La directive relative à la résilience des entités critiques (CERD) et la loi néerlandaise sur la résilience des entités critiques (Wwke) comme nouveau cadre de résilience pour les entités critiques

Du modèle de protection sectorielle à une architecture européenne de résilience

La pensée européenne et nationale antérieure en matière de protection des infrastructures vitales a longtemps été, pour l’essentiel, de nature sectorielle. Cette approche obéissait à une logique propre, les risques étant traditionnellement ordonnés en fonction du type d’infrastructure concerné, de la nature du service en cause et de la structure de la supervision administrative. L’énergie, les transports, les télécommunications, l’eau potable, la santé et les infrastructures financières étaient ainsi, dans une large mesure, traités comme des univers réglementaires distincts, chacun avec ses propres normes, ses propres autorités de surveillance et ses propres instruments. Cette structure était administrativement intelligible, mais elle souffrait d’une limite majeure : elle ne correspondait qu’imparfaitement à l’interdépendance réelle des fonctions critiques modernes. Les services essentiels ne sont plus fournis au sein de silos institutionnels fermés. Ils fonctionnent à travers des réseaux numériques, des chaînes d’approvisionnement internationales, des flux de capitaux transfrontaliers, des arrangements de maintenance complexes, des relations avec des fournisseurs de services en nuage, des dépendances contractuelles, des structures d’externalisation et des modèles organisationnels hybrides public-privé. Dans une telle réalité, la vulnérabilité naît rarement à l’intérieur d’un seul compartiment sectoriel. La désorganisation se manifeste de plus en plus aux points d’intersection : entre infrastructures physiques et numériques, entre financement et gouvernance, entre logistique et pression géopolitique, entre contrats de maintenance et exposition aux sanctions, ainsi qu’entre dépendance opérationnelle et influence économique. Le passage d’un modèle de protection sectorielle à une architecture européenne de résilience doit donc être compris comme une réponse à l’insuffisance structurelle de modèles fragmentés dans une époque où les perturbations sont multidimensionnelles, transfrontalières et mutuellement renforçantes.

Dans ce contexte, l’architecture européenne de résilience vise à établir un cadre cohérent dans lequel les États membres, les autorités compétentes et les entités critiques ne peuvent plus se limiter à réagir à des menaces déjà apparentes, mais sont systématiquement tenus d’identifier en amont les vulnérabilités, d’évaluer la pertinence systémique et d’ancrer la protection de la continuité au niveau organisationnel. La notion même d’« architecture » est ici essentielle. Elle ne désigne pas seulement une nouvelle loi ou un régime de surveillance additionnel, mais un projet normatif dans lequel différentes catégories de risques et différents niveaux de gouvernance sont mis en relation les uns avec les autres. Dans ce schéma, l’entité critique n’est plus seulement l’objet de la protection, mais également le support d’une responsabilité propre consistant à analyser les risques, à prendre des mesures, à absorber les incidents et à maintenir, sous pression, la fourniture de services essentiels. La dimension européenne accentue encore cet effet, dans la mesure où elle introduit une structure minimale de concepts, d’obligations et de cadres d’évaluation communs, rendant les approches nationales moins discrétionnaires. Il en résulte un passage d’une protection ad hoc à une organisation systémique de la résilience. Au sein de cette organisation, la prévention, la préparation, la gouvernance, l’interdépendance et la capacité de rétablissement ne sont plus traitées comme des thèmes périphériques, mais comme des conditions centrales de la légitimité et de la fiabilité des organisations qui exercent des fonctions vitales.

Pour la gestion intégrée des risques de criminalité financière, cette transition signifie que l’intégrité financière et économique ne peut plus être reléguée à l’extérieur du débat sur la résilience. Dans un modèle sectoriel, il demeurait encore relativement aisé de circonscrire le contrôle de l’intégrité comme une fonction de conformité chargée de veiller au respect des normes de lutte contre le blanchiment, du droit des sanctions, des indicateurs de fraude ou de certaines obligations de déclaration. Dans une architecture européenne de résilience, cette délimitation devient beaucoup plus difficile à maintenir. Dès lors que la fourniture d’un service essentiel dépend de structures de financement, de schémas de propriété, de coentreprises, de fournisseurs, de sous-traitants, de partenaires logiciels, de bailleurs de fonds ou d’investisseurs étrangers, l’influence économico-financière devient un élément de l’analyse de vulnérabilité structurelle. Il s’ensuit que la gestion intégrée des risques de criminalité financière ne peut plus se limiter à la surveillance des transactions ou à l’analyse des risques au cas par cas, mais doit être reliée à l’analyse de gouvernance, au criblage des chaînes d’approvisionnement, à l’examen des bénéficiaires effectifs, à la sensibilité des tiers aux sanctions, aux mécanismes contractuels d’escalade et aux scénarios de pression opérationnelle exercée par des moyens économiques. L’évolution vers une architecture européenne de résilience met ainsi en évidence que la protection des entités critiques ne dépend pas uniquement de clôtures, de pare-feu et de plans de crise, mais également de la capacité des relations économiques sur lesquelles l’entité repose à résister aux abus, à la création de dépendances et à l’infiltration stratégique.

Objet et économie générale de la directive CER

La directive CER n’est pas, par sa conception, un instrument de détail technique, mais une mesure-cadre dotée d’une signification constitutionnelle prononcée pour le fonctionnement des services essentiels au sein de l’Union. Son objet ne consiste pas simplement à élever le niveau de protection de certaines infrastructures, mais à renforcer la résilience des entités qui fournissent des services dont la défaillance peut provoquer de graves perturbations sociales, économiques ou administratives. En termes juridiques, cet objectif est sensiblement plus large que la protection classique des infrastructures. Il ne s’agit ni exclusivement de sécurité des installations, ni simplement de protection contre une catégorie unique de menace, mais d’une approche intégrée de la perturbation, de la vulnérabilité et de la continuité. La directive indique ainsi clairement que la pertinence d’une entité dérive de la fonction qu’elle exerce pour la société et pour l’économie. Le centre normatif se déplace de la protection d’actifs individuels vers la sauvegarde de services, de processus et de fonctions essentiels à la stabilité collective. Dans cette économie générale, la continuité de la fourniture devient un concept juridique central, et la question de savoir si une entité est suffisamment résiliente dépend de sa capacité à identifier les risques, à les atténuer, à gérer les incidents et à maintenir ou rétablir en temps utile les fonctions opérationnelles sous pression.

