La rentrée parlementaire s’annonce mouvementée pour le projet de loi « résilience » qui doit notamment transposer en droit français les directives NIS 2 et REC, ainsi que la directive du 14 décembre 2022 accompagnant le règlement DORA.
Malgré l’incertitude politique (on promet que la commission spéciale siégera même en cas de chute du gouvernement), le calendrier est maintenu : l’examen du texte débute ce mardi 9 septembre et s’étalera jusqu’au 11.
Or, la transposition de NIS 2 n’arrive pas seule ; elle arrive escortée d’un débat qui la déborde largement : faut‑il, ou non, affaiblir les messageries chiffrées pour créer un accès réservé aux autorités ?
Tout commence en février 2025, lors de la proposition de loi sur le narcotrafic. Le Sénat avait alors voté un amendement imposant aux applications chiffrées (Signal, WhatsApp…) de ménager un accès réservé aux services de renseignement. Défendue avec insistance par le ministre de l’Intérieur, Bruno Retailleau, la mesure avait suscité une vive opposition dans l’écosystème numérique et chez de nombreux députés. L’Assemblée nationale l’avait finalement supprimée.
Coup de théâtre quelques semaines plus tard : le 12 mars, lors de l’examen du projet de loi « Résilience » au Sénat, qui doit notamment transposé NIS 2, un amendement fut adopté. Celui-ci interdit explicitement tout affaiblissement du chiffrement en proscrivant les « portes dérobées ».
Autrement dit, aucune autorité ne pourrait contraindre un fournisseur à affaiblir volontairement la protection de ses services.
Le revirement est déroutant : un mois après avoir réclamé des portes dérobés, le Sénat se pose désormais en protecteur du chiffrement, en voulant le sanctuariser au sein d’un article 16bis dans le projet de loi qui transpose notamment NIS 2.
À la veille des discussions en commission spéciale (9–11 septembre), cet article 16 bis s’annonce comme le principal point de friction. Le gouvernement s’est prononcé contre son maintien. Mais l’Assemblée nationale suivra-t-elle le Sénat en inscrivant noir sur blanc l’interdiction des portes dérobées dans la loi ?
Sur le fond, c’est un vieux débat qui revient régulièrement sur la table.: existe-t-il vraiment un moyen d’accorder un accès exceptionnel aux messageries sécurisés aux forces de l’ordre sans créer de vulnérabilité pour l’ensemble des utilisateurs ?
Les experts auditionnés en juillet par l’Assemblée nationale, dont la messagerie française Olvid et Mozilla, ont rappelé qu’aucune solution technique ne permet de créer un accès réservé aux autorités sans introduire une faille exploitable par d’autres. L’ANSSI s’est également toujours prononcée contre tout affaiblissement généralisé des moyens cryptographiques.
Ce consensus technique en faveur d’un chiffrement fort pèse lourd, et explique sans dote pourquoi une partie significative des députés, tous bords confondus, s’oppose désormais à toute disposition légale affaiblissant les outils de sécurisation des communications.
Rappelons l’essentiel : le PJL « résilience » est le véhicule de transposition de textes majeurs en matière de cybérsécurité. Si le législateur doit arbitrer, la résilience n’a de sens qu’adossée à un chiffrement fort. Les auditions l’ont montré, la technique du « fantôme » ou toute porte dérobée revient à affaiblir la sécurité pour tous.
Autrement dit, une cybersécurité robuste passe nécessairement par un chiffrement fort, sans laisser de clé (de déchiffrement) sous le paillasson.