Skip to main content Scroll Top
header-datactu
Actualités Agence Régionale de Santé Datactu Établissement public de santé Professionnel de la pharmacie Professionnel de santé paramédical Professionnel médical Professionnels du social et du médico-social
Partager l'article



*
*
*




Projet de loi Résilience : Audition de la CNIL devant la Commission spéciale

Article rédigé le 16 juillet 2025 par Me Raphaël Cavan

 

 

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité est au point mort depuis son adoption en première lecture à l’Assemblée nationale le 13 mars dernier.

En effet, une commission spéciale chargée d’examiner le projet de loi a été nommée le 8 avril dernier et organise depuis des auditions d’acteurs concernés par les évolutions apportées par le projet de loi.

Pour rappel, ce projet de loi a vocation à transposer dans le droit français, et en particulier le code de la défense, trois directives européennes :

  • La directive dite « REC » du 14 décembre 2022 sur la résilience des entités critiques, qui renforce, en fixant un standard européen commun, la préparation et la réponse aux risques qui pèsent sur les infrastructures considérées comme critiques par les pays européens dans onze secteurs d’activité (énergie, transports, secteur bancaire, santé, eau potable, denrées alimentaires, infrastructures numériques, administration publique, Espace) ;

 

  • La directive dite « NIS 2 » du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union ;

 

  • La directive du 14 décembre 2022 accompagnant le règlement Digital Operational Resilience Act (DORA) du 14 décembre 2022.

Dans le cadre des séances organisées par la Commission spéciale chargée de l’examen du projet de la loi, la Commission Nationale de l’Informatique et Libertés a pu être auditionnée le mardi 10 juin dernier sur les dispositions du projet de loi, notamment celles relatives au contrôle exercé par la future Commission des sanctions instaurée par le projet de loi.

En effet, le respect des exigences imposées aux activités des entités d’importance vitales serait confié à une commission au sein de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), laquelle serait directement rattachée au Premier Ministre (article 1er du Projet de loi). Cette commission serait composée de la manière suivante :

  • d’un membre du Conseil d’Etat, président, désigné par le vice-président du Conseil d’Etat ;
  • d’un membre de la Cour de cassation désigné par le premier président de la Cour de cassation ;
  • d’un membre de la Cour des comptes désigné par le premier président de la Cour des Comptes ;
  • de trois personnalités qualifiées nommées par le Premier ministre en raison de leurs compétences dans le domaine de la sécurité des activités d’importance vitale ;

À noter que l’indépendance de cette commission a été critiquée par les sénateurs et les parlementaires au moment de l’examen du texte, qui ont finalement adoptés dans la dernière version du projet de loi, le fait que le président de l’Assemblée nationale et le président du Sénat aient la charge de nommer de deux des trois personnalités qualifiées nommées par le Premier ministre.

La commission des sanctions posséderait (comme l’indique son nom…) des pouvoirs de sanction lui permettant de prononcer à l’encontre des opérateurs d’importance vitale, à l’exception des administrations de l’Etat et de ses établissements publics administratifs, des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs, une amende administrative dont le montant, proportionné à la gravité du manquement, ne pourra excéder dix millions d’euros ou, lorsqu’il s’agit d’une entreprise, 2 % du chiffre d’affaires annuel mondial, hors taxes, de l’exercice précédent, le montant le plus élevé étant retenu.

Dans ce contexte, le projet de loi prévoit à son article 37 alinéa 5 que si le manquement de l’opérateur d’importance vitale relevé constitue également une violation de données au sein du RGPD, alors la CNIL demeurerait la seule autorité en mesure de prononcer une amende administrative.

La commission des sanctions ne pourra donc pas dans cette hypothèse prononcer une sanction sous la forme d’une amende administrative, et ce notamment en application non bis in idem qui interdit de sanctionner plusieurs fois le même manquement.

Plusieurs questions ont donc été adressées aux représentants de la CNIL auditionnés sur les modalités d’application concrètes des procédures de contrôle et la coordination des sanctions.

Ces questions sont essentielles, car comme l’a exposé le président de la Commission spéciale, Monsieur Philippe Latombe : « En cas de fuite de données personnelles, la Cnil est saisie et elle garde la main si un problème de cybersécurité se pose ensuite. A contrario, si un problème de cybersécurité survient d’abord et qu’on se rend compte ensuite qu’il a généré une fuite de données, l’Anssi reste-t-elle responsable ou la Cnil reprend-elle la main ? ».

Sur ce point, la CNIL rappelle que son objectif reste celui de la mise en conformité de la structure fautive, et qu’il convient à ce titre de favoriser des mesures préalables aux sanctions, telles que des demandes de mise en conformité et des mises en demeure.

De même, d’autres dispositions du projet de loi évoquent un renforcement de la coopération entre la CNIL et l’ANSSI, notamment les articles 17 et 23 qui prévoient les modalités d’échanges d’informations entre les deux autorités.

Enfin, la CNIL a pu évoquer une initiative visant à créer un  « mécanisme d’orientation préalable qui pourrait consister, pour l’Anssi, à informer la Cnil de façon systématique lorsqu’elle est saisie d’un incident de cybersécurité mettant en cause des violations de données et, pour la Cnil, à signaler à l’Anssi les violations dont elle aurait connaissance, notamment dans le cadre de sa chaîne répressive ».

Ce mécanisme permettrait selon elle, au stade des contrôles, l’aiguillage des dossiers et ainsi d’éviter doublons en matière de sanctions.

La CNIL et l’ANSSI seraient donc deux faces d’une même pièce dans le cadre du contrôle du respect des exigences posées par le projet de loi Résilience, et devront plus que jamais fonctionner en binôme.

À ce titre, M. Michel Combot, directeur des technologies, de l’innovation et de l’intelligence artificielle au sein de la CNIL, présent lors de l’audition, rappelait la complémentarité des visions de la CNIL et de l’ANSSI sur les sujets de cybersécurité, et insistait sur le besoin d’associer la CNIL aux travaux relatifs à l’élaboration de la stratégie nationale en matière de cybersécurité évoquée par le projet de loi (article 5 bis), « a contrario de ce qui se passe pour d’autres stratégies nationales, comme celle portant sur l’intelligence artificielle » où la CNIL n’a pas été consultée.

La CNIL évoque ici la stratégie nationale relative à l’intelligence artificielle et aux données de santé qui a été présentée le 1er juillet par le ministre chargée de la santé et de l’accès aux soins, Monsieur Yannick Neuder.

Les auditions se poursuivent devant la Commission spéciale et ne permettent pas de dégager un horizon clair quant à l’adoption définitive du projet de loi résilience. Affaire à suivre à la rentrée. 

Me Raphaël Cavan

Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant qu'avocat au sein du pôle santé numérique.

L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.

Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.