Panorama juridique cyber 2026, ce que j’en ai retenu en tant qu’étudiant

Disclaimer. Je ne suis ni juriste ni avocat. Ce qui suit, c’est ce que j’ai pu saisir d’un événement du CLUSIR sur l’évolution du cadre juridique en cybersécurité. J’y suis allé par pure découverte et intérêt intellectuel, sans aucune expertise dans le domaine. Mais connaître le sujet, ne serait-ce qu’à titre de veille intellectuelle, ça me paraît important pour quelqu’un qui se forme dans ce secteur.

J’ai assisté en visio à une session de veille juridique organisée par le CLUSIR ARA, l’association régionale de cybersécurité en Auvergne-Rhône-Alpes. Une bonne heure animée par deux juristes, à dérouler l’état du paysage réglementaire cyber en 2026. Chaque texte, chaque sanction, chaque échéance.

Je n’ai pas tout suivi. Certains passages sur les Omnibus européens m’ont franchement perdu. Il faudra que je relise tranquillement. Mais d’autres parties m’ont accroché, et ce sont celles-là que je veux poser ici, autant pour moi que pour quiconque tomberait sur l’article.

NIS2 : toujours pas transposée, mais le train avance quand même

C’est le point qui m’a le plus accroché. La directive NIS2 est censée être transposée en droit français depuis fin 2024. On est en mai 2026, et le texte est toujours bloqué quelque part entre le Sénat et l’Assemblée. Le projet de loi a été adopté en première lecture au Sénat en mars 2025, et il est attendu à l’Assemblée nationale, “peut-être en juillet 2026” selon les intervenants, avec des guillemets implicites bien audibles.

Ce qui bloque, c’est un amendement intégré au Sénat sur des questions de backdoor. Je n’ai pas saisi tous les détails parlementaires et je ne vais pas faire semblant.

Ce qui est plus intéressant pour quelqu’un comme moi, c’est que l’ANSSI n’a pas attendu la loi. Elle a publié en mars 2026 le référentiel RECIF, qui structure les objectifs de sécurité pour les futures entités essentielles et importantes autour de quatre axes : gouvernance, protection, défense, résilience. Officiellement le RECIF n’est pas désigné comme le texte de référence pour NIS2, puisque la loi n’existe pas encore. Mais en off, personne ne s’en cache. Ce sera lui.

Un point que j’ai noté dans ma session du soir, c’est que le RECIF place explicitement la définition du cadre de gouvernance sous la responsabilité du dirigeant exécutif. Quand on s’intéresse à la GRC, c’est exactement le genre de levier dont un RSSI a besoin pour faire remonter les sujets au comité de direction. Un texte sur la table, ça change la conversation.

Autre changement, qui vient cette fois du paquet Omnibus européen : le seuil de qualification en entité essentielle est rehaussé. En dessous de 750 salariés, on sera désormais au maximum entité importante. Ça réduit le périmètre des obligations les plus lourdes pour une bonne partie des entreprises. Sur le papier c’est de la simplification. Dans la pratique j’ai cru comprendre que les juristes étaient mitigés sur l’allègement réel, mais là encore je ne vais pas trancher.

Les sanctions CNIL, deux cas qui parlent même à un débutant

Cette partie m’a sorti de la fatigue. On était enfin sur du concret, du nominatif, avec des chiffres et des noms.

Free Mobile, 42 millions d’euros, en janvier 2026. Fuite de données abonnés incluant des IBAN. Parmi les manquements retenus par la CNIL, un VPN insuffisamment sécurisé, et une information aux personnes concernées jugée incomplète lors de la notification de la violation. Ce deuxième point m’a frappé. Ce n’est pas seulement l’incident qui est sanctionné, c’est aussi la façon dont il a été géré et communiqué après coup. Je n’avais pas réalisé que la qualité de la notification pesait autant dans la sanction.

France Travail, 5 millions d’euros pour un manquement à la sécurité des données. Le détail qui a fait réagir tout le monde pendant la session, c’est un seuil de 50 tentatives d’authentification avant blocage du compte. Cinquante. Je l’écris en toutes lettres parce que je n’arrive toujours pas à le croire. C’est le genre de paramètre qu’on règle dans une stratégie de mot de passe en cinq secondes sur un Active Directory de base.

