Pour l'application du présent chapitre, on entend :
1° Par service numérique tout service fourni normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire de services ;
2° Par fournisseur de service numérique toute personne morale qui fournit l'un des services suivants :
a) Place de marché en ligne, à savoir un service numérique qui permet à des consommateurs ou à des professionnels, au sens du dernier alinéa de l'article liminaire du code de la consommation, de conclure des contrats de vente ou de service en ligne avec des professionnels soit sur le site internet de la place de marché en ligne, soit sur le site internet d'un professionnel qui utilise les services informatiques fournis par la place de marché en ligne ;
b) Moteur de recherche en ligne, à savoir un service numérique qui permet aux utilisateurs d'effectuer des recherches sur, en principe, tous les sites internet ou sur les sites internet dans une langue donnée, sur la base d'une requête lancée sur n'importe quel sujet sous la forme d'un mot clé, d'une phrase ou d'une autre entrée, et qui renvoie des liens à partir desquels il est possible de trouver des informations en rapport avec le contenu demandé ;
c) Service d'informatique en nuage, à savoir un service numérique qui permet l'accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées.

I. - Tout fournisseur de service numérique au sens de l'article 10, établi hors de l'Union européenne, qui offre ses services sur le territoire national et qui n'a désigné aucun représentant dans un autre Etat membre de l'Union européenne procède à la désignation d'un représentant établi sur le territoire national auprès de l'autorité nationale de sécurité des systèmes d'information prévue à l'article L. 2321-1 du code de la défense aux fins d'application du présent chapitre. Cette désignation ne fait pas obstacle aux actions qui pourraient être introduites, en application de l'article 15, à l'encontre des dirigeants du fournisseur concerné.
II. - Sont soumis aux dispositions du présent chapitre les fournisseurs de service numérique qui offrent leurs services dans l'Union européenne :
1° Lorsque leur siège social ou leur établissement principal est établi sur le territoire national ;
2° Ou qui ont, en application du I, désigné un représentant sur le territoire national.
III. - Les dispositions du présent chapitre ne sont pas applicables aux entreprises qui emploient moins de cinquante salariés et dont le chiffre d'affaires annuel n'excède pas 10 millions d'euros.

Les fournisseurs de service numérique mentionnés à l'article 11 garantissent, compte tenu de l'état des connaissances, un niveau de sécurité des réseaux et des systèmes d'information nécessaires à la fourniture de leurs services dans l'Union européenne adapté aux risques existants.
A cet effet, ils sont tenus d'identifier les risques qui menacent la sécurité de ces réseaux et systèmes d'information et de prendre des mesures techniques et organisationnelles nécessaires et proportionnées pour gérer ces risques, pour éviter les incidents de nature à porter atteinte à ces réseaux et systèmes d'information ainsi que pour en réduire au minimum l'impact, de manière à garantir la continuité de leurs services. Ces mesures interviennent dans chacun des domaines suivants :
1° La sécurité des systèmes et des installations ;
2° La gestion des incidents ;
3° La gestion de la continuité des activités ;
4° Le suivi, l'audit et le contrôle ;
5° Le respect des normes internationales.

I. - Les fournisseurs de service numérique mentionnés à l'article 11 déclarent, sans délai après en avoir pris connaissance, à l'autorité nationale de sécurité des systèmes d'information mentionnée à l'article L. 2321-1 du code de la défense les incidents affectant les réseaux et systèmes d'information nécessaires à la fourniture de leurs services dans l'Union européenne, lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services, compte tenu notamment du nombre d'utilisateurs touchés par l'incident, de sa durée, de sa portée géographique, de la gravité de la perturbation du fonctionnement du service et de l'ampleur de son impact sur le fonctionnement de la société ou de l'économie.
II. - Après avoir consulté le fournisseur de service numérique concerné, l'autorité administrative peut informer le public d'un incident mentionné au I ou imposer au fournisseur de le faire lorsque cette information est nécessaire pour prévenir ou traiter un incident ou est justifiée par un motif d'intérêt général. Lorsqu'un incident a des conséquences significatives sur les services fournis dans d'autres Etats membres de l'Union européenne, l'autorité administrative en informe les autorités ou organismes compétents de ces Etats, qui peuvent rendre public l'incident.

Lorsque le Premier ministre est informé qu'un fournisseur de service numérique mentionné à l'article 11 ne satisfait pas à l'une des obligations prévues aux articles 12 ou 13, il peut le soumettre à des contrôles destinés à vérifier le respect des obligations prévues au présent chapitre ainsi que le niveau de sécurité des réseaux et systèmes d'information nécessaires à la fourniture de ses services. Il en informe si nécessaire les autorités compétentes des autres Etats membres de l'Union européenne dans lesquels sont situés des réseaux et systèmes d'information de ce fournisseur et coopère avec elles.
Les contrôles sont effectués, sur pièce et sur place, par l'autorité nationale de sécurité des systèmes d'information mentionnée à l'article L. 2321-1 du code de la défense ou par des prestataires de service qualifiés par le Premier ministre. Le coût des contrôles est à la charge des fournisseurs de service numérique.
Les fournisseurs de service numérique sont tenus de communiquer à l'autorité ou au prestataire de service chargé du contrôle prévu au premier alinéa du présent article les informations nécessaires pour évaluer la sécurité de leurs réseaux et systèmes d'information, y compris les documents relatifs à leurs politiques de sécurité, et, le cas échéant, leur permettre d'accéder aux réseaux et systèmes d'information faisant l'objet du contrôle afin d'effectuer des analyses et des relevés d'informations techniques.
En cas de manquement constaté à l'occasion d'un contrôle, l'autorité mentionnée au deuxième alinéa peut mettre en demeure les dirigeants du fournisseur concerné de se conformer, dans un délai qu'elle fixe, aux obligations qui incombent au fournisseur en vertu du présent chapitre. Le délai est déterminé en tenant compte des conditions de fonctionnement du fournisseur et des mesures à mettre en œuvre.

Est puni de 75 000 € d'amende le fait, pour les dirigeants des fournisseurs de service numérique mentionnés à l'article 11, de ne pas se conformer aux mesures de sécurité mentionnées à l'article 12, à l'issue du délai fixé par la mise en demeure qui leur a été adressée en application de l'article 14.
Est puni de 50 000 € d'amende le fait, pour les mêmes personnes, de ne pas satisfaire aux obligations de déclaration d'incident ou d'information du public prévues à l'article 13.
Est puni de 100 000 € d'amende le fait, pour les mêmes personnes, de faire obstacle aux opérations de contrôle mentionnées à l'article 14.