B. ALORS QUE LES ENJEUX DE CYBERSÉCURITÉ ET DE PROTECTION DES DONNÉES PERSONNELLES DEMEURENT TRÈS PRÉGNANTS, LES ADMINISTRATIONS ET AUTORITÉS CONCERNÉES DEVRAIENT CONTINUER À ÊTRE FORTEMENT MOBILISÉES
1. Les moyens alloués à la cybersécurité et à la cyberdéfense devraient être encore renforcés en 2026
L'évolution constante des menaces cyber et informationnelles, marquée par la diversification des modes opératoires et l'accroissement de leurs impacts, appelle une vigilance accrue et une meilleure coordination des moyens de l'État. A titre d'illustration, en 2024, la France a subi une intensification des cyberattaques (+ 15 % par rapport à 2023), principalement d'origine chinoise, russe et cybercriminelle.
À ce titre, le SGDSN dispose d'une expertise reconnue en matière de cybersécurité, notamment à travers l'Agence nationale de sécurité des systèmes d'information (ANSSI), afin d'apporter un appui technique et opérationnel aux différentes entités concernées (administrations, opérateurs privés d'importance vitale), dans le respect de leur indépendance.
Le rôle de l'ANSSI en matière de cybersécurité et de cyberdéfense
L'ANSSI assure les missions « d'opérateur » de cyberdéfense et de cybersécurité, au profit des autres administrations, et dans une moindre mesure des opérateurs privés d'importance vitale. Elle fournit à ce titre des services de détection, de caractérisation et de remédiation face aux cyberattaques, mais également d'anticipation et d'alerte sur les menaces émergentes, ou de mesure automatisée du niveau de sécurité de ses différents bénéficiaires. Ces services reposent sur des infrastructures numériques importantes, qui nécessitent un flux constant d'investissement, tant pour leur développement que pour leur maintien en condition opérationnelle.
À titre d'exemple :
- l'ANSSI intègre dans son budget des investissements significatifs et dépenses récurrentes liés aux services de détection des cyberattaques contre les systèmes d'information (SI) des ministères, reposant sur des sondes déployées dans les réseaux des ministères et une infrastructure centrale d'analyse hébergée par l'ANSSI ;
- l'ANSSI assure aussi, au titre de cette mission, le co-financement avec le ministère des Armées du développement des équipements de cybersécurité nécessaires à la protection des informations classifiées (produits de sécurité à usage gouvernemental, ou PSUG) ;
L'ANSSI exerce également les missions d'autorité nationale responsable de l'application de plusieurs réglementations. L'évolution du cadre règlementaire au niveau national et européen a une incidence directe sur le budget de l'ANSSI. En effet, les nouvelles règlementations tendent à élargir le périmètre d'intervention de l'Agence, ce qui induit de nouveaux investissements et/ou recrutements pour garantir le niveau de cybersécurité souhaité.
Source : commission des finances, d'après les réponses aux questionnaires budgétaires
Outre la mise en oeuvre des nouvelles dispositions de la loi de programmation militaire, l'ANSSI travaille actuellement à l'application de quatre textes européens d'envergure, présentant des enjeux forts d'accompagnement des nouvelles entités régulées ou d'appui aux autorités de surveillance de marché, ainsi que des obligations légales de renforcement de ses propres capacités de contrôle : la directive NIS2, le règlement sur la cyber résilience (Cyber Resilience Act - CRA), le règlement sur l'identité numérique (eIDAS), le règlement sur l'intelligence artificielle (AI Act) et le Cybersecurity Act.
S'il est encore difficile d'estimer le coût pour l'agence du CRA, d'eIDAS et de l'AI Act, les travaux déjà engagés pour développer des nouveaux services et des actions de sensibilisation au bénéfice des 15 000 futures entités régulées au titre de NIS2 ont, à titre d'exemple, déjà coûté 2 millions d'euros en 2024 sur le budget de l'Agence.
Au 1er janvier 2025, les effectifs de l'ANSSI étaient de 656 ETP, soit une augmentation de 128 % depuis 2021. Ils devraient progresser de 4 ETP en 2025 compte tenu d'une révision à la hausse de son schéma d'emplois en cours de gestion (schéma d'emplois - 5 ETP initialement prévu en LFI 2025, pour s'établir à + 4 ETP, soit une variation de + 9 ETP).
Au titre du projet de loi de finances pour 2026, le schéma d'emplois évoluerait à nouveau à la hausse, avec + 8 ETP.
Quant à la dotation budgétaire hors titre 2, la trajectoire prévisionnelle pour la période 2026-2027 maintient les ressources métier de l'ANSSI à 27,27 millions d'euros en AE et 26,99 millions d'euros en CP (montants inchangés par rapport à 2025, contre 25,55 millions d'euros en AE et 25,23 millions d'euros en CP en 2024). À ces crédits métiers s'ajoute un versement complémentaire du SGDSN de l'ordre de 2,5 millions d'euros au titre du fonctionnement courant.
2. Au titre de la protection des données, la Commission nationale de l'informatique et des libertés (CNIL) devrait également être confrontée à de fortes sollicitations en 2026
Créée par la loi du 6 janvier 1978, la Commission nationale de l'informatique et des libertés (CNIL) est une autorité administrative indépendante chargée d'assurer la protection des données personnelles. Elle informe et conseille les citoyens comme les organismes publics et privés, autorise certains traitements sensibles, accompagne la mise en conformité, contrôle les pratiques et peut prononcer des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
Depuis l'entrée en vigueur du règlement général sur la protection des données (RGPD) en 2018, ses missions se sont élargies à la gestion des violations de données, à la certification, à la coopération européenne et aux actions collectives. Elle a parallèlement renforcé sa politique répressive, en réponse à l'accroissement des plaintes et signalements : près de 650 millions d'euros d'amendes ont été prononcées entre 2019 et 2024.
