LOI n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (1)

Dernière mise à jour des données de ce texte : 23 mai 2024

NOR : ECOI2309270L

JORF n°0117 du 22 mai 2024

Version en vigueur au 23 mai 2024


L'Assemblée nationale et le Sénat ont adopté,
Vu la décision du Conseil constitutionnel n° 2024-866 DC du 17 mai 2024 ;
Le Président de la République promulgue la loi dont la teneur suit :


      • I. - A titre expérimental, pour une durée de deux ans à compter de l'entrée en vigueur du décret prévu au présent article, l'autorité administrative peut, lorsque les nécessités de la lutte contre la diffusion des images de tortures ou d'actes de barbarie relevant de l'article 222-1 du code pénal le justifient, demander à toute personne dont l'activité est d'éditer un service de communication au public en ligne ou aux fournisseurs de services d'hébergement de retirer les contenus qui contreviennent manifestement au même article 222-1. Elle en informe simultanément les fournisseurs de services d'accès à internet.
        En l'absence de retrait de ces contenus dans un délai de vingt-quatre heures, l'autorité administrative peut notifier aux fournisseurs de services d'hébergement la liste des adresses électroniques des services de communication au public en ligne contrevenant audit article 222-1. Ces personnes doivent alors empêcher sans délai l'accès à ces adresses. Toutefois, en l'absence de mise à disposition par la personne dont l'activité est d'éditer un service de communication au public en ligne des informations mentionnées au III de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, l'autorité administrative peut procéder à la notification prévue à la première phrase du présent alinéa sans avoir préalablement demandé le retrait des contenus dans les conditions prévues à la première phrase du premier alinéa.
        L'autorité administrative transmet les demandes de retrait et la liste mentionnées, respectivement, aux premier et deuxième alinéas à une personnalité qualifiée, désignée en son sein par l'Autorité de régulation de la communication audiovisuelle et numérique pour la durée de son mandat au sein de cette autorité. La personnalité qualifiée s'assure de la régularité des demandes de retrait et des conditions d'établissement, de mise à jour, de communication et d'utilisation de la liste. Si elle constate une irrégularité, elle peut à tout moment recommander à l'autorité administrative d'y mettre fin. Si l'autorité administrative ne suit pas cette recommandation, la personnalité qualifiée peut saisir la juridiction administrative compétente, en référé ou sur requête.
        L'autorité administrative peut également notifier les adresses électroniques dont les contenus contreviennent à l'article 222-1 du code pénal aux moteurs de recherche ou aux annuaires, lesquels prennent toute mesure utile destinée à faire cesser le référencement du service de communication au public en ligne. La procédure prévue au troisième alinéa du présent I est applicable.
        II. - A. - Si un fournisseur de services d'hébergement n'a jamais fait l'objet d'une demande en application du I du présent article de retirer une image de tortures ou d'actes de barbarie relevant de l'article 222-1 du code pénal, l'autorité administrative mentionnée au I du présent article communique à ladite personne des informations sur les procédures et les délais applicables, au moins douze heures avant d'émettre la demande de retrait.
        B. - Si le fournisseur mentionné au A du présent II ne peut se conformer à une demande de retrait pour des motifs tenant à la force majeure ou à une impossibilité de fait qui ne sont lui pas imputables, y compris pour des raisons techniques ou opérationnelles objectivement justifiables, il informe de ces motifs, sans retard indu, l'autorité administrative qui a émis la demande de retrait. Après examen de ces motifs, l'autorité administrative peut enjoindre au fournisseur mentionné au même A de se conformer à la demande de retrait.
        Le délai indiqué au deuxième alinéa du I commence à courir dès que les motifs mentionnés au premier alinéa du présent B ont cessé d'exister.
        Si le fournisseur mentionné au A ne peut se conformer à une demande de retrait, au motif que cette dernière contient des erreurs manifestes ou ne contient pas suffisamment d'informations pour en permettre l'exécution, il informe de ces motifs, sans retard indu, l'autorité administrative qui a émis la demande de retrait et demande les éclaircissements nécessaires.
        Le délai indiqué au deuxième alinéa du I commence à courir dès que le fournisseur de services d'hébergement a reçu ces éclaircissements.
        C. - Lorsqu'un fournisseur de services d'hébergement retire une image de tortures ou d'actes de barbarie relevant de l'article 222-1 du code pénal, il en informe, dans les meilleurs délais, le fournisseur de contenus, en précisant les motifs qui ont conduit au retrait de l'image, la possibilité de solliciter la transmission d'une copie de l'injonction de retrait et les droits dont il dispose pour contester la demande de retrait devant la juridiction administrative compétente.
        Sur demande du fournisseur de contenus, le fournisseur de services d'hébergement transmet une copie de l'injonction de retrait.
        Les obligations prévues aux deux premiers alinéas du présent C ne s'appliquent pas lorsque l'autorité compétente qui a émis la demande de retrait décide qu'il est nécessaire et proportionné de ne pas divulguer d'informations pour ne pas entraver le bon déroulement des actions de prévention, de détection, de recherche et de poursuite des auteurs de l'infraction prévue à l'article 222-1 du code pénal.
        En pareil cas, l'autorité compétente informe le fournisseur de services d'hébergement de sa décision en précisant sa durée d'application, qui ne peut excéder six semaines à compter de ladite décision, et le fournisseur de services d'hébergement ne divulgue aucune information sur le retrait du contenu au fournisseur de ce dernier.
        Ladite autorité compétente peut prolonger cette période d'une nouvelle période de six semaines lorsque la non-divulgation continue d'être justifiée. En pareil cas, elle en informe le fournisseur de services d'hébergement.
        III. - A. - Sans préjudice des articles L. 521-1 et L. 521-2 du code de justice administrative, les fournisseurs de services d'hébergement et les fournisseurs de contenus concernés par une demande, faite en application du I du présent article, de retrait d'une image de tortures ou d'actes de barbarie relevant de l'article 222-1 du code pénal ainsi que la personnalité qualifiée mentionnée au I du présent article peuvent demander au président du tribunal administratif ou au magistrat délégué par celui-ci l'annulation de cette demande, dans un délai de quarante-huit heures à compter soit de sa réception, soit, s'agissant du fournisseur de contenus, du moment où il est informé par le fournisseur de services d'hébergement du retrait du contenu.
        B. - Il est statué sur la légalité de l'injonction de retrait dans un délai de soixante-douze heures à compter de la saisine. L'audience est publique.
        C. - Les jugements rendus en application du A du II sur la légalité de la décision sont susceptibles d'appel dans un délai de dix jours à compter de leur notification. Dans ce cas, la juridiction d'appel statue dans un délai d'un mois à compter de sa saisine.
        IV. - Les modalités d'application du présent article sont précisées par décret.
        V. - Au plus tard trois mois avant son terme, le Gouvernement remet au Parlement un rapport d'évaluation de l'expérimentation afin de déterminer l'opportunité de son éventuelle pérennisation. Ce rapport porte notamment sur le nombre de signalements effectués auprès de l'autorité administrative, le nombre de demandes de retrait, le nombre de sollicitations du ministère public, le nombre de sanctions prononcées et les difficultés constatées, notamment en matière de caractérisation des contenus en cause.


      • Dans un délai de six mois à compter de la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport sur l'extension des compétences de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication, selon la procédure prévue à l'article 6-1 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, au retrait des contenus présentant des traitements inhumains et dégradants, des viols et des situations d'inceste.