L’économie générale de la directive CER est ainsi délibérément construite autour d’un ensemble de responsabilités réciproques entre les États membres et les entités critiques. Du côté de l’État membre, la directive exige une stratégie nationale, une évaluation nationale des risques, un mécanisme d’identification et de désignation des entités critiques, ainsi qu’une structure de surveillance proportionnée à la gravité des intérêts protégés. Du côté de l’entité, le cadre impose l’évaluation des risques pertinents, l’adoption de mesures techniques, sécuritaires et organisationnelles appropriées, ainsi que le traitement des incidents ayant un impact significatif dans le cadre d’une logique plus large de responsabilité en matière de résilience. Cette structure à plusieurs niveaux revêt une importance majeure, car elle montre que la résilience ne saurait être réduite à une affaire purement interne à des entreprises isolées, pas plus qu’elle ne saurait être entièrement reportée sur l’État. Le modèle est hybride : la fixation publique des normes et la responsabilité privée de mise en œuvre sont juridiquement articulées l’une à l’autre. C’est là que réside la force de la directive, mais aussi son poids administratif. La directive exige une forme d’alignement structurel dans laquelle l’analyse publique de sécurité, la connaissance sectorielle, les processus d’entreprise, les dépendances des chaînes d’approvisionnement et la réalité opérationnelle sont réunis au sein d’un seul cadre d’évaluation.

Du point de vue de la gestion intégrée des risques de criminalité financière, l’ampleur systématique de la directive CER présente une importance particulière. La directive ne prescrit pas de manière exhaustive quelles catégories concrètes de risques doivent, en toute hypothèse, faire l’objet d’un traitement identique, mais elle crée un cadre normatif à l’intérieur duquel toute menace pertinente pour la fourniture de services essentiels acquiert une signification juridique dès lors qu’elle est susceptible d’affecter la résilience de l’entité. Cela ouvre l’espace, et souvent la nécessité, pour intégrer beaucoup plus explicitement les menaces économico-financières dans l’analyse de résilience. Des structures actionnariales opaques, des montages d’investissement manipulateurs, des financements sensibles aux sanctions, de la corruption dans les achats, de la fraude dans les contrats de maintenance, des dépendances dissimulées à l’égard de tiers économiquement risqués et des relations logistiques caractérisées par une sensibilité accrue en matière d’intégrité ne constituent pas, dans cette logique, des questions accessoires. Elles appartiennent aux mécanismes réels par lesquels une entité critique peut être affaiblie, orientée ou atteinte dans sa continuité. L’objectif même de la directive CER, à savoir le renforcement de la résilience effective des entités critiques, implique donc que la gestion intégrée des risques de criminalité financière ne peut être placée en dehors de l’économie générale de la directive. Bien au contraire, la directive impose une lecture dans laquelle l’intégrité financière est comprise comme l’une des conditions structurelles du fonctionnement fiable des services essentiels.

Les rapports entre la CER, NIS2 et le droit élargi de la sécurité

Les rapports entre la directive CER et NIS2 montrent que le législateur européen manifeste une préférence de plus en plus explicite pour une législation cohérente de la résilience plutôt que pour des régimes séparés et isolés. Ces deux instruments visent à protéger des fonctions essentielles et importantes, mais ils le font depuis des angles d’approche différents. La directive CER concerne la résilience plus large, physique, organisationnelle et opérationnelle, des entités critiques, tandis que NIS2 porte avant tout sur la cybersécurité, les réseaux et systèmes d’information ainsi que sur la gouvernance des risques numériques. Cette distinction est fonctionnelle, mais elle ne doit pas être surestimée sur le plan analytique. Dans le fonctionnement réel des entités critiques, les risques physiques, opérationnels, numériques et économiques demeurent rarement nettement séparés. Un fournisseur vulnérable présentant des liens sensibles au regard des sanctions peut avoir simultanément accès à des environnements de gestion numérique, à des processus de maintenance physique et à des informations opérationnelles stratégiquement importantes. Un risque de fraude économico-financière peut se manifester à travers les achats informatiques, à travers l’externalisation de services logiciels critiques, ou encore à travers une dépendance à l’égard de parties étrangères profondément intégrées dans l’infrastructure non seulement sur le plan économique, mais également sur le plan numérique. Il en résulte un paysage normatif dans lequel la CER et NIS2 demeurent formellement des régimes distincts tout en visant matériellement la même réalité organisationnelle. Les entités critiques qui continuent d’aborder ces régimes de manière cloisonnée prennent le risque que les vulnérabilités les plus graves demeurent invisibles précisément aux points d’articulation.

