Quantique et réseaux : l'Arcep publie sa note prospective, et rappelle aux DPO que le chiffrement a une date de péremption

11/6/26
👈 les autres actualités

L'Arcep vient de publier la cinquième note de son cycle prospectif « Réseaux du futur », consacrée cette fois aux technologies quantiques et à leur impact sur les réseaux de télécommunications. Derrière un exercice de prospective sur l'architecture des télécoms se cache un signal que les DPO et RSSI connaissent déjà : le chiffrement qui protège aujourd'hui les données personnelles a une date de péremption, et le compte à rebours a commencé.

Ce qui s'est passé

Le régulateur des télécoms a mis en ligne le 11 juin 2026 une note intitulée « Les technologies du quantique et leur impact sur les réseaux ». Elle prolonge un cycle entamé en 2024 avec « L'informatique au cœur des télécoms », poursuivi en 2025 avec « L'intelligence artificielle et les réseaux télécom ». Cette nouvelle livraison dresse un état des lieux des enjeux liés au développement de l'informatique quantique, et insiste particulièrement sur ses conséquences pour la sécurité des communications.

L'Arcep aborde trois grands volets : les transformations possibles de l'architecture et de la performance des réseaux, l'émergence de réseaux quantiques à proprement parler, et les enjeux de régulation — avec un panorama des stratégies nationales déployées par les principaux pays engagés dans la course au quantique. Le régulateur reste prudent : le potentiel de transformation du secteur télécom est réel, mais « il est encore trop tôt pour en évaluer avec certitude l'ampleur ». Une humilité de méthode qui ne doit pas masquer l'urgence sur le terrain de la cybersécurité.

Pourquoi c'est important

L'informatique quantique menace directement les algorithmes de chiffrement asymétrique (RSA, ECC) sur lesquels repose aujourd'hui la confidentialité des échanges et le stockage sécurisé des données personnelles. Le scénario qui inquiète les autorités porte un nom : « harvest now, decrypt later ». Des acteurs malveillants peuvent collecter dès maintenant des données chiffrées qu'ils ne savent pas encore lire, en pariant sur un ordinateur quantique suffisamment puissant pour les déchiffrer dans cinq ou dix ans. Pour des données à longue durée de sensibilité — dossiers de santé, données RH, secrets industriels — la fuite est donc déjà potentiellement consommée.

Or l'article 32 du RGPD impose des mesures de sécurité « appropriées » à « l'état de l'art ». Le piège est précisément là : quand l'état de l'art des attaquants progresse, le curseur des mesures attendues se déplace avec lui. C'est exactement la dynamique que nous avions décrite à propos de l'IA attaquante et du cas Claude Mythos. La note de l'Arcep s'inscrit d'ailleurs dans un mouvement réglementaire convergent : la feuille de route NIS 2 de l'État français inscrit déjà la cryptographie post-quantique parmi ses échéances d'ici 2030, signe que le sujet quitte le laboratoire pour entrer dans la doctrine de conformité.

Ce que ça change pour les organisations

Une note prospective de régulateur n'a pas de portée contraignante. Mais elle alimente l'« état de l'art » que la CNIL et l'ANSSI invoqueront demain pour apprécier le caractère approprié des mesures de sécurité. Concrètement, les DPO et RSSI ont quatre chantiers à ouvrir sans attendre l'arrivée effective d'un ordinateur quantique cryptographiquement pertinent.

D'abord, inventorier les actifs cryptographiques : recenser où, comment et avec quels algorithmes l'organisation chiffre ses données. Ensuite, identifier les données « harvest now, decrypt later » : celles dont la confidentialité doit tenir au-delà de dix ans, qui doivent migrer en priorité. Troisièmement, renforcer les mesures complémentaires comme la pseudonymisation et la minimisation — des leviers détaillés dans notre guide sur les enjeux de la pseudonymisation des données — qui réduisent la valeur d'un déchiffrement futur. Enfin, négocier la transition avec les fournisseurs : exiger une feuille de route post-quantique des prestataires cloud et SaaS, et l'intégrer dans une politique de sécurité informatique formalisée. Ce travail recoupe largement nos analyses précédentes sur la transition vers la cryptographie post-quantique.

Ce que Leto pense de cette décision

L'erreur serait de classer cette note dans la catégorie « veille technologique lointaine ». Le risque quantique n'est pas une menace de science-fiction à reléguer en bas de la liste des priorités : c'est un risque dont la matérialisation est différée, mais dont la prévention doit commencer aujourd'hui, précisément à cause du « harvest now, decrypt later ». Une organisation qui chiffre des données sensibles à durée de vie longue sans plan de migration post-quantique prend, dès maintenant, une décision de sécurité qu'un contrôle CNIL pourra demain juger inappropriée. Le bon réflexe n'est pas de tout migrer en urgence, mais de cartographier son exposition et d'inscrire le sujet à la gouvernance — pendant qu'il est encore possible de le faire calmement.

Sources : Arcep — Réseaux du futur : « Les technologies du quantique et leur impact sur les réseaux »

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026