Longtemps considérée comme une curiosité juridique française, la loi n° 68-678 du 26 juillet 1968, dite « loi de blocage », connaît une transformation profonde. Ce texte, qui interdit aux entreprises françaises de communiquer certaines données stratégiques à des autorités étrangères en dehors des canaux officiels d’entraide judiciaire, s’impose désormais comme un pilier de la souveraineté cyber et économique nationale. Un mouvement que le parquet de Paris entend accélérer par un durcissement significatif des sanctions pénales.
D’un mécanisme défensif à un outil offensif de conformité
À l’origine, la loi de blocage répondait à un objectif précis : contrer les pratiques extraterritoriales du droit américain, notamment les procédures de discovery qui permettaient aux juridictions et autorités des États-Unis d’exiger la communication de documents détenus par des entreprises françaises. Le dispositif repose sur deux interdictions complémentaires.
La première, posée par l’article 1er, vise les « données sensibles » : elle interdit aux personnes françaises ou résidant en France de communiquer à des autorités publiques étrangères des informations dont la divulgation porterait atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l’ordre public. La seconde, introduite par l’article 1er bis, concerne les « données stratégiques » : elle interdit à toute personne de transmettre des informations tendant à constituer des preuves dans le cadre de procédures judiciaires ou administratives étrangères.
Pendant des décennies, ce dispositif est resté largement théorique. Les sanctions prévues (6 mois d’emprisonnement et 18 000 € d’amende pour les personnes physiques, jusqu’à 90 000 € pour les personnes morales) n’ont jamais constitué un frein réel pour les grands groupes confrontés à la pression d’autorités étrangères, notamment américaines. L’arbitrage était simple : mieux valait coopérer avec Washington et risquer une sanction symbolique en France que de s’exposer à des amendes colossales ou à des restrictions d’activité outre-Atlantique.
La réforme de 2022 : l’adaptation au monde numérique
La réforme opérée en 2022 a profondément modernisé le cadre juridique de la loi de blocage pour l’adapter aux réalités du numérique. L’explosion des volumes de données, l’externalisation massive vers des prestataires cloud et la multiplication des demandes judiciaires transfrontalières portant sur des données hébergées en Europe rendaient cette mise à jour indispensable.
Le décret n° 2022-207 du 18 février 2022 a instauré un mécanisme centralisé : toute sollicitation émanant d’une autorité étrangère doit désormais être transmise sans délai au Service de l’information stratégique et de la sécurité économiques (SISSÉ), qui dispose d’un mois pour rendre un avis sur l’applicabilité de la loi. Ce guichet unique constitue le point de passage obligé pour toute entreprise confrontée à une demande extraterritoriale.
Les résultats dépassent les attentes initiales. Le SISSÉ rend désormais entre 50 et 60 avis par an, et le nombre de saisines a été multiplié par cinq par rapport à la période précédant la réforme. Fait notable : des sociétés étrangères viennent elles-mêmes solliciter ce guichet, signe que le dispositif gagne en crédibilité internationale.
La diversité des dossiers traités illustre l’ampleur du phénomène. Sur le plan géographique, l’Amérique du Nord représente 52 % des demandes, l’Union européenne et le Royaume-Uni 30 %, et l’Asie 7 %. Quant à la nature des procédures, les contentieux civils arrivent en tête (42 %), suivis des procédures pénales (30 %) et administratives (28 %).
Le signal fort du parquet cyber
C’est dans ce contexte que la vice-procureure Johanna Brousse a pris la parole le 16 décembre dernier, lors du colloque annuel du Cercle des directions de la sécurité des entreprises (CDSE) à Issy-les-Moulineaux. Son message, adressé aux responsables sûreté et cyber des plus grands groupes français, ne laissait aucune place à l’ambiguïté : les sanctions actuelles sont « structurellement inefficaces » et doivent être massivement relevées.
Cette prise de position s’inscrit dans la montée en puissance de la section cyber (J3) du parquet de Paris, intégrée à la Juridiction nationale de lutte contre la criminalité organisée (Junalco). Son champ d’action ne se limite plus aux attaques informatiques et aux atteintes aux systèmes d’information critiques : il englobe désormais les violations graves de la souveraineté numérique, dont les manquements à la loi de blocage.
Le parquet cyber identifie une tendance préoccupante qu’il qualifie de « compliance opportuniste ». Certaines entreprises, face à une injonction étrangère (parfois informelle), choisissent délibérément de coopérer en misant sur la faiblesse du risque pénal français. Un calcul rationnel que seul un relèvement substantiel des sanctions pourrait modifier.