Cette configuration est encore renforcée par le droit élargi de la sécurité. À côté de la CER et de NIS2 existent en effet des cadres nationaux et européens dans les domaines des sanctions, du filtrage des investissements, de la commande publique, de la protection des données, des exigences prudentielles sectorielles, de la lutte contre le blanchiment, du contrôle des exportations, de la gestion des crises et de la protection de la sécurité nationale. Le paysage juridique ne correspond donc pas à un simple dualisme entre résilience physique et résilience numérique, mais à un système stratifié de responsabilités qui se chevauchent et d’objectifs de protection partiellement convergents. Le défi principal ne réside pas seulement dans le respect de chacun des instruments considérés séparément, mais dans le développement d’un cadre d’interprétation permettant à une entité de déterminer comment ces instruments définissent conjointement sa position de résilience. Il ne s’agit nullement d’un exercice purement théorique. Lorsque plusieurs régimes saisissent chacun une partie du même risque, une situation peut aisément apparaître dans laquelle une conformité formelle existe sur le papier, alors même que la maîtrise substantielle demeure insuffisante en raison de la fragmentation de l’information, de la propriété et de la prise de décision. Une organisation peut, par exemple, disposer d’une politique cyber adéquate, de procédures distinctes en matière de sanctions, d’un code fournisseur, d’un cadre anti-fraude et d’un plan de continuité, tout en restant insuffisamment informée de la manière dont un tiers économiquement risqué exerce une influence disproportionnée sur un service essentiel par l’entremise d’un accès numérique, d’une présence physique et d’un enchevêtrement contractuel. Les rapports entre la CER, NIS2 et le droit élargi de la sécurité exigent donc non seulement une connaissance juridique de régimes parallèles, mais surtout une intégration de gouvernance.

Pour la gestion intégrée des risques de criminalité financière, il en découle que cette fonction ne peut plus être maintenue comme un domaine activé exclusivement à l’occasion de transactions, d’alertes, d’enquêtes clients ou de signalements d’incidents. Dans la logique interconnectée de la CER, de NIS2 et du droit élargi de la sécurité, la gestion intégrée des risques de criminalité financière doit être positionnée comme une discipline-pont reliant l’intégrité économique aux vulnérabilités opérationnelles, numériques et stratégiques. Cela exige une lecture beaucoup plus large du risque. Un risque de sanctions n’est alors pas seulement une question d’interdiction juridique, mais également une question de fiabilité de l’approvisionnement et de dépendance systémique. Un risque de corruption dans la commande ou les achats ne constitue pas uniquement une question de gouvernance et d’exposition pénale, mais aussi un risque pour la qualité, la fiabilité et la capacité de rétablissement d’un service vital. Une structure de propriété complexe concernant un partenaire logiciel ou de maintenance n’est pas pertinente seulement dans une perspective de connaissance de la contrepartie, mais tout autant du point de vue de savoir si une influence dissimulée, une pression économique ou un contrôle opaque affecte un nœud opérationnel critique. La véritable signification des rapports entre la CER, NIS2 et le droit élargi de la sécurité réside donc dans la nécessité d’une structure intégrée de gouvernance et de gestion des risques. Au sein de cette structure, la gestion intégrée des risques de criminalité financière doit occuper une place pleine et entière en tant qu’instrument permettant de traduire une contamination économico-financière en menaces concrètes pour la continuité des services essentiels.

La mise en œuvre néerlandaise par la Wwke

La mise en œuvre néerlandaise de la directive CER au moyen de la loi sur la résilience des entités critiques présente une importance particulière tant sur le plan légistique qu’administratif, dès lors qu’il a été choisi de concentrer cette mise en œuvre dans un cadre législatif central unique plutôt que de la disperser entre de multiples régimes sectoriels. Ce choix n’est pas de nature purement rédactionnelle ou codificatrice. Il exprime une vision claire de la résilience comme principe englobant de gouvernance et de protection. En plaçant la mise en œuvre dans une loi centrale unique, il apparaît que l’intérêt protégé n’est pas, au premier chef, sectoriel, mais qu’il porte sur le maintien des services essentiels en tant que fonctions publiques et économiques. Cette technique législative évite que l’unité normative sous-jacente du cadre européen de résilience ne se fragmente en mini-régimes sectoriels distincts, dotés de terminologies divergentes, d’intensités d’obligations variables et d’une visibilité limitée sur leurs interdépendances. La loi sur la résilience des entités critiques permet au contraire de partir d’une structure commune de désignation, d’évaluation des risques, d’obligations, de surveillance et de coordination administrative, au sein de laquelle les spécificités sectorielles peuvent certes être prises en compte, mais sans porter atteinte à la logique centrale de résilience.

Cette centralisation a d’importantes conséquences sur la manière dont les organisations doivent lire et opérationnaliser leurs obligations. Dans un modèle fragmenté, il existe un risque que les entités considèrent les obligations de résilience comme des exigences sectorielles de conformité pouvant être absorbées par les départements existants sans refonte substantielle de la gouvernance. Une loi centrale rend ce réflexe beaucoup plus difficile. Elle indique qu’il ne s’agit pas d’une addition d’obligations administratives, mais d’un régime cohérent de résilience qui s’adresse à l’organisation dans son ensemble. Cela emporte des implications pour la direction, la surveillance, les contrôles internes, les lignes d’escalade, les achats, la gestion des tiers, la gestion de crise, les décisions d’investissement et les dépendances des chaînes d’approvisionnement. En outre, les documents explicatifs néerlandais ont expressément précisé que les obligations découlant de la directive CER ne s’appliqueront aux Pays-Bas qu’après l’entrée en vigueur de la loi sur la résilience des entités critiques et après la désignation d’une organisation comme entité critique. Cette clarification revêt une importance particulière au regard de l’État de droit, puisqu’elle apporte de la certitude quant au moment où des obligations concrètes deviennent juridiquement contraignantes. Cela étant, cette clarté temporelle n’atténue en rien le message substantiel de la législation : les organisations susceptibles de relever du champ d’application auraient intérêt à éprouver dès à présent leur gouvernance, leur évaluation des risques et leur architecture d’intégrité à l’aune de ce régime, compte tenu de l’ampleur de ses implications organisationnelles.

