IBAN en clair, mots de passe en base : pourquoi les entreprises françaises ne chiffrent toujours pas

Cinq millions cent mille IBAN. Stockés sans protection cryptographique adéquate, accessibles depuis un VPN dont l'authentification n'avait jamais été durcie. Quand la CNIL a rendu publique sa sanction de 42 millions d'euros contre Free en janvier 2026, le montant a retenu l'attention. Le détail technique, lui, a glacé les professionnels de la sécurité informatique : l'opérateur télécoms, qui gère les coordonnées bancaires de millions de Français, n'avait pas jugé nécessaire de chiffrer ces données. Le système de détection comportementale censé repérer les exfiltrations massives ne fonctionnait pas correctement. Résultat : un attaquant a pu siphonner les IBAN de 5,1 millions d'abonnés avant que quiconque ne réagisse.

Ce n'est pas un incident isolé. C'est un symptôme.

L'article 32 : la mesure que personne n'applique

Le Règlement général sur la protection des données, entré en application le 25 mai 2018, comporte 99 articles. L'article 32, consacré à la sécurité des traitements, n'en représente qu'un centième. Il concentre pourtant, selon les analyses de la doctrine CNIL, environ 75 % des sanctions prononcées par l'autorité française. La raison tient en une phrase, extraite de l'alinéa 1(a) : le responsable du traitement doit mettre en œuvre « la pseudonymisation et le chiffrement des données à caractère personnel ».

Ce passage constitue une anomalie remarquable dans l'architecture du RGPD. Le règlement européen, rédigé selon le principe de neutralité technologique, évite délibérément de prescrire des outils ou des méthodes spécifiques. Les rédacteurs ont fait deux exceptions. Deux seulement. La pseudonymisation, d'abord. Le chiffrement, ensuite. En les inscrivant nommément dans le texte, le législateur européen leur a conféré un statut particulier : celui de mesures de référence, le seuil minimal en dessous duquel un responsable de traitement aura du mal à démontrer sa conformité.

L'approche reste fondée sur le risque. Le texte précise que le choix des mesures doit tenir compte de « l'état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes physiques ». Pour des données bancaires, des données de santé ou des fichiers de millions de personnes, cette analyse de risque conduit invariablement à la même conclusion : le chiffrement n'est pas optionnel. Il relève de ce que la CNIL qualifie de mesure « élémentaire ».

Huit ans se sont écoulés depuis l'entrée en application du RGPD. La question n'est plus de savoir si les entreprises françaises connaissent l'obligation. Elle est de comprendre pourquoi elles continuent de l'ignorer.

Le bal des données nues

L'affaire Free n'a pas ouvert le bal. Elle l'a rendu impossible à ignorer. Mais le catalogue des manquements au chiffrement en France compose, à lui seul, un réquisitoire accablant contre les pratiques du secteur privé et au-delà.

France Travail, l'ancien Pôle emploi, a subi en 2024 une compromission qui a exposé les données personnelles de 43 millions d'usagers. L'enquête de la CNIL, sanctionnée par une amende de 5 millions d'euros en janvier 2026, a révélé des défaillances stupéfiantes. Le seuil de blocage des tentatives de connexion était fixé à 50 essais, là où l'autorité recommande un maximum de 10. L'authentification multifacteur n'avait pas été déployée. Pour un organisme qui gère les données de la quasi-totalité de la population active française, l'absence de ces protections élémentaires relève moins de la négligence que de l'aveuglement institutionnel.

SFR, autre opérateur télécoms, a vu les IBAN de ses clients exposés dans une fuite distincte. Boulanger, enseigne de distribution spécialisée, a découvert que 27,5 millions de lignes de données étaient accessibles sur BreachForums, le forum de référence des cybercriminels, sans aucune couche de chiffrement. Les données étaient lisibles immédiatement, exploitables sans effort, monnayables en quelques heures.