Le guide ANSSI : cartographier pour se protéger
Consciente que le durcissement pénal ne peut fonctionner sans accompagnement pratique, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié en avril 2022 un guide d’identification des données sensibles au sens de la loi de blocage. Ce document, trop souvent méconnu, constitue une brique essentielle pour toute démarche de mise en conformité.
Le guide propose une méthodologie de cartographie couvrant l’ensemble des typologies de données concernées : données techniques, industrielles, commerciales, liées à la R&D ou à la sécurité. Il fournit des critères de sensibilité adaptés au contexte géopolitique et sectoriel de chaque entreprise, et formule des recommandations concrètes pour intégrer la loi de blocage dans les politiques de sécurité des systèmes d’information (PSSI) et les dispositifs de gouvernance des données.
Ce guide marque un tournant : la loi de blocage quitte le seul champ juridique pour devenir un sujet cyber à part entière, au même titre que le RGPD ou la directive NIS 2.
Le cas OVHcloud : anatomie d’un conflit de normes
L’affaire impliquant OVHcloud illustre concrètement les tensions auxquelles sont confrontés les acteurs du cloud européen. Le fournisseur français s’est trouvé visé par une demande émanant d’un tribunal canadien portant sur des données hébergées sur le sol européen. En contournant les mécanismes d’entraide judiciaire internationale, la juridiction étrangère a placé l’entreprise face à un dilemme insoluble : coopérer et risquer de violer la loi française, ou refuser et s’exposer à des sanctions ou restrictions d’activité au Canada.
Ce type de situation se multiplie pour les acteurs du cloud et des services numériques. Il met en lumière une faille structurelle : sans cadre pénal réellement dissuasif côté français, le rapport de forces penche systématiquement en faveur de l’autorité étrangère la plus menaçante.
Un contexte géopolitique qui accélère le mouvement
La problématique prend une dimension supplémentaire avec le retour de l’administration Trump aux États-Unis, qui ravive les craintes liées à l’extraterritorialité du droit américain et à l’usage stratégique des données à des fins économiques et politiques.
Pour les autorités françaises, la loi de blocage s’inscrit désormais dans un écosystème plus large de résilience géopolitique. Elle complète les stratégies de cloud de confiance (SecNumCloud), les exigences de souveraineté numérique portées au niveau européen et la protection des intérêts économiques essentiels telle que définie par le code monétaire et financier.
Ce que cela change pour les entreprises
Pour les RSSI, les directeurs juridiques et les responsables conformité, les implications sont concrètes et immédiates.
Cartographier ses données sensibles. C’est le prérequis absolu. En s’appuyant sur le guide ANSSI, chaque organisation doit identifier et classifier les données susceptibles de tomber sous le coup de la loi de blocage, en tenant compte de son secteur d’activité, de ses partenaires commerciaux et de son exposition géographique.
Intégrer la loi de blocage dans la gouvernance cyber. Le sujet ne peut plus rester cantonné à la direction juridique. Il doit être intégré aux PSSI, aux procédures de gestion des incidents, aux contrats cloud et aux plans de réponse aux demandes d’autorités étrangères.
Former les équipes. Les collaborateurs exposés (juridique, IT, direction générale, achats) doivent connaître le réflexe SISSÉ : toute demande émanant d’une autorité étrangère doit être signalée et transmise au guichet unique avant toute communication.
Anticiper le durcissement pénal. Même si le relèvement des sanctions n’est pas encore voté, le signal envoyé par le parquet cyber est sans équivoque. Les entreprises qui persistent dans une logique de « compliance opportuniste » s’exposent à un risque pénal croissant.
Documenter et tracer. Les décrets de 2022 imposent des obligations de traçabilité et d’archivage. Chaque demande reçue, chaque transmission au SISSÉ, chaque décision prise doit faire l’objet d’un enregistrement formel.
La fin d’une norme symbolique
La loi de blocage entre dans une nouvelle ère. Portée par la réforme de 2022, par l’outillage méthodologique de l’ANSSI et par la volonté affichée du parquet cyber de durcir les sanctions, elle se transforme d’un texte symbolique en un levier structurant de la conformité des grandes entreprises.
Le message adressé aux organisations est limpide : la souveraineté informationnelle ne peut plus rester un principe affiché sans être défendue. À l’heure où les tensions géopolitiques redessinent les rapports de force numériques, la capacité à protéger ses données stratégiques face aux pressions extraterritoriales devient un enjeu de survie économique autant que de conformité juridique.