Ce que je retiens, c’est que les manquements sanctionnés ne sont pas forcément des attaques sophistiquées ou des architectures exotiques. Un VPN mal configuré, une politique de verrouillage absente, ce sont des points de contrôle basiques que n’importe quel technicien peut adresser dans son périmètre. Et quand on parle de 5 ou 42 millions d’euros, ces “détails” n’en sont plus.

L’ANSSI, beaucoup de publications, des signaux à capter

Les intervenants ont déroulé les publications de l’ANSSI sur la période 2025-début 2026. Il y en a beaucoup. Trois mots-clés ressortaient selon eux : chiffrement, durcissement, et un effort net de vulgarisation avec une série de documents appelés les essentiels, des synthèses courtes de bonnes pratiques.

Deux publications mentionnées qui m’intéressent particulièrement :

  • Un document conjoint ANSSI / BSI (l’homologue allemand) sur des critères de souveraineté du cloud, paru fin 2025. Le sujet de la souveraineté cloud revient partout en ce moment, et avoir un document franco-allemand sur les critères, ça me semble utile à connaître.
  • Un document sur le SBOM (Software Bill of Materials, la liste des composants logiciels) dans une perspective cybersécurité. La sécurité de la chaîne logicielle, je commence à comprendre que c’est un sujet beaucoup plus large que ce que je pensais.

Plus largement, un angle qui a émergé pendant la session m’a marqué. La prise en compte des risques non techniques dans la chaîne d’approvisionnement TIC. Les risques géopolitiques, les dépendances à des fournisseurs basés dans certains pays tiers. C’est intégré dans le paquet Cybersecurity Act 2 au niveau européen, avec un mécanisme d’évaluation pour les entités essentielles et importantes, et la possibilité de désigner certains fournisseurs ou pays comme à haut risque. Quelqu’un a posé la question des États-Unis. La réponse a été prudente, sans nier que ça pouvait concerner d’autres pays que ceux qu’on a en tête en premier.

Ce que j’en retiens

Je ne vais pas prétendre avoir tout digéré. La partie sur les obligations de notification, qui doit notifier quoi, à qui, dans quel délai, selon quel texte, m’a échappé sur plusieurs passages. J’ai compris que c’était complexe, que ça allait se simplifier en partie avec un guichet unique européen, et que même les juristes présents reconnaissaient qu’il manquait des réponses claires sur certains points. Quand les experts disent “on ne sait pas encore”, ce n’est jamais bon signe pour les praticiens.

Ce qui reste solide dans ma tête après la session : NIS2 va finir par arriver, le RECIF est là et structure le terrain, les entités potentiellement concernées ont intérêt à se positionner. Les sanctions CNIL sur la sécurité des données portent souvent sur des manquements techniques basiques, pas sur des sujets de haute voltige. L’ANSSI publie des ressources accessibles que je n’exploite pas assez aujourd’hui.

Pour quelqu’un comme moi qui vise une orientation GRC et sécurité cloud, ce type de veille a un intérêt direct, même sans formation juridique. Le contexte réglementaire fait partie du décor dans lequel les RSSI travaillent. Connaître les grandes lignes et les sanctions récentes, c’est se donner du vocabulaire et des repères. Je ne deviendrai pas juriste, et ce n’est pas le but. Mais rester complètement à côté de ce paysage me semble difficilement défendable quand on prétend travailler dans la cyber.

J’y retournerai. Probablement aux prochaines sessions du CLUSIR, qui mettent à disposition ce genre de veille gratuitement. Et ça, ça mérite d’être dit.

Session de veille animée par les juristes du CLUSIR ARA, mai 2026. Les textes mentionnés (RECIF, NIS2, CRA, AI Act, RGPD) sont accessibles sur les sites de l’ANSSI, de l’EUR-Lex et de la CNIL. Cet article est une synthèse personnelle à des fins de veille, pas un conseil juridique.