I.-La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi modifiée :
1° Après le I de l'article 8, il est inséré un I ter ainsi rédigé :
« I ter.-Elle est l'une des autorités compétentes au sens de l'article 49 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques) et pour son application. Elle veille, à ce titre, au respect des règles mentionnées au titre IV ter de la présente loi. Elle participe au comité européen des services numériques mentionné à l'article 61 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité dans les conditions prévues à l'article 7-3 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. » ;
2° Après le titre IV, il est inséré un titre IV ter ainsi rédigé :
« Titre IV TER
« DISPOSITIONS APPLICABLES AUX FOURNISSEURS DE PLATEFORMES EN LIGNE RELEVANT DU RÈGLEMENT (UE) 2022/2065 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 19 OCTOBRE 2022 RELATIF À UN MARCHÉ UNIQUE DES SERVICES NUMÉRIQUES ET MODIFIANT LA DIRECTIVE 2000/31/ CE (RÈGLEMENT SUR LES SERVICES NUMÉRIQUES)
« Art. 124-4.-Le présent titre s'applique sans préjudice des autres dispositions de la présente loi et du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE (règlement général sur la protection des données).
« Art. 124-5.-La Commission nationale de l'informatique et des libertés, en tant qu'autorité compétente au sens de l'article 49 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques), veille au respect par les fournisseurs de plateformes en ligne qui ont leur établissement principal en France ou dont le représentant légal réside ou est établi en France des obligations énoncées :
« 1° Au d du 1 de l'article 26 du même règlement, relatives à l'information des destinataires du service concernant la publicité présentée sur leurs interfaces en ligne ;
« 2° Au 3 du même article 26, relatives à l'interdiction de présentation de publicités fondées sur le profilage sur la base de catégories de données à caractère personnel mentionnées au I de l'article 6 de la présente loi ;
« 3° Au 2 de l'article 28 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité, relatives à l'interdiction de la présentation aux mineurs de publicités fondées sur le profilage.
« Elle dispose à ce titre, à l'égard de ces fournisseurs de plateformes en ligne et de toute autre personne agissant pour les besoins de son activité et susceptible de disposer d'informations relatives à un éventuel manquement, des pouvoirs prévus aux articles 19,20,22 et 22-1 de la présente loi. » ;
3° La section 2 du chapitre II du titre Ier est ainsi modifiée :
a) L'intitulé est ainsi rédigé : « Pouvoirs d'enquête » ;
b) Le III de l'article 19 est ainsi modifié :
-à la première phrase du premier alinéa, après l'année : « 2016 », sont insérés les mots : «, du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques) » ;
-la même première phrase est complétée par les mots : « avant de procéder à la saisie de ceux se rapportant à un manquement susceptible de faire l'objet d'une sanction ou d'une mesure correctrice en application de la section 3 du présent chapitre » ;
-après ladite première phrase, est insérée une phrase ainsi rédigée : « Le procureur de la République ou, s'il a autorisé la visite en application du présent article, le juge des libertés et de la détention est informé de la saisie par tout moyen et peut s'y opposer. » ;
-au début de la deuxième phrase du même premier alinéa, le mot : « Ils » est remplacé par les mots : « Ces membres et agents » ;
-avant la dernière phrase dudit premier alinéa, est insérée une phrase ainsi rédigée : « Ils peuvent demander à tout membre du personnel ou à tout représentant du responsable de traitement ou du fournisseur de plateformes en ligne et à toute autre personne agissant pour les besoins de son activité de fournir des explications sur toute information relative à une infraction présumée et enregistrer leurs réponses, avec leur consentement, à l'aide de tout moyen technique. » ;
-le dernier alinéa est remplacé par deux alinéas ainsi rédigés :
« Il est dressé procès-verbal des vérifications et des visites menées en application du présent article ; le cas échéant, la liste des documents saisis lui est annexée. Ce procès-verbal est dressé contradictoirement lorsque les vérifications et les visites sont effectuées sur place ou sur convocation.
« Les documents saisis en application du présent III sont restitués sur décision du procureur de la République, d'office ou sur requête, dans un délai de six mois à compter de la visite ou, en cas d'engagement d'une procédure visant au prononcé des mesures correctrices et des sanctions prévues à la section 3 du présent chapitre, dans un délai de six mois à compter de la décision rendue par la formation restreinte ou par son président. Si des poursuites sont engagées, la restitution est soumise à l'article 41-4 du code de procédure pénale. » ;
4° L'article 20 est ainsi modifié :
a) Le II devient le III, le III devient le IV et le IV devient le VI ;
b) Le II est ainsi rétabli :
« II.-Pour l'exercice des missions relevant de la Commission nationale de l'informatique et des libertés en application du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/ CE (règlement sur les services numériques), son président peut accepter des engagements proposés par les fournisseurs de plateformes en ligne et de nature à garantir la conformité du service avec les obligations prévues à l'article 124-5 de la présente loi.
« La proposition d'engagements des fournisseurs de plateforme en ligne est suffisamment détaillée, notamment en ce qui concerne le calendrier et la portée de leur mise en œuvre ainsi que leur durée, pour permettre à la Commission nationale de l'informatique et des libertés de procéder à son évaluation.
