La cybersécurité n’est plus seulement une question technique. Elle est devenue un objet juridique total, situé au croisement du droit pénal, du droit européen de la régulation, du droit international public et, de plus en plus, du droit des conflits. L’espace numérique concentre aujourd’hui des atteintes aux systèmes, des vols de données, des opérations d’influence, des sabotages, des extorsions par rançongiciel, des campagnes étatiques ou paraétatiques, ainsi que des usages offensifs de l’intelligence artificielle. Dans ce contexte, le juriste ne peut plus raisonner à partir d’un seul niveau normatif. Il doit articuler le socle pénal interne, les obligations européennes de gouvernance du risque, et les cadres internationaux de coopération ou d’attribution. (Légifrance)

En France, le noyau historique de la répression pénale des atteintes informatiques demeure le chapitre du Code pénal relatif aux atteintes aux systèmes de traitement automatisé de données. L’article 323-1 réprime l’accès ou le maintien frauduleux dans tout ou partie d’un système ; l’article 323-2 vise l’entrave ou l’altération du fonctionnement ; l’article 323-3 punit l’introduction, l’extraction, la détention, la reproduction, la transmission, la suppression ou la modification frauduleuse de données ; l’article 323-3-1 incrimine, sauf motif légitime de recherche ou de sécurité informatique, la détention ou la mise à disposition d’outils conçus pour commettre ces infractions ; l’article 323-4 sanctionne l’entente préparatoire ; enfin, les articles 323-4-1 et 323-4-2 aggravent les peines en cas de bande organisée ou lorsque les faits exposent autrui à un risque immédiat de mort, de blessures graves, ou font obstacle aux secours. Ce bloc normatif montre que le droit français ne protège pas seulement la confidentialité des données, mais aussi l’intégrité et la disponibilité des systèmes, ce qui est au cœur même de la cybersécurité contemporaine. (Légifrance)

La philosophie pénale de ce dispositif mérite d’être soulignée. Le droit français ne sanctionne pas uniquement le dommage consommé ; il réprime déjà l’intrusion, l’outillage offensif et la préparation collective. En d’autres termes, il assume une logique de prévention pénale avancée, justifiée par la dangerosité propre aux environnements numériques : une intrusion discrète peut précéder un sabotage massif ; un simple outil de compromission peut être recyclé à grande échelle ; une attaque contre un système critique peut produire des effets corporels bien réels. La réforme de 2023, en aggravant certaines hypothèses lorsque la cyberattaque crée un danger immédiat pour les personnes ou entrave les secours, confirme ce déplacement du numérique vers le champ de la sécurité humaine. (Légifrance)

Mais le droit pénal interne, à lui seul, ne suffit pas. La cybercriminalité est structurellement transnationale : l’auteur, l’infrastructure, les victimes, les serveurs relais et les flux financiers peuvent relever de plusieurs États à la fois. C’est précisément ce que la Convention de Budapest de 2001 sur la cybercriminalité — vraisemblablement ce que vous désignez par “CDI 2001” — a cherché à traiter. Ouverte à Budapest le 23 novembre 2001 sous l’égide du Conseil de l’Europe, cette convention constitue encore aujourd’hui le principal instrument international contraignant en matière de cybercriminalité. Elle poursuit un double objectif : harmoniser un socle minimal d’incriminations et faciliter la coopération procédurale et judiciaire entre États. (Conseil de l’Europe)

L’intérêt majeur de la Convention de Budapest est d’avoir compris très tôt que la réponse juridique à la cybercriminalité ne pouvait pas être seulement substantielle ; elle devait être aussi procédurale. Incriminer l’accès illégal, l’interception illicite, l’atteinte aux données, l’atteinte aux systèmes ou certains abus liés aux outils informatiques est nécessaire, mais insuffisant si les autorités ne peuvent pas préserver rapidement les données, obtenir des traces techniques, coopérer sans délai, ou demander l’assistance d’un autre État avant l’effacement des preuves. La convention pose donc un modèle encore très actuel : la cybercriminalité exige un droit pénal de fond, un droit de la preuve numérique et un droit de la coopération internationale. (Conseil de l’Europe)

