La France n'a toujours pas finalisé la transposition de NIS 2 et la Commission européenne va finalement traîner le pays devant la Cour de justice européenne. Les services de renseignement français s'évertuent à vouloir placer une backdoor dans vos messageries tandis que le Parlement refuse.
La France n'a toujours pas transposé NIS 2 dans son droit national, vingt mois après la date limite. Et la raison du blocage est moins administrative qu'elle n'y paraît.
Sponsorisé
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Sponsorisé
La France tente en vain de concilier surveillance et sécurité
Pour transposer NIS 2, le gouvernement a regroupé plusieurs textes européens dans un seul projet de loi : la directive NIS 2, la directive CER sur la résilience des infrastructures critiques, et certaines dispositions du règlement DORA pour le secteur financier. Présenté en Conseil des ministres à l'automne 2024, ce texte a été adopté au Sénat mais n'a pas achevé son parcours parlementaire. Un seul article bloque tout le processus.
Comme le rappellent nos confrères de l'Usine Digitale, l'article 16 bis interdit à l'État d'imposer aux fournisseurs de services chiffrés l'intégration de portes dérobées, autrement dit des accès cachés permettant aux autorités de lire les communications des utilisateurs. Le sénateur Olivier Cadic, qui l'a introduit dans le texte, défend une position partagée par l'essentiel de la communauté cybersécurité. Une faille créée pour les autorités ne reste jamais réservée aux autorités. Elle peut être exploitée par des cybercriminels ou des services de renseignement étrangers. La DGSI, elle, campe sur une position inverse. Selon l'agence, la généralisation du chiffrement de bout en bout complique ses enquêtes judiciaires et ses opérations de renseignement.
Ce désaccord n'est pas nouveau. Il s'est d'abord joué sur la loi Narcotrafic. En février 2025, une disposition glissée dans ce texte aurait contraint Signal, WhatsApp ou Olvid à intégrer des backdoors pour les autorités. Comme nous le rapportions, la mesure a été rejetée en commission début mars, puis une seconde fois en séance plénière le 20 mars 2025, par 119 voix contre 24. Guillaume Poupard, ancien directeur de l'ANSSI, avait alors publiquement jugé le dispositif "irréaliste, dangereux et inefficace".
Il prenait comme exemple la "technique du fantôme", une méthode qui consiste à introduire en secret un participant invisible dans une conversation pour lui en transmettre copie. Cette approche avait notamment été poussée en 2018 par le renseignement britannique et abandonnée après une levée de boucliers de la communauté cybersécurité mondiale. Le ministère de l'Intérieur avait pourtant annoncé vouloir réintroduire la mesure. En juillet 2025, les responsables des services de renseignement sont remontés au front, cette fois pour tenter d'obtenir la suppression de l'article 16 bis lors du retour du texte au Parlement.
Deux procédures simultanées
Pendant que le texte s'enlisait, Bruxelles a accéléré. La Commission a déjà renvoyé la France devant la CJUE fin avril 2026 pour la directive CER, transposée dans le même projet de loi que NIS 2. La procédure NIS 2 suit la même trajectoire : selon Politico, la saisine est attendue avant ou juste après l'été 2026. La France n'est pas seule dans ce cas, l'Espagne fait face aux mêmes poursuites.
La Cour peut condamner un État à une amende forfaitaire, doublée d'une astreinte journalière tant que la mise en conformité n'est pas effective. Pour un pays de la taille de la France, les montants peuvent atteindre plusieurs millions d'euros. La Commission n'a pas arrêté de chiffre pour NIS 2, mais elle a explicitement demandé des sanctions financières dans le dossier CER.
