Azais Khalsi — CAJI · 2025

Le droit de la cybersécurité est désormais un droit de l’intersection. Il ne relève plus seulement du droit pénal informatique, ni seulement du droit de la conformité, ni seulement du droit international public. Il s’est constitué à la jonction de plusieurs régimes : répression des atteintes aux systèmes et aux données, gouvernance du risque cyber, protection des données personnelles, régulation des systèmes d’IA, responsabilité des États et lecture juridique des cyberopérations dans un espace international conflictualisé. En Europe, cette stratification est particulièrement visible à travers le triptyque Code pénal / NIS2 / RGPD, auquel s’ajoutent désormais l’AI Act pour les systèmes d’IA et, sur le plan doctrinal international, le Manuel de Tallinn 2.0 comme grille d’interprétation des cyberopérations. (EUR-Lex)

La première idée à retenir est que la cybersécurité n’est pas juridiquement pensée à partir d’un seul objet. Le droit protège à la fois les systèmes, leur fonctionnement, les données, les personnes concernées lorsque des données personnelles sont en cause, les entités régulées lorsqu’elles exercent des activités critiques, et, dans les cas les plus graves, les intérêts souverains des États. Cette pluralité d’objets explique pourquoi un même incident peut relever simultanément de plusieurs couches juridiques : une intrusion peut constituer une infraction pénale, une violation de données personnelles, un incident significatif NIS2, et, dans des hypothèses particulières, un fait internationalement illicite. (EUR-Lex)

I. Le socle pénal : la protection des systèmes et des données

En droit français, le noyau dur reste le chapitre du code pénal consacré aux atteintes aux systèmes de traitement automatisé de données. Les articles 323-1 à 323-7 structurent ce régime. L’article 323-1 réprime l’accès ou le maintien frauduleux dans tout ou partie d’un système. L’article 323-2 vise l’entrave ou l’altération du fonctionnement du système. L’article 323-3 punit l’introduction, l’extraction, la détention, la reproduction, la transmission, la suppression ou la modification frauduleuse de données. L’article 323-3-1 couvre les outils conçus pour commettre ces infractions, sauf motif légitime. L’article 323-4 réprime l’entente. L’article 323-7 vise la tentative. Ce régime montre que le droit pénal français protège non seulement la confidentialité, mais aussi l’intégrité et la disponibilité des systèmes et des données. (EUR-Lex)

Cette architecture pénale révèle une philosophie précise : le droit n’attend pas nécessairement le dommage final pour intervenir. Il sanctionne déjà l’intrusion, le maintien, l’outillage et certains comportements préparatoires. Le cyberespace est en effet un domaine où l’entrée discrète dans un système peut précéder un sabotage massif, une exfiltration de données ou une extorsion. Le droit pénal cyber est donc un droit de la prévention pénale avancée, ce qui le distingue en partie d’autres champs où l’atteinte consommée joue un rôle plus central. Cette lecture est une inférence doctrinale, mais elle est directement appuyée par la structure incriminatrice du chapitre 323. (EUR-Lex)

Il faut aussi souligner que le mobile politique, militant ou idéologique n’efface pas la qualification pénale. Une opération de type hacktiviste, une intrusion revendicative, un DDoS présenté comme protestation, ou une exfiltration justifiée comme dénonciation restent d’abord analysés, en droit positif, à partir de leurs actes techniques : accès sans droit, maintien, perturbation, atteinte aux données. Le droit pénal cyber raisonne donc d’abord en termes d’objectivation technique du comportement. Cette conséquence découle logiquement de la rédaction des textes, même si son application dépend toujours des faits de l’espèce. (EUR-Lex)

II. NIS2 : la cybersécurité comme obligation de gouvernance

La directive NIS2 marque un changement d’échelle majeur. Le texte officiel, la directive (UE) 2022/2555 du 14 décembre 2022, impose aux entités essentielles et importantes des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur leurs réseaux et systèmes d’information. Elle organise aussi une obligation de notification des incidents significatifs et une supervision graduée selon la catégorie d’entité. (EUR-Lex)

L’importance de NIS2 tient au déplacement du centre de gravité juridique. On ne raisonne plus uniquement en termes de poursuite des auteurs après l’attaque, mais en termes de résilience organisationnelle avant, pendant et après l’incident. La cybersécurité devient une obligation de gouvernance, impliquant l’organe de direction, la gestion des risques, la chaîne d’approvisionnement, la continuité d’activité, la gestion des incidents et la culture de sécurité. Cette évolution ressort du texte lui-même, notamment de ses dispositions sur la gouvernance et les mesures de gestion des risques. (EUR-Lex)

