La France n’a toujours pas transposé la directive NIS 2 dans son droit national, vingt mois après l’échéance. Le blocage tient à un bras de fer sur le chiffrement : un article du projet de loi interdit d’imposer des portes dérobées aux messageries, ce que conteste la DGSI. La Commission européenne s’apprête à saisir la justice de l’Union.

Pour transposer NIS 2, le gouvernement a réuni plusieurs textes européens dans un seul projet de loi : la directive NIS 2, la directive CER sur la résilience des infrastructures critiques et certaines dispositions du règlement DORA pour le secteur financier. Présenté en Conseil des ministres à l’automne 2024, le texte a été adopté au Sénat mais n’a pas achevé son parcours parlementaire. Comme le rappelle L’Usine Digitale, un seul article cristallise le blocage. L’article 16 bis interdit à l’État d’imposer aux fournisseurs de services chiffrés l’intégration de portes dérobées, c’est-à-dire des accès cachés permettant aux autorités de lire les communications.

Un bras de fer ancien sur le chiffrement

Le sénateur centriste Olivier Cadic, à l’origine de cet article, défend une position largement partagée par la communauté cybersécurité : une faille créée pour les autorités ne leur reste jamais réservée et peut être exploitée par des cybercriminels ou des services étrangers. Connu pour ses activités internationales au Sénat et son implication dans des réseaux parlementaires transnationaux, notamment l’Inter-Parliamentary Alliance on China, une coalition internationale de parlementaires issus de différents partis, fondée en 2020 pour coordonner les réponses démocratiques face aux politiques de la République populaire de Chine, il avait accueilli Jean-Raphaël Notton, Grand Maître de la Grande Loge de France, au Sénat au mois de février dernier, selon la GLDF.

La DGSI soutient l’inverse, estimant que la généralisation du chiffrement de bout en bout entrave ses enquêtes. Le désaccord s’était déjà joué sur la loi Narcotrafic : une disposition aurait contraint Signal, WhatsApp, propriété de Meta et membre du Forum économique mondial, ou encore Olvid à intégrer des portes dérobées. Elle a été rejetée en séance le 20 mars 2025, par 119 voix contre 24. L’ancien directeur de l’ANSSI, Guillaume Poupard, avait jugé le dispositif « irréaliste, dangereux et inefficace », citant la « technique du fantôme » poussée en 2018 par le renseignement britannique puis abandonnée.

Deux procédures européennes simultanées

Pendant que le texte s’enlisait, Bruxelles a accéléré. La Commission européenne a déjà renvoyé la France devant la Cour de justice de l’Union européenne fin avril 2026 pour la directive CER, transposée dans le même projet de loi. La procédure sur NIS 2 suit la même trajectoire : selon Politico, la saisine est attendue avant ou juste après l’été 2026. La France n’est pas seule concernée, l’Espagne fait face aux mêmes poursuites.

Des sanctions financières en jeu

La Cour peut condamner un État à une amende forfaitaire, assortie d’une astreinte journalière tant que la mise en conformité n’est pas effective. Pour un pays de la taille de la France, les montants peuvent atteindre plusieurs millions d’euros. La Commission n’a pas arrêté de chiffre pour NIS 2, mais elle a explicitement réclamé des sanctions financières dans le dossier CER.

Le retard français sur NIS 2 dépasse la simple lenteur administrative : il révèle un arbitrage de fond entre impératifs de renseignement et protection du chiffrement. La décision de la Cour de justice, comme l’issue parlementaire de l’article 16 bis, pèseront sur la souveraineté numérique du pays autant que sur sa facture européenne.

Source : Clubic – clubic.com