      • I. - A créé les dispositions suivantes :

        - Code de commerce
        Art. L442-12

        II. - Dans un délai de dix-huit mois à compter de la promulgation de la présente loi, l'Autorité de la concurrence remet au Parlement et au Gouvernement un rapport présentant son activité au titre de la pratique d'autopréférence et des améliorations procédurales ou législatives éventuelles.


      • I. - Pour l'application du présent article et des chapitres II et IV du présent titre, on entend par :
        1° « Service d'informatique en nuage » : le service défini au 1° du I de l'article L. 442-12 du code de commerce ;
        2° « Frais de transfert de données » : les frais facturés par un fournisseur de services d'informatique en nuage à un client pour l'extraction, par un réseau, des données de ce client depuis l'infrastructure du fournisseur de services d'informatique en nuage vers les systèmes d'un autre fournisseur ou vers une infrastructure sur site ;
        3° « Frais de changement de fournisseur » : les frais, autres que les frais de service standard ou les pénalités de résiliation anticipée, imposés par un fournisseur de services d'informatique en nuage à un client pour les actions réalisées pour changer de fournisseur en passant au système d'un fournisseur différent ou à une infrastructure sur site, y compris les frais de transfert des données ;
        4° « Client » : le client défini au 3° du I du même article L. 442-12.
        II. - Il est interdit à tout fournisseur de services d'informatique en nuage de facturer, dans le cadre des contrats qu'il conclut avec un client, des frais de transfert de données définis au I du présent article dans le cadre d'un changement de fournisseur supérieurs aux coûts supportés par le fournisseur et directement liés à ce changement.
        III. - Il est interdit à tout fournisseur de services d'informatique en nuage de facturer, dans le cadre des contrats qu'il conclut avec un client, des frais de changement de fournisseur, autres que ceux mentionnés au 2° du I, supérieurs aux coûts supportés par le fournisseur et directement liés à ce changement.
        IV. - Il est interdit à tout fournisseur de services d'informatique en nuage de facturer, dans le cadre des contrats qu'il conclut avec un client, des frais de transfert de données supérieurs aux coûts supportés par chaque fournisseur et directement liés à ce transfert lorsque ce client recourt de manière simultanée à plusieurs fournisseurs de services.
        V. - Pour l'application des règles énoncées au II, les frais de transfert de données doivent être facturés dans le respect d'un montant maximal de tarification fixé par arrêté du ministre chargé du numérique après proposition de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.
        VI. - Après consultation publique, l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse adopte des lignes directrices portant sur les coûts susceptibles d'être pris en compte dans la détermination des frais de changement de fournisseur de services d'informatique en nuage mentionnés au III et des frais de transfert de données mentionnés au IV.
        VII. - Les fournisseurs de services d'informatique en nuage communiquent aux clients et aux potentiels clients de façon claire et compréhensible, notamment avant la signature du contrat, des informations sur les frais de transfert de données et de changement de fournisseur, y compris sur la nature et le montant de ces frais. Ils informent leurs clients de toute évolution relative à ces informations pendant toute la durée du contrat.
        Pour les contrats conclus à compter de la promulgation de la présente loi, la nature et le montant de ces frais éventuels doivent être mentionnés dans le contrat.
        Pour les contrats en cours à la date de la promulgation de la présente loi, les fournisseurs de services d'informatique en nuage informent expressément leurs clients de la nature et du montant des frais de transfert de données et de changement de fournisseur qui leur sont imputables dans le cadre du contrat.
        VIII. - Les obligations définies au présent article ne s'appliquent pas aux services suivants :
        1° Les services d'informatique en nuage dont la majorité des caractéristiques principales ont été conçues sur mesure pour répondre aux besoins spécifiques d'un client particulier ou dont tous les composants ont été développés pour les besoins d'un client spécifique et qui ne sont pas offerts à grande échelle sur le plan commercial par l'intermédiaire du catalogue de services du fournisseur de services d'informatique en nuage ;
        2° Les services d'informatique en nuage fournis en tant que version non destinée à la production à des fins d'essai et d'évaluation et pour une durée limitée.
        Avant la conclusion d'un contrat, le fournisseur de services indique au client potentiel si les services fournis relèvent des 1° ou 2° du présent VIII.


      • I. - Pour l'application du présent chapitre, on entend par :
        1° « Actifs numériques » : tous les éléments au format numérique, y compris les applications, sur lesquels le client d'un service d'informatique en nuage a un droit d'utilisation, indépendamment de la relation contractuelle que le client a avec le service d'informatique en nuage qu'il a l'intention de quitter ;
        2° « Équivalence fonctionnelle » : le rétablissement, sur la base des données exportables et des actifs numériques du client, d'un niveau minimal de fonctionnalité dans l'environnement d'un nouveau service d'informatique en nuage du même type de service après le changement de fournisseur, lorsque le service de destination fournit des résultats sensiblement comparables en réponse à la même entrée pour les fonctionnalités partagées fournies au client en application d'un accord contractuel ;
        3° « Données exportables » : les données d'entrée et de sortie, y compris les métadonnées, générées directement ou indirectement ou cogénérées par le client par l'utilisation du service d'informatique en nuage, à l'exclusion de tout actif ou des données du fournisseur de services d'informatique en nuage ou d'un tiers, lorsque cet actif ou ces données sont protégés au titre de la propriété intellectuelle ou du secret des affaires.
        II. - Les fournisseurs de services d'informatique en nuage assurent la conformité de leurs services aux exigences essentielles :
        1° D'interopérabilité, dans des conditions sécurisées, avec les services du client ou avec ceux fournis par d'autres fournisseurs de services d'informatique en nuage pour le même type de service ;
        2° De portabilité des actifs numériques et des données exportables, dans des conditions sécurisées, vers les services du client ou vers ceux fournis par d'autres fournisseurs de services d'informatique en nuage couvrant le même type de service ;
        3° De mise à disposition gratuite aux clients et aux fournisseurs de services tiers désignés par ces utilisateurs à la fois d'interfaces de programmation d'applications nécessaires à la mise en œuvre de l'interopérabilité et de la portabilité mentionnées aux 1° et 2° du présent II et d'informations suffisamment détaillées sur le service d'informatique en nuage concerné pour permettre aux clients ou aux services de fournisseurs tiers de communiquer avec ce service, à l'exception des services qui relèvent des services mentionnés au III de l'article 29.