Pour la gestion intégrée des risques de criminalité financière, le choix néerlandais d’une loi centrale unique de mise en œuvre souligne que l’intégrité financière ne peut être positionnée comme une fonction périphérique de conformité à côté de l’exigence de résilience, mais doit être intégrée à celle-ci. Dès lors que le législateur organise la protection des entités critiques autour d’une logique englobante de résilience, il devient de plus en plus difficilement défendable de considérer que les structures de propriété, les relations de capital, l’exposition aux sanctions, l’intégrité des fournisseurs et l’influence économico-financière demeurent des sujets relevant exclusivement d’équipes spécialisées distinctes. La structure centrale de la loi sur la résilience des entités critiques pointe en direction d’une gouvernance intégrée. Cela signifie que les organes de direction et les fonctions de contrôle doivent être en mesure de démontrer non seulement le respect formel de règles spécifiques d’intégrité, mais également que les risques économico-financiers ont été systématiquement reliés à l’appréciation des processus critiques, des actifs essentiels, des dépendances opérationnelles et de la robustesse de crise. Là où cette connexion fait défaut, il existe un risque qu’une entité apparaisse juridiquement ordonnée dans des dossiers de conformité distincts tout en demeurant matériellement exposée à des perturbations susceptibles, par l’intermédiaire de relations économiques ou de tiers opaques, de vider de sa substance la continuité d’un service essentiel. C’est précisément la centralisation législative néerlandaise qui met en lumière le caractère de plus en plus intenable d’une telle séparation entre conformité et résilience.

Champ d’application : quels secteurs et quelles entités sont concernés

Le champ d’application du cadre CER/Wwke est large et résulte d’un choix stratégique. Cette ampleur n’est pas un effet secondaire accidentel, mais la conséquence directe de l’approche fonctionnelle qui sous-tend le régime. Ce qui est décisif n’est pas la qualification formelle d’une organisation comme publique ou privée, grande ou petite, commerciale ou semi-publique, mais la question de savoir si l’entité concernée fournit un service essentiel dont la défaillance est susceptible d’avoir de graves conséquences sur la stabilité sociale, la santé publique, la sécurité publique, la continuité économique ou l’ordre administratif. C’est pour cette raison que le cadre couvre des secteurs tels que l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, les soins de santé, l’eau potable, les eaux usées, l’infrastructure numérique, les services publics, l’alimentation et l’espace. Cette largeur sectorielle reflète la reconnaissance du fait que les dépendances critiques ne se limitent pas aux infrastructures classiquement visibles. Une société moderne dépend dans une très large mesure de services qui ne sont pas toujours matériellement tangibles et qui, pourtant, remplissent une fonction d’importance systémique. Les infrastructures des marchés financiers, le traitement des données, la coordination logistique, les fonctions publiques essentielles et certaines chaînes industrielles peuvent, en cas de défaillance, être tout aussi déstabilisants que les services publics traditionnels. Le champ d’application du cadre doit donc être lu comme une expression juridique de la dépendance systémique.

À l’intérieur de ce large périmètre sectoriel, toutefois, tout acteur ne devient pas automatiquement une entité critique. Le centre normatif réside dans l’identification et la désignation des organisations dont la fonction, la taille, la position dans la chaîne, l’importance géographique, la pertinence de marché ou le degré de substituabilité sont tels qu’une perturbation pourrait entraîner des conséquences disproportionnées. C’est précisément cette sélectivité qui confère au régime sa finesse juridique. Le cadre ne vise pas une régulation économique générale, mais les entités qui jouent un rôle disproportionné dans le fonctionnement des services essentiels. Cela signifie qu’en pratique, l’appréciation du champ d’application dépendra fortement du contexte : la position de l’entité dans la chaîne, la disponibilité d’alternatives, le degré de concentration du marché, l’ampleur des effets en aval en cas de défaillance, l’interconnexion avec d’autres fonctions critiques et les possibilités de rétablissement après une perturbation. Pour les organisations, cela emporte une conséquence importante en matière de gouvernance. La question de savoir si une entité est concernée ne peut être abordée exclusivement à travers une lecture formelle des étiquettes sectorielles, mais suppose une analyse substantielle de la fonction et de la dépendance. Dans le cadre de cette analyse, même des acteurs qui ne se considéraient pas traditionnellement comme vitaux ou critiques peuvent être confrontés à la réalité selon laquelle leur position opérationnelle les place en fait au cœur des services essentiels.

Pour la gestion intégrée des risques de criminalité financière, ce champ d’application large mais sélectif emporte des conséquences considérables. À mesure qu’un nombre croissant de secteurs et de types d’entités entre dans le cadre de résilience, le nombre de contextes dans lesquels les risques économico-financiers doivent être lus comme des questions de résilience augmente également. Dans le secteur de l’énergie, les questions pertinentes peuvent concerner des véhicules d’investissement, des chaînes d’approvisionnement en carburants, des prestataires de maintenance et des fournisseurs de composants. Dans le secteur de la santé, elles peuvent porter sur les relations d’achat, la logistique pharmaceutique, les systèmes numériques de soins et les prestataires externes spécialisés. Dans les infrastructures des marchés financiers, l’accent peut être mis sur la propriété, la gouvernance, les relations de compensation, l’externalisation et les connexions de marché sensibles au regard des sanctions. Dans les transports et la logistique, les chaînes contractuelles, l’exploitation des terminaux, les plateformes numériques, les vulnérabilités liées aux douanes et l’influence opérationnelle étrangère peuvent devenir pertinentes. Une telle ampleur signifie que la gestion intégrée des risques de criminalité financière ne peut s’appuyer sur un modèle uniforme de contrôle détaché du rôle fonctionnel de l’entité dans le système. Elle exige une analyse sensible aux spécificités sectorielles, mais capable de traverser les cadres, dans laquelle une attention constante est portée à la manière dont la contamination économico-financière, le contrôle opaque, l’influence corruptrice, le contournement des sanctions ou des relations frauduleuses dans les chaînes d’approvisionnement sont susceptibles d’affecter la fiabilité du service essentiel concerné. Le champ d’application du cadre CER/Wwke montre ainsi clairement que la pertinence de la gestion intégrée des risques de criminalité financière ne se limite pas au secteur financier, mais s’étend à l’ensemble du domaine des fonctions critiques sociales et économiques.

