phrase du premier alinéa est supprimée ;
b) Le I est ainsi rétabli :
« I. – La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. » ;
c) Le II devient le IV ;
d) Après le même II, il est inséré un III ainsi rédigé :
« III. – Elle est l'autorité compétente au sens de l'article 26 du règlement (UE) 2022/868 du 30 mai 2022 et modifiant le règlement (UE) 2018/1724 pour l'application de son chapitre IV. Elle veille, à ce titre, au respect des règles mentionnées au titre V de la présente loi et dispose des pouvoirs mentionnés à l'article 20-1 de la présente loi. Ses membres et les agents de ses services habilités dans les conditions définies au dernier alinéa de l'article 10 peuvent constater les manquements aux exigences énoncées au chapitre IV du règlement (UE) 2022/868 du 30 mai 2022 précité. » ;
2° Le titre V devient le titre VI ;
3° Le premier alinéa de l'article 16 est complété par une phrase ainsi rédigée : « Elle est également compétente pour prendre les mesures et prononcer les sanctions à l'encontre des organisations altruistes en matière de données reconnues qui ne respectent pas les exigences énoncées au chapitre IV du règlement (UE) 2022/868 du 30 mai 2022 et modifiant le règlement (UE) 2018/1724, ainsi qu'à l'encontre des plateformes en ligne qui ne respectent pas les obligations issues du règlement (UE) 2022/2065 du 19 octobre 2022 et modifiant la directive 2000/31/CE mentionnées à l'article 124-5 de la présente loi. » ;
4° Après l'article 20, il est inséré un article 20-1 ainsi rédigé :
« Art. 20-1. – I. – Pour l'exercice des missions relevant de la Commission nationale de l'informatique et des libertés en application du règlement (UE) 2022/868 du 30 mai 2022 et modifiant le règlement (UE) 2018/1724, les membres et agents habilités dans les conditions définies au dernier alinéa de l'article 10 de la présente loi peuvent obtenir communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support. Le secret ne peut leur être opposé. Ils peuvent, à cette fin, solliciter les personnes de contact au sens du g) du 4 de l'article 19 du règlement précité par une demande motivée pour obtenir, dans le délai fixé par la demande et qui ne peut être inférieur à 7 jours, les informations requises pour vérifier le respect des exigences énoncées au chapitre IV du même règlement.
« II. – Lorsqu'il est constaté que l'organisation altruiste en matière de données reconnue ne respecte pas les exigences énoncées au chapitre IV du règlement (UE) 2022/868 du 30 mai 2022 précité, le président de la Commission nationale de l'informatique et des libertés notifie ces constatations à l'organisation concernée et lui donne la possibilité d'exposer son point de vue dans un délai de trente jours à compter de la réception de la notification.
« III. – Si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, le président de la Commission nationale de l'informatique et des libertés peut, après avoir émis la notification prévue au II du présent article, mettre en demeure une organisation altruiste en matière de données reconnue de se conformer, dans le délai qu'il fixe, aux exigences énoncées au chapitre IV du règlement (UE) 2022/868 du 30 mai 2022 précité.
« Le président peut demander qu'il soit justifié de la mise en conformité dans un délai qu'il fixe. Ce délai peut être fixé à vingt-quatre heures en cas d'urgence. Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.
« Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité.
« IV. – Lorsque l'organisation altruiste en matière de données reconnue ne respecte pas les obligations résultant du chapitre IV du règlement (UE) 2022/868 du 30 mai 2022 précité, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé la notification prévue au II du présent article ou après avoir prononcé à son encontre la mise en demeure prévue au III, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :
« 1° L'une des sanctions énoncées au 5 de l'article 24 du règlement (UE) 2022/868 du 30 mai 2022 précité ;
« 2° Une amende administrative dont le montant tient compte des critères fixés à l'article 34 du même règlement et ne peut excéder les plafonds prévus au 4 de l'article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. » ;
5° Le titre V est ainsi rétabli :
« Titre V
« Dispositions relatives à l'altruisme en matière de données
« Art. 124-1. – La Commission nationale de l'informatique et des libertés, en tant qu'autorité compétente pour l'enregistrement des organisations altruistes en matière de données au sens de l'article 23 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724, tient et met à jour le registre public national des organisations altruistes en matière de données reconnues mentionné à l'article 17 du même règlement.