      • I. - L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse précise les règles et les modalités de mise en œuvre des exigences mentionnées au II de l'article 28, notamment par l'édiction de spécifications d'interopérabilité et de portabilité. Elle peut, à cet effet, demander à un ou plusieurs organismes de normalisation de lui faire des propositions.
        Pour l'édiction de ces spécifications, l'autorité mentionnée au premier alinéa du présent I fait la distinction entre, d'une part, les services correspondant à des ressources informatiques modulables et variables limitées à des éléments d'infrastructure tels que les serveurs, les réseaux et les ressources virtuelles nécessaires à l'exploitation de l'infrastructure, sans donner accès aux services, logiciels et applications d'exploitation qui sont stockés, traités ou déployés sur ces éléments d'infrastructure, et, d'autre part, les autres services d'informatique en nuage. Elle veille également à la bonne articulation de ces spécifications avec celles édictées par les autorités compétentes des autres Etats membres de l'Union européenne ou figurant au sein des codes de conduite européens relatifs aux services d'informatique en nuage.
        II. - Lorsque les exigences mentionnées au II de l'article 28 sont précisées dans les conditions définies au I du présent article, les fournisseurs de services d'informatique en nuage assurent la conformité de leurs services à ces exigences et à ces modalités.
        Ils publient et mettent à jour régulièrement une offre de référence technique d'interopérabilité précisant les conditions de mise en conformité de leurs services avec les exigences mentionnées au II de l'article 28, précisées, le cas échéant, par les décisions de l'autorité mentionnée au I du présent article.
        III. - Les fournisseurs de services d'informatique en nuage dont les services correspondent à des ressources informatiques modulables et variables limitées à des éléments d'infrastructure tels que les serveurs, les réseaux et les ressources virtuelles nécessaires à l'exploitation de l'infrastructure, sans donner accès ni aux services, ni aux logiciels, ni aux applications d'exploitation qui sont stockés, traités ou déployés sur ces éléments d'infrastructure, prennent les mesures raisonnables en leur pouvoir afin de faciliter une équivalence fonctionnelle dans l'utilisation du service de destination, lorsqu'il couvre le même type de fonctionnalités.
        IV. - Les obligations définies au premier alinéa du II et au III ne s'appliquent pas aux services d'informatique en nuage dont la majorité des caractéristiques principales ont été conçues sur mesure pour répondre aux besoins spécifiques d'un client particulier ou dont tous les composants ont été développés pour les besoins d'un client spécifique et qui ne sont pas offerts à grande échelle sur le plan commercial par l'intermédiaire du catalogue de services du fournisseur de services d'informatique en nuage.
        Les obligations définies à l'article 28 et au présent article ne s'appliquent pas aux services d'informatique en nuage fournis en tant que version non destinée à la production à des fins d'essai et d'évaluation pour une durée limitée.
        Avant la conclusion d'un contrat, le fournisseur de services indique au client potentiel si les exemptions aux obligations prévues à l'article 28 et au présent article s'appliquent aux services fournis.
        V. - Les conditions d'application du présent article et le délai de précision des règles et des modalités de mise en œuvre des exigences mentionnées au II de l'article 28 sont précisés par un décret pris après avis de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse.


      • I. - L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut, de manière proportionnée aux besoins liés à l'accomplissement de ses missions et sur la base d'une décision motivée :
        1° Recueillir auprès des personnes physiques ou morales fournissant des services d'informatique en nuage les informations ou les documents nécessaires pour s'assurer du respect par ces personnes des obligations mentionnées aux articles 27 à 29 ;
        2° Procéder à des enquêtes auprès de ces mêmes personnes.
        Ces enquêtes sont menées dans les conditions prévues aux II à IV de l'article L. 32-4 et à l'article L. 32-5 du code des postes et des communications électroniques.
        L'autorité veille à ce que les informations recueillies en application du présent article ne soient pas divulguées lorsqu'elles sont protégées par l'un des secrets mentionnés aux articles L. 311-5 à L. 311-8 du code des relations entre le public et l'administration.
        II. - En cas de désaccord sur le respect par le fournisseur de services d'informatique en nuage des interdictions et des obligations mentionnées aux II à IV et VII de l'article 27, au II de l'article 28 et aux II et III de l'article 29 de la présente loi, l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut être saisie du différend dans les conditions prévues à l'article L. 36-8 du code des postes et des communications électroniques.
        Sa décision est motivée et précise les conditions équitables, d'ordre technique et financier, de mise en œuvre des interdictions et des obligations mentionnées aux II à IV et VII de l'article 27, au II de l'article 28 et aux II et III de l'article 29 de la présente loi.
        III. - L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut, soit d'office, soit à la demande du ministre chargé du numérique, d'une organisation professionnelle, d'une association agréée d'utilisateurs ou de toute personne physique ou morale concernée, sanctionner les manquements aux obligations mentionnées aux articles 27 à 29 qu'elle constate de la part d'un fournisseur de services d'informatique en nuage.
        Ce pouvoir de sanction est exercé dans les conditions prévues à l'article L. 36-11 du code des postes et des communications électroniques. Par dérogation aux quatrième à dixième alinéas du III du même article L. 36-11, la formation restreinte de l'autorité mentionnée à l'article L. 130 du même code peut prononcer à l'encontre du fournisseur de services d'informatique en nuage en cause une sanction pécuniaire dont le montant est proportionné à la gravité du manquement et aux avantages qui en sont tirés, sans pouvoir excéder 3 % du chiffre d'affaires mondial hors taxes réalisé au cours du dernier exercice clos. Ce taux est porté à 5 % en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive.
        IV. - Le président de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse saisit l'Autorité de la concurrence des abus de position dominante et des pratiques entravant le libre exercice de la concurrence dont il pourrait avoir connaissance dans le secteur de l'informatique en nuage. Cette saisine s'effectue dans les conditions prévues à l'article L. 36-10 du code des postes et des communications électroniques.


      • I. - Lorsque les administrations de l'Etat, ses opérateurs dont la liste est annexée au projet de loi de finances ainsi que les groupements d'intérêt public comprenant les administrations ou les opérateurs mentionnés précédemment et dont la liste est fixée par décret en Conseil d'Etat ont recours à un service d'informatique en nuage fourni par un prestataire privé pour la mise en œuvre de systèmes ou d'applications informatiques, ils respectent les dispositions du présent article.
        Si le système ou l'application informatique concerné traite de données d'une sensibilité particulière, définies au II, qu'elles soient à caractère personnel ou non, et si leur violation est susceptible d'engendrer une atteinte à l'ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle, l'administration de l'Etat, ses opérateurs et les groupements mentionnés au présent I veillent à ce que le service d'informatique en nuage fourni par le prestataire privé mette en œuvre des critères de sécurité et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d'Etats tiers non autorisé par le droit de l'Union européenne ou d'un Etat membre.
        II. - Sont qualifiées de données d'une sensibilité particulière au sens du I :
        1° Les données qui relèvent de secrets protégés par la loi, notamment au titre des articles L. 311-5 et L. 311-6 du code des relations entre le public et l'administration ;
        2° Les données nécessaires à l'accomplissement des missions essentielles de l'Etat, notamment la sauvegarde de la sécurité nationale, le maintien de l'ordre public et la protection de la santé et de la vie des personnes.
        III. - Lorsque, à la date d'entrée en vigueur du présent article, l'administration de l'Etat, son opérateur ou le groupement mentionné au I a déjà engagé un projet nécessitant le recours à un service d'informatique en nuage, cette administration, cet opérateur ou ce groupement peut solliciter une dérogation au présent article.
        IV. - Le I est applicable au groupement mentionné à l'article L. 1462-1 du code de la santé publique.
        V. - Dans un délai de six mois à compter de la promulgation de la présente loi, un décret en Conseil d'Etat précise les modalités d'application du présent article, notamment les critères de sécurité et de protection, y compris en termes de détention du capital, des données mentionnés au I. Ce décret précise également les conditions dans lesquelles une dérogation motivée et rendue publique peut être accordée sous la responsabilité du ministre dont relève le projet déjà engagé et après validation par le Premier ministre, sans que cette dérogation puisse excéder dix-huit mois à compter de la date à laquelle une offre de services d'informatique en nuage acceptable est disponible en France, et fixe éventuellement les critères selon lesquels une telle offre peut être considérée comme acceptable.
        VI. - Dans un délai de dix-huit mois à compter la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport évaluant les moyens supplémentaires pouvant être pris afin de rehausser le niveau de la protection collective face aux risques et aux menaces que les législations extraterritoriales peuvent faire peser sur les données qualifiées d'une sensibilité particulière par le présent article ainsi que sur les données de santé à caractère personnel. Ce rapport évalue également l'opportunité et la faisabilité de soumettre les fournisseurs de services d'informatique en nuage établis en dehors de l'Union européenne à un audit de chiffrement certifié par l'Agence nationale de la sécurité des systèmes d'information.

