NIS 2 : la Commission européenne saisit la CJUE contre la France

18/7/26
👈 les autres actualités

La Commission européenne est passée à l'acte. Elle vient de saisir la Cour de justice de l'Union européenne (CJUE) contre la France, l'Espagne, l'Irlande et les Pays-Bas pour défaut de transposition de la directive NIS 2 sur la cybersécurité des réseaux et systèmes d'information. Bruxelles réclame désormais aux juges de Luxembourg une amende forfaitaire assortie d'astreintes journalières — une facture qui s'alourdit chaque jour où le texte reste en souffrance au Parlement français.

Ce qui s'est passé

L'échéance de transposition de la directive NIS 2 dans les droits nationaux était fixée au 17 octobre 2024. Vingt-trois États membres avaient manqué ce délai. Après mises en demeure et avis motivés, dix-neuf d'entre eux ont depuis régularisé leur situation. Il ne reste que quatre mauvais élèves — dont la France — désormais renvoyés devant la CJUE.

Le blocage français ne tient pas à un simple retard de calendrier. Le projet de loi relatif à « la résilience des infrastructures critiques et au renforcement de la cybersécurité », qui porte la transposition, achoppe sur son article 16 : l'interdiction, pour les fournisseurs de services de chiffrement, d'intégrer des portes dérobées dans leurs produits. Certains parlementaires redoutent qu'une telle interdiction n'entrave l'accès des services de renseignement aux communications chiffrées sous contrôle judiciaire — un bras de fer que Leto détaille dans son analyse de l'article anti-portes dérobées. Résultat : le texte, une nouvelle fois absent de la session parlementaire extraordinaire de juillet, glisse à septembre 2026 — un report que Leto documentait déjà début juillet, et que la saisine de la CJUE vient désormais aggraver.

Pourquoi c'est important

Leto annonçait dès juin cette saisine comme imminente : elle est désormais actée, et le ton de la Commission a changé de registre. Passer du stade de l'avis motivé à celui d'un recours devant la CJUE signifie que Bruxelles ne se contente plus d'attendre — elle chiffre le coût du retard. Vincent Strubel, directeur général de l'ANSSI, a lui-même reconnu devant le Sénat que ce retard n'était « pas acceptable », tout en rappelant que les entreprises n'ont pas à l'attendre pour se mettre en conformité. Fabrice Bru, président du CESIN, va plus loin : l'incertitude réglementaire « perturbe la commande cyber et ralentit les décisions d'investissement » — y compris chez les organisations déjà soumises à d'autres cadres, tant NIS 2 élargit les périmètres et les niveaux d'exigence.

Pour un DPO ou un RSSI, ce contentieux européen n'est donc pas une simple péripétie institutionnelle : c'est un signal que le calendrier de mise en conformité va se resserrer brutalement une fois la loi votée, avec des délais d'application probablement raccourcis pour compenser le retard pris.

Ce que ça change pour les organisations

Rien, sur le fond, ne justifie d'attendre le vote de la loi. Les fondamentaux de NIS 2 restent stables et connus depuis l'adoption du texte européen en 2022 : analyse de risques, politique de sécurité des systèmes d'information, gestion des vulnérabilités, plan de continuité, formation des dirigeants et notification des incidents significatifs sous 24 heures. Les organisations relevant des dix-huit secteurs visés — et qui dépassent les seuils de taille — ont donc intérêt à engager dès maintenant un diagnostic de conformité plutôt que d'attendre un texte dont l'entrée en vigueur pourrait être précipitée par la pression judiciaire européenne. L'article 32 du RGPD, qui impose déjà des mesures de sécurité à l'état de l'art, constitue à ce titre un socle réutilisable pour amorcer la mise en conformité NIS 2.

Ce que Leto pense de cette décision

Cette saisine était prévisible, et c'est justement ce qui la rend inquiétante : la France a eu deux ans pour transposer un texte dont les grandes lignes n'ont pas varié, et le blocage tient moins à des divergences techniques qu'à un désaccord politique sur le chiffrement, sans lien direct avec l'essentiel du texte. Les organisations qui ont fait le pari d'attendre une version définitive du droit français avant d'agir sont aujourd'hui les plus exposées : quand la loi sera votée, dans un climat de pression judiciaire, les délais de mise en conformité seront courts. Mieux vaut avancer maintenant sur des bases stables que de subir un rattrapage dans l'urgence.

Sources : Silicon.fr, « Ce que risque la France pour ne pas avoir transposé NIS 2 », Commission européenne, communiqué de presse

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo