Article 16bis : le debat sur les backdoors qui bloque NIS2 en France
L'article 16bis du projet de loi Résilience interdit les portes derobees dans le chiffrement de bout en bout. La DGSI s'y oppose. Ce bras de fer politique retarde toute la transposition de la directive NIS2 en France.
L'article 16bis a ete introduit par le Senat lors de l'adoption en première lecture le 12 mars 2025. Il est devenu le principal point de blocage du texte a l'Assemblee nationale.
De quoi parle-t-on ?
Le chiffrement de bout en bout (E2EE) est une technologie qui garantit que seuls l'expéditeur et le destinataire d'un message peuvent en lire le contenu. Aucun intermediaire - pas même le fournisseur du service - ne peut acceder aux donnees en clair. C'est le socle de la sécurité des messageries (Signal, WhatsApp, iMessage) et de nombreux services cloud.
Une backdoor est une porte derobee volontairement introduite dans le système de chiffrement pour permettre à un tiers (typiquement les services de renseignement) d'acceder aux communications chiffrees.
La position du Senat
L'article 16bis affirme que les mesures de cybersécurité imposees par NIS2 ne peuvent pas conduire a affaiblir le chiffrement de bout en bout. Cette disposition protege les entités NIS2 : elles ne peuvent pas être contraintes d'introduire des failles dans leurs systèmes de chiffrement sous pretexte de conformité reglementaire.
Le raisonnement est logique : NIS2 vise a renforcer la cybersécurité. Imposer des backdoors reviendrait a affaiblir la sécurité des systèmes, ce qui est contradictoire avec l'objectif de la directive.
La position de la DGSI
La Direction générale de la sécurité intérieure (DGSI) s'oppose a cette disposition. Ses arguments :
- Le chiffrement E2EE empeche l'accès aux communications de suspects dans le cadre d'enquetes judiciaires et de renseignement.
- Les terroristes et criminels utilisent massivement les messageries chiffrees.
- Un accès encadre juridiquement serait nécessaire pour les services de sécurité.
Un debat europeen plus large
Ce debat n'est pas propre à la France. L'Union europeenne discute depuis plusieurs années d'un mecanisme d'accès aux donnees chiffrees dans le cadre de la proposition CSA2 (Child Sexual Abuse). L'avis conjoint CEPD 4/2026 du 18 mars 2026 s'oppose à tout affaiblissement du chiffrement.
Impact sur le calendrier NIS2
Le bras de fer autour de l'article 16bis a repousse l'examen en hemicycle a juillet 2026. Les entités concernees par NIS2 subissent ce retard mais doivent neanmoins se préparer. Le ReCyF de l'ANSSI fournit déjà le cadre opérationnel. Voir le calendrier complet et le guide de mise en conformité.
Sources
- Senat, debats en seance, 12 mars 2025
- Avis CEPD 4/2026, 18 mars 2026
- Banque des Territoires, P. Latombe, 2026