Services essentiels, fonctions sociétales et continuité économique

Le couple conceptuel formé par les « services essentiels » et les « fonctions sociétales » constitue le cœur normatif du nouveau cadre de résilience, car il révèle les intérêts que la directive relative à la résilience des entités critiques et la loi sur la résilience des entités critiques entendent, en définitive, protéger. Cela va bien au-delà de la sauvegarde d’intérêts d’entreprise pris isolément ou de la prévention de défaillances purement techniques. Dans ce cadre, les services essentiels revêtent une pertinence juridique parce qu’ils créent les conditions nécessaires au fonctionnement de la société dans son ensemble ainsi qu’au maintien de l’ordre économique, de la sécurité publique, de la santé publique, de la continuité administrative et de la stabilité sociale. La notion même d’« essentiel » acquiert ainsi un caractère fondamentalement relationnel. Un service n’est pas essentiel du seul fait de son importance abstraite, mais en raison de la chaîne de conséquences susceptible de se déployer lorsque sa fourniture est structurellement perturbée. De ce fait, le regard juridique se déplace de l’organisation considérée isolément vers le rôle qu’elle exerce au sein du réseau plus large de dépendances dans lequel sont intégrés les citoyens, les entreprises, les pouvoirs publics et les autres fonctions critiques. La défaillance d’un service essentiel n’affecte que rarement le seul destinataire immédiat. Ses effets se propagent à travers les chaînes de confiance, la disponibilité, les flux transactionnels, la logistique, la santé, l’accès aux biens de première nécessité et la capacité d’action des autorités publiques. C’est cette conception plus ample du système qui explique pourquoi le nouvel ordre de résilience érige la continuité de la fourniture en norme cardinale.

Le lien entre fonctions sociétales et continuité économique approfondit encore cette analyse. Dans les anciens modèles de sécurité, une tendance existait parfois à traiter la protection sociétale et la rationalité économique comme des sphères distinctes, la sécurité et la continuité étant principalement rattachées au domaine public, tandis que l’activité marchande, la contractualisation et le financement relevaient du domaine privé. Le cadre CER/Wwke rompt avec cette séparation de manière principielle. Dans les économies modernes, les fonctions sociétales sont en effet souvent assurées au moyen de structures privées, hybrides ou largement externalisées, de sorte que la continuité de la fourniture de services vitaux dépend, dans une large mesure, des relations commerciales, des décisions d’investissement, des modèles d’achat, des stratégies de numérisation, de la disponibilité du capital et de l’organisation des chaînes. La continuité économique cesse dès lors d’être un simple intérêt d’entreprise pour devenir un élément constitutif de la résilience publique. Lorsque le fondement économique d’un service essentiel devient fragile en raison d’un financement risqué, d’une dépendance excessive à l’égard de fournisseurs opaques, d’une concentration de processus critiques entre les mains de tiers vulnérables ou d’arrangements de gouvernance insuffisamment résistants aux influences extérieures, ce n’est pas seulement l’entreprise qui se trouve sous pression, mais aussi l’intérêt sociétal porté par le service lui-même. Voilà pourquoi le nouveau cadre ne se satisfait pas de la présence formelle de processus et de contrats, mais place au centre la question de savoir si la fonction critique peut, matériellement, continuer à fonctionner dans des circonstances perturbées.

Pour la gestion intégrée des risques de criminalité financière, cela signifie que l’intégrité financière doit être directement reliée à la protection des fonctions sociétales et de la continuité économique. Dès lors que l’objet de protection n’est plus exclusivement l’organisation elle-même, mais le service essentiel qu’elle fournit, la signification des risques économico-financiers se transforme également. Un flux de fonds frauduleux, une relation contractuelle corruptive, une structure de contrôle dissimulée ou un intermédiaire sensible au regard des sanctions ne constituent alors plus seulement une question d’intégrité au sens étroit, mais une atteinte potentielle à la fonction sociétale portée par l’entité. Cela vaut tout particulièrement lorsque de tels risques se situent à des points où l’organisation dépend, sur le plan opérationnel, de tiers, où les alternatives d’urgence sont limitées, où la substituabilité est difficile ou encore où la prise de décision doit être accélérée sous pression. Dans de telles circonstances, une contamination économico-financière peut affaiblir à ce point la continuité économique de l’organisation que le service essentiel lui-même se trouve compromis. La gestion intégrée des risques de criminalité financière doit dès lors être conçue avec une conscience aiguë de l’impact fonctionnel. La question pertinente n’est pas seulement de savoir si une opération est suspecte, si une relation s’écarte d’un profil de conformité ou si un fournisseur a formellement franchi avec succès une procédure de filtrage. La question décisive est de savoir si des risques économico-financiers sont capables de conditionner, d’affaiblir ou d’interrompre la fonction sociétale de l’entité. La gestion intégrée des risques de criminalité financière devient ainsi une composante indissociable de la mission juridique et administrative consistant à protéger la continuité sociétale et économique.

Harmonisation européenne versus marge nationale de mise en œuvre

La directive relative à la résilience des entités critiques incarne une tension classique, mais particulièrement aiguë dans ce dossier, au sein du droit de l’Union : la tension entre l’harmonisation européenne, d’une part, et la marge nationale de mise en œuvre, d’autre part. L’harmonisation est nécessaire dans ce contexte, car la vulnérabilité des entités critiques et des services essentiels ne se laisse pas contenir par les frontières nationales. Les interconnexions énergétiques, les corridors de transport, les infrastructures des marchés financiers, les réseaux numériques, les chaînes logistiques, les environnements de cloud et les flux d’investissement fonctionnent dans une large mesure au-delà des frontières. Une approche nationale fondamentalement divergente des obligations de résilience porterait donc atteinte non seulement au marché intérieur, mais également à la sécurité collective et à la continuité de l’Union. C’est pour cette raison que la directive crée un cadre conceptuel commun, un niveau minimal d’obligations et une obligation structurelle pour les États membres d’identifier les entités critiques et d’aborder leur résilience de manière systématique. Cette harmonisation européenne remplit une fonction claire. Elle empêche que la résilience ne dépende des seules préférences nationales de politique publique et vise à garantir l’existence, dans tous les États membres, d’une architecture minimale de protection des fonctions qui présentent souvent également une importance indirecte majeure pour d’autres États membres.