L'adoption de nouveaux textes européens renforce encore son rôle : la CNIL exerce désormais des compétences au titre du règlement sur l'intelligence artificielle, du Data Governance Act, du Digital Services Act et du règlement sur la publicité politique, l'habilitant à contrôler, sanctionner et accompagner les acteurs du numérique.
Ces évolutions s'accompagnent d'une coopération accrue avec les autres régulateurs9(*), notamment à travers la convention de partenariat signée en juin 2024 et le réseau national de régulation du numérique instauré par la loi du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (dite « loi SREN »).
Parallèlement, la CNIL recourt de manière ciblée aux technologies d'intelligence artificielle et développe elle-même certains outils afin de perfectionner sa connaissance du domaine.
Le PLF 2026 prévoit une enveloppe pour la CNIL de 31,23 millions d'euros en AE et en CP :
- 4,19 millions d'euros pour les crédits hors titre 2 ;
- 27,04 millions d'euros pour les crédits de titre 2, soit + 0,95 million d'euros par rapport à la LFI 2025 (+ 3,6 %). Cette hausse des crédits de personnel résulte principalement des facteurs d'évolution automatique : d'une part, l'effet de « glissement-vieillesse-technicité » (GVT), et, d'autre part, l'impact sur 2026 de l'effet en année pleine du schéma d'emplois de 2025.
Comme les autres AAI du programme 308, la CNIL ne bénéficie d'aucune création d'emploi en PLF 2026.
D'après les services de la CNIL10(*), celle-ci devra faire face en 2026 à une activité « classique » en forte croissance et à une complexité accrue de ses missions : hausse des plaintes, accompagnement renforcé des acteurs, contrôle des traitements, sanctions plus nombreuses et sensibilisation du public accrue.
De nouvelles responsabilités viendront s'ajouter :
- la mise en oeuvre effective du paquet numérique européen ;
- l'encadrement du développement de l'intelligence artificielle (nouveau rôle de régulation de l'IA sur six secteurs économiques importants) ;
- la cybersécurité et la protection des enfants ;
- une présence renforcée sur les territoires ;
- une nouvelle mission au titre du filtre national de cybersécurité (« filtre CYBER ») : attribuée à la CNIL, cette mission consistera à examiner et valider le blocage de milliers de sites frauduleux.
Le rôle de la CNIL en matière de régulation de l'intelligence artificielle (IA)
La CNIL doit favoriser l'innovation tout en assurant la conformité au RGPD. Elle a ainsi publié en 2024 des recommandations pratiques et créé un service dédié à l'IA (5 agents actuellement). Ses missions incluent : l'audit des modèles, l'accompagnement des entreprises et la sensibilisation du public. Le plan stratégique 2025-2028 prévoit de doter ce pôle de moyens matériels et humains renforcés.
Un nouveau rôle de régulation sectorielle sur l'intelligence artificielle devrait être confié à la CNIL dans le cadre de la mise en oeuvre du règlement européen (RIA). La CNIL devrait ainsi se voir confier une nouvelle mission d'autorité de surveillance des marchés (ASM) sur plusieurs secteurs économiques vitaux tels que la biométrie, la police, la justice, l'immigration, le travail et l'éducation.
Assumer cette mission implique d'élaborer une doctrine de bon usage de l'IA dans tous ces domaines, accompagner les acteurs pour la mise en oeuvre de cette doctrine puis, le cas échéant, contrôler voire sanctionner les mauvaises pratiques.
Source : commission des finances d'après les réponses de la CNIL au questionnaire du rapporteur spécial
D'après la CNIL, l'absence de moyens supplémentaires pourrait remettre en cause l'exercice efficace de ses missions, au détriment de la protection des droits et de la sécurité juridique des acteurs économiques. Sur un budget total de 30 millions d'euros en 2025, les dépenses de fonctionnement hors titre 2 représentent 4 millions d'euros, dont 87 % de charges incompressibles. Des rallonges exceptionnelles ont déjà été nécessaires (+ 90 000 euros en 2023, + 180 000 euros en 2024) pour financer a minima la croissance d'activité.
La CNIL a indiqué avoir demandé, en vain, pour 2026, une hausse pérenne de ses moyens, de + 100 000 euros par an dès 2026 pour ses missions historiques et de + 200 000 euros par an supplémentaires pour la régulation de l'IA, ainsi que + 8 emplois pour les missions historiques et + 15 emplois pour la régulation de l'IA.
Selon les services de la CNIL, « il parait difficile de réaliser des économies supplémentaires sur un budget hors titre 2 d'un peu moins de 4 millions d'euros » sans compromettre sa capacité à assumer toutes ses missions historiques et nouvelles, alors même que les sanctions prononcées par le régulateur ont rapporté, depuis 2019, 1,126 milliard d'euros au budget de l'État (87 sanctions en 2024, pour un montant total de 150 millions d'euros ; 39 sanctions en 2025 à date pour un montant total de 477 millions d'euros, dont 85 % concernent les GAFAM).
* 9 Autorité de régulation de la communication audiovisuelle et numérique, Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, Direction générale de la concurrence, de la consommation et de la répression des fraudes.
* 10 Réponses de la CNIL au questionnaire du rapporteur spécial.