Loi Résilience et NIS 2 : l'article anti-portes dérobées cristallise la guerre entre cybersécurité et renseignement
La délégation parlementaire au renseignement vient de tirer le signal d'alarme sur un article du futur projet de loi « Résilience », le texte qui transpose la directive NIS 2 en droit français. En cause : une disposition qui, selon ses membres, pourrait couper les services de renseignement de leur accès aux communications chiffrées. Pour les 15 000 organisations visées par NIS 2, c'est un nouveau signal que la transposition française ne sera pas une simple formalité administrative.
Ce qui s'est passé
Lundi 4 mai 2026, les membres de la délégation parlementaire au renseignement — huit députés et sénateurs — ont formellement alerté sur les risques que ferait peser l'article 16 bis du projet de loi Résilience sur les capacités opérationnelles du renseignement français.
Cet article 16 bis, porté par le sénateur Olivier Cadic (Union centriste), a pour objectif d'inscrire dans la loi l'interdiction, pour les fournisseurs de services de chiffrement, d'intégrer des portes dérobées (backdoors) dans leurs produits. Une mesure saluée par les experts en cybersécurité, qui voient dans ces accès forcés une menace structurelle pour la sécurité de l'ensemble des utilisateurs — y compris les entreprises et administrations visées par NIS 2.
Mais pour la délégation au renseignement, c'est précisément cette disposition qui pose problème. Selon eux, l'article 16 bis « paraît aller au-delà des ambitions initiales de ses auteurs » et présente « un risque majeur pour la politique publique du renseignement ». Ils craignent qu'il empêche les services d'accéder, même de manière ciblée et sous contrôle judiciaire, aux communications chiffrées d'individus sous surveillance. La loi française oblige actuellement les opérateurs de télécommunications à coopérer avec les autorités dans ce cadre — une coopération qui serait, selon eux, compromise.
Pourquoi c'est important — un débat au cœur de NIS 2
Ce bras de fer n'est pas nouveau. Le débat chiffrement versus renseignement est une constante du droit numérique depuis les années 1990. Mais dans le contexte de la transposition de NIS 2, il prend une dimension inédite : c'est précisément la loi censée renforcer la cybersécurité française qui devient le terrain de cette bataille.
La directive NIS 2 impose de nouvelles obligations à quelque 15 000 organisations françaises dans 18 secteurs (santé, énergie, eau, transports, gestion des déchets…). Ces entités, classées « essentielles » ou « importantes », devront renforcer leurs défenses, déclarer leurs incidents de sécurité à l'ANSSI et mettre en place des mesures de gestion des risques conformes à l'état de l'art. Un état de l'art qui, justement, inclut le chiffrement de bout en bout comme bonne pratique fondamentale — comme le rappelle notre guide sur la politique de sécurité informatique.
C'est là le paradoxe central : si le chiffrement fort est la colonne vertébrale de NIS 2, comment le concilier avec des exigences de renseignement légitimes ? La délégation propose un compromis : permettre un accès ciblé aux données chiffrées, comparable aux écoutes téléphoniques traditionnelles, sans « abaissement généralisé du niveau de sécurité ». Un groupe d'experts de la Commission européenne travaille actuellement sur cette question, et le gouvernement a confié depuis janvier 2026 une mission sur le chiffrement de bout en bout au député Florent Boudié.
À noter que la doctrine cyber française se durcit en parallèle. Depuis le piratage de l'ANTS mi-avril 2026, la France a renforcé sa stratégie cyber offensive et sa feuille de route NIS 2 s'étend désormais jusqu'en 2030, comme l'illustrait notre analyse de la feuille de route cybersécurité de l'État.
Ce que ça change pour les organisations
Pour les 15 000 entités concernées par NIS 2, cet épisode parlementaire envoie un message clair : la transposition française du texte européen sera le théâtre d'arbitrages politiques qui peuvent en modifier la portée. Le projet de loi Résilience doit être examiné par l'Assemblée nationale en juillet 2026. D'ici là, plusieurs scénarios restent ouverts :
L'article 16 bis peut être amendé pour ménager une exception encadrée en faveur du renseignement, sur le modèle des dispositions actuelles du code de sécurité intérieure. Il peut aussi être supprimé, au risque d'affaiblir la protection du chiffrement dans le droit français. Ou il peut être maintenu tel quel, au prix d'un conflit durable avec les services spécialisés.
Pour les DPO et RSSI, la leçon pratique est immédiate : le calendrier de mise en conformité NIS 2 reste celui fixé par l'ANSSI — mais les textes d'application peuvent encore évoluer jusqu'au vote final. Il est donc imprudent d'attendre la version définitive pour engager les chantiers de sécurité (cartographie des actifs, politique de gestion des risques, plan de réponse aux incidents). Ces obligations sont déjà dans la directive, quel que soit le sort de l'article 16 bis.
Ce que Leto pense de cette décision
La délégation au renseignement a raison de soulever le débat — mais ses arguments restent fragiles. Assimiler l'accès ciblé aux communications chiffrées aux écoutes téléphoniques classiques, c'est ignorer une réalité technique fondamentale : une porte dérobée, même « ciblée », fragilise l'ensemble du système pour tous les utilisateurs. Les services de renseignement de pays moins scrupuleux en profiteraient aussi vite que les services français agissant dans le cadre légal. L'article 16 bis, dans sa version actuelle, protège non seulement les libertés individuelles mais aussi la souveraineté numérique des entreprises françaises soumises à NIS 2. C'est précisément ce que la directive cherche à renforcer.
Sources : ZDNet France — Loi Résilience et directive NIS 2 (mai 2026)