Dans le même temps, un espace de mise en œuvre nationale est inévitable et, dans une large mesure, souhaitable. Les dépendances critiques diffèrent en effet d’un État membre à l’autre, de même que la situation géographique, la structure sectorielle, l’organisation institutionnelle, la perception des menaces, le degré de concentration de certains services et les architectures de supervision existantes. Un pays disposant de grands nœuds maritimes, un pays doté d’une économie fortement numérisée ou un pays présentant une infrastructure énergétique exceptionnellement concentrée devra nécessairement mettre des accents différents dans l’identification des entités critiques et dans l’opérationnalisation concrète de la supervision et des obligations de résilience. La marge nationale de mise en œuvre permet précisément de tenir compte de ces facteurs contextuels sans abandonner l’objectif européen sous-jacent. La tension entre harmonisation et marge de mise en œuvre ne constitue donc pas seulement un problème institutionnel ; elle représente un élément essentiel de la conception même de la directive. La véritable question n’est pas de savoir si ces deux pôles coexistent, mais comment ils doivent être ordonnés de manière à produire suffisamment d’uniformité pour imposer des standards communs de résilience, tout en conservant assez de flexibilité pour tenir compte de manière adéquate des réalités nationales. Dans la pratique, beaucoup dépendra à cet égard des choix de technique législative, des pratiques de désignation, de la coordination administrative et de la manière dont la supervision sera définie sur le fond.

Pour la gestion intégrée des risques de criminalité financière, cette tension revêt une portée considérable. L’harmonisation européenne accroît la pression en faveur d’une approche plus cohérente et moins discrétionnaire des risques économico-financiers dans les secteurs critiques. Dès lors que la protection des services essentiels est érigée en intérêt commun du droit de l’Union, il devient de plus en plus difficile de laisser le contrôle des structures de propriété, la sensibilité aux sanctions, l’intégrité des tiers ou l’évaluation des dépendances économiquement risquées être déterminés uniquement par des cultures d’entreprise nationales divergentes ou par des habitudes sectorielles particulières. Dans le même temps, la marge nationale de mise en œuvre implique que l’organisation précise de la gestion intégrée des risques de criminalité financière ne sera pas entièrement uniforme. Les profils de risque concrets des entités critiques diffèrent en effet de manière substantielle, tout comme varient les attentes institutionnelles en matière de gouvernance, de supervision et d’échange d’informations entre le secteur public et le secteur privé. Le véritable défi consiste donc à développer un modèle à la fois suffisamment robuste pour répondre à une logique européenne de résilience et suffisamment sensible au contexte pour intégrer les schémas de menace nationaux, les spécificités sectorielles et les structures particulières des chaînes. Là où cet équilibre fait défaut, on risque, d’un côté, une harmonisation formaliste sans efficacité matérielle ou, de l’autre, une flexibilité nationale interprétée de manière si large qu’elle vide de sa substance l’objectif central de résilience. Dans ce champ de tension, la gestion intégrée des risques de criminalité financière doit évoluer vers une discipline à la fois lisible à l’échelle européenne et applicable à l’échelle nationale.

Obligations juridiques, charges administratives et faisabilité pratique

Le nouveau cadre de résilience entraîne indéniablement un alourdissement significatif des obligations juridiques, mais la portée de ce changement ne réside pas uniquement dans un accroissement de la densité normative. La transformation essentielle tient à la nature même des obligations imposées. Il ne s’agit pas simplement de prescriptions isolées ou d’actes administratifs ponctuels, mais d’exigences qui pénètrent profondément dans la gouvernance, l’évaluation des risques, la visibilité sur les chaînes, la gestion des incidents, l’architecture de sécurité et la responsabilité administrative. De telles obligations relèvent d’un ordre différent de celui des exigences classiques de conformité, qui peuvent relativement aisément être traduites en listes de contrôle, en rapports périodiques ou en procédures délimitées. Le cadre CER/Wwke exige une préparation démontrable, une maîtrise structurelle des risques et une cohérence organisationnelle. Il en résulte un ensemble d’obligations qui ne se laisse pas réduire à la seule production de documentation, mais appelle une appréciation matérielle de la question de savoir si une entité critique est effectivement capable de continuer à fournir un service essentiel sous pression. Dans ce modèle, les obligations juridiques ne sont donc pas seulement administrées ; elles sont éprouvées à l’aune de leur efficacité dans une logique plus large de continuité. Cela rend la mise en œuvre plus exigeante, mais aussi conceptuellement plus honnête : le cadre oblige les organisations à mettre en rapport leur conformité formelle avec leur situation réelle de résilience.

Cet alourdissement conduit inévitablement à des charges administratives. Les analyses de risques doivent être approfondies, les structures de gouvernance recalibrées, les lignes de responsabilité clarifiées, les relations avec les tiers réévaluées et les mécanismes de crise et de continuité reliés, sur le fond, aux fonctions d’intégrité et de sécurité. Pour de nombreuses organisations, cela implique des investissements substantiels en expertise, en systèmes, en coordination et en attention au niveau de la direction. Toutefois, les charges administratives ne constituent pas ici un phénomène purement quantitatif, comme s’il ne s’agissait que d’un surcroît de rapports, de procédures ou de contacts avec les autorités de supervision. La charge est avant tout de nature qualitative. Les organisations sont contraintes de relier entre elles des disciplines qui, historiquement, étaient organisées séparément. Les affaires juridiques, la sécurité, le risque, les achats, les finances, le cyber, les opérations, la conformité et la gestion de crise ne peuvent plus fonctionner comme des compartiments distincts juxtaposés, mais doivent opérer dans un cadre de résilience partagé. Cela engendre des frictions institutionnelles, parce que les concepts, les priorités et les critères d’évaluation diffèrent. Ce qui paraît efficace du point de vue opérationnel peut être inacceptable du point de vue de l’intégrité ; ce qui paraît défendable du point de vue juridique peut se révéler insuffisamment robuste du point de vue de la continuité. La charge administrative ne consiste donc pas uniquement en un travail supplémentaire, mais dans la nécessité de réordonner et de discipliner des logiques organisationnelles sous un principe de protection unique et englobant.