      • Article 32

        Version en vigueur depuis le 23 mai 2024


        I.-A modifié les dispositions suivantes :

        - Code de la santé publique
        Art. L1111-8

        II.-Le b du 1° du I entre en vigueur à une date fixée par décret, qui ne peut être postérieure au 1er juillet 2025.


      • I. - Les fournisseurs de services d'informatique en nuage publient et tiennent à jour sur leur site internet les informations suivantes :
        1° Les informations relatives aux juridictions compétentes eu égard à l'infrastructure déployée pour le traitement des données dans le cadre de leurs différents services ;
        2° Une description générale des mesures techniques, organisationnelles et contractuelles mises en œuvre par le fournisseur de services d'informatique en nuage afin d'empêcher tout accès non autorisé aux données à caractère non personnel détenues dans l'Union européenne ou le transfert de ces données par des Etats tiers, dans les cas où ce transfert ou cet accès est contraire au droit européen ou au droit national.
        Les sites internet mentionnés au premier alinéa du présent I sont mentionnés dans les contrats de tous les services d'informatique en nuage offerts par les fournisseurs de services d'informatique en nuage.
        II. - Les fournisseurs de services d'informatique en nuage publient des informations sur l'empreinte environnementale de leurs services, notamment en matière d'empreinte carbone, de consommation d'eau et de consommation d'énergie.
        III. - Un décret précise le contenu, les modalités d'application et les délais de mise en œuvre de l'obligation mentionnée au II ainsi que les seuils d'activité en deçà desquels les fournisseurs de services d'informatique en nuage n'y sont pas assujettis.


      • I. - Les I à III de l'article L. 442-12 du code de commerce, dans sa rédaction résultant de l'article 26, les articles 27 à 30 et l'article 33 de la présente loi s'appliquent aux fournisseurs de services d'informatique en nuage établis en France ou hors de l'Union européenne.
        II. - Lorsque les conditions mentionnées au a du paragraphe 4 de l'article 3 de la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique ») sont remplies et au terme de la procédure prévue au b du paragraphe 4 ou, le cas échéant, au paragraphe 5 du même article 3, les I à III de l'article L. 442-12 du code de commerce, dans sa rédaction résultant de l'article 26, les articles 27 à 30 et l'article 33 de la présente loi s'appliquent également aux fournisseurs de services d'informatique en nuage établis dans un autre Etat membre de l'Union européenne, dans un délai qui ne peut être supérieur à un an à compter de la publication de l'arrêté du ministre chargé du numérique. L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut proposer au ministre la désignation de ces personnes et fournit à l'appui tous les éléments de nature à justifier sa proposition. L'arrêté est pris après avis de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, sauf lorsqu'il fait suite à une proposition de l'Autorité portant sur chacun des fournisseurs désignés par cet arrêté.


      • L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse est l'autorité compétente en matière de services d'intermédiation de données, en application de l'article 13 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données).
        L'autorité est consultée sur les projets de lois et de décrets relatifs aux services d'intermédiation de données. Elle est associée, à la demande du ministre chargé du numérique, à la préparation de la position française dans les négociations internationales dans le domaine des services d'intermédiation de données. Elle participe, à la demande du même ministre, à la représentation française dans les organisations internationales et européennes compétentes en ce domaine.
        Afin de veiller à une application coordonnée et cohérente de la réglementation, l'autorité participe au comité européen de l'innovation dans le domaine des données institué à l'article 29 du même règlement et coopère avec les autorités compétentes des autres Etats membres de l'Union européenne et avec la Commission européenne.


      • I. - L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut, de manière proportionnée aux besoins liés à l'accomplissement de ses missions et sur la base d'une décision motivée :
        1° Recueillir auprès des personnes physiques ou morales fournissant des services d'intermédiation de données les informations ou les documents nécessaires pour s'assurer du respect par ces personnes des exigences définies au chapitre III du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) ou dans les actes délégués pris pour son application ;
        2° Procéder auprès des mêmes personnes à des enquêtes dans les conditions prévues aux II à IV de l'article L. 32-4 et à l'article L. 32-5 du code des postes et des communications électroniques.
        Elle veille à ce que les informations recueillies en application du présent article ne soient pas divulguées lorsqu'elles sont protégées par l'un des secrets mentionnés aux articles L. 311-5 à L. 311-8 du code des relations entre le public et l'administration.
        II. - L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut se saisir d'office ou être saisie par toute personne physique ou morale concernée, notamment par le ministre chargé des communications électroniques, par une organisation professionnelle ou par une association agréée d'utilisateurs, des manquements aux exigences énoncées au chapitre III du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité de la part d'un prestataire de services d'intermédiation de données.
        Elle exerce son pouvoir de sanction dans les conditions prévues à l'article L. 36-11 du code des postes et des communications électroniques.
        Par dérogation au sixième alinéa du I du même article L. 36-11, le prestataire de services d'intermédiation de données qui a fait l'objet, de la part de l'autorité, d'une mise en demeure consécutive à un manquement aux exigences mentionnées au chapitre III du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité doit s'y conformer dans un délai maximal de trente jours.
        Par dérogation aux quatrième à dixième alinéas du III de l'article L. 36-11 du code des postes et des communications électroniques, la formation restreinte de l'autorité mentionnée à l'article L. 130 du même code peut prononcer à l'encontre du prestataire de services d'intermédiation de données en cause l'une des sanctions suivantes :
        1° Une sanction pécuniaire dont le montant tient compte des critères fixés à l'article 34 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité, sans pouvoir excéder 3 % du chiffre d'affaires mondial hors taxes du dernier exercice clos, ce taux étant porté à 5 % en cas de nouvelle violation de la même obligation. A défaut d'activité permettant de déterminer ce plafond, la sanction ne peut excéder un montant de 150 000 euros, porté à 375 000 euros en cas de réitération du manquement dans un délai de cinq ans à compter de la date à laquelle la première décision de sanction est devenue définitive ;
        2° La suspension de la fourniture du service d'intermédiation de données ;
        3° La cessation de la fourniture du service d'intermédiation de données, dans le cas où le prestataire n'aurait pas remédié à des manquements graves ou répétés malgré l'envoi d'une mise en demeure en application du troisième alinéa du présent II.


      • L'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse saisit, avant toute décision, la Commission nationale de l'informatique et des libertés des pratiques des prestataires de services d'intermédiation de données de nature à soulever des questions liées à la protection des données à caractère personnel et tient compte de ses observations éventuelles.
        Dans des conditions fixées par décret, cette autorité tient compte, le cas échéant, des observations éventuelles du président de la Commission nationale de l'informatique et des libertés lorsqu'elle traite :
        1° Des demandes formulées par les prestataires de services d'intermédiation de données en application du paragraphe 9 de l'article 11 du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance européenne des données et modifiant le règlement (UE) 2018/1724 (règlement sur la gouvernance des données) ;
        2° Des réclamations des personnes physiques ou morales ayant recours aux services d'intermédiation de données relatives au champ d'application du même règlement.
        L'autorité informe le président de la Commission nationale de l'informatique et des libertés de toute procédure ouverte en application de l'article 37 de la présente loi. Elle lui communique, dans des conditions fixées par décret, toute information utile lui permettant de formuler ses observations éventuelles sur les questions liées à la protection des données à caractère personnel dans un délai de quatre semaines à compter de sa saisine. Le cas échéant, l'autorité tient la commission informée des suites données à la procédure.
        La Commission nationale de l'informatique et des libertés communique à l'autorité les faits dont elle a connaissance dans le cadre de sa mission de contrôle du respect des exigences en matière de protection des données à caractère personnel et qui pourraient constituer des manquements des services d'intermédiation de données à leurs obligations prévues au chapitre III du règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 précité.


