Filtre anti-arnaques bloqué par Bruxelles : l'avis circonstancié de la Commission gèle le dispositif français

25/6/26
👈 les autres actualités

Le filtre censé vous protéger des arnaques en ligne est bloqué avant même de démarrer

La Commission européenne vient de mettre un coup d'arrêt au projet de décret français sur le filtre national de cybersécurité — anciennement connu sous le nom de "filtre anti-arnaques". Par un "avis circonstancié" rendu publiquement via le système TRIS de notification des réglementations techniques, Bruxelles juge le texte incompatible avec le droit de l'Union. Le gouvernement, qui espérait un lancement en septembre 2026, doit revoir intégralement sa copie.

Ce qui s'est passé

Depuis plusieurs mois, la France préparait un décret (référence TRIS : 2026/0113/FR) pour encadrer le fonctionnement d'un filtre national destiné à bloquer les sites frauduleux. Le dispositif prévoyait d'obliger les opérateurs télécom et les navigateurs internet à afficher un message d'avertissement lorsqu'un internaute tentait d'accéder à un site signalé comme arnaque — avec possibilité de blocage pur et simple jusqu'à trois mois pour les sites ne répondant pas à une mise en demeure. La Commission européenne avait été notifiée du projet, comme l'exige la procédure TRIS applicable aux réglementations techniques susceptibles d'entraver le marché intérieur.

C'est précisément cette notification qui s'est retournée contre le gouvernement. La Commission a rendu un "avis circonstancié" — l'outil le plus contraignant de la procédure TRIS — pointant deux problèmes majeurs de conformité avec le droit de l'Union.

Pourquoi ce décret viole le droit européen

Le premier problème est structurel : le décret s'appliquait indistinctement aux navigateurs et opérateurs établis dans d'autres États membres de l'Union. Or, le droit européen consacre le principe du pays d'origine : une entreprise établie dans un État membre est soumise à la réglementation de son pays d'établissement, pas à celle de chaque pays où elle offre ses services. Imposer des obligations techniques à Chrome, Firefox ou à un FAI irlandais depuis Paris revient à s'arroger une compétence que la France ne détient pas.

Le second problème tient à l'articulation avec le droit sectoriel européen. Le cadre NIS 2, dont la transposition française est encore en cours, définit déjà des obligations de sécurité pour les opérateurs d'infrastructures critiques, y compris dans les secteurs des télécommunications et des services numériques. Un dispositif national qui crée des obligations parallèles risque de fragmenter le marché unique numérique — ce que Bruxelles ne tolère pas.

Conséquence directe : le gouvernement ne peut pas publier ce décret pendant au moins trois mois à compter de la date de l'avis. Et si la Commission décide d'approfondir la procédure, ce gel peut se prolonger indéfiniment, voire déboucher sur une procédure d'infraction.

Ce que ça change pour les organisations

Pour les DPO et RSSI qui avaient intégré le filtre anti-arnaques dans leur feuille de route de conformité cyber 2026, le signal est clair : ce dispositif n'entrera pas en vigueur en septembre. Il faut retirer cette échéance des plannings et attendre une version remaniée du décret — dont le calendrier est, à ce stade, totalement ouvert.

Le vrai cadre de référence pour la cybersécurité des organisations françaises reste la transposition de NIS 2 et ses dix obligations, même si la loi Résilience reste elle-même bloquée au Parlement. Comme nous le notions dans notre analyse sur l'investissement cyber gelé par le retard de transposition, l'incertitude réglementaire ne doit pas être un prétexte à l'inaction : les fondamentaux NIS 2 (gestion des risques, politique de sécurité, notification d'incidents) sont stables et mobilisables dès maintenant.

Pour les entreprises qui proposent des services de protection contre le phishing ou les arnaques en ligne, ce blocage crée une fenêtre d'incertitude commerciale. Les clients potentiels qui attendaient un cadre réglementaire pour investir dans ce type de solutions devront s'appuyer sur des bases contractuelles et techniques, plutôt qu'une obligation légale nationale.

Enfin, pour les juristes et équipes conformité, ce dossier rappelle l'utilité de surveiller le rapport de force entre la Commission et la France sur les textes numériques. La base de données TRIS de la Commission est publique et consultable : elle constitue un signal d'alerte précoce sur les textes nationaux susceptibles d'être bloqués avant même leur publication.

Ce que Leto pense de cette décision

Ce blocage est révélateur d'une tension structurelle dans la production réglementaire française : le gouvernement légifère vite sur les enjeux numériques, mais sans toujours anticiper les conflits de compétences avec le droit européen. Le filtre anti-arnaques poursuivait un objectif légitime — protéger les Français du phishing — mais la méthode choisie, en ignorant le principe du pays d'origine, était vouée à l'échec dès lors qu'elle ciblait des acteurs transfrontaliers. La bonne approche aurait été de porter ce projet au niveau européen, dans le cadre du DSA ou d'une coopération ENISA, plutôt que de tenter une réglementation nationale aux contours extraterritoriaux.

Sources : Numerama · Notification TRIS 2026/0113/FR · ZDNet France

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026