La DGSI accusée de bloquer l’adoption d’une loi renforçant la cybersécurité
Direction générale de la sécurité inférieure
Deux parlementaires, ayant sanctuarisé le chiffrement de bout en bout dans le projet de loi transposant la directive européenne NIS2, accusent la DGSI d’en empêcher l’adoption au Parlement. D’après Intelligence Online, la DGSI ne parviendrait à pirater que 25 à 30 % des smartphones seulement. Un problème amené à empirer, alors que le protocole RCS va généraliser le chiffrement de bout en bout.
La directive NIS 2 (pour Network and Information Security 2), censée renforcer la cybersécurité des infrastructures critiques et des services essentiels dans l’Union européenne, impose aux États membres qu’elle soit transposée dans leur droit national avant le 17 octobre 2024.
Un projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité avait bien été déposé et adopté en première lecture au Sénat le 15 octobre 2024, mais il est bloqué à l’Assemblée depuis septembre 2025.
Le député (Les Démocrates) Philippe Latombe et le sénateur (centriste) Olivier Cadic, présidents de la commission spéciale de ce projet de loi, accusent le ministère de l’Intérieur, et plus particulièrement la Direction générale de la Sécurité intérieure (DGSI), d’en bloquer la transposition.
Dans une conférence de presse conjointe, début février, ils ont expliqué que c’est « clairement » l’introduction de l’article 16 bis dans le projet de loi qui en bloquerait, depuis, l’inscription à l’ordre du jour par le gouvernement.
Initialement introduit et défendu par Olivier Cadic afin d’ « inscrire dans la loi un principe clair de sécurité numérique », et depuis renforcé par un amendement de Philippe Latombe adopté en septembre dernier, il sanctuarise le chiffrement de bout en bout :
« Il ne peut être imposé aux fournisseurs de services de chiffrement, y compris aux prestataires de services de confiance qualifiés, l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité des systèmes d’information et des communications électroniques tels que des clés de déchiffrement maîtresses ou tout autre mécanisme ou processus permettant un accès non consenti aux données protégées. »
À l’époque, Olivier Cadic l’avait justifié au motif que « certaines initiatives législatives et réglementaires, tant au niveau national qu’international, ont cherché à imposer aux fournisseurs de services de chiffrement des obligations visant à insérer des dispositifs techniques permettant un accès aux données protégées par des tiers, notamment par les autorités publiques » :
« Ces dispositifs, communément appelés « portes dérobées » (backdoors), « clés de déchiffrement maîtresses » ou autres mécanismes d’affaiblissement volontaire de la sécurité, présentent des risques considérables pour la sécurité informatique et la protection des droits fondamentaux. »
La DGSI a un problème, la France aussi
Commentaires (13)
Le 25/02/2026 à 14h13
Le 25/02/2026 à 15h56
Modifié le 25/02/2026 à 14h40
Le 25/02/2026 à 14h46
Dans la série des phrases qui ne veulent plus rien dire en 2026, la palme revient à :
"le gouvernement engage sa responsabilité"
Le 25/02/2026 à 14h55
Le 25/02/2026 à 15h35
Le 25/02/2026 à 17h41
Viva Uruguay pour le modèle historique.
Le 25/02/2026 à 16h24
Le 25/02/2026 à 18h49
Le 25/02/2026 à 19h23
En l'absence de l'article, il me semble que rien n'autorise le gouvernement ou les forces de l'ordre/services de renseignement à imposerDonc, pour imposer ceci, il faudra une loi. Si les parlementaires ne veulent pas modifier la loi dans ce sens à ce moment, ça ne sera pas fait. Et s'ils ont changé d'avis et qu'ils veulent modifier la loi, il leur suffira à ce moment de supprimer cet article 16 bis.
J'ai l'impression que c'est un article qui ne sert à rien et qui bloque une loi de transposition importante.
Mais je rate peut-être des dispositions de la loi qui en l'absence d'interdiction explicite permettrait de telles demandes.
Le 25/02/2026 à 21h47
Le 26/02/2026 à 22h34
Je vais essayer de synthétiser les six pages de commentaires.
TLDR;
Les opérateurs et fournisseurs de communications électroniques et services sur internet ont déjà des obligations de déchiffrement des données sur réquisition des services de renseignements dans certains cas. Le recueil et la mise en oeuvre des techniques de renseignements par ceux-ci est contrôlé par la CNCTR.
L'article 16bis vise à empêcher la systématisation de ces obligations et à éviter de créer (légalement) des passoires.
---------------
Les opérateurs de communications électroniques et services sur internet ont des obligations issues du code des postes et des communications électroniques (CPCE) et du code de la sécurité intérieure (CSI).
Ces obligations sont de l'ordre de la conservation de certaines données et informations pendant un an en général et jusqu'à cinq ans (par ex. identité civile d'un utilisateur) après la fin d'un contrat ou de la connexion
(art. L33-1, art. L34-1 du CPCE). Il ne s'agit ici que des métadonnées, pas du contenu des communications.
Le CSI prévoit à travers les articles L. 851-1 à 851-6, L. 852-1, L853-2 et L. 871-1 à L871-6, à la demande des agents de renseignements, la remise des conventions de déchiffrements "des données transformées au moyen des prestations" de cryptologie que les opérateurs et fournisseurs de services sur internet fournissent.
Le déchiffrement des données peut être également demandé aux opérateurs eux-mêmes.
La transmission de la convention de déchiffrement est obligatoire, sauf si le fournisseur démontre qu'il ne peut pas obéir à la réquisition.
Le commentaire de l'article relève alors l'impossibilité pour les fournisseurs d'obéir aux réquisitions des services de renseignements dans le cas du chiffrement de bout en bout, même s'ils peuvent toujours fournir les métadonnées.
Une partie des articles cités du CSI détaille les modalités et les cas de mise en oeuvre des réquisitions, sous le contrôle de la CNCTR.
Les sanctions en cas de non-respect des obligations par les opérateurs sont prévues au CSI, qui renvoie vers le code pénal.
Le Sénat a introduit cet article par amendement et la voix d'Olivier Cadic, en même temps que le gouvernement - et sans doute la DGSI (ndr) - cherchait à permettre l'introduction de portes dérobées dans les messageries chiffrées au sein de l'article 8ter de la loi dite "Narcotrafic".
L'exploitation par les "autorités prévues mais également par les acteurs malveillants" est l'argument retenu contre cette introduction des portes dérobées.
L'Assemblée Nationale a même élargi le périmètre de l'article 16bis afin d'y inclure tout processus amenant au même résultat que les portes dérobées, comme une remise systématique des clés privées.
CNCTR : commission nationale de contrôle des techniques de renseignements.
Une convention de (dé)chiffrement est le terme légal retenu par la LCEN (2004-575) pour la mise en oeuvre du (dé)chiffrement.
Le 27/02/2026 à 09h51
Cela me renforce dans mon analyse première. Je connaissais l'état de la loi sur les points cités.
Celle-ci ne permet pas d'imposer un affaiblissement du chiffrement ni la remise systématique des clés privées.
Comme rappelé, le gouvernement a essayé de faire passer par la loi ce que l'on a appelé porte dérobée et qui était lors des dernières idées de la DGSI l'envoi des données avant chiffrement aux force de l'ordre à la demande en parallèle de l'envoi aux destinataires.
Donc si un gouvernement veut remettre le sujet sur la table, il supprimerait cet article interdisant les portes dérobées.
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?