    • I. - A titre expérimental et pour une durée de trois ans à compter de la promulgation de la présente loi, sont autorisés les jeux proposés par l'intermédiaire d'un service de communication au public en ligne qui permettent l'obtention, reposant sur un mécanisme faisant appel au hasard, par les joueurs majeurs ayant consenti un sacrifice financier, d'objets numériques monétisables, à l'exclusion de l'obtention de tout gain monétaire, sous réserve que ces objets ne puissent être cédés à titre onéreux, directement ou indirectement par l'intermédiaire de toute personne physique ou morale, ni à l'entreprise de jeux qui les a émis, ni à une personne physique ou morale agissant de concert avec elle.
      Constituent des objets numériques monétisables, au sens du premier alinéa du présent I, les éléments de jeu qui confèrent aux seuls joueurs un ou plusieurs droits associés au jeu et qui sont susceptibles d'être cédés, directement ou indirectement, à titre onéreux à des tiers.
      Un décret en Conseil d'Etat, pris après avis de l'Autorité nationale des jeux et après consultation des associations représentatives des élus locaux et des filières du jeu d'argent et de hasard et du jeu vidéo, détermine les conditions dans lesquelles, par dérogation au même premier alinéa, d'autres récompenses que les objets numériques monétisables peuvent être attribuées à titre accessoire.
      Ce décret détermine notamment la nature de ces récompenses, à l'exclusion de l'obtention de toute récompense en monnaie ayant cours légal. Il définit également les critères de plafonnement applicables à l'attribution de ces récompenses, y compris la proportion maximale de ces récompenses que l'entreprise de jeux à objets numériques monétisables peut attribuer à l'ensemble des participants à un même jeu au cours d'une année civile. Cette proportion maximale ne peut pas être supérieure à 25 % du chiffre d'affaires issu de l'activité de jeux à objets numériques monétisables de cette entreprise pour ce jeu au cours de cette même année civile, dans la limite d'un plafond annuel fixé par joueur.
      Les entreprises de jeux à objets numériques monétisables s'assurent de l'intégrité, de la fiabilité et de la transparence des opérations de jeu et de la protection des mineurs. Elles veillent à interdire le jeu aux mineurs et à prévenir le jeu excessif ou pathologique, les activités frauduleuses ou criminelles ainsi que le blanchiment de capitaux et le financement du terrorisme.
      II. - La liste des catégories de jeux autorisées à titre expérimental dans les conditions prévues au présent article est fixée par un décret en Conseil d'Etat pris après avis de l'Autorité nationale des jeux, dont les observations tiennent compte notamment des risques de développement d'offres illégales de jeux en ligne, et après consultation des associations représentatives des élus locaux et des filières du jeu d'argent et de hasard et du jeu vidéo.
      III. - Dans un délai de dix-huit mois à compter de la promulgation de la présente loi, le Gouvernement remet au Parlement, en lien avec l'Autorité nationale des jeux, un bilan d'étape de l'expérimentation prévue au I. Ce bilan comprend des éléments relatifs notamment au développement du marché des jeux à objets numériques monétisables, à l'évaluation de l'impact économique sur les différents types de jeux, notamment sur les filières du jeu d'argent et de hasard et du jeu vidéo, à l'évaluation de l'impact sanitaire de cette expérimentation ainsi qu'à l'évaluation de l'efficacité des mesures prises par les entreprises de jeux à objets numériques monétisables pour protéger les joueurs et pour lutter contre le blanchiment de capitaux et le financement du terrorisme.
      IV. - Au plus tard six mois avant la fin de l'expérimentation, le Gouvernement remet au Parlement un rapport d'évaluation des effets de cette expérimentation, proposant les suites à lui donner.


