Tribunes

Proposition de code de la sécurité dans le Cyberespace

Pourquoi n'existe-t-il pas, en France, un Code de la sécurité dans le cyberespace. Pourquoi tous les textes – y compris au niveau européen – se concentrent uniquement sur les systèmes ou les données et jamais sur l’individu ?

Pour archiver cette publication ou la lire hors-ligne, vous pouvez générer sa version officielle au format PDF.

Le Cyberespace, un espace juridique désordonné

Le constat de départ est simple.

Le corpus normatif applicable à la cybersécurité, à la protection des données et à l’économie numérique est aujourd’hui dispersé entre une quarantaine de textes de niveaux hétérogènes — codes, lois, ordonnances, règlements et directives européens transposés — sans architecture d’ensemble.
Cette fragmentation produit trois effets : une charge de conformité disproportionnée pour les opérateurs, une illisibilité totale pour les citoyens et leur sécurité, et des zones de friction institutionnelles entre autorités compétentes qui obèrent la réactivité de l’État face aux cybermenaces.

La Thèse Centrale

La création d’un Code de la sécurité dans le cyberespace, structuré autour de quatre axes :

  1. Simplification : un guichet unique de notification d’incident opéré par une autorité technique cyber unique, avec redistribution automatique aux autorités sectorielles compétentes — fin des cinq obligations de notification parallèles aux délais et destinataires divergents
  2. Compétitivité : un audit cyber unique opposable — le « Pass Cyber » — dont les conclusions, produites par un prestataire qualifié, sont reconnues par l’ensemble des régulateurs sectoriels pour la durée de leur validité
  3. Souveraineté : un titre dédié à l’attribution souveraine des cyberattaques, définissant les acteurs habilités, le régime de classification des conclusions et les effets juridiques de l’attribution publique, notamment les droits à réparation des victimes
  4. Citoyenneté : un protocole de résilience identitaire post-fuite de données — révocation automatique des documents d’identité compromis, remplacement gratuit aux frais de l’entité responsable, recours obligatoire à France Identité dans les contextes à risque élevé, protection
  5. renforcée des mineurs.


Quatre recommandations

Partant des constats, trois scénarios ont été structurés autour des quatre recommandations énoncées ci-avant :

  • R1 : Guichet unique de notification avec l’ANSSI/ANSC comme pivot redistribuant aux autorités sectorielles
  • R2 : Sanctuarisation du COMCYBER-MI via une codification dans le Code et une précision de l’articulation judiciaire et défense
  • R3 : Attribution souveraine des cyberattaques à travers un processus formalisé et une inscription des effets juridiques pour les victimes
  • R4 : Protection des individus et, plus particulièrement, des mineurs via un dispositif de résilience identitaire post-fuite, augmentation du périmètre de France Identité et une protection accrue des mineurs dans le Cyberespace.


Trois scénarios

1. Modifications rapides du droit français mais minimal

Le scénario 1 repose sur le principe que le problème est procédural, non structurel. Les acteurs existants sont compétents et légitimes ; ce sont les mécanismes de liaison qui font défaut. L’ANSSI devient guichet unique de notification sans acquérir de nouveaux pouvoirs de sanction, préservant
ainsi les équilibres entre autorités indépendantes. Le COMCYBER-MI est sanctuarisé dans le CSI, ce qui constitue l’innovation institutionnelle principale.
Le processus d’attribution souveraine est codifié pour la première fois, créant des droits pour les victimes. La protection des individus dans le cyberespace est intégrée de façon pragmatique et opérationnelle : le protocole de résilience identitaire repose sur la chaîne ANSSI(détection/qualification) -> ANTS (révocation/remplacement) -> CNIL (sanction) -> COMCYBER-MI (répression). L’innovation principale est la révocation administrative automatique des documents compromis, qui transforme une procédure individuelle et laborieuse en mécanisme de protection collective déclenché par la fuite elle-même. France Identité est rendu obligatoire dans un périmètre restreint — l’extension relève des scénarios 2 et 3.
La protection des mineurs est renforcée à travers l’ARCOM et le référent mineur obligatoire. Le Fonds de résilience identitaire est créé dans sa forme minimale.

