Français 
English (UK) 
Analyse des conséquences du projet d’article 16 bis du projet de loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité et articulation avec le Code de la sécurité intérieure
Adoption du projet de loi et contexte européen
Transposant trois directives européennes de décembre 2022 – REC, NIS2 et DORA –, le projet de loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été adopté par le Sénat en mars 2025, puis en commission à l’Assemblée nationale en septembre de la même année.
Tandis que l’Union européenne avait fixé à octobre 2024 la date limite pour la transposition de ces directives, les présidents des deux commissions spéciales sur le projet de loi, Olivier Cadic pour le Sénat et Philippe Latombe pour l’Assemblée nationale, ont exprimé ensemble le 5 février 2026 leur préoccupation quant aux retards pris par le Gouvernement pour inscrire ce texte à l’ordre du jour de la séance publique à l’Assemblée nationale.
Selon eux, ce blocage proviendrait des services du renseignement intérieur en ce qui concerne l’article 16 bis du projet de loi, inséré par le Sénat contre l’avis du Gouvernement, et maintenu sans modification par la commission de l’Assemblée.
Sanctuarisation du chiffrement : contenu et implications de l’article 16 bis
L’article 16 bis vise à « sanctuariser » le chiffrement. En pratique, il interdirait d’imposer aux fournisseurs de services de chiffrement l’intégration de dispositifs techniques (« portes dérobées », backdoors, ou clés maîtresses) visant à affaiblir la sécurité des systèmes d’information et des communications électroniques pour permettre aux autorités d’accéder à des données protégées sans le consentement de leurs auteurs ou destinataires.
Projet d’article 16 bis du projet de loi
(tel qu’adopté par le Sénat, et par la Commission spéciale de l’Assemblée nationale)
« Il ne peut être imposé aux fournisseurs de services de chiffrement, y compris aux prestataires de services de confiance qualifiés, l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité des systèmes d’information et des communications électroniques tels que des clés de déchiffrement maîtresses ou tout autre mécanisme ou processus permettant un accès non consenti aux données protégées. »
Conséquences majeures de la sanctuarisation de la confidentialité des échanges
Promulgué en l’état, cet article constituerait une décision législative majeure en faveur de la sanctuarisation de la confidentialité des échanges par voie électronique. Il entraînerait principalement des conséquences de quatre ordres :
1. Conséquences sur la cybersécurité et l’architecture technique
C’est l’impact le plus direct. L’article valide le postulat selon lequel une vulnérabilité introduite pour les forces de l’ordre est une vulnérabilité exploitable par des criminels.
Les éditeurs de messageries (type Signal, WhatsApp) ou de services cloud ne pourraient pas être contraints de développer des mécanismes permettant à l’État d’avoir accès à des conversations chiffrées de bout en bout.
À cet égard, la mention dans l’article des « prestataires de services de confiance qualifiés » empêche l’État de contraindre une autorité de certification à créer de faux certificats pour intercepter le trafic HTTPS.
Les développeurs pourraient également concevoir des architectures où eux-mêmes n’ont pas accès aux données des utilisateurs (architecture « Zero Knowledge »), sans craindre que la loi puisse les obliger à modifier leur code pour y accéder.
2. Conséquences sur les enquêtes judiciaires et le renseignement
C’est le point de friction principal. Cet article compliquerait la tâche des services d’enquête qui s’appuient sur l’interception des communications.
La police et les services de renseignement se heurteraient à des « coffres-forts numériques » inviolables. Même avec un mandat judiciaire, le fournisseur de service serait légalement habilité à répondre qu’il n’a pas la capacité technique de déchiffrer les données recherchées.
Les enquêteurs devraient alors se concentrer sur les points terminaux, en plaçant des logiciels espions sur l’appareil (téléphone ou ordinateur), ou bien se limiter, comme en matière de documents émis par les opérateurs téléphoniques, listant les appels entrants et sortants d’un abonné (factures détaillées ou « fadettes »). Dans cette seconde hypothèse, l’accès serait limité aux seules métadonnées (qui appelle qui, quand et pour quelle durée), et exclurait le contenu des messages ou appels.
3. Conséquences économiques et industrielles
Sur le marché du numérique, cet article pourrait fournir un argument commercial puissant.
Les entreprises françaises ou hébergeant leurs données en France pourraient ainsi offrir une garantie de confidentialité supérieure, assurant à leurs clients internationaux que le droit français interdit formellement l’introduction de failles de sécurité, contrairement à d’autres États (par exemple les États-Unis avec le CLOUD Act, ou la Loi sur le renseignement national de la RP. Chine).
Dans le même sens, le Conseil des Barreaux Européens avait d’ailleurs souligné qu’alors que le droit européen impose de strictes garanties de nécessité, de proportionnalité et de contrôle pour toute atteinte à la vie privée, le CLOUD Act ne prévoyait ni notification ni voies de recours adéquates.