    • I. - A. - Toute personne morale qui entend proposer au public une offre de jeux définie à l'article 40 la déclare préalablement à l'Autorité nationale des jeux.
      B. - Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et de l'Autorité nationale des jeux, fixe les informations que l'entreprise de jeux à objets numériques monétisables doit déclarer à cette autorité pour que celle-ci puisse s'assurer que le jeu appartient à la catégorie des jeux à objets numériques monétisables au sens de l'article 40 et que son exploitation est compatible avec le respect par l'entreprise des obligations mentionnées au I du même article 40 et au présent article.
      C. - L'Autorité nationale des jeux fixe les modalités de dépôt et le contenu du dossier de déclaration.
      L'Autorité nationale des jeux est informée sans délai par l'entreprise de jeux à objets numériques monétisables de toute modification substantielle concernant un élément du dossier de déclaration.
      D. - L'offre de jeux ne peut être proposée au public que si le siège social de l'entreprise est établi soit dans un Etat membre de l'Union européenne, soit dans un autre Etat partie à l'accord sur l'Espace économique européen ayant conclu avec la France une convention contenant une clause d'assistance administrative en vue de lutter contre la fraude et l'évasion fiscales. L'entreprise désigne la ou les personnes, domiciliées en France, qui en sont responsables.
      II. - Les entreprises de jeux à objets numériques monétisables sont tenues d'empêcher la participation des mineurs, même émancipés, à un jeu à titre onéreux. A cette fin, elles ont recours à un dispositif de vérification de l'âge conforme au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ainsi qu'à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Elles mettent également en place sur l'interface de jeu un message avertissant que ce jeu est interdit aux mineurs.
      III. - La participation à un jeu à objets numériques monétisables à titre onéreux est subordonnée à la création, à la demande expresse du joueur, d'un compte de joueur. Ce compte ne peut être ouvert sans vérification préalable de la majorité et de l'identité du joueur. L'entreprise de jeux à objets numériques monétisables met en œuvre tout moyen utile afin de procéder à cette vérification.
      L'entreprise de jeux à objets numériques monétisables ne peut ouvrir qu'un seul compte par joueur.
      Un décret en Conseil d'Etat, pris après avis de l'Autorité nationale des jeux, précise les modalités d'ouverture, de gestion et de clôture des comptes des joueurs par l'entreprise de jeu.
      IV. - Les objets numériques monétisables de jeu émis par une entreprise de jeux, définis à l'article 40, ne peuvent être acquis à titre onéreux ni par cette entreprise, directement ou par personne interposée, ni par une société qu'elle contrôle, au sens de l'article L. 233-16 du code de commerce.
      V. - En vue de lui permettre d'exercer ses missions, les entreprises tiennent à la disposition de l'Autorité nationale des jeux les données relatives aux joueurs, aux événements de jeu et aux opérations financières associées.
      L'autorité peut utiliser ces données afin de rechercher et d'identifier tout fait commis par un joueur susceptible de constituer une fraude ou de relever du blanchiment de capitaux ou du financement du terrorisme.
      Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et de l'Autorité nationale des jeux, précise la liste de ces données, leur format et les modalités de leur transmission ainsi que les modalités des contrôles réalisés par l'Autorité nationale des jeux à partir de ces données.
      VI. - Les jeux à objets numériques monétisables ayant pour support des compétitions ou des manifestations sportives ne peuvent être proposés que sous réserve de respecter le droit d'exploitation prévu au premier alinéa de l'article L. 333-1 du code du sport et qu'avec l'accord des organisateurs des compétitions ou des manifestations sportives concernées.
      VII. - Les fédérations délégataires au sens de l'article L. 131-14 du code du sport, le cas échéant en coordination avec les ligues professionnelles qu'elles ont créées, édictent des règles ayant pour objet d'interdire aux acteurs des compétitions ou manifestations sportives dont la liste est fixée par décret de :
      1° Participer, directement ou par personne interposée, à des jeux à objets numériques monétisables ayant pour support des compétitions ou des manifestations sportives de leur discipline ;
      2° Céder, directement ou par personne interposée, des objets numériques monétisables représentant un élément associé à l'une des compétitions ou des manifestations de leur discipline ;
      3° Communiquer à des tiers des informations privilégiées, obtenues à l'occasion de leur profession ou de leurs fonctions, qui sont inconnues du public et qui sont susceptibles d'être utilisées dans des jeux à objets numériques monétisables ayant pour support des compétitions ou des manifestations sportives de leur discipline.
      VIII. - A. - Une entreprise de jeux à objets numériques monétisables ayant pour support des courses hippiques réelles ne peut organiser de tels jeux que sur les courses figurant au calendrier prévu à l'article 5-1 de la loi du 2 juin 1891 ayant pour objet de réglementer l'autorisation et le fonctionnement des courses de chevaux.
      B. - Avant d'utiliser les données des courses hippiques mentionnées au A du présent VIII, l'entreprise conclut un contrat avec la société organisatrice des courses française ou étrangère ou son mandataire. Ce contrat ne peut comporter de clause d'exclusivité au profit d'une entreprise particulière.
      Le contrat prévu au premier alinéa du présent B doit stipuler que l'utilisation des données des courses hippiques par une entreprise de jeux à objets numériques monétisables respecte les valeurs découlant des obligations de service public incombant aux sociétés mères prévues par décret.
      C. - Les sociétés mères des courses de chevaux intègrent au sein du code des courses de leur spécialité des dispositions ayant pour objet d'empêcher les jockeys et les entraîneurs de :
      1° Participer, directement ou par personne interposée, à des jeux à objets numériques monétisables qui reposent sur des courses hippiques auxquelles ils participent ;
      2° Céder, directement ou par personne interposée, des objets numériques monétisables qui reposent sur des courses hippiques auxquelles ils participent ;
      3° Communiquer à des tiers des informations privilégiées, obtenues à l'occasion de leur profession ou de leurs fonctions, qui sont inconnues du public et qui sont susceptibles d'être utilisées dans des jeux à objets numériques monétisables ayant pour support des courses hippiques auxquelles ils participent.
      IX. - Les interdictions et les restrictions prévues aux articles L. 320-12 et L. 320-14 du code de la sécurité intérieure s'appliquent aux communications commerciales en faveur d'une entreprise de jeux à objets numériques monétisables autorisée à titre expérimental sur le fondement de l'article 40 de la présente loi.
      La méconnaissance des interdictions et des restrictions mentionnées au premier alinéa du présent IX est passible des peines prévues à l'article L. 324-8-1 du code de la sécurité intérieure.
      Les associations dont l'objet statutaire comporte la lutte contre les addictions et qui sont régulièrement déclarées depuis au moins cinq ans à la date des faits peuvent exercer les droits reconnus à la partie civile pour les infractions prévues au deuxième alinéa du présent IX. Peuvent exercer les mêmes droits les associations de consommateurs mentionnées à l'article L. 621-1 du code de la consommation ainsi que les associations familiales mentionnées aux articles L. 211-1 et L. 211-2 du code de l'action sociale et des familles.
      X. - L'Autorité nationale des jeux peut, par une décision motivée, prescrire à une entreprise de jeux à objets numériques monétisables le retrait de toute communication commerciale incitant, directement ou indirectement, au jeu des mineurs ou comportant une incitation à des pratiques excessives du jeu.
      XI. - L'entreprise de jeux à objets numériques monétisables prévient les comportements de jeu excessif ou pathologique, notamment par la mise en place de mécanismes d'auto-exclusion et de dispositifs d'autolimitation des dépenses et du temps de jeu, selon les modalités fixées par un décret en Conseil d'Etat pris après avis de l'Autorité nationale des jeux.
      Elle met également à la disposition du joueur, de manière permanente et aisément accessible, une synthèse des données relatives à son activité de jeu en vue de permettre la maîtrise de celle-ci.
      XII. - L'entreprise de jeux à objets numériques monétisables est tenue de n'adresser aucune communication commerciale aux mineurs ou aux titulaires d'un compte bénéficiant d'une mesure d'auto-exclusion applicable aux jeux qu'elle exploite.
      XIII. - Les communications commerciales effectuées par une personne exerçant une activité d'influence commerciale par voie électronique, définie à l'article 1er de la loi n° 2023-451 du 9 juin 2023 visant à encadrer l'influence commerciale et à lutter contre les dérives des influenceurs sur les réseaux sociaux, dont l'objet est de promouvoir, de façon directe ou indirecte, l'offre d'une entreprise de jeux à objets numériques monétisables ou cette entreprise elle-même ne sont autorisées que sur les plateformes en ligne offrant la possibilité technique d'exclure de l'audience dudit contenu tous les utilisateurs âgés de moins de dix-huit ans, si ce mécanisme d'exclusion est effectivement activé par lesdites personnes.
      XIV. - Il est interdit à toute entreprise de jeux à objets numériques monétisables ainsi qu'à toute personne physique ou morale agissant de concert avec elle de consentir aux joueurs des prêts en monnaie ayant cours légal ou en actifs numériques, au sens de l'article L. 54-10-1 du code monétaire et financier, ou de mettre en place directement ou indirectement des dispositifs permettant aux joueurs de s'accorder entre eux des prêts en monnaie ayant cours légal ou en actifs numériques, au sens du même article L. 54-10-1, en vue de permettre l'achat d'objets numériques monétisables ou des autres récompenses éventuellement attribuées et fixées par le décret en Conseil d'Etat mentionné au I de l'article 40 de la présente loi.
      Les services de communication au public en ligne sur lesquels les entreprises de jeux à objets numériques monétisables proposent une offre de jeux à objets numériques monétisables ne peuvent contenir aucune publicité en faveur d'une entreprise susceptible de consentir des prêts aux joueurs ou de permettre le prêt entre joueurs, ni aucun lien vers un site proposant une telle offre de prêt.
      XV. - L'entreprise de jeux à objets numériques monétisables informe les joueurs des risques liés au jeu excessif ou pathologique par un message de mise en garde défini par un arrêté du ministre chargé de la santé pris après avis de l'Autorité nationale des jeux. Les modalités techniques d'affichage du message sont fixées par l'Autorité nationale des jeux.
      XVI. - A. - Les entreprises de jeux à objets numériques monétisables sont assujetties aux obligations prévues aux sections 2 à 7 du chapitre Ier et au chapitre II du titre VI du livre V du code monétaire et financier et par les dispositions européennes directement applicables en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme, y compris les règlements européens portant mesures restrictives pris en application des articles 75 ou 215 du traité sur le fonctionnement de l'Union européenne ainsi que par les dispositions prises en application du même article 215 à d'autres fins.
      L'Autorité nationale des jeux contrôle le respect par les entreprises des obligations mentionnées au premier alinéa du présent A.
      L'Autorité nationale des jeux évalue les risques présentés par les entreprises ainsi que les résultats des actions menées par ces entreprises en matière de lutte contre la fraude et contre le blanchiment de capitaux et le financement du terrorisme. Elle peut leur adresser des prescriptions à ce sujet.
      L'Autorité nationale des jeux adapte de manière proportionnée les modalités, l'intensité et la fréquence de ses contrôles sur pièces et sur place en fonction des risques identifiés. Elle tient compte des caractéristiques techniques du jeu à objets numériques monétisables.
      Tout manquement par les entreprises de jeux à objets numériques monétisables aux obligations mentionnées au premier alinéa du présent A peut donner lieu aux sanctions prévues à l'article L. 561-40 du code monétaire et financier, à l'exception de celle prévue du 4° du I du même article L. 561-40.
      La Commission nationale des sanctions prévue à l'article L. 561-38 du même code est saisie des manquements constatés par l'Autorité nationale des jeux et prononce, le cas échéant, la sanction adéquate ou les sanctions adéquates.
      B. - Le présent XVI entre en vigueur dix-huit mois après la promulgation de la présente loi.