Dans ce contexte, la question de la faisabilité pratique devient décisive. Un cadre de résilience perd sa légitimité lorsqu’il accable les organisations d’obligations formellement étendues mais insuffisamment directives en pratique, ou lorsque la charge de mise en œuvre devient si lourde que l’attention se déplace vers la production documentaire au détriment de la maîtrise réelle des risques. Pour la gestion intégrée des risques de criminalité financière, il s’agit là d’un point particulièrement aigu. Ce domaine connaît déjà une complexité normative importante, des exigences élevées en matière de constitution des dossiers, des obligations intensives de surveillance et une tendance à la procéduralisation. Si cette fonction est simplement superposée, sans structuration supplémentaire, à un régime large de résilience, il existe un risque réel de couches de contrôle redondantes, d’analyses parallèles et d’épuisement administratif sans augmentation proportionnée de la sécurité matérielle. L’approche praticable ne réside donc pas dans l’addition de différentes obligations, mais dans leur intégration. L’analyse de la propriété, le filtrage des fournisseurs, l’évaluation des sanctions, les contrôles en matière d’achats, la gouvernance des tiers et les scénarios de continuité doivent être reliés dans un modèle cohérent unique, de sorte que les mêmes données et évaluations puissent servir à plusieurs fonctions au sein d’une architecture partagée de résilience. C’est là que réside la clé d’une gestion intégrée des risques de criminalité financière praticable au sein des entités critiques : non pas comme une charge isolée, mais comme une composante intégrée d’un pilotage plus large de la résilience. Là où cela réussit, les obligations juridiques et les charges administratives peuvent être transformées en un véritable renforcement de la continuité. Là où cela échoue, le cadre risque de s’enliser dans une pression formelle sans augmentation proportionnée de la protection matérielle.

La signification du cadre CER/Wwke pour la gestion intégrée des risques de criminalité financière dans les secteurs vitaux

Il est difficile de surestimer la signification du cadre CER/Wwke pour la gestion intégrée des risques de criminalité financière dans les secteurs vitaux, tant ce cadre redéfinit la place de l’intégrité économico-financière au sein de la structure de gouvernance des entités critiques. Au sein de nombreuses organisations, la gestion intégrée des risques de criminalité financière était traditionnellement positionnée comme un domaine spécialisé de contrôle, souvent concentré autour d’obligations légales relatives à la lutte contre le blanchiment, au respect des sanctions, à la prévention de la fraude, à la connaissance du client, à la surveillance transactionnelle ou à des mécanismes internes d’enquête. Un tel positionnement était compréhensible dans un paradigme classique de conformité où la question centrale était de savoir si l’organisation détectait à temps les irrégularités, respectait ses obligations déclaratives et limitait son exposition aux sanctions juridiques. Le cadre CER/Wwke déplace toutefois le centre de gravité vers une question fondamentalement différente. Ce n’est pas seulement la licéité de comportements ou de relations individuels qui est en cause, mais la question de savoir si des risques économico-financiers sont capables de compromettre la fiabilité de la fourniture, l’autonomie administrative et la stabilité opérationnelle d’une fonction vitale. Cela signifie que la gestion intégrée des risques de criminalité financière ne constitue plus seulement une ligne de défense contre les risques d’exécution, mais devient un instrument de préservation de la résilience matérielle des services essentiels.

Dans les secteurs vitaux, ce déplacement prend un contenu très concret. Dans les environnements énergétiques, l’influence économico-financière peut se manifester à travers des structures d’investissement autour d’actifs critiques, des relations de maintenance avec des parties étrangères, l’achat de composants rares, des chaînes contractuelles marquées par une sensibilité accrue à la corruption ou encore une dépendance à l’égard de fournisseurs exposés à des sanctions. Dans le secteur de la santé, les questions pertinentes peuvent concerner la distribution de ressources cruciales, des prestataires privés ayant accès à des processus essentiels, des structures d’achat vulnérables et l’incidence de la fraude ou des abus économiques sur la disponibilité des capacités de soins. Dans les transports et la logistique, les services terminaux, la maintenance, les plateformes logicielles, la sous-traitance et les chaînes transfrontalières peuvent tous constituer d’importants vecteurs de vulnérabilité économico-financière. Dans les infrastructures numériques et les infrastructures des marchés financiers, la propriété, l’externalisation, les relations de cloud, les fonctions de compensation, le traitement des données et les réseaux internationaux de gouvernance peuvent soulever des interrogations comparables. Dans tous ces contextes, la question pertinente en matière d’intégrité ne se limite pas à savoir s’il existe une irrégularité pouvant faire l’objet d’une enquête distincte. Ce qui est décisif, c’est de savoir si les risques économico-financiers sont situés à des points où ils donnent accès à des processus critiques, où ils peuvent affecter la qualité de la prise de décision, où ils peuvent approfondir des dépendances ou encore où ils peuvent altérer la capacité de rétablissement en situation de perturbation. Le cadre CER/Wwke n’élargit donc pas seulement le champ de la gestion intégrée des risques de criminalité financière ; il en approfondit aussi l’intensité substantielle.