Le risque principal est l’insuffisance : les frictions entre NIS2 et DORA sur les délais de notification ne disparaissent pas — elles sont seulement gérées par le guichet. La qualification par l’ANSSI des données d’identité compromises dans le délai de 48 h exige un renforcement substantiel de ses effectifs ce type d’analyse.

Ce scénario est le plus rapidement réalisable (ordonnance de codification + loi de ratification) mais ne résout pas les incohérences normatives de fond.

2. Rationalisation ciblée

L’ANSSI monte en puissance sans devenir une super-autorité, la CNIL se spécialise sans perdre son indépendance, la LCEN est absorbée, PHAROS
est intégré au COMCYBER-MI. La création du CNCyb, et l’absorbtion du CIAN est l’élément le plus novateur — elle répond au besoin d’un arbitre interministériel identifié.

La protection des individus dans le cyberespace devient un enjeu national avec la création de la Cellule de résilience identitaire au sein de l’ANTS et le renforcement du rôle de France Identité sont les innovations les plus visibles pour les citoyens. L’extension de France Identité comme solution obligatoire dans les contextes à risque constitue un changement de paradigme dans la gestion de l’identité numérique en France — cohérent avec eIDAS2 mais nécessite une campagne d’appropriation sociale importante. Le CNCyb en formation plénière assure que cette transition est accompagnée d’un dialogue avec la société civile.

Deux risques principaux :

  • La résistance institutionnelle des autorités sectorielles (CNIL, AMF, ACPR) au transfert partiel de compétences de supervision cyber. Ce scénario nécessite plusieurs textes de niveau législatif (modification CMF, CSP, LCEN, loi SREN) mais reste dans le périmètre d’une loi ordinaire de codification
  • L’acceptabilité sociale de la révocation automatique des documents — les victimes pourraient vivre cette révocation comme une double peine ; le Code doit impérativement garantir la fluidité et la rapidité du remplacement.


3. Refonte institutionnelle

Le scénario 3 repose sur un pari institutionnel fort : l’ANSSI doit devenir une Autorité Administrative Indépendante (AAI) pour être crédible comme régulateur cyber indépendant au sens du droit de l’Union Européenne et donner aux rapports techniques une valeur probatoire directement utilisable devant le PNC — la cohérence entre la régulation technique et la justice civile est ainsi garantie sans déperdition d’information. Le précédent ASN/ASNR (2024) le rend juridiquement plausible.

Ce scénario pousse la protection des citoyens dans le cyberespace à son terme logique : la résilience identitaire des individus devient un droit opposable, garanti par une chaîne institutionnelle complète allant de la détection (ANSC,ex-ANSSI) à la réparation judiciaire (PNC chambre civile) en passant par la protection administrative (ANTS) et la répression pénale (COMCYBER-MI).

La création du Parquet National Cyber (PNC) rationalise la chaîne judiciaire sur le modèle éprouvé du Parquet National Financier (PNF). Le Conseil de Sécurité du Cyberespace (CSC) donne enfin un cadre légal à l’attribution souveraine tout en offrant aux victimes un guichet judiciaire unique — fin de l’éparpillement juridictionnel. France Identité, rendu obligatoire dans un périmètre maximal et activé automatiquement lors de l’émission de tout nouveau titre, devient le pilier de l’identité numérique régalienne.

Les risques sont élevés :

  • La transformation de l’ANSSI en AAI rompt son lien avec le SGDSN et crée une tension sur la composante défense (la LID et la contribution à la LIO ne sont pas compatibles avec le statut d’AAI — une scission ANSSI régulatrice / ANSSI défense devra être envisagée)
  • L’acceptabilité sociale de France Identité obligatoire et la tension avec le droit au respect de la vie privée — le Code doit impérativement prévoir des garanties fortes (minimisation, pseudonymisation, droit à l’opt-out dans les cas non critiques) validées par la CNIL avant l’entrée en vigueur.

Ce scénario est le plus cohérent sur le long terme mais le plus long à mettre en oeuvre (3 à 5 ans) et implique des arbitrages politiques de premier ordre. Il est recommandé comme horizon cible du Code, à atteindre par étapes à partir du scénario 2.