Le problème ne se limite pas aux grandes entreprises. La CNIL a sanctionné un e-commerçant pour avoir stocké des numéros de carte bancaire en clair dans des champs commentaires de son système de gestion. Pas dans une base de données mal configurée. Dans des commentaires libres, comme on noterait un numéro de téléphone sur un post-it. En décembre 2020, deux médecins ont écopé d'amendes de 3 000 et 6 000 euros pour défaut de chiffrement de données de santé stockées sur des disques durs. Des pathologies, des diagnostics, des traitements : tout était accessible à quiconque mettait la main sur le support physique.

Ces affaires dessinent un schéma récurrent. Les données sensibles (coordonnées bancaires, informations médicales, identifiants personnels) sont collectées, traitées, stockées, transmises, parfois sous-traitées, le tout sans que personne, à aucun moment de la chaîne, n'ait jugé nécessaire de les rendre illisibles en cas de compromission. Le chiffrement, dans ces organisations, n'a pas échoué. Il n'a jamais été envisagé.

L'archéologie des excuses

Pourquoi une obligation légale explicite, assortie de sanctions pouvant atteindre 4 % du chiffre d'affaires mondial, reste-t-elle massivement inappliquée huit ans après son entrée en vigueur ? La réponse tient en plusieurs strates, qui se superposent et se renforcent mutuellement.

La première est la dette technique. Selon les estimations convergentes des cabinets de conseil en transformation numérique, environ 70 % des entreprises françaises opèrent encore sur des systèmes legacy, ces architectures conçues dans les années 1990 ou 2000, quand le chiffrement des données au repos n'était même pas un sujet de discussion. Ajouter une couche cryptographique à une application monolithique en COBOL, à une base Oracle configurée il y a quinze ans, ou à un ERP dont personne ne maîtrise plus le code source, relève du projet d'infrastructure lourd. Il faut auditer les flux, identifier les données concernées, choisir les algorithmes, gérer les clés, tester les performances, former les équipes. Le chantier effraie. Il est systématiquement reporté.

La deuxième strate est le déficit de compétences. L'enquête annuelle de Cybermalveillance.gouv.fr, publiée en 2025, révèle que 63 % des TPE et PME françaises citent le manque de connaissances en cybersécurité comme frein principal à la mise en conformité. Le chiffrement, dans l'imaginaire collectif des dirigeants, reste une affaire de mathématiciens et de cryptographes. L'idée qu'un développeur junior puisse, avec les bons outils, intégrer du chiffrement AES-256 en quelques heures n'a pas encore percé dans les comités de direction.

Le budget constitue la troisième barrière. La même enquête montre que 61 % des entreprises citent les contraintes budgétaires comme obstacle, et que 75 % des TPE-PME dépensent moins de 2 000 euros par an en cybersécurité. Moins de 2 000 euros. C'est le prix d'un abonnement logiciel de base, la moitié du coût d'un audit de sécurité élémentaire. À ce niveau de dépense, la question n'est pas de choisir entre chiffrement et pare-feu. C'est la sécurité informatique elle-même qui n'existe pas comme poste budgétaire.

Le facteur temps achève le tableau : 59 % des entreprises déclarent ne pas avoir le temps de se consacrer à la cybersécurité. La transformation numérique, la relation client, la croissance, le recrutement, tout passe avant. La sécurité est reléguée au rang de sujet qu'on traitera « quand on aura un moment ». Ce moment n'arrive jamais. Jusqu'à la fuite.

Le mirage du périmètre

Il existe une explication plus profonde, rarement formulée, qui sous-tend toutes les autres : une erreur conceptuelle sur la nature même de la protection des données. Pendant des décennies, la doctrine de sécurité informatique s'est construite autour de la notion de périmètre. On protège le château fort. On érige des murailles (pare-feu, VPN, segmentation réseau) et on considère que tout ce qui se trouve à l'intérieur est en sécurité. Les données, dans cette logique, n'ont pas besoin d'être chiffrées puisqu'elles sont « derrière les murs ».

Cette approche est morte avec le cloud. Elle l'était probablement avant. Les attaques qui ont frappé Free, France Travail ou Boulanger n'ont pas forcé les portes d'un datacenter isolé. Elles ont exploité des accès légitimes, des identifiants compromis, des chaînes de sous-traitance mal sécurisées. Une part significative des fuites massives de 2024 en France impliquait un prestataire externe comme vecteur initial d'intrusion. Le périmètre, dans ces conditions, est une fiction. La seule protection qui survit à une compromission du réseau, c'est le chiffrement des données elles-mêmes.

