L'informatique quantique n'est plus une menace lointaine : les DPO doivent agir maintenant

31/5/26
👈 les autres actualités

Dans une analyse publiée le 26 mai 2026, les experts de DLA Piper Privacy Matters posent un constat sans ambiguïté : l'informatique quantique est sur le point de rendre obsolètes les algorithmes de chiffrement sur lesquels repose l'essentiel de nos systèmes d'information. Et la menace n'est pas hypothétique — des attaques sont déjà en cours.

Ce qui s'est passé

Le calcul quantique introduit une rupture fondamentale dans l'équilibre offre/défense en cybersécurité. Là où un ordinateur classique teste les possibilités de déchiffrement une par une, un ordinateur quantique peut en traiter des millions simultanément. Cette capacité rendra progressivement inefficaces les algorithmes de chiffrement asymétrique — RSA, ECC — qui protègent aujourd'hui nos données de santé, nos transactions financières, nos communications sécurisées et nos infrastructures critiques.

Ce qui rend la menace immédiate, c'est une pratique déjà documentée par les services de renseignement : le harvest now, decrypt later. Des acteurs malveillants — États-nations et groupes criminels organisés — collectent dès aujourd'hui des données chiffrées, avec l'intention de les déchiffrer une fois que des capacités quantiques suffisantes seront disponibles. L'horizon estimé : 2028 à 2032. Les données sensibles collectées en 2026 pourraient donc être compromises dans moins de cinq ans.

Pourquoi c'est important — le cadre réglementaire s'adapte déjà

L'analyse de DLA Piper intervient dans un contexte réglementaire en pleine évolution. Le projet de loi Résilience transposant NIS 2 en droit français impose aux organisations essentielles et importantes de mettre en œuvre des mesures de sécurité à l'état de l'art — une notion qui commence explicitement à intégrer la cryptographie post-quantique dans les référentiels de l'ANSSI et de l'ENISA.

L'article 32 du RGPD, qui oblige les responsables de traitement à assurer "un niveau de sécurité adapté au risque", est directement impacté. Le risque quantique doit désormais figurer dans les analyses de risques et les AIPD pour les traitements impliquant des données sensibles à longue durée de conservation. C'est exactement le diagnostic que posait une précédente analyse de DLA Piper, qui proposait un plan d'action en quatre étapes pour les DPO.

À l'échelle de l'État, la France a inscrit la cryptographie post-quantique dans sa feuille de route cyber 2026-2030, avec 200 M€ dédiés. Ce qui était hier une précaution prospective devient une exigence de conformité implicite.

Ce que ça change pour les organisations — les actions concrètes

DLA Piper identifie quatre priorités d'action que toute organisation gérant des données sensibles devrait engager sans attendre :

  • Inventorier les actifs cryptographiques. Cartographier tous les algorithmes de chiffrement utilisés : données en transit, données au repos, échanges avec les sous-traitants. Ce bilan est le prérequis de toute stratégie de migration.
  • Identifier les données à risque. Données de santé, données biométriques, secrets industriels, correspondances confidentielles : ces actifs à forte valeur durable sont prioritaires pour la migration vers des standards crypto-résistants (CRYSTALS-Kyber, CRYSTALS-Dilithium, standardisés par le NIST en 2024).
  • Intégrer le risque quantique dans la gouvernance. L'article 32 RGPD et la directive NIS 2 l'imposent implicitement : le risque quantique doit apparaître dans les AIPD des traitements sensibles et dans les registres des risques cyber. Les organisations soumises à NIS 2 doivent documenter leur stratégie de gestion de ce risque.
  • Négocier la transition avec les fournisseurs. Clouds, éditeurs de logiciels, prestataires de paiement : vérifier leur feuille de route de migration vers des algorithmes post-quantiques et inscrire ces engagements dans les contrats et annexes de sécurité.

La convergence avec l'IA ajoute une dimension supplémentaire : les modèles d'IA peuvent déjà optimiser certaines attaques cryptanalytiques. Le tandem quantique-IA représente le scénario de menace le plus préoccupant à horizon 2030.

Ce que Leto pense de cette décision

DLA Piper a raison d'insister sur la temporalité. La fenêtre d'action se referme plus vite que la plupart des organisations ne l'anticipent. Attendre que la menace soit réelle revient à prendre deux risques simultanément : un risque de non-conformité immédiat (article 32 RGPD, NIS 2) et un risque de compromission différée sur les données les plus sensibles.

Pour les DPO, la séquence est claire : commencer par le bilan cryptographique, prioriser les traitements à fort enjeu de confidentialité durable, et inscrire la cryptographie post-quantique dans le prochain cycle de mise à jour des AIPD. Ce n'est plus de la prospective — c'est de la conformité.

Sources : DLA Piper Privacy Matters — Quantum Computing and the Future of Cyber Security

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026