En France, la situation doit être décrite avec précision. Au 28 mars 2026, la transposition française complète de NIS2 n’est pas encore achevée par l’ensemble des textes définitifs d’application. Le dossier législatif Légifrance relatif au projet de loi sur la résilience des infrastructures critiques et le renforcement de la cybersécurité indique un texte adopté en première lecture par le Sénat en mars 2025, tandis que l’ANSSI précise que l’entrée en vigueur nationale dépend de l’achèvement du cycle de transposition. Dans l’intervalle, l’ANSSI a ouvert un pré-enregistrement des futures entités concernées et mis à disposition, depuis le 17 mars 2026, le Référentiel Cyber France (ReCyF) pour accompagner la mise en conformité. (Légifrance)

Cette situation est juridiquement intéressante. Elle montre que le droit de la cybersécurité fonctionne désormais aussi par préfiguration normative : avant même l’achèvement complet du cadre national, les acteurs sont poussés à se préparer, à se recenser, à cartographier leurs systèmes, à structurer leur gouvernance et à adopter des référentiels. Le droit n’est donc plus seulement un corpus de sanctions ; il devient un moteur de transformation organisationnelle. Cette lecture est une déduction à partir des documents ANSSI et du calendrier législatif français. (cyber.gouv.fr)

III. RGPD : la couche personnaliste de l’incident cyber

Lorsqu’un incident affecte des données à caractère personnel, le raisonnement change encore d’échelle. Le RGPD définit la violation de données comme une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles. Les articles 33 et 34 organisent respectivement la notification à l’autorité de contrôle et la communication aux personnes concernées lorsque le niveau de risque le justifie.

Le point décisif est que le RGPD ne remplace pas la qualification pénale ; il ajoute une lecture par les droits et libertés des personnes. Une exfiltration de base clients, un ransomware avec fuite de dossiers RH, une compromission de messagerie contenant des données sensibles peuvent relever en même temps des articles 323 du code pénal et du régime des violations de données. Le droit de la cybersécurité devient alors un droit à plusieurs entrées : système, données, victimes, organisation. Cette logique est directement soutenue par le texte du RGPD et la logique du chapitre pénal français.

IV. AI Act : l’IA entre outil de sécurité et objet de régulation

L’AI Act ajoute une couche nouvelle et décisive. Le règlement européen sur l’intelligence artificielle suit une logique de risque. Il ne vise pas spécifiquement la cybersécurité, mais il a un impact direct sur elle, parce que nombre de dispositifs cyber modernes reposent désormais sur des systèmes d’IA : corrélation d’événements, détection d’anomalies, scoring d’alertes, triage assisté, analyse comportementale, composants génératifs embarqués dans les SOC, etc. Le calendrier officiel publié par la Commission européenne indique une application progressive : les dispositions générales et interdictions s’appliquent depuis le 2 février 2025, les règles sur les modèles GPAI depuis le 2 août 2025, et le déploiement complet est désormais prévu au 2 août 2027.

Ce point appelle une précision importante : les outils cyber fondés sur l’IA, comme les EDR ou SIEM enrichis par l’IA, ne sont pas automatiquement “à haut risque” au sens du règlement. Tout dépend de leur fonction exacte, de leur intégration sectorielle et de leur éventuelle qualification comme composant de sécurité dans un environnement réglementé. En revanche, même lorsqu’ils n’entrent pas dans la catégorie la plus lourde, ils peuvent être concernés par des obligations liées à la gouvernance, à la documentation, à la robustesse, à la cybersécurité du système d’IA lui-même, ou à l’usage de modèles d’IA à usage général. Cette interprétation découle du fonctionnement du règlement et du calendrier officiel de la Commission.

Le paradoxe juridique est remarquable : l’IA devient à la fois outil de cybersécurité et objet de sécurité réglementée. Autrement dit, les systèmes conçus pour protéger doivent eux-mêmes être gouvernés, documentés, supervisés et robustes. Le droit européen tend ainsi vers une conception plus profonde de la cybersécurité : non seulement sécuriser les infrastructures, mais aussi sécuriser les technologies de sécurisation elles-mêmes. Cette lecture est une inférence forte, mais elle est étroitement soutenue par l’architecture de l’AI Act.

V. Tallinn 2.0 : non pas une source du droit, mais une grammaire juridique

Le Manuel de Tallinn 2.0 est souvent mal cité. Il ne s’agit ni d’un traité, ni d’un texte contraignant adopté par les États. Le site officiel du CCDCOE le présente comme un travail d’experts destiné à exposer les règles de droit international applicables aux cyberopérations, y compris dans les situations “du quotidien” en dessous des seuils du recours à la force ou du conflit armé. Sa version 2.0, publiée en 2017, couvre justement cette zone grise des cyberincidents étatiques ou quasi-étatiques.