4. Conséquences géopolitiques
Introduit en 2022 avec le soutien d’associations et de plusieurs États membres, dont la France, une proposition de l’Union européenne prévoyait d’imposer aux éditeurs de messageries, comme WhatsApp ou Telegram, de scanner les conversations privées de leurs utilisateurs, avec l’objectif de lutter contre la pédo-criminalité.
Cependant, faute de majorité et à l’opposition de plusieurs États, dont l’Allemagne, qui considérait qu’une telle mesure portait atteinte à la vie privée, la présidence danoise de l’Union européenne a abandonné cette option le 30 octobre 2025. Une proposition le texte révisé propose désormais de se limiter à un contrôle optionnel pour les entreprises.
Articulation avec l’article L871-1 du Code de la sécurité intérieure
Issu de la loi 2015-912 du 24 juillet 2015 relative au renseignement et codifié dans le Code de la sécurité intérieure (CSI), l’article L871-1 dispose que : «Les personnes physiques ou morales qui fournissent des prestations de cryptologie visant à assurer une fonction de confidentialité sont tenues de remettre dans un délai de soixante-douze heures aux agents autorisés dans les conditions prévues à l’article L. 821-4, sur leur demande, les conventions permettant le déchiffrement des données transformées au moyen des prestations qu’elles ont fournies. Les agents autorisés peuvent demander aux fournisseurs de prestations susmentionnés de mettre eux-mêmes en œuvre dans un délai de soixante-douze heures ces conventions, sauf si ceux-ci démontrent qu’ils ne sont pas en mesure de satisfaire à ces réquisitions. »
Si ces deux textes ne s’annulent pas nécessairement, l’article 16 bis du projet de loi redéfinirait en revanche étroitement le périmètre de la contrainte légale définie dans le Code de la sécurité intérieure. Si cet article était promulgué, la pratique juridique s’orienterait alors probablement vers une distinction entre coopération sur l’existant et interdiction de modifier l’architecture.
1. La distinction fondamentale : remise contre fabrication
Pour comprendre comment ces textes cohabiteraient, il convient d’analyser l’objet de l’obligation de chaque article :
L’Article L871-1 (Code de sécurité intérieure) impose une obligation de moyens portant sur l’existant : il oblige les fournisseurs à livrer les informations de déchiffrement qu’ils possèdent ou à mettre en œuvre leurs capacités existantes pour déchiffrer. Il s’agit d’une obligation de coopération judiciaire.
L’Article 16 bis (projet de loi) pose une interdiction d’affaiblissement structurel : ce texte interdirait à l’État d’exiger qu’un fournisseur modifie son architecture de sécurité pour créer une vulnérabilité qui n’existe pas par défaut.
2. Scénarios d’application pratique
Si les deux articles étaient en vigueur simultanément, la situation varierait radicalement selon l’architecture technique du service visé.
Première hypothèse : service avec gestion centralisée des clés (Cloud classique, email standard)
- Le fournisseur détient les clés de chiffrement de l’utilisateur (chiffrement en transit ou au repos, mais pas de bout en bout). Le fournisseur possède la clé, et l’autorité peut invoquer le L871-1 CSI. Dès lors, le fournisseur est tenu de fournir les données déchiffrées.
- Dans un tel cas, l’article 16 bis du projet de loi n’est pas contredit, car il n’est pas nécessaire de créer un nouveau dispositif ou d’affaiblir la sécurité, puisque la capacité d’accès existe déjà.
- De même, sans l’article 16 bis du projet de loi, l’autorité pourrait théoriquement exiger, sous peine de sanctions, que le fournisseur mette en place une solution pour les futures communications
Seconde hypothèse : service chiffré de bout en bout (Ex: Signal, WhatsApp, Coffres-forts numériques E2EE)
- Le fournisseur ne possède pas les clés (seul l’utilisateur en dispose). Sans l’article 16 bis du projet de loi, les autorités peuvent tenter d’utiliser le L871-1 pour contraindre le fournisseur à trouver une solution technique.
- Mais, sur le fondement de cette nouvelle disposition incluse dans le projet de loi, si une autorité publique invoque l’article L871-1 du CSI, le fournisseur sera légalement en mesure de pouvoir se contenter de répondre qu’il ne dispose pas de cette clé.
- Ainsi ce texte constituerait un bouclier légal pour le fournisseur, qui rendrait inopérante toute demande fondée sur le L871-1 du CSI, laquelle impliquerait une modification du code source visant à contourner le chiffrement de bout en bout.
- Le fournisseur ne pourra donc pas être tenu de fournir les données et ne pourra pas être sanctionné pour cela.
- L’Article 16 bis du projet de loi, s’il ne supprime pas l’Article L871-1, en limite considérablement la portée, empêchant les autorités d’utiliser l’obligation de collaboration du L871-1 du CSI comme un levier pour forcer l’introduction de portes dérobées.
