Droit & Intelligence artificielle – Tu IA Droit

Fiche Cybersécurité

13 juin 2026

1. Présentation générale

La cybersécurité désigne l’ensemble des mesures techniques, organisationnelles, juridiques et humaines destinées à protéger les systèmes d’information, les réseaux, les données et les services numériques contre les atteintes à leur confidentialité, leur intégrité, leur disponibilité et leur authenticité.

Longtemps considérée comme une question essentiellement technique, la cybersécurité est devenue un sujet juridique, stratégique et géopolitique majeur. Les cyberattaques visent aujourd’hui aussi bien les États que les entreprises, les collectivités territoriales, les établissements de santé, les professions réglementées ou les particuliers.

L’essor de l’intelligence artificielle transforme profondément ce domaine. L’IA permet d’améliorer la détection des menaces, l’analyse comportementale et la réponse aux incidents, mais elle accroît également les capacités offensives des cybercriminels (automatisation des attaques, deepfakes, phishing sophistiqué, génération de malwares, etc.).

Les enjeux de cybersécurité concernent désormais :

  • la protection des données personnelles ;
  • la continuité des activités économiques ;
  • la protection des infrastructures critiques ;
  • la souveraineté numérique ;
  • la confiance dans les systèmes d’intelligence artificielle ;
  • la sécurité nationale.

2. Points essentiels à retenir

  • La cybersécurité constitue aujourd’hui une obligation de gouvernance et de conformité, et non plus seulement une question informatique.
  • Le cadre européen repose notamment sur la directive NIS 2, le RGPD, le Cybersecurity Act et l’AI Act.
  • Les entreprises doivent mettre en œuvre des mesures techniques et organisationnelles adaptées aux risques.
  • Les incidents de sécurité peuvent engager des responsabilités civiles, pénales, administratives et contractuelles.
  • Les autorités de contrôle disposent de pouvoirs croissants de supervision et de sanction.
  • L’intelligence artificielle est à la fois un outil de cybersécurité et un facteur d’augmentation des risques cyber.
  • Les professions juridiques sont directement concernées par les exigences de sécurité de l’information et de protection des données.

3. Cadre juridique

Droit européen

Directive NIS 2

La directive NIS 2 (Directive (UE) 2022/2555) constitue aujourd’hui le texte européen central en matière de cybersécurité.

Elle impose notamment :

  • une gouvernance renforcée des risques ;
  • des obligations de sécurité pour les entités essentielles et importantes ;
  • des obligations de notification des incidents ;
  • un contrôle accru des autorités nationales ;
  • une responsabilisation des dirigeants.

L’importance de NIS 2 pour les directions juridiques et les fonctions de conformité a été soulignée dans l’article :

Cybersecurity Act

Le règlement (UE) 2019/881, dit Cybersecurity Act, a renforcé le rôle de l’Agence européenne pour la cybersécurité (ENISA) et instauré un cadre européen de certification.

Les débats récents portent sur son évolution afin de :

  • améliorer l’harmonisation européenne ;
  • renforcer les mécanismes de certification ;
  • développer la résilience des infrastructures numériques.

Voir notamment :

  • « Révision du Cybersecurity Act : analyse des modifications et de leur impact sur les États et organisations » (Usine Digitale, 2025).

AI Act

Le règlement européen sur l’intelligence artificielle contient plusieurs exigences de cybersécurité applicables aux systèmes d’IA à haut risque.

Les fournisseurs doivent notamment garantir :

  • la robustesse ;
  • la résilience ;
  • la sécurité des systèmes ;
  • la protection contre les manipulations malveillantes.

Protection des données personnelles

RGPD

Le RGPD impose des mesures techniques et organisationnelles appropriées pour protéger les données personnelles.

Les obligations comprennent notamment :

  • la sécurité du traitement (article 32) ;
  • la notification des violations de données (articles 33 et 34) ;
  • l’analyse d’impact lorsque les risques sont élevés.

La convergence croissante entre conformité RGPD et cybersécurité est mise en évidence dans :

  • « DPO, DSI, directions juridiques : voici ce que la Cnil va vous demander en 2026 sur l’IA, la cyber et le RGPD » (Usine Digitale, 2026).

Droit pénal

La cybercriminalité est principalement réprimée par :

  • les infractions d’accès frauduleux à un système de traitement automatisé de données ;
  • l’entrave au fonctionnement d’un système ;
  • l’extraction ou l’altération de données ;
  • les escroqueries informatiques ;
  • les atteintes à l’identité numérique.

Les législations nationales sont complétées par plusieurs instruments internationaux, notamment la Convention de Budapest sur la cybercriminalité.

4. Jurisprudence et décisions importantes

Jurisprudence européenne

Cour de justice de l’Union européenne

La CJUE a progressivement renforcé :

  • les exigences de sécurité des traitements ;
  • les obligations de protection des données ;
  • la responsabilité des acteurs numériques.

Même si les décisions ne portent pas toujours directement sur la cybersécurité, elles influencent fortement l’interprétation des obligations de sécurité.

Jurisprudence française

Les juridictions françaises ont reconnu à plusieurs reprises :

  • l’obligation de sécurité des responsables de traitement ;
  • l’importance des mesures de prévention des risques numériques ;
  • la responsabilité contractuelle ou délictuelle en cas de défaillance de sécurité.

Les sanctions de la CNIL constituent également une source importante de jurisprudence administrative.

5. Acteurs principaux

Institutions européennes

  • Commission européenne
  • ENISA
  • Parlement européen
  • Conseil de l’Union européenne

Autorités françaises

  • ANSSI
  • CNIL
  • COMCYBER

Entreprises et organisations

  • fournisseurs de services numériques ;
  • opérateurs d’importance vitale ;
  • opérateurs de services essentiels ;
  • éditeurs de logiciels ;
  • fournisseurs de cloud ;
  • entreprises développant des systèmes d’IA.