« Art. 124-2. – En tant que responsable du registre mentionné à l'article 124-1, la Commission nationale de l'informatique et des libertés traite, dans les conditions fixées à l'article 19 du règlement (UE) 2022/868 du 30 mai 2022 précité, les demandes d'enregistrement formées auprès d'elle par les personnes qui remplissent les conditions fixées par l'article 18 du même règlement.
« Un décret en Conseil d'État précise le détail de la procédure d'enregistrement.
« Art. 124-3. – Conformément à l'article 27 du règlement (UE) 2022/868 du 30 mai 2022 précité, la Commission nationale de l'informatique et des libertés reçoit et instruit toute réclamation formée par des personnes physiques et morales relevant du champ d'application du chapitre IV du même règlement. Dans un délai raisonnable, elle informe la personne physique ou morale concernée de l'issue réservée à la réclamation et de son droit de former un recours juridictionnel. »
La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi modifiée :
1° L'article 8 est ainsi modifié :
a) Le IV devient le V ;
b) Le IV est ainsi rétabli :
« IV. – Elle est l'une des autorités compétentes au sens de l'article 49 du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) et pour son application. Elle veille, à ce titre, au respect des règles mentionnées au titre VI de la présente loi. Elle participe au comité européen des services numériques mentionné à l'article 61 du même règlement dans les conditions prévues au VI de l'article 7-2 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. » ;
2° Le titre VI devient le titre VII ;
3° Le titre VI est ainsi rétabli :
« TITRE VI
« DISPOSITIONS APPLICABLES AUX FOURNISSEURS DE PLATEFORMES EN LIGNE RELEVANT DU RÈGLEMENT (UE) 2022/2065 DU 19 OCTOBRE 2022 RELATIF À UN MARCHE UNIQUE DES SERVICES NUMÉRIQUES ET MODIFIANT LA DIRECTIVE 2000/31/CE (RÈGLEMENT SUR LES SERVICES NUMÉRIQUES)
« Art. 124-4. – Le présent titre s'applique sans préjudice des autres dispositions de la présente loi et des dispositions du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
« Art. 124-5. – La Commission nationale de l'informatique et des libertés, en tant qu'autorité compétente au sens de l'article 49 du règlement (UE) 2022-2065 du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques), veille au respect par les fournisseurs de plateformes en ligne qui ont leur établissement principal en France, ou dont le représentant légal réside ou est établi en France, des obligations énoncées :
« 1° Au d du 1 de l'article 26 du même règlement, relatives à l'information des destinataires du service concernant la publicité présentée sur leurs interfaces en ligne ;
« 2° Au 3 du même article 26, relatives à l'interdiction de présentation de publicité fondée sur le profilage sur la base de catégories de données à caractère personnel mentionnées au I de l'article 6 ;
« 3° Au 2 de l'article 28 dudit règlement, relatives à l'interdiction de présentation aux mineurs de publicité fondée sur le profilage.
« Elle dispose à ce titre, à l'égard de ces fournisseurs de plateformes en ligne et de toute autre personne agissant pour les besoins de son activité et susceptible de disposer d'informations relatives à un éventuel manquement, des pouvoirs prévus aux articles 19, 20, 22 et 22-1 de la présente loi. » ;
4° La section 2 du chapitre II du titre Ier est ainsi modifiée :
a) L'intitulé est ainsi rédigé : « Pouvoirs d'enquête » ;
b) Le III de l'article 19 est ainsi modifié :
– à la première phrase du premier alinéa, après l'année : « 2016 », sont insérés les mots : « , du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) » ;
– la même première phrase est complétée par les mots : « avant de procéder à la saisie de ceux se rapportant à un manquement susceptible de faire l'objet d'une sanction ou d'une mesure correctrice en application de la section 3 du chapitre II du titre Ier de la présente loi » ;
– avant la dernière phrase, est insérée une phrase ainsi rédigée : « Ils peuvent demander à tout membre du personnel ou représentant du responsable de traitement ou du fournisseur de plateformes en ligne et de toute autre personne agissant pour les besoins de son activité de fournir des explications sur toute information relative à une infraction présumée et d'enregistrer leurs réponses avec leur consentement à l'aide de tout moyen technique. » ;
– le dernier alinéa est remplacé par deux alinéas ainsi rédigés :
« Il est dressé procès-verbal des vérifications et visites menées en application du présent article ; le cas échéant, la liste des documents saisis lui est annexé. Ce procès-verbal est dressé contradictoirement lorsque les vérifications et visites sont effectuées sur place ou sur convocation.