      XVII. - L'Autorité nationale des jeux contrôle le respect par les entreprises de jeux à objets numériques monétisables de leurs obligations légales et réglementaires. Elle lutte contre les offres illégales de tels jeux, sans préjudice de son action de lutte contre les offres illégales de jeux d'argent et de hasard, telles que les offres de jeu de casino en ligne. Elle tient compte des caractéristiques techniques des jeux à objets numériques monétisables. Elle veille également au respect de l'objectif d'une exploitation équilibrée des différents types de jeux afin d'éviter la déstabilisation économique des différentes filières. Elle peut s'appuyer, pour mener ses contrôles, le cas échéant, sur tout signalement d'un manquement aux obligations légales et réglementaires qui s'imposent aux entreprises de jeux à objets numériques monétisables.
      XVIII. - Le collège de l'Autorité nationale des jeux prend les décisions relatives aux jeux à objets numériques monétisables.
      Dans les mêmes conditions que celles fixées à l'article 37 de la loi n° 2010-476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne, le collège peut donner délégation au président ou, en cas d'absence ou d'empêchement de celui-ci, à un autre de ses membres pour prendre les décisions à caractère individuel relevant de sa compétence.
      XIX. - Pour l'accomplissement des missions qui lui sont confiées, l'Autorité nationale des jeux peut recueillir toute information et tout document nécessaire en la possession des entreprises de jeux à objets numériques monétisables et entendre toute personne susceptible de contribuer à son information.
      Les fonctionnaires et les agents de l'Autorité nationale des jeux mentionnés au II de l'article 42 de la loi n° 2010-476 du 12 mai 2010 précitée mènent les enquêtes administratives permettant le contrôle du respect par les entreprises de leurs obligations. Dans ce cadre, ils peuvent demander aux entreprises de jeux à objets numériques monétisables toute information ou tout document utile. Ils ont accès, en présence de la personne que l'entreprise désigne à cet effet, aux locaux qu'elle utilise à des fins professionnelles, à l'exclusion de la partie de ces locaux servant, le cas échéant, de domicile. Ils y procèdent à toute constatation et peuvent se faire remettre à cette occasion copie de tout document utile.
      Dans l'exercice de ces pouvoirs d'enquête, le secret professionnel ne peut leur être opposé par les entreprises de jeux à objets numériques monétisables. Les enquêtes administratives donnent lieu à l'établissement d'un procès-verbal.
      Dans le but de constater qu'une offre de jeux à objets numériques monétisables est proposée par une personne qui n'a pas procédé à la déclaration prévue au I du présent article ou qu'il est fait la promotion d'une telle offre, ces fonctionnaires et ces agents peuvent également, sans en être pénalement responsables :
      1° Participer sous une identité d'emprunt à des échanges électroniques sur un site de jeux à objets numériques monétisables, notamment à une session de jeu en ligne. L'utilisation d'une identité d'emprunt est sans incidence sur la régularité des constatations effectuées ;
      2° Extraire, acquérir ou conserver par ce moyen les éléments de preuve et les données sur les personnes susceptibles d'être les auteurs de ces infractions ainsi que sur les comptes bancaires utilisés ;
      3° Extraire, transmettre en réponse à une demande expresse, acquérir ou conserver des contenus illicites.
      A peine de nullité, ces actes ne peuvent avoir pour effet d'inciter autrui à commettre une infraction.
      Les conditions dans lesquelles les fonctionnaires et les agents mentionnés au présent XIX procèdent aux constatations prévues au 1° et aux actes prévus au 3° sont précisées par un décret en Conseil d'Etat pris après avis de l'Autorité nationale des jeux.
      XX. - L'Autorité nationale des jeux peut à tout moment, à l'issue d'une procédure contradictoire, lorsque l'entreprise de jeux à objets numériques monétisables méconnaît ses obligations légales, notamment celles prévues au dernier alinéa du I de l'article 40 ou au II du présent article, interdire la poursuite de cette exploitation ou l'assortir de conditions qu'elle détermine.
      XXI. - Dans l'exercice de ses missions de contrôle des jeux à objets numériques monétisables, l'Autorité nationale des jeux coopère avec les autorités mentionnées à l'article 39-1 de la loi n° 2010-476 du 12 mai 2010 précitée, dans les conditions prévues au même article 39-1.
      XXII. - En vue du contrôle du respect de leurs obligations par les entreprises de jeux à objets numériques monétisables, le président de l'Autorité peut conclure, au nom de l'Etat, des conventions avec les autorités de régulation des jeux d'autres Etats membres de l'Union européenne ou d'autres Etats parties à l'accord sur l'Espace économique européen pour échanger les résultats des analyses et des contrôles réalisés par ces autorités et par elle-même à l'égard des entreprises de jeux à objets numériques monétisables.
      XXIII. - La commission des sanctions de l'Autorité nationale des jeux est chargée de prononcer les sanctions mentionnées au XXV du présent article à l'encontre des entreprises de jeux à objets numériques monétisables.
      XXIV. - A. - Sans préjudice de l'article L. 561-38 du code monétaire et financier, la commission des sanctions de l'Autorité nationale des jeux peut prononcer des sanctions à l'encontre d'une entreprise de jeux à objets numériques monétisables dans les conditions prévues à l'article 43 de la loi n° 2010-476 du 12 mai 2010 précitée.
      B. - Sans préjudice des compétences de la Commission nationale des sanctions prévues à l'article L. 561-38 du code monétaire et financier, le collège de l'Autorité nationale des jeux peut décider l'ouverture d'une procédure de sanction à l'encontre d'une entreprise de jeu à objets numériques monétisables ayant manqué ou manquant à ses obligations légales ou réglementaires ou ayant méconnu ou méconnaissant une prescription qui lui a été adressée. Il notifie alors les griefs aux entreprises en cause et en saisit la commission des sanctions.
      C. - Préalablement à cette notification, lorsqu'une entreprise de jeux à objets numériques monétisables manque à ses obligations légales ou réglementaires ou méconnaît une prescription qui lui a été adressée, le président de l'Autorité nationale des jeux peut la rappeler à ses obligations ou, si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, prononcer à son égard une mise en demeure de se mettre en conformité dans un délai qu'il fixe. Ce délai peut être fixé à vingt-quatre heures en cas d'urgence. Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure. Le président peut demander au collège de l'Autorité nationale des jeux de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité.
      D. - La commission des sanctions de l'Autorité nationale des jeux peut, avant de prononcer les sanctions prévues au XXV du présent article, entendre toute personne dont l'audition lui paraît utile. Les conditions de communication à un tiers d'une pièce mettant en jeu le secret des affaires sont définies par un décret en Conseil d'Etat.
      XXV. - A. - La commission des sanctions de l'Autorité nationale des jeux peut prononcer à l'encontre des entreprises de jeux à objets numériques monétisables, en fonction de la gravité du manquement, une des sanctions suivantes :
      1° L'avertissement ;
      2° La suspension à titre provisoire, pour une durée maximale de trois mois, de l'exploitation du jeu ;
      3° L'interdiction, pour une durée maximale de trois ans, de l'exploitation du jeu ou de l'ensemble des jeux concernés ;
      4° L'interdiction, pour une durée maximale de trois ans, pour l'exploitant d'exercer une activité d'exploitation de jeux à objets numériques monétisables.
      B. - Le V de l'article 43 de la loi n° 2010-476 du 12 mai 2010 précitée est applicable aux entreprises de jeux à objets numériques monétisables et à leurs activités d'exploitation de ces jeux.
      C. - Lorsqu'une entreprise de jeux à objets numériques monétisables communique des informations inexactes, refuse de fournir les informations demandées ou fait obstacle au déroulement de l'enquête menée par les fonctionnaires ou les agents habilités en application du XIX du présent article, la commission des sanctions peut prononcer une sanction pécuniaire d'un montant qui ne peut excéder 100 000 euros.
      D. - Le X de l'article 43 de la loi n° 2010-476 du 12 mai 2010 précitée est applicable aux entreprises de jeux à objets numériques monétisables faisant l'objet des sanctions mentionnées aux A et B du présent XXV.
      XXVI. - L'article 44 de la loi n° 2010-476 du 12 mai 2010 précitée est applicable aux sanctions susceptibles d'être prononcées en application du XXV du présent article à l'encontre des entreprises de jeux à objets numériques monétisables.
      XXVII. - Les peines prévues au I de l'article 56 de la loi n° 2010-476 du 12 mai 2010 précitée sont applicables aux personnes physiques et morales ayant offert ou proposé au public une offre de jeux à objets numériques monétisables sans avoir préalablement déposé la déclaration prévue au I du présent article.
      Quiconque fait de la publicité, par quelque moyen que ce soit, en faveur d'un site proposant au public une offre de jeux à objets numériques monétisables illégale est puni d'une amende de 100 000 euros. Le tribunal peut porter le montant de l'amende au quadruple du montant des dépenses publicitaires consacrées à l'activité illégale.
      XXVIII. - Le président de l'Autorité nationale des jeux adresse à l'entreprise dont l'offre de jeux à objets numériques monétisables en ligne est accessible sur le territoire français et qui ne s'est pas déclarée ou à la personne qui fait de la publicité en faveur d'une offre de jeux à objets numériques monétisables en ligne proposée par une entreprise qui ne s'est pas déclarée une mise en demeure de cesser cette activité. Cette mise en demeure, qui peut être notifiée par tout moyen propre à en établir la date de réception, rappelle les dispositions de la présente loi et invite son destinataire à présenter ses observations dans un délai de cinq jours.
      Le président de l'Autorité nationale des jeux adresse aux personnes mentionnées au 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique une copie des mises en demeure adressées aux personnes mentionnées au premier alinéa du présent XXVIII. Il enjoint à ces mêmes personnes de prendre toute mesure pour empêcher l'accès à ces contenus illicites et les invite à présenter leurs observations dans un délai de cinq jours. La mise en demeure et l'injonction leur sont notifiées par tout moyen propre à en établir la date de réception.
      Lorsque tous les délais mentionnés aux deux premiers alinéas du présent XXVIII sont échus, le président de l'Autorité nationale des jeux notifie aux personnes mentionnées au 1 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 précitée ainsi qu'à toute personne exploitant un moteur de recherche ou un annuaire les adresses électroniques des interfaces en ligne dont les contenus sont illicites et leur ordonne de prendre toute mesure utile destinée à en empêcher l'accès ou à faire cesser leur référencement, dans un délai qu'il détermine et qui ne peut être inférieur à cinq jours.
      Pour l'application du troisième alinéa du présent XXVIII, une interface en ligne s'entend de tout logiciel, y compris un site internet, une partie de site internet ou une application, exploité par un professionnel ou pour son compte et permettant aux utilisateurs finaux d'accéder aux biens ou aux services qu'il propose.
      Le non-respect des mesures ordonnées en application du même troisième alinéa est puni des peines mentionnées au B du V de l'article 6 de la loi n° 2004-575 du 21 juin 2004 précitée. Le président de l'Autorité nationale des jeux peut également être saisi par le ministère public et par toute personne physique ou morale ayant intérêt à agir afin qu'il mette en œuvre les pouvoirs qui lui sont confiés en application du présent article.
      XXIX. - A compter du 30 décembre 2024, le XIV du présent article est ainsi rédigé :
      « XIV. - Il est interdit à toute entreprise de jeux à objets numériques monétisables ainsi qu'à toute personne physique ou morale agissant de concert avec elle de consentir aux joueurs des prêts en monnaie ayant cours légal ou en crypto-actifs ou de mettre en place, directement ou indirectement, des dispositifs permettant aux joueurs de s'accorder entre eux des prêts en monnaie ayant cours légal ou en crypto-actifs en vue de permettre l'achat d'objets numériques monétisables ou des autres récompenses éventuellement attribuées et fixées par le décret en Conseil d'Etat mentionné au I de l'article 40 de la présente loi.
      « Pour l'application du présent XIV, sont entendus comme crypto-actifs ceux relevant du champ d'application du règlement (UE) 2023/1114 du Parlement européen et du Conseil du 31 mai 2023 sur les marchés de crypto-actifs, et modifiant les règlements (UE) n° 1093/2010 et (UE) n° 1095/2010 et les directives 2013/36/UE et (UE) 2019/1937 et autres qu'un jeton se référant à un ou des actifs au sens du 7 du paragraphe 1 de l'article 3 du même règlement ou qu'un jeton utilitaire au sens du 9 du même paragraphe 1. »


