AdmisConcours
Recrutements Bibliothèque Concours
← Décryptages thématiques
Numérique et stratégie digitale 25/04/2026

La cyberattaque contre l'Agence nationale des titres sécurisés et la résilience numérique de l'État : entre obligations du RGPD, sécurisation des systèmes d'information publics et continuité du service public

L'Agence nationale des titres sécurisés (ANTS), opérateur du ministère de l'Intérieur chargé de la dématérialisation des titres d'identité, des passeports et des permis de conduire en France, a été victime d'un « incident de sécurité » majeur détecté le 15 avril 2026, conduisant à la mise en maintenance de son portail le 24 avril. Selon les annonces du ministère de l'Intérieur du 21 avril 2026, 11,7 millions de comptes auraient été compromis, avec exfiltration de données à caractère personnel concernant aussi bien des particuliers que des professionnels : noms, prénoms, dates de naissance, adresses électroniques, identifiants de connexion et identifiant unique du compte ANTS, auxquels s'ajoutent dans certains dossiers l'adresse postale, le lieu de naissance et le numéro de téléphone. Le Parquet de Paris a été saisi et une enquête a été confiée à l'Office anti-cybercriminalité (OFAC), la CNIL ayant été notifiée conformément aux obligations du RGPD. L'accès aux demandes de titres et à leur suivi est momentanément indisponible. Cette attaque s'inscrit dans une série préoccupante pour les systèmes d'information publics français, après la compromission du FICOBA en janvier 2026 (1,2 million de comptes concernés) et l'exposition des données d'élèves via ÉduConnect en avril. Elle pose la question de la résilience numérique de l'État face à une cybercriminalité de plus en plus structurée.

Le cadre juridique de la protection des données personnelles et la responsabilité du responsable de traitement

L'incident relève en premier lieu du règlement (UE) 2016/679 du 27 avril 2016, dit règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018, complété en droit interne par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés telle que modifiée par la loi n° 2018-493 du 20 juin 2018. L'État, en tant que responsable de traitement au sens de l'article 4, paragraphe 7, du RGPD, est soumis à une obligation de sécurité renforcée par l'article 32 du règlement, qui impose la mise en œuvre de « mesures techniques et organisationnelles appropriées » au regard du risque. L'article 33 du RGPD prévoit l'obligation de notifier toute violation de données à caractère personnel à l'autorité de contrôle, en l'espèce la CNIL, dans un délai de 72 heures, et l'article 34 impose une communication aux personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Le Conseil d'État, dans son arrêt du 27 mars 2020, Société Doctissimo, et plus largement dans sa jurisprudence sur les sanctions de la CNIL, a rappelé l'exigence d'une appréciation concrète de la sécurité des traitements. La Cour de justice de l'Union européenne, dans son arrêt Natsionalna agentsia za prihodite du 14 décembre 2023 (C-340/21), a précisé que la simple survenance d'une cyberattaque ne suffit pas à caractériser un manquement à l'article 32 du RGPD, mais que le responsable de traitement doit prouver qu'il avait pris les mesures de sécurité appropriées au regard de l'état de l'art.

La sécurité des systèmes d'information publics : un cadre normatif en pleine consolidation

La sécurisation des systèmes d'information de l'État relève d'un corpus juridique enrichi par la transposition de la directive NIS 2 (directive (UE) 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union). Cette directive a été transposée en droit français par la loi n° 2025-391 du 30 avril 2025 relative à la résilience des activités d'importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier. Le nouveau cadre élargit considérablement le périmètre des entités assujetties à des obligations de cybersécurité, incluant les administrations publiques. L'Agence nationale de la sécurité des systèmes d'information (ANSSI), créée par le décret n° 2009-834 du 7 juillet 2009, joue un rôle central dans l'accompagnement des opérateurs publics et dans la qualification des prestataires de services de confiance. Le référentiel général de sécurité (RGS), prévu à l'article 9 de l'ordonnance n° 2005-1516 du 8 décembre 2005 et précisé par le décret n° 2010-112 du 2 février 2010, impose aux administrations un niveau de sécurité minimal pour les téléservices. Les manquements à ces obligations peuvent désormais engager la responsabilité de l'État sur un terrain renouvelé, la loi du 30 avril 2025 prévoyant des sanctions administratives prononcées par l'ANSSI.