« Les documents saisis en application du présent III sont restitués sur décision du procureur de la République, d'office ou sur requête, dans un délai maximal de 6 mois à compter de la visite ou, en cas d'engagement d'une procédure visant au prononcé des mesures correctrices et des sanctions prévues par la section 3 du chapitre II du titre Ier de la présente loi, dans un délai maximal de 6 mois à compter de la décision rendue par la formation restreinte ou par son président. Si des poursuites sont engagées, la restitution est soumise à l'article 41-4 du code de procédure pénale. » ;
c) (Supprimé)
5° L'article 20 est ainsi modifié :
a) (Supprimé)
b) Le II devient le III, le III devient le IV et le IV devient le VI ;
c) Le II est ainsi rétabli :
« II. – Pour l'exercice des missions relevant de la Commission nationale de l'informatique et des libertés en application du règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques), son président peut accepter des engagements proposés par les fournisseurs de plateforme en ligne et de nature à garantir la conformité du service avec les obligations prévues à l'article 124-5 de la présente loi.
« La proposition d'engagements des fournisseurs de plateforme en ligne est suffisamment détaillée, notamment en ce qui concerne le calendrier et la portée de leur mise en œuvre, ainsi que leur durée, pour permettre à la Commission nationale de l'informatique et des libertés de procéder à son évaluation.
« Au terme de cette évaluation, le président de la Commission nationale de l'informatique et des libertés peut décider de rendre contraignant tout ou partie de ces engagements, pour une période donnée qui ne peut dépasser la durée proposée par le fournisseur de plateforme en ligne.
« Un décret en Conseil d'État précise la procédure selon laquelle de tels engagements sont proposés au président de la Commission, puis acceptés ou rendus contraignant par celui-ci. » ;
d) Le III, dans sa rédaction résultant du b du présent 5°, est ainsi modifié :
– le premier alinéa est ainsi rédigé :
« Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, ou lorsque le fournisseur de plateforme en ligne ne respecte pas les obligations résultant de l'article 124-5 de la présente loi ou ses engagements pris au titre du II du présent article, le président de la Commission nationale de l'informatique et des libertés peut le rappeler à ses obligations légales ou, si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu'il fixe. Le responsable de traitement ou son sous-traitant ne respectant pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi peut être mis en demeure : » ;
– au sixième alinéa, la référence : « II » est remplacée par la référence : « III » ;
e) Après le IV, dans sa rédaction résultant du même b, il est ajouté un V ainsi rédigé :
« V. – Lorsque le fournisseur de plateforme en ligne ne respecte pas les obligations résultant de l'article 124-5 de la présente loi ou ses engagements pris au titre du II du présent article, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après avoir prononcé à son encontre une ou plusieurs des mesures correctrices prévues au III, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :
« 1° Un rappel à l'ordre ;
« 2° Une injonction de mettre en conformité le service avec les obligations prévues au présent chapitre. Cette injonction est assortie d'un délai d'exécution qui ne peut être inférieur à trois jours. Elle peut être assortie d'une astreinte dont le montant journalier ne peut excéder 5 % du chiffre d'affaires mondial journalier moyen du fournisseur de plateformes en ligne concerné de l'exercice précédent et qui prend effet au terme du délai d'exécution ;
« 3° Une amende administrative ne pouvant excéder 6 % du chiffre d'affaires mondial du fournisseur de plateforme en ligne réalisé au cours de l'exercice précédent.
