Passer au contenu

Cybersécurité : la France condamnée par l’Europe, et ce n’est que le début

Vingt mois après l’échéance, Paris n’a toujours pas transposé la directive européenne censée muscler la cybersécurité de quinze mille entités françaises. Bruxelles a fini par saisir la Cour de justice de l’Union européenne, avec à la clé des amendes qui pourraient grimper à plusieurs dizaines de millions d’euros.

Vingt mois de retard, quatre pays visés, et une amende qui pourrait se compter en dizaines de millions d’euros. La France vient d’être sanctionnée par l’Europe pour de graves manquements à la cybersécurité nationale, notamment à propos de son retard sur la directive NIS2.

On ne plaisante pas avec la cybersécurité

La Commission européenne a annoncé avoir saisi la Cour de justice de l’Union européenne (CJUE) contre la France, ainsi que l’Espagne, l’Irlande et les Pays-Bas, pour défaut de transposition de la directive NIS2. Ce texte, entré en vigueur en janvier 2023, impose aux États membres de renforcer la sécurité de leurs réseaux informatiques et fixe des obligations strictes de gestion des risques et de signalement des incidents dans dix-huit secteurs jugés critiques, comme l’énergie, la santé, les transports, ou encore les administrations publiques.

L’échéance de transposition était fixée au 17 octobre 2024. Depuis, l’Assemblée nationale et le Sénat se renvoient la balle sur un projet de loi qui n’a toujours pas franchi la ligne d’arrivée. La Commission, elle, a fini par perdre patience. Après une première procédure d’infraction ouverte fin novembre 2024 contre vingt-trois pays, puis un avis motivé envoyé à dix-neuf d’entre eux en mai 2025, seuls quatre États traînent encore des pieds, dont la France.

La Commission demande désormais à la Cour d’imposer à la France une somme forfaitaire ainsi que des astreintes journalières, qui continueront de courir tant que la transposition ne sera pas notifiée. Sachant que NIS2 prévoit elle-même des amendes pouvant atteindre dix millions d’euros ou 2 % du chiffre d’affaires mondial pour les entreprises fautives, l’État français risque de payer le prix fort de sa lenteur.

Chiffrement contre portes dérobées, le vrai point de blocage

Officiellement, le gouvernement explique ce retard par la complexité du texte, qui regroupe en réalité trois directives européennes en un seul projet de loi baptisé « Résilience ». Un empilement législatif qui a ralenti l’examen parlementaire, entamé au Sénat dès octobre 2024 puis transmis à l’Assemblée nationale, où il patiente toujours.

Mais le véritable point de crispation est ailleurs. L’article 16 bis du projet de loi interdit à l’État d’imposer aux fournisseurs de services chiffrés l’installation de backdoors, ces accès cachés qui permettraient aux autorités de lire les communications des utilisateurs en cas de besoin. Une disposition défendue avec insistance par les défenseurs de la cybersécurité, qui rappellent qu’une faille pensée pour les autorités finit tôt ou tard entre de mauvaises mains.

De l’autre côté du rapport de force, la DGSI et les services de renseignement plaident pour un accès technique contrôlé, jugé indispensable dans la lutte contre le narcotrafic et le terrorisme. Ce bras de fer, déjà observé lors des débats sur la loi Narcotrafic, s’est rejoué presque à l’identique sur le texte.

Résultat, la France se retrouve en mauvaise compagnie. Alors que vingt des vingt-sept États membres ont achevé leur transposition, dont l’Allemagne, la Belgique ou plus récemment le Luxembourg, Paris affiche un retard qui contraste avec son discours habituel sur les questions de cyberdéfense. La Commission avait d’ailleurs déjà renvoyé la France devant la CJUE fin avril 2026 pour la directive REC, transposée dans le même texte. La procédure NIS2 suit désormais une trajectoire identique.

🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.

Mode