I. - L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut, de manière proportionnée aux besoins liés à l'accomplissement de ses missions et sur la base d'une décision motivée :
1° Recueillir auprès des personnes physiques ou morales fournissant des services d'intermédiation de données les informations ou les documents nécessaires pour s'assurer du respect par ces personnes des exigences définies au chapitre III du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) ou dans les actes délégués pris pour son application ;
2° Procéder auprès des mêmes personnes à des enquêtes dans les conditions prévues aux II à IV de l'article L. 32-4 et à l'article L. 32-5 du code des postes et des communications électroniques.
Elle veille à ce que les informations recueillies en application du présent article ne soient pas divulguées lorsqu'elles sont protégées par l'un des secrets mentionnés aux articles L. 311-5 à L. 311-8 du code des relations entre le public et l'administration.
II. - L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut se saisir d'office ou être saisie par toute personne physique ou morale concernée, notamment par le ministre chargé des communications électroniques, par une organisation professionnelle ou par une association agréée d'utilisateurs, des manquements aux exigences énoncées au chapitre III du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité de la part d'un prestataire de services d'intermédiation de données.
Elle exerce son pouvoir de sanction dans les conditions prévues à l'article L. 36-11 du code des postes et des communications électroniques.
Par dérogation au sixième alinéa du I du même article L. 36-11, le prestataire de services d'intermédiation de données qui a fait l'objet, de la part de l'autorité, d'une mise en demeure consécutive à un manquement aux exigences mentionnées au chapitre III du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité doit s'y conformer dans un délai maximal de trente jours.
Par dérogation aux quatrième à dixième alinéas du III de l'article L. 36-11 du code des postes et des communications électroniques, la formation restreinte de l'autorité mentionnée à l'article L. 130 du même code peut prononcer à l'encontre du prestataire de services d'intermédiation de données en cause l'une des sanctions suivantes :
1° Une sanction pécuniaire dont le montant tient compte des critères fixés à l'article 34 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité, sans pouvoir excéder 3 % du chiffre d'affaires mondial hors taxes du dernier exercice clos, ce taux étant porté à 5 % en cas de nouvelle violation de la même obligation. A défaut d'activité permettant de déterminer ce plafond, la sanction ne peut excéder un montant de 150 000 euros, porté à 375 000 euros en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive ;
2° La suspension de la fourniture du service d'intermédiation de données ;
3° La cessation de la fourniture du service d'intermédiation de données, dans le cas où le prestataire n'aurait pas remédié à des manquements graves ou répétés malgré l'envoi d'une mise en demeure en application du troisième alinéa du présent II.