À l’échelle européenne, la montée en puissance de la menace a déplacé le centre de gravité du droit : on ne raisonne plus seulement en termes de répression après l’attaque, mais en termes de résilience organisationnelle avant l’attaque. C’est le sens de la directive NIS2 (directive UE 2022/2555), adoptée le 14 décembre 2022. Cette directive impose aux entités essentielles et importantes des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui pèsent sur leurs réseaux et systèmes d’information. Elle organise aussi des obligations de gouvernance, de gestion des incidents, de continuité, de sécurité de la chaîne d’approvisionnement, de formation et d’implication des organes de direction. Les États membres devaient la transposer au plus tard le 17 octobre 2024, avec application à compter du 18 octobre 2024. (EUR-Lex)

NIS2 marque un changement de paradigme particulièrement net : la cybersécurité cesse d’être une affaire de spécialistes confinés à la DSI ; elle devient une obligation de direction, de conformité et de gouvernance. Le Sénat français lui-même a présenté cette transposition comme un passage d’une logique limitée à certaines infrastructures critiques à une logique beaucoup plus large de résilience d’environ 15 000 entités en France. Ce chiffre est important juridiquement et politiquement, car il signifie que la cybersécurité entre désormais dans le droit commun de nombreuses organisations, publiques comme privées. (Sénat)

Toutefois, il faut être précis sur l’état du droit français : au 27 mars 2026, la transposition complète de NIS2 en France n’est pas encore stabilisée sous la forme d’un dispositif achevé définitivement en vigueur, même si un projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été déposé, examiné et adopté en première lecture au Sénat. Autrement dit, la norme européenne est déjà là, l’obligation politique est claire, la mise en conformité attendue aussi, mais le véhicule législatif français de transposition a connu un décalage. Cette situation crée un effet classique de tension entre temporalité européenne et temporalité nationale. (Légifrance)

Sur le fond, NIS2 est capitale parce qu’elle reconfigure la responsabilité. Le dirigeant n’est plus juridiquement extérieur au risque cyber ; il en devient l’un des centres d’imputation. Cela annonce, à moyen terme, une intensification des contentieux administratifs, civils, commerciaux et potentiellement pénaux autour de la négligence numérique grave, des défauts de gouvernance, de l’insuffisance de supervision ou de l’absence de réaction diligente après incident. NIS2 ne crée pas à elle seule une nouvelle incrimination pénale générale de “mauvaise cybersécurité”, mais elle produit un effet normatif puissant : elle élève le standard attendu de prudence, de diligence et d’organisation. Ce standard nourrira inévitablement l’appréciation des responsabilités dans d’autres branches du droit. Cette lecture est une inférence juridique fondée sur l’architecture même de la directive et sur la logique de responsabilisation des organes de direction qu’elle consacre. (EUR-Lex)

L’AI Act ajoute une strate nouvelle à ce paysage. Le règlement (UE) 2024/1689, entré en vigueur le 1er août 2024, ne constitue pas un texte de cybercriminalité au sens strict. Il n’en est pas moins central pour le droit de la cybersécurité, car il encadre des systèmes d’IA dont certains peuvent générer ou amplifier des risques de sécurité, de fraude, d’atteinte aux droits fondamentaux, de manipulation ou de vulnérabilité systémique. La Commission européenne rappelle que les premières règles applicables concernent, depuis le 2 février 2025, les pratiques interdites et les obligations de littératie en IA ; depuis le 2 août 2025, s’appliquent les règles de gouvernance et les obligations concernant les modèles d’IA à usage général ; l’applicabilité complète intervient le 2 août 2026, avec certaines transitions plus longues, notamment jusqu’au 2 août 2027 pour certains systèmes à haut risque intégrés dans des produits réglementés. (Stratégie numérique européenne)

Pourquoi l’AI Act intéresse-t-il directement le juriste en cybersécurité ? Parce que la frontière entre sûreté algorithmique, robustesse technique et sécurité numérique devient de plus en plus poreuse. Un système d’IA vulnérable, opaque, mal gouverné ou détournable peut devenir un vecteur d’attaque, d’erreur systémique ou de compromission. De même, l’IA sert désormais aussi bien à défendre qu’à attaquer : détection d’anomalies, corrélation d’événements, assistance à la réponse à incident d’un côté ; génération de phishing, automatisation de reconnaissance, deepfakes, contournement social et optimisation offensive de l’autre. Le droit européen commence donc à traiter l’IA non seulement comme une technologie d’innovation, mais aussi comme un objet de sécurité. (EUR-Lex)

