.png)
Par Gérard Haas
Derrière les sigles européens NIS 2 (directive sur la sécurité des réseaux) et DORA (Digital Operational Resilience Act), se profile bien davantage qu’une simple évolution technique. Ces textes inaugurent une mutation structurelle du droit de la conformité numérique : celle du passage d’un modèle de défense réactive à une responsabilité proactive du dirigeant.Comme le rappelle Me Gérard Haas, avocat en droit du numérique et de la cybersécurité, « ces textes ne bouleversent pas la responsabilité du dirigeant, mais lui rappellent que la cybersécurité est désormais un devoir de gouvernance. » Le droit français connaissait déjà la faute de gestion et la responsabilité du dirigeant en cas de manquement à ses obligations de conformité.
Ce que change NIS 2 et DORA, c’est l’étendue de la diligence exigée : le dirigeant doit désormais comprendre, anticiper et documenter les risques numériques.
« NIS 2 et DORA ne changent pas la faute de gestion, ils en changent la nature : la négligence cyber devient la nouvelle faute stratégique. »
La permanence du cadre français : la faute de gestion à l’ère du numérique
Les articles L.225-251 et L.651-2 du Code de commerce demeurent les piliers de la responsabilité des dirigeants. Mais les nouvelles normes européennes y greffent un niveau d’exigence inédit : la cybersécurité n’est plus un choix opérationnel, c’est un impératif structurel. L’obligation de moyens se double désormais d’un devoir de compréhension active.
Le dirigeant qui se contente d’approuver un budget ou de déléguer sans supervision commet une faute de vigilance.
La jurisprudence récente de la CNIL (délibérations SAN-2024-020 et SAN-2025-001) et du Conseil d’État (décision du 19 juin 2020, n° 430810) confirme cette évolution : l’absence de procédures de contrôle ou de moyens organisationnels devient constitutive d’un manquement. Ainsi se dessine une extension de la faute de gestion : elle ne se limite plus à la mauvaise administration, mais s’étend à la carence numérique.
L’émergence du devoir fiduciaire de vigilance numérique des dirigeants
Sous l’influence conjuguée de NIS 2, DORA et du RGPD, le droit européen consacre une idée nouvelle : la cybersécurité comme devoir fiduciaire du dirigeant. Le chef d’entreprise doit démontrer qu’il a mis en œuvre une gouvernance numérique adaptée, traçable et soutenue par des moyens suffisants. Il ne s’agit plus seulement d’éviter la faute, mais de prouver la vigilance : le droit consacre ainsi une obligation de cyber-accountability.
Cette mutation transforme la fonction dirigeante :
- les risques cyber doivent être inscrits à l’ordre du jour des conseils d’administration,
- les décisions d’investissement en sécurité doivent être documentées,
- les délégations doivent être formalisées, budgétées et suivies.
« Le dirigeant ne peut plus ignorer le code : la gouvernance numérique devient la grammaire du pouvoir responsable. »
La délégation de pouvoir face aux nouveaux défis de la cybersécurité
Comme le rappelle Me Haas, le dirigeant n’est pas un expert technique. Il décide sur la base d’avis spécialisés. Mais la délégation de pouvoir n’exonère pas : elle oblige.
Pour être valable, elle doit être :
- formalisée par écrit,
- accompagnée de moyens effectifs (budget, autorité, équipe),
- attribuée à un délégataire compétent,
- et contrôlée par un suivi régulier du dirigeant.
En pratique, cette délégation doit être pensée comme une chaîne de confiance – et non comme un bouclier de responsabilité. La cyber-résilience devient ainsi un critère de maturité organisationnelle.
Une transformation silencieuse mais structurante : vers la gouvernance numérique intégrée
En apparence, NIS 2 et DORA rappellent le droit existant.
En réalité, ils en redéfinissent le périmètre vivant : la cybersécurité devient un enjeu de gouvernance stratégique, éthique et durable. Sous le vernis d’un texte technique, l’Union européenne introduit une révolution culturelle :celle d’un dirigeant responsable de la continuité numérique, au même titre que de la santé financière de l’entreprise.
Cette évolution s’inscrit dans le sillage des devoirs de vigilance RSE : le numérique devient un espace de responsabilité sociale et institutionnelle.
« L’ère de la conformité défensive s’achève : place à la diligence cyber, pilier du leadership de demain. »
Conclusion : Vers une gouvernance numérique intégrée et responsable
Finalement, NIS 2 et DORA ne bouleversent pas le droit – ils en actualisent la philosophie. Ils imposent aux dirigeants de démontrer qu’ils ont compris, anticipé et assumé leurs obligations numériques. Leur force n’est pas punitive, mais éducative : ils façonnent une éthique de la vigilance.
La cybersécurité n’est plus une matière technique réservée aux DSI :
elle devient la boussole de la gouvernance moderne, le signe d’une responsabilité dirigeante mature et transparente.
En matière de gouvernance numérique, la vigilance n’est plus une vertu – c’est une obligation.
***
Le cabinet HAAS Avocats, spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle, est à votre disposition pour vous accompagner dans vos démarches de conformité et pour répondre à toutes vos interrogations sur la régulation des plateformes numériques. Pour nous contacter, cliquez ici.
.png?width=110&name=Neurotech%20%20au%20coeur%20de%20lesprit,%20aux%20fronti%C3%A8res%20du%20droit%20(51).png)
.png?width=110&name=Neurotech%20%20au%20coeur%20de%20lesprit,%20aux%20fronti%C3%A8res%20du%20droit%20(48).png)
.png?width=110&name=Neurotech%20%20au%20coeur%20de%20lesprit,%20aux%20fronti%C3%A8res%20du%20droit%20(47).png)
.png?width=110&name=Neurotech%20%20au%20coeur%20de%20lesprit,%20aux%20fronti%C3%A8res%20du%20droit%20(45).png)