Cette évolution requiert un repositionnement structurel de la gestion intégrée des risques de criminalité financière au sein de la gouvernance des secteurs vitaux. La fonction ne peut plus opérer à la périphérie de l’organisation comme un centre spécialisé de contrôle n’étant activé qu’après que les lignes d’activité, les achats ou les opérations ont déjà pris des décisions essentielles. Elle doit être intégrée au niveau où sont prises les décisions relatives à la propriété, à la coopération stratégique, au choix des fournisseurs, à la structure du capital, à l’externalisation, aux achats de crise, à l’accès des tiers, aux dépendances numériques et aux modèles de repli opérationnel. Ce n’est qu’à ce niveau qu’il est possible d’évaluer si une relation économico-financière est non seulement juridiquement admissible, mais aussi défendable au regard de la résilience. Cela requiert de nouvelles compétences. La gestion intégrée des risques de criminalité financière doit développer une compréhension de la criticité des actifs, de la dépendance des processus, de la logique des chaînes, de la gouvernance de crise et de l’impact systémique des perturbations. Autrement dit, cette fonction doit apprendre à parler le langage des opérations et de la continuité sans perdre sa précision juridique et son acuité en matière d’intégrité. C’est précisément là que réside la signification du cadre CER/Wwke pour les secteurs vitaux. Il fait de la gestion intégrée des risques de criminalité financière une composante structurelle de la question de savoir si l’entité critique peut continuer, de manière crédible, à remplir sa fonction sociétale sous pression.

Le cadre CER/Wwke comme élargissement normatif et opérationnel de la gouvernance de l’intégrité

Le cadre CER/Wwke doit, en définitive, être compris comme un élargissement normatif et opérationnel de la gouvernance de l’intégrité. Normatif, parce que la notion d’intégrité ne renvoie plus principalement à la conformité, au traitement des incidents ou à une prise de décision moralement adéquate au sein de domaines fonctionnels distincts, mais à la fiabilité structurelle de l’entité critique en tant que porteuse d’un service essentiel. Opérationnel, parce que cet élargissement ne reste pas cantonné à une redéfinition abstraite, mais irrigue directement l’organisation des processus, la gouvernance, l’évaluation des chaînes, la contractualisation, la supervision des tiers, la préparation aux crises et les rapports destinés aux organes de direction. Dans des approches plus anciennes, la gouvernance de l’intégrité pouvait être relativement aisément isolée au sein des départements de conformité, des fonctions d’enquête ou des domaines de contrôle juridique. Le nouveau cadre de résilience rend cette séparation organisationnelle de moins en moins tenable. Lorsque la contamination économico-financière, la dépendance sensible aux sanctions, l’influence corruptrice ou des structures de propriété opaques peuvent affecter la continuité des services essentiels, la gouvernance de l’intégrité n’est plus, par définition, une discipline périphérique. Elle devient une condition de la fiabilité opérationnelle. De ce fait, la signification juridique d’une gouvernance de l’intégrité défaillante se transforme également. Il ne s’agit plus seulement d’un manquement en matière de conformité, mais potentiellement d’une carence structurelle de résilience.

L’élargissement opérationnel de la gouvernance de l’intégrité implique que les organisations doivent analyser avec beaucoup plus d’acuité les points où les relations financières et économiques touchent au noyau de la fonction vitale. Toute question d’intégrité n’a pas le même impact systémique, et tout écart de conformité ne doit pas être élevé au rang de menace existentielle pour la résilience. Le nouveau cadre appelle donc une différenciation approfondie. L’attention la plus forte doit se concentrer sur les points où la propriété, le capital, les achats, la maintenance, les données, les logiciels, la logistique, la dépendance à l’égard des tiers et l’influence administrative convergent autour de processus déterminants pour le service essentiel. C’est à ces endroits que le filtrage, la diligence raisonnable, les garanties contractuelles, les protocoles d’escalade, les mécanismes de sortie, l’évaluation des sanctions, la prévention de la fraude et l’analyse de scénarios doivent être conçus de manière à rendre visibles, à un stade précoce, les vulnérabilités économico-financières. Cela requiert une forme de gouvernance de l’intégrité qui fasse davantage que vérifier si les règles ont été respectées sur le papier. Elle doit apprécier si une complexité légitime peut être expliquée de manière convaincante, si des dépendances cachées existent, si des procédures d’urgence mettent les garanties d’intégrité sous pression et si des choix opérationnels rendent l’entité réceptive à un conditionnement ou à une infiltration. L’élargissement ne se confond donc pas avec un durcissement indistinct, mais avec un lien beaucoup plus précis entre intégrité et impact systémique.

Pour la gestion intégrée des risques de criminalité financière, c’est ici que se situe la conséquence la plus fondamentale. Dans le cadre CER/Wwke, ce domaine est extrait de la sphère du contrôle réactif pour être placé au centre de la protection stratégique de la continuité. Cela implique un déplacement du langage, des priorités et des attentes des organes de direction. Le critère d’efficacité ne réside plus uniquement dans le nombre d’alertes, de signalements, de dossiers ou de résultats d’enquête, mais dans la question de savoir si les risques économico-financiers sont identifiés de manière suffisamment précoce et convaincante précisément aux endroits où ils sont susceptibles d’affecter matériellement la fonction critique. Ce qui importe, c’est le degré auquel l’entité est en mesure de démontrer que la propriété, le contrôle, le financement, les relations avec les fournisseurs et l’accès des tiers ont été compris et maîtrisés de telle manière que les abus ne puissent se transformer en vulnérabilité structurelle d’un service essentiel. Telle est la signification profonde de l’élargissement normatif et opérationnel que produisent la CER et la loi sur la résilience des entités critiques. La gouvernance de l’intégrité devient ainsi non seulement la preuve d’une conformité ordonnée, mais un élément constitutif de la résilience de l’entité critique elle-même. Là où cette transformation est menée avec sérieux, il émerge un modèle intégré dans lequel la gestion intégrée des risques de criminalité financière constitue un pilier porteur de la protection des fonctions sociétales et économiques vitales. Là où tel n’est pas le cas, il ne subsiste au mieux qu’une conformité formelle, tandis que l’organisation demeure matériellement vulnérable précisément aux points que le nouveau cadre de résilience entend renforcer.