« Au terme de cette évaluation, le président de la Commission nationale de l'informatique et des libertés peut décider de rendre contraignants tout ou partie de ces engagements, pour une période donnée qui ne peut dépasser la durée proposée par le fournisseur de plateformes en ligne.
« Un décret en Conseil d'Etat précise la procédure selon laquelle de tels engagements sont proposés au président de la commission, puis acceptés ou rendus contraignants par celui-ci. » ;
c) Le III, tel qu'il résulte du a du présent 4°, est ainsi modifié :
-le premier alinéa est ainsi rédigé :
« III.-Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi ou lorsque le fournisseur de plateformes en ligne ne respecte pas les obligations résultant de l'article 124-5 de la présente loi ou ses engagements pris au titre du II du présent article, le président de la Commission nationale de l'informatique et des libertés peut le rappeler à ses obligations légales ou, si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu'il fixe. Le responsable de traitement ou son sous-traitant ne respectant pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi peut être mis en demeure : » ;
-au sixième alinéa, la référence : « II » est remplacée par la référence : « III » ;
d) Au premier alinéa du IV, tel qu'il résulte du a du présent 4°, la référence : « II » est remplacée par la référence : « III » ;
e) Après le IV, tel qu'il résulte du a du présent 4°, il est inséré un V ainsi rédigé :
« V.-Lorsque le fournisseur de plateformes en ligne ne respecte pas les obligations résultant de l'article 124-5 de la présente loi ou ses engagements pris au titre du II du présent article, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après avoir prononcé à son encontre une ou plusieurs des mesures correctrices prévues au III, saisir la formation restreinte de la commission en vue du prononcé, après une procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :
« 1° Un rappel à l'ordre ;
« 2° Une injonction de mettre en conformité le service avec les obligations prévues au présent chapitre. Cette injonction est assortie d'un délai d'exécution qui ne peut être inférieur à trois jours. Elle peut être assortie d'une astreinte dont le montant journalier ne peut excéder 5 % des revenus ou du chiffre d'affaires mondial journalier moyen du fournisseur de plateformes en ligne concerné au cours de l'exercice précédent et qui prend effet au terme du délai d'exécution ;
« 3° Une amende administrative ne pouvant excéder 6 % du chiffre d'affaires mondial du fournisseur de plateformes en ligne réalisé au cours de l'exercice précédent.
« Dans le cadre de l'application de l'article 124-5, toute inexécution des demandes de la Commission nationale de l'informatique et des libertés émises en application de l'article 19 ainsi que la transmission d'informations inexactes, incomplètes ou trompeuses est susceptible de faire l'objet des mesures prévues aux 2° et 3° du présent V. Toutefois, le montant maximal de l'amende administrative est ramené à 1 % du chiffre d'affaires mondial.
« Ces mesures sont précédées, lorsqu'elles ne visent pas le responsable de traitement ou le fournisseur de plateformes en ligne lui-même, d'un rappel à l'ordre comportant les informations prévues au dernier alinéa du 2 de l'article 51 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 précité. » ;
f) Après le premier alinéa du VI, tel qu'il résulte du a du présent 4°, sont insérés trois alinéas ainsi rédigés :
« Lorsque la formation restreinte a été saisie et que le manquement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, son président peut également adopter, après une procédure contradictoire et selon des modalités précisées par décret en Conseil d'Etat, une injonction à caractère provisoire. Cette injonction peut porter sur toute mesure de nature à mettre fin au manquement et être assortie d'une astreinte dont le montant, qui ne peut excéder 100 000 euros par jour de retard à compter de la date figurant dans l'injonction, est fixé en tenant compte de la nature, de la gravité et de la durée du manquement allégué ainsi que des avantages tirés de ce manquement et des manquements commis précédemment.
« L'injonction ainsi adoptée et, le cas échéant, l'astreinte dont elle est assortie prennent fin au plus tard à la date à laquelle se prononce la formation restreinte ou son président sur le fondement du présent article et des articles 21,22 et 23 ou, dans le cas prévu à l'article 22-1, à la date à laquelle sont engagées des poursuites.
« Les astreintes sont liquidées par la formation restreinte, qui en fixe le montant définitif, et recouvrées comme les créances de l'Etat étrangères à l'impôt et au domaine. » ;
5° Au premier alinéa de l'article 22, les mots : « au III » sont remplacés par les mots : « aux IV et V » ;
6° Le deuxième alinéa de l'article 22-1 est ainsi modifié :
a) Les mots : « 1°, 2° et 7° du III » sont remplacés par les mots : « 1°, 2° et 7° du IV et 1° et 2° du V » ;
b) Les mots : « même III » sont remplacés par les mots : « IV et au 3° du V du même article 20 » ;
c) Les mots : « au 2° dudit III » sont remplacés par les mots : « au 2° des IV et V dudit article 20 » ;
7° L'article 28 est ainsi modifié :
a) Au deuxième alinéa, la référence : « II » est remplacée par la référence : « III » ;
b) A la première phrase du dernier alinéa, la référence : « III » est remplacée par la référence : « IV ».
II.-Au second alinéa de l'article 226-16 du code pénal, la référence : « III » est remplacée par la référence : « IV ».