Vient alors le niveau le plus délicat : le droit international public applicable aux cyberopérations. C’est ici qu’intervient Tallinn Manual 2.0, publié en 2017 sous l’égide du NATO Cooperative Cyber Defence Centre of Excellence. Il faut être rigoureux : Tallinn 2.0 n’est pas un traité, ni une source formelle du droit international. C’est un manuel doctrinal élaboré par des experts, destiné à exposer comment le droit international existant peut s’appliquer aux incidents et opérations dans le cyberespace. Sa portée est donc interprétative et persuasive, non obligatoire en elle-même. Sa grande contribution est d’avoir déplacé la réflexion au-delà du seul cyberconflit armé pour couvrir aussi les incidents “du quotidien”, situés sous le seuil de l’emploi de la force ou du conflit armé. (ccdcoe.org)

Le mérite de Tallinn 2.0 est moins de “créer” du droit que de forcer les juristes à poser les bonnes questions : quand une cyberopération constitue-t-elle une violation de souveraineté ? À partir de quel seuil peut-on parler d’intervention illicite ? Quand une opération peut-elle être qualifiée d’usage de la force ? Comment attribuer juridiquement une opération à un État ? Quelles contre-mesures sont licites ? Ces interrogations sont décisives, car nombre d’attaques contemporaines se situent dans une zone grise : trop graves pour être de simples délits ordinaires, pas toujours assez manifestes pour relever clairement du droit des conflits armés. Tallinn 2.0 fournit ici une grammaire juridique pour penser l’entre-deux. (ccdcoe.org)

Cette zone grise est le cœur philosophique et stratégique du droit de la cybersécurité. Le cyberespace brouille en effet plusieurs oppositions classiques : paix/guerre, public/privé, interne/international, police/défense, prévention/répression. Une attaque par rançongiciel contre un hôpital peut relever à la fois du droit pénal interne, de la coopération internationale, de la régulation sectorielle, du droit de la responsabilité, et, dans certaines hypothèses d’attribution étatique ou d’effets stratégiques, d’une lecture en droit international. Le juriste doit donc renoncer à l’illusion d’un cadre unique. La cybersécurité impose une pensée en cercles concentriques. (Légifrance)

On voit ainsi se dessiner quatre fonctions complémentaires du droit. La première est répressive : identifier et punir l’auteur d’infractions contre les systèmes et les données. La deuxième est préventive : imposer des standards de sécurité, de gouvernance et de notification. La troisième est coopérative : permettre l’entraide, la conservation des preuves et l’action transfrontière. La quatrième est stratégique : qualifier juridiquement les cyberopérations imputables à des États ou tolérées par eux. Le droit de la cybersécurité n’est donc pas un “petit droit technique”. C’est un droit de l’ordre numérique, au sens presque hobbesien du terme : un droit chargé de maintenir un minimum de confiance, de prévisibilité et de sécurité dans un espace structurellement vulnérable. Cette dernière formule relève d’une lecture philosophique, mais elle s’appuie sur la logique des textes précités. (Légifrance)

Pour la France, l’enjeu est désormais double. D’une part, consolider l’effectivité du droit pénal existant, qui est déjà substantiel mais suppose une haute technicité d’enquête, une capacité d’attribution et une coopération judiciaire rapide. D’autre part, achever la translation vers un droit de la résilience, sous l’effet de NIS2 et de l’écosystème européen. À cela s’ajoute une troisième exigence émergente : penser la cybersécurité à l’ère de l’IA, ce qui implique d’articuler robustesse technique, sûreté algorithmique, conformité documentaire et responsabilité organisationnelle. (Légifrance)

En définitive, le droit de la cybersécurité est devenu un laboratoire du droit contemporain. Il oblige à dépasser le réflexe purement national, à intégrer la vitesse technologique, à raisonner en réseau normatif, et à accepter que la souveraineté elle-même se redéfinisse à travers des flux, des infrastructures, des dépendances logicielles et des capacités d’attribution. Le Code pénal français donne encore l’ossature de la répression ; la Convention de Budapest fournit l’architecture de la coopération ; NIS2 impose la gouvernance du risque ; l’AI Act encadre les nouvelles couches d’automatisation ; Tallinn 2.0, enfin, aide à penser le point où la cyberattaque quitte le terrain du délit pour toucher à la stabilité internationale. C’est dans cette articulation, et non dans un texte isolé, que se joue aujourd’hui la véritable intelligence juridique de la cybersécurité. (Légifrance)