Un projet de loi de rattrapage : impacts immédiats pour les directions juridiques
La loi Résilience arrive enfin à l’Assemblée nationale en procédure accélérée, avec un examen en séance publique qui cristallise les enjeux de la directive NIS2 pour près de 15 000 entités en France. Pour un directeur juridique, ce retard de plus de dix huit mois sur la transposition de la directive européenne crée un décalage dangereux entre les attentes de l’ANSSI en matière de cybersécurité et l’absence de cadre législatif stabilisé pour la gestion interne des risques cyber. Les groupes déjà engagés dans un projet de mise en conformité anticipée se retrouvent à devoir réajuster leurs mesures de sécurité et leurs politiques de gouvernance numérique à mesure que le projet de loi évolue en commission.
Le texte de loi Résilience transpose à la fois la directive NIS2, le règlement DORA et le règlement sur la résilience opérationnelle REC, ce qui renforce la complexité pour les entités essentielles et les entités importantes soumises à plusieurs régimes de conformité. La loi relatif à la résilience des infrastructures critiques ne se limite pas aux opérateurs historiques, puisqu’elle élargit le périmètre aux services numériques, aux acteurs de la chaîne d’approvisionnement et à de nombreuses entreprises de services B2B dont le chiffre d’affaires dépasse certains seuils fixés par la directive NIS. Cette extension massive du champ d’application, de 500 à 15 000 entités, impose un renforcement de la cybersécurité et de la sécurité des données qui transforme chaque incident cyber en crise de réputation et en risque financier chiffré en millions d’euros.
Pour les directions juridiques, l’examen de la loi Résilience à l’Assemblée nationale marque un tournant, car il fige enfin les contours du projet de loi et des futures sanctions. Les plafonds de sanctions administratives atteignent jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles, et 7 millions d’euros ou 1,4 % pour les entités importantes, ce qui impose une gouvernance active de la conformité cyber en lien étroit avec la direction financière. La résilience des infrastructures et le renforcement de la cybersécurité deviennent ainsi des sujets de conseil stratégique au conseil d’administration, au même titre que les enjeux de gouvernance ESG ou de conformité anticorruption.
Responsabilité des dirigeants, chiffrement et articulation avec DORA : le nouveau risque personnel
Le cœur de la directive NIS2, et donc de la loi Résilience, est le mécanisme de responsabilité personnelle des dirigeants pour la gestion des risques cyber et la supervision des mesures de sécurité. Les administrateurs et dirigeants exécutifs des entités essentielles devront démontrer qu’ils ont validé une stratégie de cybersécurité, suivi un référentiel cyber adapté et contrôlé la mise en conformité, sous peine de voir leur responsabilité engagée en cas de manquement grave. Pour un general counsel, cela impose de documenter les décisions du conseil, de tracer les arbitrages budgétaires et de sécuriser les délégations de pouvoirs liées à la résilience des infrastructures critiques.
Le débat autour de l’article 16 bis du projet de loi relatif à la résilience, qui sanctuarise le chiffrement en interdisant les portes dérobées, illustre la tension entre exigences de sécurité nationale et protection des données. Ce point de friction avec la DGSI oblige les directions juridiques à revisiter leurs politiques internes de sécurité, leurs clauses contractuelles avec les prestataires cloud et leurs engagements de confidentialité, afin de concilier la loi Résilience, le droit pénal et le RGPD. L’articulation avec DORA pour les entités financières ajoute une couche, puisque ces acteurs doivent gérer simultanément les obligations de la directive NIS, les exigences de résilience opérationnelle numérique et les contrôles renforcés sur les prestataires critiques de la chaîne d’approvisionnement.
Les notifications d’incident cyber en trois temps, imposées par la directive européenne et reprises par la loi relatif à la résilience, structurent désormais la gestion de crise juridique. Alerte sous vingt quatre heures, notification sous soixante douze heures, puis rapport final sous un mois créent une temporalité qui doit être intégrée dans les plans de réponse à incident, les chartes de sécurité et les procédures internes de remontée d’information. Dans ce contexte, un directeur juridique a intérêt à préparer une revue de mi année pour son COMEX, sur le modèle d’une revue juridique structurée en points clés, afin d’aligner les attentes des dirigeants avec les nouvelles obligations de résilience infrastructures et de renforcement de la cybersécurité.
Feuille de route opérationnelle pour les directeurs juridiques : de la veille législative à l’exécution
À l’approche de l’examen de la loi Résilience à l’Assemblée nationale, la veille législative ne suffit plus ; les directions juridiques doivent basculer vers une mise en conformité pilotée comme un programme de transformation. Première étape concrète, cartographier les entités concernées dans le groupe, qualifier celles qui relèvent des entités essentielles ou importantes et identifier les infrastructures critiques, les systèmes d’information sensibles et les flux de données stratégiques. Cette cartographie doit intégrer la chaîne d’approvisionnement numérique, les prestataires de services cloud, les opérateurs de télécommunications et les fournisseurs de solutions cyber France qui interviennent sur la sécurité opérationnelle.
Deuxième axe, structurer un projet de mise en conformité NIS2 en alignant la direction juridique, la DSI, la direction des risques et la direction financière autour d’un référentiel cyber unique. Les mesures techniques et organisationnelles exigées par la directive NIS et par le futur resilience act européen doivent être traduites en politiques internes, en clauses contractuelles types et en matrices de responsabilités, avec un suivi régulier en comité de pilotage. Dans cette perspective, l’expérience acquise sur d’autres textes comme l’AI Act, et les méthodes de cartographie décrites dans des ressources dédiées à la cartographie des systèmes d’IA, peuvent inspirer une approche similaire pour les actifs numériques critiques.
Troisième priorité, organiser la permanence juridique et la gouvernance de crise cyber pour absorber les nouvelles obligations de notification et de reporting. Les directeurs juridiques doivent prévoir des astreintes, des circuits de validation rapides et une coordination fine avec la communication de crise, en s’appuyant sur des bonnes pratiques d’organisation de la permanence en direction juridique afin de ne pas sacrifier la réactivité. En filigrane, la loi Résilience et la directive NIS2 transforment la conformité cyber en enjeu de gouvernance d’entreprise, où chaque incident devient un test grandeur nature de la maturité juridique, de la résilience opérationnelle et de la capacité du groupe à protéger ses données et ses actifs numériques.