L’importance de Tallinn 2.0 n’est donc pas normative au sens strict, mais interprétative. Il sert à poser les bonnes questions : quand une cyberopération viole-t-elle la souveraineté ? À partir de quel seuil y a-t-il intervention illicite ? Quand peut-on parler d’usage de la force ? Quelles contre-mesures sont licites ? Comment articuler attribution, responsabilité et réponse ? Dans les conflits hybrides contemporains, ce manuel joue le rôle d’une grammaire juridique plus que d’un code positif.

Ce rôle est particulièrement visible lorsque les cyberopérations se situent en dessous du seuil d’un conflit armé, mais au-dessus du simple fait technique isolé. Les affaires d’espionnage offensif, de sabotage discret, d’attaques contre chaînes logistiques logicielles, d’atteintes à des médias ou à des institutions publiques entrent précisément dans cet entre-deux. Le Manuel de Tallinn 2.0 n’apporte pas toujours des réponses unanimes, mais il rend juridiquement pensable la zone hybride du cyberespace.

VI. Responsabilité étatique : le cyber comme terrain du droit international général

Le droit international applicable au cyberespace ne part pas de rien. La position française officielle sur le droit international appliqué au cyberespace affirme clairement que le droit international, et notamment la Charte des Nations unies, s’applique aux opérations dans le cyberespace. La France y rappelle aussi la pertinence de la souveraineté, de la non-intervention, de la responsabilité des États et, selon les cas, de la qualification d’usage de la force ou d’attaque armée.

La responsabilité étatique repose alors sur une structure classique, héritée du droit international général : attribution du comportement à un État, puis violation d’une obligation internationale. Le problème majeur du cyber n’est pas tant l’absence de règles que la difficulté de passer de l’attribution technique ou politique à l’attribution juridique. C’est là que s’articulent les positions étatiques, les travaux doctrinaux et les Articles de la CDI sur la responsabilité internationale, même si ces derniers ne sont pas le sujet principal de cette synthèse. La France, dans ses documents officiels, adopte une lecture relativement substantielle de la souveraineté dans le cyberespace, ce qui donne un cadre solide à l’analyse des cyberopérations hostiles.

Dans cette perspective, le cyberespace révèle une tension très contemporaine du droit international : les normes existent, mais leur effectivité probatoire est difficile. Les États attribuent publiquement, sanctionnent, dénoncent, coopèrent, renforcent leurs postures, mais exposent rarement de manière exhaustive le syllogisme juridique complet liant faits techniques, attribution, obligation violée et conséquence juridique. Cette observation est une inférence, mais elle est cohérente avec les positions officielles disponibles et avec la fonction interprétative assignée à Tallinn 2.0.

VII. Le vrai changement : la cybersécurité comme droit systémique

Le plus frappant, en 2025-2026, est peut-être moins la multiplication des textes que leur convergence. Le droit pénal sanctionne l’atteinte. Le RGPD protège les personnes. NIS2 impose la gouvernance du risque. L’AI Act encadre l’IA qui s’infiltre désormais dans les outils de défense. Les doctrines étatiques et Tallinn 2.0 donnent une grammaire pour lire les cyberopérations dans l’espace international. On n’est plus dans un “petit droit technique”, mais dans un droit systémique de la sécurité numérique.

Ce déplacement a une conséquence théorique importante : la cybersécurité devient un lieu où se recomposent plusieurs oppositions classiques du droit. Interne et international. Prévention et répression. Technique et juridique. Public et privé. Infrastructure et liberté. Le cyber force le juriste à penser en couches et en circulation plutôt qu’en compartiments étanches. Cette conclusion est analytique, mais elle est solidement soutenue par l’évolution simultanée des régimes européens et internationaux.

Conclusion

Le droit de la cybersécurité est devenu un droit de la pluralité coordonnée. Son premier cercle est pénal : protéger les systèmes, les données et sanctionner les intrusions, entraves, altérations et outillages. Son deuxième cercle est organisationnel : avec NIS2, la cybersécurité devient une obligation de gouvernance et de notification pour un nombre beaucoup plus large d’entités. Son troisième cercle est personnaliste : dès que des données personnelles sont touchées, le RGPD impose sa logique de risque et d’information. Son quatrième cercle est technologique : l’AI Act intègre désormais l’IA dans le champ des objets régulés qui modifient aussi les outils de détection et de réponse. Son cinquième cercle, enfin, est international : les cyberopérations les plus graves ou les plus structurées doivent être lues à l’aune de la souveraineté, de la responsabilité étatique et des cadres interprétatifs comme Tallinn 2.0.

En somme, la cybersécurité n’est plus seulement l’affaire des techniciens, ni même seulement celle des pénalistes. Elle est devenue un espace de recomposition du droit contemporain, où se rencontrent la police des systèmes, la résilience des organisations, la protection des personnes, la régulation de l’IA et la conflictualité internationale. C’est cette superposition qui fait aujourd’hui sa difficulté — et sa profondeur.