« Dans le cadre de l'application de l'article 124-5 de la présente loi, toute inexécution des demandes de la Commission nationale de l'informatique et des libertés émises en application de l'article 19 de la même loi ainsi que la transmission d'informations inexactes, incomplètes ou trompeuses est susceptible de faire l'objet des mesures prévues aux 2° et 3° du présent V. Toutefois, le montant maximal de l'amende administrative est ramené à 1 % du chiffre d'affaires mondial.
« Ces mesures sont précédées, lorsqu'elles ne visent pas le responsable de traitement ou le fournisseur de plateforme en ligne lui-même, d'un rappel à l'ordre comportant les informations prévues au dernier alinéa du 2 de l'article 51 du règlement (UE) 2022/2065 du 19 octobre 2022 précité. » ;
f) Avant le second alinéa du VI, dans sa rédaction résultant dudit b, sont insérés deux alinéas ainsi rédigés :
« Lorsque la formation restreinte a été saisie et que le manquement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, il peut également adopter, après procédure contradictoire et selon des modalités précisées par décret en Conseil d'État, une injonction à caractère provisoire. Cette injonction peut porter sur toute mesure de nature à mettre fin au manquement et être assortie d'une astreinte dont le montant, qui ne peut excéder 10 000 € par jour de retard à compter de la date figurant dans l'injonction, est fixé en tenant compte de la nature, la gravité et la durée du manquement allégué, ainsi que des avantages tirés de ce manquement et des manquements commis précédemment. L'injonction ainsi adoptée et, le cas échant, l'astreinte dont elle est assortie prennent fin au plus tard à la date à laquelle se prononce la formation restreinte ou son président sur le fondement des articles 19 à 22 et 23 de la présente loi ou, dans le cas prévu par l'article 22-1, de la date à laquelle sont engagées des poursuites.
« Les astreintes sont liquidées par la formation restreinte, qui en fixe le montant définitif, et recouvrées comme les créances de l'État étrangères à l'impôt et au domaine. » ;
6° Au premier alinéa de l'article 22, les mots : « au III » sont remplacés par les mots : « aux IV et V » ;
7° Le deuxième alinéa de l'article 22-1 est ainsi modifié :
a) Les mots : « du III » sont remplacés par les mots : « des IV et V » ;
b) Les mots : « même III » sont remplacés par les mots : « même IV et au 3° du même V » ;
c) Les mots : « au 2° dudit III » sont remplacés par les mots : « aux 2° desdits IV et V ».
Le II de l'article 15 de la loi n° 47-585 du 2 avril 1947 relative au statut des entreprises de groupage et de distribution des journaux et publications périodiques est ainsi modifié :
1° À la première phrase du premier alinéa, les mots : « opérateurs de plateformes en ligne mentionnés au I de l'article L. 111-7 du code de la consommation qui proposent » sont remplacés par les mots : « personnes physiques ou morales proposant, à titre professionnel, un service de communication au public en ligne reposant sur » ;
2° À la même première phrase, après les mots : « le référencement », sont insérés les mots : « , au moyen d'algorithmes informatiques, » ;
3° À ladite première phrase, les mots : « au II du même article L. 111-7 » sont remplacés par les mots : « à l'article L. 111-7 du même code » ;
4° Au second alinéa, les mots : « L. 111-7-1 du même code » sont remplacés par les mots : « L. 522-1 du code de la consommation ».
I. – L'article 24 de la loi n° 2017-261 du 1er mars 2017 visant à préserver l'éthique du sport, à renforcer la régulation et la transparence du sport professionnel et à améliorer la compétitivité des clubs est ainsi modifié :
1° Les mots : « opérateurs de plateformes en ligne définis à l'article L. 111-7 du code de la consommation » sont remplacés par les mots : « fournisseurs de plateformes en ligne au sens de l'article 3, paragraphe i, du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques), les moteurs de recherche au sens de l'article 3, paragraphe j, de ce règlement, les plateformes de partage de vidéos au sens des septième à onzième alinéa de l'article 2 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication » ;
2° Les deux occurrences des mots : « éditeurs de services » sont remplacées par les mots : « personnes dont l'activité consiste à éditer un service » ;
3° Les mots : « définis au III de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique » sont supprimés ;
4° Les mots : « du même article 6 » sont remplacés par les mots : « de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ».