Fait à Paris, le 21 mai 2024.


Emmanuel Macron
Par le Président de la République :


Le Premier ministre,
Gabriel Attal


Le ministre de l'économie, des finances et de la souveraineté industrielle et numérique,
Bruno Le Maire


Le ministre de l'intérieur et des outre-mer,
Gérald Darmanin


La ministre de la culture,
Rachida Dati


Le garde des sceaux, ministre de la justice,
Éric Dupond-Moretti


La secrétaire d'État auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargée du numérique,
Marina Ferrari


(1) Travaux préparatoires : loi n° 2024-449.
Sénat :
Projet de loi n° 593 (2022-2023) ;
Rapport de MM. Patrick Chaize et Loïc Hervé, au nom de la commission spéciale, n° 777 (2022-2023) ;
Texte de la commission n° 778 (2022-2023) ;
Discussion les 4 et 5 juillet 2023 et adoption, après engagement de la procédure accélérée, le 5 juillet 2023 (TA n° 156, 2022-2023).
Assemblée nationale :
Projet de loi, adopté par le Sénat, n° 1514 rect. ;
Rapport de M. Paul Midy, Mme Louise Morel, Mme Anne Le Hénanff, Mme Mireille Clapot et M. Denis Masséglia, au nom de la commission spéciale, n° 1674 ;
Discussion les 4, 5, 9, 10, 11 et 13 octobre 2023 et adoption, après engagement de la procédure accélérée, le 17 octobre 2023 (TA n° 175).
Sénat :
Projet de loi, modifié par l'Assemblée nationale, n° 51 (2023-2024) ;
Rapport de MM. Patrick Chaize et Loïc Hervé, au nom de la commission mixte paritaire, n° 469 (2023-2024) ;
Texte de la commission n° 470 (2023-2024) ;
Discussion et adoption le 2 avril 2024 (TA n° 103, 2023-2024).
Assemblée nationale :
Rapport de M. Paul Midy, Mme Louise Morel, M. Denis Masséglia et Mme Mireille Clapot, au nom de la commission mixte paritaire, n° 2404 ;
Discussion et adoption le 10 avril 2024 (TA n° 286).
Conseil constitutionnel :
Décision n° 2024-866 DC du 17 mai 2024 publiée au Journal officiel de ce jour.

Retourner en haut de la page