Le rapport Thales Data Threat Report 2024 quantifie l'ampleur du décalage entre la prise de conscience et la réalité. Seulement 57 % des données sensibles stockées dans le cloud sont chiffrées par les entreprises. Autrement dit, 43 % des données sensibles hébergées dans le cloud restent en clair. Le chiffre le plus révélateur est peut-être celui-ci : 100 % des répondants à l'enquête Thales, la totalité, déclarent qu'au moins une partie de leurs données cloud sensibles n'est pas chiffrée. Personne n'est irréprochable. Tout le monde le sait. Personne ne corrige.

NIS2 : la fin de la tolérance

Le RGPD, manifestement, n'a pas suffi. Les sanctions, même lourdes, sont perçues comme un risque statistiquement faible, un coût potentiel que les organisations intègrent sans modifier leurs pratiques. La directive NIS2, transposée en droit français, change la nature du problème.

L'article 21, paragraphe 2, alinéa (h) de NIS2 exige des entités régulées qu'elles mettent en place des « politiques et procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement ». La formulation est plus directive que celle du RGPD. Il ne s'agit plus seulement de chiffrer les données personnelles en fonction du risque. Il s'agit de formaliser une politique cryptographique complète, documentée, auditée.

La transposition française, pilotée par l'ANSSI à travers le Référentiel de Cybersécurité Français (ReCyF), traduit cette exigence dans l'objectif M08, intitulé « Cryptographie et chiffrement ». Le point crucial : M08 fait partie du socle universel, le niveau minimal de sécurité applicable à toutes les entités régulées, sans exception ni modulation selon la taille ou le secteur. Les exigences sont concrètes. Politique cryptographique formelle. Gestion du cycle de vie des clés. Conformité avec le Référentiel général de sécurité (RGS). Les entreprises qui, jusqu'ici, pouvaient plaider l'ignorance ou invoquer la proportionnalité face au RGPD vont se heurter à un cadre nettement plus prescriptif.

Le périmètre de NIS2 amplifie la portée du changement. La directive ne cible pas seulement les opérateurs d'importance vitale. Elle englobe des milliers d'entreprises dans les secteurs de l'énergie, des transports, de la santé, de la finance, de l'eau, de l'alimentation, des services numériques. Des ETI, des PME, des organisations qui n'ont jamais eu de RSSI et qui vont découvrir qu'elles doivent désormais produire une politique de chiffrement validée par leur direction générale.

Le marché des solutions et ses angles morts

Face à l'ampleur du retard, un écosystème de solutions se structure. Le marché du chiffrement en tant que service, Encryption-as-a-Service, ou EaaS, représente environ 2 milliards de dollars en 2025, avec un taux de croissance annuel composé de 25 %. Les projections situent le marché entre 15 et 20 milliards de dollars à l'horizon 2034. La promesse est séduisante : externaliser la complexité cryptographique, s'appuyer sur des API standardisées, intégrer le chiffrement dans les applications existantes en quelques lignes de code plutôt qu'en plusieurs mois de refonte architecturale.

Le marché est aujourd'hui dominé par des acteurs américains. AWS Key Management Service, Google Cloud KMS, HashiCorp Vault : les solutions les plus matures, les mieux documentées, les plus répandues dans les architectures modernes sont toutes hébergées ou opérées par des entreprises soumises au droit américain. La question du CLOUD Act se pose alors avec une acuité particulière. Cette loi fédérale américaine de 2018 autorise les autorités judiciaires des États-Unis à exiger la communication de données stockées par des opérateurs américains, y compris lorsque ces données sont hébergées physiquement en dehors du territoire américain.

Des alternatives souveraines commencent à émerger. Des plateformes comme MAFATE proposent du chiffrement AES-256-GCM via API, hébergé en France, avec des SDKs Node.js, Python et Go qui permettent d'intégrer le chiffrement en trois lignes de code. L'ANSSI, de son côté, recommande le chiffrement systématique des données sensibles, y compris sur les appareils mobiles et dans les sauvegardes, et pousse à l'adoption de solutions qualifiées ou certifiées selon des référentiels français.

