La Commission européenne s’apprête à poursuivre la France et l’Espagne devant la plus haute juridiction européenne pour ne pas avoir adopté une législation en matière de cybersécurité.
Les deux pays n’ont pas respecté la date limite d’octobre 2024 pour adopter une loi transposant dans leur droit les règles européennes sur la protection des infrastructures critiques contre les cyberattaques. La Commission les a rappelés à l’ordre à deux reprises depuis, et prend désormais la décision rare de les poursuivre en justice — une escalade qui pourrait conduire à des dizaines de millions d’euros d’amende.
L’exécutif européen prévoit de porter l’affaire devant la Cour de justice de l’UE (CJUE) à Luxembourg juste avant ou juste après les vacances d’été, en tout cas avant la fin de l’année, selon un responsable de la Commission, à qui l’anonymat a été accordé pour révéler des informations confidentielles.
Un responsable français a confirmé que le secrétariat général aux affaires européennes “prépare sa défense devant la CJUE”.
D’autres pays dans le viseur de Bruxelles
L’Union européenne a adopté sa directive NIS2 en 2022 pour obliger les opérateurs des secteurs les plus sensibles d’Europe — de l’énergie aux transports en passant par l’eau et les infrastructures numériques — à mieux se défendre contre une vague de cyberattaques toujours plus grande. Ce texte doit être transposé dans le droit national par les gouvernements européens afin de faire appliquer ces règles aux opérateurs.
Les Etats membres étaient censés le faire avant octobre 2024. Seuls quatre ont respecté ce délai, ce qui a poussé la Commission à envoyer des lettres de mise en demeure aux gouvernements retardataires en novembre 2024. Puis, en mai de l’année dernière, elle a adressé un avis motivé à 19 pays les invitant à adopter des lois pour transposer NIS2.
L’étape suivante, selon la procédure formelle, consiste à poursuivre en justice les Etats qui n’ont toujours pas fait passer de loi.
Selon le responsable de la Commission précité, l’exécutif européen prévoit de porter plainte contre d’autres pays, en même temps que les plaintes contre la France et l’Espagne, mais il n’a pas précisé lesquels.
Fin avril, Bruxelles a renvoyé la France et six autres Etats membres, dont l’Espagne, devant la plus haute juridiction de l’UE pour ne pas avoir transposé une autre loi européenne sur les infrastructures critiques dans leur législation nationale. La France prévoit de combiner ce texte, connu sous le nom de CER, et NIS2 dans un seul projet de loi, mais celui-ci a accumulé les retards et devrait désormais être reporté à la fin du mois de septembre.
Une amende ou un délai supplémentaire
Thomas Regnier, porte-parole de la Commission, a déclaré : “Nous ne commentons pas les procédures d’infraction en cours. Le délai de transposition du NIS2 ayant expiré en octobre 2024, la Commission pourrait saisir la Cour de justice à l’encontre de certains Etats membres.”
La Cour peut infliger des sanctions aux pays qui n’ont pas adopté les lois requises, mais elle peut aussi décider de leur accorder plus de temps.
La Commission peut proposer une amende lorsqu’elle saisit la CJUE, ce qu’elle fait souvent dans ce type de procédures d’infraction. L’exécutif européen n’a pas pris de décision quant à d’éventuelles sanctions financières pour les retards dans l’application de la législation sur la cybersécurité, a précisé le responsable de la Commission.
Les ministères espagnols des Affaires étrangères et du Numérique n’ont pas répondu à une demande de commentaire.
Antoaneta Roussi a contribué à cet article, qui a d’abord été publié par POLITICO en anglais, puis a été édité en français par Jean-Christophe Catalon.