Bruxelles, le 19 mars 2026 – Le comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (CEPD) ont adopté un avis conjoint sur la proposition de la Commission européenne d’acte législatif sur la cybersécurité no 2 (CSA2) et sur la proposition de modification de la directive relative à la sécurité des réseaux et de l’information no 2 (SRI 2).
Le 20 janvier 2026, la Commission a publié une proposition de train de mesures sur la cybersécurité visant à renforcer encore la cybersécurité en Europe tout en facilitant le respect de la législation en matière de cybersécurité par les organisations. Dans leur avis conjoint, rendu à la demande de la Commission*, l’EDPB et le CEPD abordent la proposition de révision de l’ACC et les modifications ciblées de la directive SRI2.
«La relation entre la protection des données et la cybersécurité est réciproque et profondément interconnectée. Si la cybersécurité soutient la protection des données à caractère personnel en limitant les risques d’accès non désiré, de modification ou d’indisponibilité des données, il est essentiel de veiller à ce que les contrôles de sécurité soient mis en œuvre d’une manière qui ne porte pas atteinte aux libertés et droits fondamentaux des personnes.»
Anu Talus, président du comité européen de la protection des données
«S’il est essentiel de maximiser l’efficacité des mesures de cybersécurité, nous devons veiller à ce que le traitement des données à caractère personnel reste limité à ce qui est strictement nécessaire. Nous saluons le rôle renforcé de l’ENISA dans la promotion de la résilience numérique; nous espérons que ce nouveau mandat favorisera les synergies nécessaires pour créer un écosystème solide où sécurité et vie privée vont de pair.»
Contrôleur européen de la protection des données, Wojciech Wiewiórowski
En ce qui concerne la proposition de CSA2, l’EDPB et le CEPD soutiennent l’objectif général consistant à renforcer le rôle de l’Agence de l’Union européenne pour la cybersécurité (ENISA) et à faciliter l’adoption de la certification de cybersécurité, ainsi que l’objectif consistant à continuer de faire face aux différents risques pesant sur les chaînes d’approvisionnement en TIC, y compris les risques non techniques.
La proposition de fournir des éclaircissements supplémentaires sur la manière dont l’ENISA apporte son soutien aux différentes parties prenantes est bien accueillie. L’EDPB et le CEPD se félicitent tout particulièrement que l’avis de l’ENISA soit émis à la demande préalable de l’EDPB, garantissant ainsi une coordination claire et une répartition claire des responsabilités. Ils suggèrent également d'ajouter le CEPD en tant qu'éventuel demandeur d'avis auprès de l'ENISA.
Dans l’avis conjoint, l’EDPB et le CEPD rappellent que si le conseil d’administration de l’ENISA décide d’adopter des mesures supplémentaires nécessaires à l’application du règlement de l’UE sur la protection des données, ces décisions devraient se limiter à des détails très techniques (pratiques) liés au traitement des données à caractère personnel. La proposition devrait également prévoir une consultation préalable du CEPD avant l'adoption de ces règles.
L'avis conjoint se félicite des synergies qui pourraient découler de la coopération entre l'ENISA et d'autres institutions et organes de l'UE, et recommande également d'ajouter une référence explicite au CEPD en tant qu'organe de l'UE avec lequel l'ENISA coopérerait.
Si l’objectif de faciliter l’adoption de la certification de cybersécurité est le bienvenu, il convient de clarifier davantage le champ d’application du cadre européen de certification de cybersécurité et sa relation avec la certification RGPD. Par souci de cohérence, l’ENISA devrait consulter le comité européen de la protection des données avant d’adopter un système de certification relatif à la sécurité du traitement des données à caractère personnel. En outre, les systèmes de certification pour les produits, services et processus susceptibles d’être utilisés dans les opérations de traitement de données devraient tenir compte des contrôles de sécurité qui peuvent contribuer à démontrer le respect des exigences du RGPD, dans la mesure du possible.
L’EDPB et le CEPD recommandent que le cadre européen des compétences en matière de cybersécurité ne se limite pas aux professionnels de la cybersécurité, mais comprenne également un profil général de la main-d’œuvre.
Conformément au récent avis conjoint de l’EDPB et du CEPD sur la proposition de règlement omnibus numérique, l’EDPB et le CEPD expriment leur soutien à la mise en place d’un point d’entrée unique pour la notification des violations de données à caractère personnel, car cela réduirait la charge administrative pour les organisations notifiantes sans affecter le niveau de protection des personnes.
En ce qui concerne les modifications proposées de la directive SRI 2, l’EDPB et le CEPD se félicitent de la désignation des portefeuilles européens d’identité numérique et des fournisseurs de portefeuilles européens d’entreprises en tant qu’«entités essentielles».
Note aux rédacteurs:
* Le 21 janvier 2026, la Commission a officiellement consulté l’EDPB et le CEPD et a demandé un avis conjoint sur la proposition de CSA2 de la Commission européenne et sur la proposition de modification de la directive SRI2 conformément à l’article 42, paragraphe 2, du règlement (UE) 2018/1725.
Le communiqué de presse publié ici a été automatiquement traduit de l’anglais. L’EDPB ne garantit pas l’exactitude de la traduction. Veuillez vous référer au texte officiel dans sa version anglaise en cas de doute.