Adopté mi-mars en première lecture au Sénat, le projet de loi dit « résilience » lance la transposition en droit français de la directive européenne relative à la cybersécurité NIS 2. Un sujet qui a de quoi préoccuper les dirigeants des 15 000 entités françaises concernées.
Les dirigeants des entités concernées par NIS 2 risquent-ils de voir leur responsabilité pénale engagée ? Cette idée effleure souvent les esprits, alors que le cadre réglementaire final se fait attendre : la directive européenne, destinée à assurer un niveau élevé de cybersécurité dans l’ensemble de l’Union européenne, n’a pas encore été transposée en droit français en dépit de la date butoir d’octobre 2024. Et même si le projet de loi dit « résilience » a été adopté en première lecture par le Sénat, mi-mars, il reste à savoir où l’Assemblée nationale posera les curseurs, avant que ne circulent les décrets d’application. Une perspective attendue au mieux avant l’été, mais cette échéance est peu probable au regard de la façon dont le corpus législatif évolue depuis mi-2024.
Seule certitude, à date : la responsabilité pénale des dirigeants ne figure pas dans l’accord conclu entre les 27 Etats membres. Mais chacun de ces derniers ayant toute latitude pour aller plus loin que la directive, il se dit que la France pourrait faire du zèle comme au moment de s’approprier le règlement général sur la protection des données (RGPD). Pour les avocats spécialisés, en revanche, c’est peu probable.
Double régime de sanctions
Pour l’heure, c’est un double régime qui est prévu en cas de manquement à NIS 2. Primo, des sanctions pécuniaires à l’encontre des deux catégories de structures telles que définies dans le texte : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles, et jusqu’à 7 millions ou 1,4 % du chiffre d’affaires mondial pour les entités importantes. Secundo, une responsabilité personnelle du dirigeant qui pourra notamment – à la demande de la future commission des sanctions de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) – faire l’objet d’une interdiction provisoire d’exercer, le temps de la mise en conformité de l’entité concernée.
En résumé, les pénalités seraient de nature administrative. « Il semble que le projet de loi de transposition opte, en l’état des travaux, pour une dépénalisation des sanctions, analyse Camille Potier, associée du cabinet d’avocats Chatain Associés. Qui plus est, l’interdiction provisoire d’exercer devrait être une solution de dernier recours, réservée aux cas de refus persistant de se soumettre à une injonction. La procédure devant la commission des sanctions devrait être détaillée, avec toutes les garanties des droits de la défense. Et surtout, il faudra assurer la séparation des activités de conseil et d’accompagnement de l’ANSSI de celles de contrôle pouvant aboutir à la saisine de la commission des sanctions, placée auprès du Premier ministre. »
D’où peut donc provenir cette idée d’une responsabilité pénale à venir ? Probablement de la complexité du texte d’origine très dense, mais pas seulement. « Le régime établi en 2016 avec NIS 1 prévoyait des sanctions allant jusqu’à 120 000 euros d’amende à l’encontre du dirigeant, mais ce système juridiquement bancal n’a jamais fonctionné, pointe Marc-Antoine Ledieu, associé du cabinet éponyme. Avec NIS 2, la menace se renforce du fait de la perspective d’une interdiction d’exercer pour les dirigeants et membres du comex. Il faut surtout y voir une façon de responsabiliser ces derniers, qui pourraient être tentés d’éviter les dépenses nécessaires pour se conformer à la quantité de mesures prévues dans le projet de décret. »
Modalités pratiques à surveiller
De toute façon, l’ANSSI a annoncé qu’elle adoptera une première période d’éducation des 15 000 entités françaises visées par NIS 2, avant de se lancer dans une phase d’investigations et de contrôles. « Les sanctions administratives prévues par NIS 2 font office de procédures quasi pénales, même si l’intérêt de tous est que les entreprises prennent dès à présent conscience de la situation, considère Cyril Gosset, associé du cabinet Gosset Lasek Esclatine. Mais celles-ci seront-elles efficaces, ou bien les entités concernées et leurs dirigeants feront-ils preuve de réticence au moment de s’aligner sur la loi à venir ? Une chose est sûre : les pouvoirs publics chercheront à imposer rapidement ces règles si le contexte international venait à se tendre davantage. »
Il sera donc intéressant de suivre l’évolution du sujet, car les modalités pratiques de mise en œuvre de NIS 2 se heurteront à la réalité de terrain. Les procédures de contrôle et de sanctions seront scrutées de près, mais déjà pointent à l’horizon d’autres questions… Faudra-t-il étendre le périmètre à d’autres entités pour être efficace ? Devra-t-on prévoir un débat contradictoire entre les parties, pour éviter des amendes disproportionnées ? Les échanges d’informations entre partenaires européens permettront-ils de préserver les secrets (d’instruction, d’enquête, des affaires…) non opposables dans ce cadre ? A suivre.