La simplification de l'intégration technique constitue probablement le levier le plus puissant. Quand le chiffrement nécessitait de maîtriser les subtilités de la gestion de clés, des modes opératoires, des vecteurs d'initialisation et de la rotation cryptographique, seules les grandes organisations pouvaient se l'offrir. Les SDK modernes abstraient cette complexité. Un développeur qui sait faire un appel API sait désormais chiffrer des données. Le fossé entre l'obligation légale et la capacité technique se réduit. L'excuse du « c'est trop compliqué » perd chaque jour un peu plus de sa substance.

Le chiffrement n'est pas une ligne Maginot

Il serait malhonnête de présenter le chiffrement comme la solution unique aux problèmes de sécurité des données. Ce n'est pas le cas. Le chiffrement protège les données au repos et en transit contre les accès non autorisés. Il ne protège pas contre un employé malveillant disposant de droits d'accès légitimes. Il ne compense pas l'absence d'authentification multifacteur, comme l'a démontré le cas France Travail. Il ne détecte pas les exfiltrations, comme l'a illustré la défaillance du système de surveillance de Free.

La sécurité des données repose sur une architecture multicouche. Contrôle d'accès strict, journalisation des événements, détection des anomalies, segmentation réseau, gestion des identités, formation des utilisateurs : chaque composante joue un rôle. Le chiffrement en est une. Mais c'est la composante de dernier recours, celle qui transforme une fuite de données catastrophique en incident maîtrisé. Quand tout le reste a échoué, et dans les cas Free, France Travail, Boulanger, tout le reste avait échoué, la question devient : les données exfiltrées sont-elles exploitables ? Si elles sont chiffrées avec un algorithme robuste et des clés correctement gérées, la réponse est non. L'attaquant repart avec des fichiers illisibles. Les IBAN restent des séquences de bits sans signification. Les dossiers médicaux demeurent opaques.

C'est précisément pour cette raison que le RGPD et NIS2 insistent sur cette mesure spécifique. Non pas parce qu'elle suffit, mais parce qu'elle constitue le filet de sécurité ultime. Et c'est précisément ce filet que la majorité des entreprises françaises n'ont toujours pas tendu.

Le compte à rebours réglementaire

La convergence du RGPD renforcé par la jurisprudence CNIL et de NIS2 transposé par l'ANSSI dessine un paysage réglementaire dans lequel le non-chiffrement des données sensibles va devenir, à très court terme, juridiquement indéfendable. Les sanctions prononcées contre Free et France Travail en janvier 2026 constituent des précédents de référence. La CNIL a clairement signalé que le défaut de chiffrement de données bancaires ou d'identité, dans des organisations disposant des moyens techniques et financiers pour le mettre en œuvre, relève de la négligence caractérisée.

L'objectif M08 du ReCyF de l'ANSSI va transformer cette jurisprudence en norme opérationnelle. Les entreprises régulées par NIS2 devront produire une politique cryptographique formelle, démontrer qu'elles gèrent le cycle de vie de leurs clés, prouver leur conformité avec le RGS. Les audits viendront. Les contrôles aussi. Le temps de la tolérance implicite, où l'on pouvait stocker des millions d'IBAN en clair en espérant que personne ne viendrait vérifier, touche à sa fin.

La question qui se pose désormais aux DSI, aux RSSI et aux DPO français n'est plus « faut-il chiffrer ? ». Elle ne l'a jamais vraiment été, à bien y réfléchir. La loi est claire depuis 2018. La question est devenue strictement opérationnelle : avec quels outils, selon quelle architecture, dans quel calendrier, et surtout, c'est peut-être le point le plus urgent, qui, dans l'organisation, va prendre la responsabilité de décider que cette fois, on ne reporte pas.

---

Lire aussi dans ce dossier :

• → 2025, l'hémorragie : 40 millions de comptes français dans la nature
• → 487 millions d'euros d'amendes CNIL en 2025 : anatomie d'un record
• → Chiffrer ses données en 2026 : le guide de survie pour PME et ETI