II. – Au début du II des articles L. 137-2 et L. 219-2 du code de la propriété intellectuelle, les mots : « Les 2 et 3 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ne sont pas applicables » sont remplacés par les mots : « Le paragraphe 1 de l'article 6 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) n'est pas applicable ».
II bis (nouveau). – À la seconde phrase du premier alinéa de l'article L. 131-4 du code de la propriété intellectuelle, les mots : « la participation » sont remplacés par les mots : « une rémunération appropriée et ».
III. – À la première phrase du I de l'article 36 de la loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux œuvres culturelles à l'ère numérique, les mots : « opérateurs de plateforme en ligne définis à l'article L. 111-7 du code de la consommation » sont remplacés par les mots : « toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non un service de plateforme essentiel tel que défini à l'article 2 du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) ou un service de communication au public en ligne reposant sur le traitement de contenus, de biens ou de services, au moyen d'algorithmes informatiques ».
IV. – L'article 323-3-2 du code pénal est ainsi modifié :
1° Le I est ainsi modifié :
a) Les mots : « pour un opérateur de plateforme en ligne mentionné à l'article L. 111-7 du code de la consommation » sont remplacés par les mots : « pour une personne dont l'activité consiste à fournir un service de plateforme en ligne mentionné au 4 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique » ;
b) Les mots : « cette dernière » sont remplacés par les mots : « ce service » ;
c) Les mots : « de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique » sont remplacés par les mots : « du même article 6 » ;
2° Au II, les mots : « de ces plateformes » sont remplacés par les mots : « d'un fournisseur de plateformes en ligne ».
Chapitre X : Dispositions transitoires et finales
I. – Dans les conditions prévues à l'article 38 de la Constitution, le Gouvernement est autorisé à prendre par voie d'ordonnance toutes mesures relevant du domaine de la loi afin :
1° De procéder, le cas échéant, aux adaptations nécessaires à l'application de la présente loi à Saint-Barthélemy, Saint-Martin et Saint-Pierre-et-Miquelon ;
2° D'étendre l'application des dispositions de la présente loi, avec les adaptations nécessaires, en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna, pour celles de ces dispositions qui relèvent de la compétence de l'État ;
3° De rendre applicables en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna, à Saint Barthélemy et à Saint-Pierre-et-Miquelon, avec les adaptations nécessaires, dans les matières relevant de la compétence de l'État, les dispositions du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données), du règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) et du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques).
II. – L'ordonnance prévue au I est prise dans un délai de six mois suivant la publication de la présente loi. Un projet de loi de ratification est déposé devant le Parlement dans un délai de trois mois à compter de la publication de l'ordonnance.
I. – L'article 2 entre en vigueur le 1er janvier 2024. Toutefois, les procédures déjà engagées au 31 décembre 2023 restent régies par les dispositions de l'article 23 de la loi n° 2020-936 du 30 juillet 2020 dans sa version en vigueur à cette date.
II. – Le III de l'article L. 442-12 du code de commerce, dans sa rédaction résultant de l'article 7 de la présente loi, s'applique pendant une période de trois ans à compter de la date d'application du règlement du Parlement européen et du Conseil fixant des règles harmonisées pour l'équité de l'accès aux données et de l'utilisation des données (règlement sur les données).
III. – Les articles 8, 9 et 10 s'appliquent jusqu'au 15 février 2026.
IV. – Les articles 11 et 31 entrent en vigueur le 24 septembre 2023.
V. – Le C du III de l'article 22, les articles 23, 24, 25 à l'exception de ses I, II et III, l'article 26, l'article 28 à l'exception de son II et les articles 29, 30, 32, 34, 35 et 36 entrent en vigueur le 17 février 2024.
VI. – (Supprimé)
VII. – L'article 17 entre en vigueur à une date fixée par décret et, au plus tard, douze mois à compter de la publication de la présente loi.