Cybersécurité : la France risque une lourde sanction de l’UE après 20 mois de retard
Le retard de la France sur la cybersécurité européenne n’est plus sans conséquence. La Commission européenne a décidé de saisir la Cour de justice de l’Union européenne, ouvrant la voie à d’importantes sanctions financières tant que le texte ne sera pas adopté.
La Commission européenne hausse le ton contre la France. Estimant que le pays accuse un important retard dans la mise en œuvre de la directive européenne NIS 2, destinée à renforcer la cybersécurité des entreprises et des administrations, Bruxelles a décidé de saisir la Cour de justice de l’Union européenne. Cette procédure pourrait déboucher sur de lourdes sanctions financières.
Vingt mois après la date limite fixée par l’Union européenne, la France n’a toujours pas transposé la directive NIS 2 dans son droit national. Face à cette situation, la Commission européenne a franchi une nouvelle étape en saisissant, le 8 juillet, la Cour de justice de l’Union européenne (CJUE).
Si la Cour lui donne raison, Bruxelles pourra demander l’application de sanctions financières comprenant une amende forfaitaire de plusieurs millions d’euros, à laquelle pourraient s’ajouter des astreintes journalières de plusieurs dizaines de milliers d’euros jusqu’à l’adoption définitive de la loi.
Adoptée au niveau européen, la directive NIS 2 vise à mieux protéger les infrastructures numériques face à la multiplication des cyberattaques. En France, son entrée en vigueur élargirait considérablement le nombre d’organisations concernées. Alors qu’environ 500 acteurs étaient jusqu’ici soumis à des obligations renforcées de cybersécurité, ce chiffre dépasserait désormais les 15 000. Seraient notamment concernés des PME, des hôpitaux, des collectivités territoriales, des administrations ainsi que de nombreuses entreprises jugées essentielles. L’objectif est d’imposer des mesures de protection plus strictes, une meilleure gestion des risques informatiques et une obligation de signaler rapidement les incidents de sécurité.
Un désaccord autour du chiffrement bloque toujours le texte
Si le projet de loi est toujours au point mort, c’est principalement à cause d’un article qui divise profondément les parlementaires et le gouvernement. L’article 16 bis, ajouté lors des débats parlementaires, interdit la création de portes dérobées (“backdoors”) dans les solutions de chiffrement utilisées par les messageries sécurisées et d’autres services numériques.
Pour ses défenseurs, cette disposition est indispensable afin de préserver un chiffrement robuste et protéger les communications contre toute tentative d’intrusion. À l’inverse, le ministère de l’Intérieur et les services de renseignement estimaient qu’un accès exceptionnel pourrait faciliter certaines enquêtes liées au terrorisme ou au narcotrafic.
De nombreux spécialistes de la cybersécurité rappellent toutefois qu’une porte dérobée ne peut pas être réservée uniquement aux autorités. Une fois créée, cette faille peut potentiellement être exploitée par des cybercriminels ou par des puissances étrangères si elle venait à être découverte. Le sénateur Olivier Cadic, à l’origine de cet amendement, résumait ainsi le problème lors du Paris Cyber Summit : « Une backdoor n’est jamais une solution technique neutre, c’est une faille structurelle. »
Le secteur partage largement cette analyse. Meredith Whittaker, présidente de Signal, avait déjà alerté en 2025 sur les risques qu’une telle obligation ferait peser sur la sécurité des communications chiffrées.
Des cyberattaques qui rappellent l’urgence
Ce retard intervient alors que les cyberattaques continuent de viser aussi bien les entreprises que les administrations françaises. Au cours de l’hiver dernier, plusieurs ministères, dont ceux de l’Intérieur, des Sports et de l’Éducation nationale, ont été touchés par des attaques informatiques d’ampleur.
Pour plusieurs élus, ces événements démontrent que le renforcement de la cybersécurité ne peut plus attendre. Malgré la pression européenne, le gouvernement a choisi de repousser l’examen du texte à la rentrée parlementaire de septembre 2026. La saisine de la Cour de justice pourrait toutefois accélérer le calendrier si la perspective de lourdes sanctions financières se confirme.
En attendant, la France reste l’un des États membres pointés du doigt pour son retard dans l’application d’une directive pourtant considérée comme l’un des piliers de la stratégie européenne face à la montée des cybermenaces.
Source : La Tribune