Directive NIS2 : la transposition française probablement repoussée à juillet

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, qui transpose en droit français les directives européennes NIS2, REC et Dora, patine depuis plus d'un an. Et apparemment, la dissolution n'est pas seule en cause. 

Les collectivités dans l'attente

Pour mémoire, le projet de loi – élaboré par l'Anssi en concertation avec les parties prenantes, dont les associations d'élus – a été adopté en première lecture au Sénat dès le 15 octobre 2024, deux jours avant la date-butoir fixée par Bruxelles pour la transposition. La commission spéciale de l'Assemblée nationale l'a ensuite adopté à l'unanimité le 17 septembre 2025. Depuis, malgré les assurances régulières de la ministre du numérique Anne Le Hénanff, le texte n'est toujours pas à l'ordre du jour de l'Assemblée. 

Un retard dont le député Philippe Latombe s'est ému auprès du Premier ministre dans un courrier daté du 19 février. L'élu vendéen regrette que la France, bien que parmi les pays les plus touchés par les piratages, tarde à examiner le texte, ce qui l'expose à un risque d'amende de l'Union européenne. On rappellera que l'enjeu est considérable pour les collectivités territoriales : là où NIS1 ne concernait que 300 opérateurs d'importance vitale, NIS2 impacte plus de 15.000 entités… dont toutes les grandes collectivités. A minima, car le texte doit fixer un seuil de population (30.000 habitants a priori) et définir quelles intercommunalités seront effectivement concernées.

Un blocage intentionnel ?

Pour les rapporteurs du texte, le retard ne serait cependant pas qu'un problème d'embouteillage législatif. Ils l'imputent aussi à l'article 16 bis, comme Olivier Cadic (UC) et Philippe Latombe l'ont expliqué lors d'une conférence de presse, le 4 février dernier. Introduit au Sénat et renforcé par l'Assemblée, cet article interdit d'imposer aux fournisseurs de services de chiffrement la création de "portes dérobées" ou backdoors. 

Selon les deux parlementaires, cette disposition déplairait à la direction générale de la Sécurité intérieure (DGSI). Celle-ci voudrait utiliser ces "backdoors" pour espionner les criminels. Or, pour les parlementaires, ces portes dérobées seraient non seulement inefficaces mais aussi dangereuses. Ils font état d'un précédent américain où de telles backdoors ont en fait été exploitées… par des hackers chinois pour capter des millions de communications. En d'autres termes, elles pourraient fragiliser considérablement la résilience des systèmes d'information recherchée par les textes européens.

Interprétation par le juge ?

Ce retard n'est pas sans conséquences. L'absence de cadre empêche les entités assujetties – et encore plus les collectivités situées dans la zone de flou – de mettre en œuvre le texte, la transposition et les décrets associés étant indispensables pour le rendre pleinement opérationnel. L'experte cyber Rayna Stamboliyska pointe également, sur LinkedIn, un risque juridique : "Si une victime de fuite de données assignait l'État, un juge judiciaire prendra la décision d'interpréter NIS2. Un juge deviendrait ainsi responsable de l'application du texte plutôt que les parlementaires."

Or il ne s'agit pas que d'un risque théorique à l'heure où les fuites de données personnelles se multiplient. Après celles ayant affecté le ministère de l'Intérieur (voir notre article) et Bercy (voir notre article) s'ajoutent celles de Cegedim ou encore de  l'Union nationale du sport scolaire. L'UNSS s'est en effet fait pirater son intranet à l'automne dernier. Un hacker cité par l'AFP le 3 mars estime que l'exfiltration concerne "65 Go de données sensibles", dont "1.557.000 photos d'élèves", désormais exposées sur le dark web.