Cryptographie post-quantique : DLA Piper presse les DPO de batir leur transition avant la rupture
Le cabinet international DLA Piper alerte, dans une note publiée le 26 mai 2026 sur son blog Privacy Matters, sur l'urgence pour les DPO et RSSI d'inscrire le risque quantique à leur cartographie de gouvernance. Le message est clair : la cryptographie qui protège aujourd'hui les données personnelles sera obsolète demain, et les régulateurs commencent déjà à intégrer cette échéance dans leurs attentes.
Ce qui s'est passé
Dans son analyse intitulée Quantum Computing and the Future of Cyber Security, DLA Piper synthétise l'état du droit et de la pratique autour d'une menace que beaucoup d'organisations considèrent encore comme prospective : la capacité, à horizon 2030-2035, des ordinateurs quantiques à briser les algorithmes asymétriques (RSA, ECC) qui sécurisent les communications, les signatures électroniques et le chiffrement des bases de données. Le cabinet rappelle que le NIST a finalisé en 2024 ses premiers standards de cryptographie post-quantique (ML-KEM, ML-DSA, SLH-DSA) et que les autorités européennes — ENISA, ANSSI, BSI — convergent vers un calendrier de transition étalé entre 2026 et 2030 pour les infrastructures critiques.
Le cœur de l'argument juridique : la menace dite « harvest now, decrypt later » — collecter aujourd'hui des données chiffrées pour les déchiffrer demain — transforme un risque futur en violation actuelle de l'article 32 du RGPD, dès lors que les données collectées ont une durée de sensibilité supérieure à dix ans (données de santé, fiscales, RH, secrets d'affaires).
Pourquoi c'est important
L'article 32 du RGPD impose au responsable de traitement de mettre en œuvre des mesures techniques « adaptées au risque », « compte tenu de l'état de l'art ». DLA Piper soutient que cet état de l'art glisse mécaniquement vers la cryptographie post-quantique à mesure que les standards se stabilisent. La CNIL et ses homologues européens disposent donc d'un levier réglementaire immédiat : exiger des organisations qu'elles documentent leur trajectoire de migration crypto, comme elles exigent déjà la documentation des transferts internationaux ou des analyses d'impact.
Pour les entités régulées par la directive NIS 2, la pression est plus directe encore. La feuille de route française de sécurité numérique 2026-2030 mentionne explicitement la cryptographie post-quantique parmi les chantiers prioritaires, et le projet de loi Résilience qui transpose NIS 2 a déjà fait l'objet d'âpres débats parlementaires sur le chiffrement. Les 15 000 organisations concernées devront démontrer qu'elles disposent d'un plan de migration, sous peine de sanctions administratives.
DLA Piper souligne également la convergence avec DORA pour le secteur financier, NIS 2 pour les opérateurs essentiels, et le futur Cyber Resilience Act pour les produits comportant des éléments numériques. Trois textes, une même obligation implicite : anticiper l'obsolescence cryptographique avant qu'elle ne devienne un incident à notifier.
Ce que ça change pour les organisations
La note ne se limite pas au diagnostic. Elle décrit une trajectoire opérationnelle en quatre étapes que DPO et RSSI peuvent traduire en plan d'action.
Première étape : inventorier les actifs cryptographiques. Il s'agit de cartographier où le chiffrement asymétrique est utilisé — TLS, VPN, signatures de documents, certificats internes, chiffrement de bases — et de qualifier la sensibilité temporelle des données protégées. Cet inventaire est désormais ce que les régulateurs appellent un « crypto-bill of materials » (CBOM), pendant logiciel du SBOM.
Deuxième étape : identifier les actifs à risque « harvest now, decrypt later ». Toutes les données ne se valent pas. Les données de santé, les dossiers RH, la propriété intellectuelle, certains contrats commerciaux conservent leur sensibilité au-delà d'une décennie. C'est sur ce périmètre que la pression réglementaire s'exercera en premier.
Troisième étape : renforcer les mesures de sécurité existantes. En attendant le déploiement de la cryptographie post-quantique, la pseudonymisation, la minimisation et le cloisonnement restent les leviers immédiats. Notre guide sur la pseudonymisation des données personnelles détaille les méthodes (chiffrement à clé secrète, hachage, génération aléatoire) qui réduisent l'exposition d'une fuite, quantique ou non.
Quatrième étape : négocier la transition avec ses fournisseurs. Cloud, SaaS, sous-traitants : la migration crypto se jouera majoritairement chez les prestataires. Les clauses contractuelles, les audits article 28 et les questionnaires fournisseurs doivent intégrer dès maintenant des engagements de roadmap post-quantique.
Ce que Leto pense de cette décision
L'analyse de DLA Piper a le mérite de rappeler une évidence trop souvent oubliée : l'article 32 du RGPD n'est pas un texte figé en 2018. C'est une obligation de moyens dynamique, qui suit l'état de l'art. À chaque évolution technique majeure — chiffrement TLS 1.3, MFA, EDR, et désormais post-quantique — la barre monte. Les DPO qui attendent une circulaire CNIL explicite pour démarrer auront un train de retard, exactement comme ceux qui attendaient un référentiel cookies pour cesser de pré-cocher les cases en 2019.
Le vrai sujet n'est pas technique, il est de gouvernance. Inscrire la cryptographie post-quantique à la cartographie des risques, en discuter en comité sécurité, l'intégrer aux AIPD des nouveaux traitements à durée de conservation longue : voilà le travail qui distingue une organisation qui subit la conformité d'une organisation qui la pilote. La doctrine cyber offensive annoncée par l'État français début 2026, qui réserve 200 M€ à la crypto post-quantique sur les fonds France 2030, confirme que la décennie qui s'ouvre se jouera autant sur l'anticipation cryptographique que sur la réaction aux incidents.
Sources : DLA Piper Privacy Matters — Quantum Computing and the Future of Cyber Security (26 mai 2026)