Professions juridiques

Les avocats, directions juridiques et services conformité sont désormais directement impliqués dans :

  • la gestion des risques cyber ;
  • les notifications d’incidents ;
  • la conformité NIS 2 ;
  • la gouvernance de l’IA.

6. État actuel des débats

L’IA augmente-t-elle ou réduit-elle le risque cyber ?

Deux tendances coexistent.

Position optimiste

L’IA permet :

  • une détection plus rapide des menaces ;
  • l’automatisation de la réponse aux incidents ;
  • une meilleure analyse des comportements anormaux.

Position prudente

L’IA facilite également :

  • le phishing personnalisé ;
  • les deepfakes ;
  • l’ingénierie sociale ;
  • l’automatisation des cyberattaques.

Cette préoccupation apparaît notamment dans :

  • « L’Europe alerte sur l’explosion des cybermenaces liée à l’essor de l’IA » (20 Minutes, 11 mai 2026).
  • « Cybersécurité et IA : GPT-5.5 surclasse déjà Mythos et change l’équilibre » (2026).

Souveraineté numérique

Les débats portent également sur :

  • l’hébergement des données ;
  • la dépendance aux fournisseurs étrangers ;
  • la maîtrise des infrastructures critiques ;
  • le développement de solutions européennes.

Confidentialité des modèles d’IA

L’utilisation des grands modèles de langage soulève des questions importantes :

  • fuite d’informations sensibles ;
  • transfert international de données ;
  • gouvernance des accès ;
  • protection du secret des affaires.

Voir :

  • « LLM et confidentialité : pourquoi les organisations doivent reprendre le contrôle » (ICT Journal, 20 mai 2026).

7. Actualité récente

Parmi les évolutions récentes mises en avant dans les articles recensés :

Renforcement des exigences de conformité

  • « L’ère du « Legal partner maker » : piloter la conformité à l’heure de l’IA Act et de NIS 2 » met en évidence la convergence croissante entre conformité réglementaire, cybersécurité et gouvernance de l’IA.

Priorités de contrôle des autorités

  • « DPO, DSI, directions juridiques : voici ce que la Cnil va vous demander en 2026 sur l’IA, la cyber et le RGPD » souligne l’attention croissante portée à la sécurité des systèmes utilisant l’intelligence artificielle.

Évolution du Cybersecurity Act

  • « Révision du Cybersecurity Act : analyse des modifications et de leur impact sur les États et organisations » analyse les travaux européens visant à renforcer la résilience numérique.

Cyberviolences numériques

  • « Deepfakes, cyberflashing, stalking… L’État va durcir l’arsenal face aux cyberviolences » illustre l’émergence de nouvelles formes de menaces numériques liées à l’IA générative.

8. Ressources et sources essentielles

Textes

  • Directive (UE) 2022/2555 (NIS 2).
  • Règlement (UE) 2019/881 (Cybersecurity Act).
  • Règlement (UE) 2016/679 (RGPD).
  • Règlement européen sur l’intelligence artificielle (AI Act).
  • Convention de Budapest sur la cybercriminalité.

Autorités

  • ENISA
  • ANSSI
  • CNIL

9. FAQ

La cybersécurité concerne-t-elle uniquement les informaticiens ?

Non. Les directions générales, juridiques, RH, conformité et métiers sont désormais directement concernées.

Quelle différence entre cybersécurité et protection des données ?

La cybersécurité protège les systèmes et informations ; la protection des données vise spécifiquement les données à caractère personnel.

Qu’est-ce que NIS 2 ?

Il s’agit du principal texte européen imposant des obligations de gestion des risques cyber à de nombreuses organisations.

L’AI Act contient-il des exigences de cybersécurité ?

Oui. Les systèmes d’IA à haut risque doivent respecter des exigences de robustesse et de sécurité.

Une cyberattaque doit-elle être déclarée ?

Dans de nombreux cas, oui. Le RGPD et NIS 2 prévoient des obligations de notification.

Les cabinets d’avocats sont-ils concernés ?

Oui, notamment pour la protection du secret professionnel, la sécurité des données et la conformité réglementaire.

Les deepfakes sont-ils un risque cyber ?

Oui. Ils peuvent être utilisés pour la fraude, l’usurpation d’identité ou l’ingénierie sociale.

L’IA améliore-t-elle la cybersécurité ?

Oui, mais elle accroît également les capacités offensives des attaquants.

Sources documentaires mobilisées

  1. « L’ère du « Legal partner maker » : piloter la conformité à l’heure de l’IA Act et de NIS 2 » – Village de la Justice – 2025 –
  2. « DPO, DSI, directions juridiques : voici ce que la Cnil va vous demander en 2026 sur l’IA, la cyber et le RGPD » – Usine Digitale – 2026 –
  3. « Révision du Cybersecurity Act : analyse des modifications et de leur impact sur les États et organisations » – Usine Digitale – 2025 –
  4. « L’Europe alerte sur l’explosion des cybermenaces liée à l’essor de l’IA » – 20 Minutes – 11 mai 2026 –
  5. « LLM et confidentialité : pourquoi les organisations doivent reprendre le contrôle » – ICT Journal – 20 mai 2026 –
  6. « Deepfakes, cyberflashing, stalking… L’État va durcir l’arsenal face aux cyberviolences » – 2026 –

Méthodologie : Cette fiche a été générée avec l’assistance de l’intelligence artificielle à partir de la base documentaire disponible et de sources complémentaires identifiées dans celle-ci. Elle a vocation à fournir une synthèse informative et ne constitue pas un avis juridique.

Fiches Dabo Tibi Ius associées :