Retard sur NIS 2 : la France face à une procédure européenne et un blocage parlementaire sur le chiffrement

Vingt mois après l'expiration du délai de transposition de la directive européenne NIS 2, la France se trouve dans une situation critique. Selon des informations concordantes, la Commission européenne s'apprête à saisir la Cour de justice de l'Union européenne, accusant Paris de n'avoir pas intégré dans son droit national les nouvelles règles en matière de cybersécurité. Cette saisine constitue l'aboutissement d'une procédure d'infraction engagée dès 2024, qui a vu Bruxelles envoyer une lettre de mise en demeure en novembre 2024, puis un avis motivé en mai 2025.

Un blocage parlementaire autour du chiffrement

Le gouvernement français a fait le choix de regrouper la transposition de plusieurs textes européens dans un seul projet de loi, intitulé « résilience des infrastructures critiques et renforcement de la cybersécurité ». Ce texte intègre la directive NIS 2, la directive CER sur la résilience des infrastructures critiques, et certaines dispositions du règlement DORA pour le secteur financier. Présenté en Conseil des ministres à l'automne 2024, il a été adopté au Sénat mais n'a pas achevé son parcours à l'Assemblée nationale.

L'origine du blocage tient à un seul article, le 16 bis, qui interdit à l'État d'imposer aux fournisseurs de services chiffrés l'intégration de portes dérobées (backdoors). Introduit par le sénateur Olivier Cadic, cet article vise à empêcher les autorités d'obliger les applications de messagerie à créer des accès cachés permettant de lire les communications des utilisateurs. La DGSI, qui souhaite pouvoir scanner les messages pour ses enquêtes judiciaires et ses opérations de renseignement, s'oppose fermement à cette interdiction. Ce désaccord, qui s'était déjà manifesté lors des débats sur la loi Narcotrafic en février 2025, paralyse l'ensemble de la procédure.

Une double peine pour la France

Ce retard expose la France à une double sanction. D'une part, la saisine de la Cour de justice de l'Union européenne peut déboucher sur une amende forfaitaire et/ou une astreinte financière, dont le montant pourrait atteindre plusieurs millions d'euros. D'autre part, ce blocage affaiblit la crédibilité de Paris à Bruxelles sur les sujets de cybersécurité, alors même que la France plaide régulièrement pour un renforcement des règles européennes en la matière. La directive CER, qui devait être transposée via le même projet de loi, a également fait l'objet d'une procédure d'infraction, laissant présager une multiplication des contentieux.

Une directive ambitieuse

La directive NIS 2, publiée au Journal officiel de l'Union européenne en décembre 2022 et entrée en vigueur en janvier 2023, vise à élever le niveau de cybersécurité des organisations jugées essentielles ou importantes pour l'économie européenne. Alors que la précédente directive NIS 1 concernait environ 300 opérateurs en France, NIS 2 touche plus de 15 000 entités dans 18 secteurs. Les obligations incluent la mise en place d'une gestion des risques cyber, des notifications d'incidents sous 24 heures, et l'engagement de la responsabilité des dirigeants en cas de manquement.

Le cas français illustre les tensions entre les exigences de sécurité nationale et les standards européens de protection des communications. Alors que la Commission européenne accélère les procédures, l'issue du débat parlementaire reste incertaine, la majorité des acteurs de la cybersécurité et une partie du Parlement soutenant l'interdiction des portes dérobées, tandis que la DGSI continue de plaider pour un accès encadré aux messages chiffrés.