La responsabilité de l'État pour défaillance dans la sécurisation d'un service public dématérialisé

L'attaque contre l'ANTS soulève la question de la responsabilité de la puissance publique pour défaillance dans l'organisation du service public numérique. La jurisprudence administrative tend à reconnaître que la dématérialisation des démarches administratives, lorsqu'elle est imposée aux usagers, génère des obligations corrélatives pour l'administration. Le Conseil d'État, dans sa décision La Cimade et autres du 3 juin 2022 (n° 452798), a censuré le caractère exclusif de la dématérialisation des demandes de titres de séjour sur le portail de l'ANEF, en jugeant qu'elle portait une atteinte excessive aux droits des usagers en l'absence de solution alternative permettant à toute personne de saisir l'administration. Cette jurisprudence consacre, par extension, l'exigence d'une dématérialisation accompagnée de garanties effectives. La responsabilité de l'État pour faute peut être engagée sur le fondement classique de la jurisprudence Blanco du Tribunal des conflits du 8 février 1873, prolongée par la jurisprudence relative aux dommages causés par les défaillances des services publics. Plus spécifiquement, la responsabilité du responsable de traitement au titre de l'article 82 du RGPD ouvre aux personnes concernées un droit à réparation du préjudice matériel ou moral subi du fait de la violation. La CJUE, dans son arrêt Österreichische Post du 4 mai 2023 (C-300/21), a précisé que toute violation du RGPD ne donne pas automatiquement droit à indemnisation, l'existence d'un préjudice réel devant être établie, position confirmée et nuancée par l'arrêt MediaMarktSaturn du 25 janvier 2024 (C-687/21) qui admet que la crainte d'un usage abusif des données peut constituer un dommage moral indemnisable.

La continuité du service public à l'épreuve de la dématérialisation et les enjeux de souveraineté numérique

L'indisponibilité du portail de l'ANTS affecte directement le principe de continuité du service public, principe à valeur constitutionnelle reconnu par le Conseil constitutionnel dans sa décision n° 79-105 DC du 25 juillet 1979. La dématérialisation, érigée en principe par l'article L. 112-8 du code des relations entre le public et l'administration et par le décret n° 2016-685 du 27 mai 2016, fait peser sur l'administration une obligation renforcée de garantir l'accessibilité et la continuité des téléservices. La stratégie numérique de l'État, structurée par la direction interministérielle du numérique (DINUM) et par le programme « France Numérique 2030 », s'articule désormais avec les exigences du règlement (UE) 2024/1689 du 13 juin 2024 sur l'intelligence artificielle (AI Act) et avec la stratégie nationale de cybersécurité présentée par le Président de la République en février 2021. La question de la souveraineté numérique se pose également dans le choix des prestataires d'hébergement et de sécurité, notamment au regard de la doctrine « cloud au centre » et du référentiel SecNumCloud élaboré par l'ANSSI, dont la qualification conditionne l'hébergement des données les plus sensibles. La crise actuelle met en lumière la nécessité, soulignée par la Cour des comptes dans plusieurs rapports récents, de renforcer les moyens humains et budgétaires consacrés à la sécurité des systèmes d'information de l'État.

Enjeux pour les concours

Le candidat retiendra trois axes essentiels. D'abord, l'incident relève du cadre juridique européen de la protection des données : le RGPD (règlement (UE) 2016/679 du 27 avril 2016), notamment ses articles 32 (sécurité du traitement), 33 (notification à l'autorité de contrôle dans les 72 heures), 34 (communication aux personnes concernées) et 82 (droit à indemnisation), complété par la loi n° 78-17 du 6 janvier 1978 modifiée. La jurisprudence de la CJUE (Österreichische Post, C-300/21, 4 mai 2023 ; Natsionalna agentsia za prihodite, C-340/21, 14 décembre 2023) précise les contours de la responsabilité du responsable de traitement. Ensuite, la sécurité des systèmes d'information publics s'inscrit dans le cadre rénové issu de la directive NIS 2 du 14 décembre 2022, transposée par la loi n° 2025-391 du 30 avril 2025, et du référentiel général de sécurité (ordonnance n° 2005-1516 du 8 décembre 2005). Enfin, la dématérialisation imposée doit s'articuler avec le principe de continuité du service public (CC, n° 79-105 DC, 25 juillet 1979) et les garanties d'accessibilité dégagées par le Conseil d'État (CE, La Cimade, 3 juin 2022, n° 452798). Les références opérationnelles à mémoriser sont l'attaque contre l'ANTS d'avril 2026, la loi NIS 2 du 30 avril 2025 et le rôle pivot de l'ANSSI (décret n° 2009-834 du 7 juillet 2009).

Partager

Autres brèves — Numérique et stratégie digitale

Le gel par l'OFAC de 344 millions de dollars de cryptoactifs liés à l'Iran : un révélateur des tensions entre extraterritorialité du droit américain, régulation européenne MiCA et stratégies de contournement étatique
Les marchés prédictifs et le droit : l'affaire Polymarket-Venezuela comme révélateur des angles morts de la régulation des paris en ligne sur événements géopolitiques
La souveraineté numérique européenne à l'épreuve des chaînes d'approvisionnement : semi-conducteurs, cloud souverain et encadrement de la shadow AI
La CNIL face au ciblage politique des municipales 2026 : l'autorité administrative indépendante au cœur de la régulation numérique des campagnes électorales
Quand l'intelligence artificielle révèle les failles « zero-day » : le projet Glasswing d'Anthropic et le défi juridique de la cybersécurité augmentée