Réponse en séance, et publiée le 25 mars 2026

DIRECTIVE EUROPÉENNE NIS 2
Mme la présidente . La parole est à M. Philippe Latombe, pour exposer sa question, no 623, relative à la directive européenne NIS 2.

M. Philippe Latombe . À la suite de la cyberattaque de grande ampleur qui vient de toucher le logiciel de Cegedim Santé, le gouvernement a demandé à cette entreprise d'accélérer sa mise en conformité avec la directive européenne NIS 2 – relative à la cybersécurité – et avec le Cyber Resilience Act – le règlement européen relatif aux exigences de cybersécurité –, et de renforcer immédiatement sa cybersécurité.

Madame la ministre déléguée chargée de l'intelligence artificielle et du numérique, votre communication souligne notamment que « la protection des données est une urgence absolue ». Loin de moi l'idée de contredire une telle affirmation, frappée au coin du bon sens ! Je me dois cependant de vous rappeler que la transposition de la directive NIS 2 n'est toujours pas effective et que le gouvernement a repoussé à la session extraordinaire de juillet prochain, au mieux, l'examen en séance publique du texte qui lui est dédié. Pourtant, ce projet de loi – relatif à la résidence des infrastructures critiques et au renforcement de la cybersécurité – a été voté en commission spéciale dès septembre dernier, à l'unanimité, et ne devrait pas occuper longtemps l'agenda législatif.

Comment l'État, lui-même fort en retard pour le respect de ses obligations européennes, peut-il demander à une entreprise de se conformer à une directive qui n'a toujours pas été transposée dans sa propre réglementation ? Nemo auditur : nul ne peut se prévaloir de sa propre turpitude. En d'autres termes et de façon plus imagée, on ne peut pas casser la vitre et réclamer le remboursement du courant d'air ! Le projet de loi « résilience », que je viens de mentionner, est une « urgence absolue » – je reprends à dessein les termes de votre communication. Ma question est simple : dans un contexte international particulièrement dégradé, pensez-vous raisonnable d'attendre juillet pour en achever l'examen ?

Mme la présidente . La parole est à Mme la ministre déléguée chargée de l'intelligence artificielle et du numérique.

Mme Anne Le Hénanff, ministre déléguée chargée de l'intelligence artificielle et du numérique . Je vous remercie pour votre question. Je sais que ce sujet vous tient à cœur tout autant qu'à moi. Je suis moi aussi attachée au texte que vous avez évoqué, pour avoir été rapporteure de son titre II, qui transpose la directive NIS 2.

Je réponds à votre question en plusieurs points. Tout d'abord, s'agissant de la cyberattaque contre Cegedim Santé, ma collègue Stéphanie Rist, ministre de la santé, et moi-même avons souhaité nous entretenir avec des représentants de l'entreprise pour comprendre ce qui s'était passé et obtenir des réponses à nos interrogations. Compte tenu des informations que l'entreprise nous a communiquées lors de cet entretien, ma collègue et moi lui avons en effet enjoint d'accélérer sa mise en conformité avec la directive NIS 2. Il s'agit bien d'une demande d'accélération puisque Cegedim Santé, tout comme de très nombreuses entreprises – nous pouvons évidemment nous en réjouir –, se prépare depuis longtemps à l'entrée en vigueur des dispositions de cette directive. En clair, les entreprises ne nous ont pas attendus pour tendre vers cette conformité.

L'Agence nationale de la sécurité des systèmes d’information (Anssi) communique d'ailleurs de longue date sur la nécessité de se mettre en conformité avec la directive NIS 2 sans attendre l'adoption du projet de loi « résilience », dans la mesure où certaines obligations peuvent d'ores et déjà être anticipées. Très récemment, l'Anssi a publié une version bêta du référentiel Cyber France, qui établit la liste des mesures recommandées pour atteindre les objectifs de sécurité fixés par la directive NIS 2.

En l'espèce, Cegedim Santé sera une « entité essentielle » au sens de la directive NIS 2. Elle sera donc assujettie à toute une série de mesures de cybersécurité qui sont d'ores et déjà connues d'elle et qui figurent dans la version bêta du référentiel. Elle sera également soumise à un certain nombre d'obligations telles que la notification obligatoire à l'Anssi des incidents de cybersécurité. Notons d'ailleurs qu'elle n'avait pas notifié la cyberattaque dont vous avez fait état – elle n'y était pas obligée. Lorsque le texte sera transposé, elle aura une telle obligation.

Si un certain nombre de dispositions de NIS 2 doivent encore être transposées – ce qui est l'objet du projet de loi « résilience » – une mise en conformité s'anticipe, surtout lorsqu'elle concerne un projet de loi de transposition d'une directive européenne.

De plus, vous le savez mieux que quiconque, monsieur Latombe : la cybersécurité est l'affaire de tous. Chacun doit prendre ses responsabilités et l'État prend les siennes en renforçant continuellement les règles de cybersécurité applicables dans ses administrations. Avec l'aide de tous les agents, nous comptons poursuivre dans cette voie !

Après discussion avec les groupes politiques sur le calendrier parlementaire, et compte tenu de l'encombrement de l'ordre du jour, le projet de loi « résilience » sera examiné par l'Assemblée nationale en juillet. Soyez assuré que je suis pleinement mobilisée pour que ce texte soit bien débattu à cette date car il y va de la cybersécurité de tous et, je dirais même, de la cyberrésilience de la nation.

Vous avez rappelé que le contexte actuel, marqué par une recrudescence des cyberattaques, nécessite que nous agissions. Le gouvernement est déterminé à le faire.

Mme la présidente . La parole est à M. Philippe Latombe.

M. Philippe Latombe . Je vous remercie de votre réponse mais, chaque jour, des fuites de données se produisent – aujourd'hui, c'est du côté de l'éducation nationale et de son système Compas. Cela constitue un vrai problème d'hygiène numérique de base, y compris pour l'État. À chaque fois, il s'agit d'attaques de faible niveau technique ; la difficulté résidant très souvent dans l'absence d'authentification multifacteur. Le temps presse pour le secteur privé comme pour le secteur public ; nous avons besoin de deux à trois jours de fenêtre législative : si une opportunité se présente, saisissons-la !

Nous faisons face à deux vrais problèmes : au niveau européen, la France est vue comme un pays qui transpose les directives européennes avec beaucoup de retard et l'Union européenne commence à penser que passer par des règlements, qui ne nécessitent pas de transposition, serait plus simple, ce qui pose un problème d'expression démocratique. Ensuite, alors que nous sommes un des moteurs de l'Europe, la France a un problème d'exemplarité sur le sujet.

Enfin, puisque – vous l'avez dit – la directive s'applique, la vraie difficulté serait qu'une attaque génère un procès en responsabilité contre l'État pour non-transposition et que le juge judiciaire procède à une transposition de facto. Il nous faut régler le problème le plus vite possible.