News & actualités

News & actualités

Souhaitez-vous consulter d'autres pages en français ?

Afficher les pages

Français - French

Avocats

Marc-Olivier Langlois

Départements

Immobilier

Bureaux

Paris

News & actualités

Montefiore Investment sur le projet d’offre publique d’acquisition portant sur Generix

Aurélie Chazottes sur l’entreprise et ses dirigeants face au risque pénal

Jean Tamalet et Joëlle Herschtel analysent les réformes récentes en matière de droit pénal de l'environnement en France

Laurent Bensaid et Fernand Arsanios conseillent Batibig et EMZ Partners dans le cadre du LBO de Batibig pour financer sa croissance externe

Laurent Bensaid, Agnieszka Opalach et Elisa Lirot conseillent Spie batignolles vallia dans le cadre de l'acquisition de la société Les Pépinières du Languedoc

Jean Tamalet participe à une table ronde portant sur la loi Sapin 2 et la transition vers la loi Sapin 3

L’arrivée d’Olivier Goldstein, Johanna Baccarani et Mathilde Bacquet au sein du bureau de Paris du cabinet mentionné dans un profil sur les recrutements d'équipes pour les cabinets d'avocats

Spring Holding sur le projet d’offre publique d’achat simplifiée portant sur Manutan International

Almerys réalise son premier LBO

Spie batignolles vallia acquiert Les Pépinières du Languedoc

Spie batignolles acquiert le pôle travaux publics du Groupe Le Foll

Accord entre Cathay Capital Private Equity et 3i portant sur la vente du groupe Havea à BC Partners

Jean Tamalet et Aurélie Chazottes interviennent dans le cadre du procès de la faillite des restaurants Chez Clément

L'AMF se prononce sur les résolutions climat dans le cadre du dialogue actionnarial

Droit de l’environnement : un sujet d’actualité pour les entreprises - interview de Joëlle Herschtel

Profil de Laurent Bensaid par WanSquare

Laurent Bensaid, interviewé par Private Equity Magazine, présente la pratique M&A et private equity à Paris

L’exécution d’une sentence arbitrale face aux allégations de corruption

Dutscher acquiert Ozyme en France

Le Nouveau Règlement Européen sur les batteries a été adopté

La nécessaire adaptation des cabinets d’avocats aux nouveaux besoins de leurs clients corporate dans un contexte de transformation et d’évolution réglementaire

Dura lex sed lex… La jurisprudence rappelle les exigences de preuve pesant sur l’administration fiscale en matière de prix de transfert

La nécessaire adaptation des cabinets d’avocats aux nouveaux besoins de leurs clients corporate dans un contexte de transformation et d’évolution réglementaire

L’année 2024 sera-t-elle celle du « flex equity » ?

Secteur réglementé et private equity font-ils bon ménage?

Lutte contre le blanchiment - condamanation d'une banque pour blanchimant aggravé

Un Doliprane qui donne mal à la tête

King & Spalding annonce l'arrivée de Delphine Guillotte comme nouvelle associée du département financement et restructuration à Paris

Laurent Bensaid, Agnieszka Opalach, Julien Vicariot, Carla de Checchi, Fernand Arsanios, Mohamed Badji, Alice Mony et Simon Dereix accompagnent L Catterton sur le LBO primaire d’APC

Olivier Goldstein, associé fiscaliste, rejoint le groupe de pratiques Corporate, Finance and Investments du cabinet à Paris

Laurent Bensaid, Agnieszka Opalach, Elisa Lirot et Alice Mony conseillent Spie batignolles dans le cadre de l'acquisition de la division travaux publics du Groupe Le Foll

K&S conseille LBO France concernant l’acquisition d'une participation minoritaire dans le groupe Mazarine

Thomas Philippe a rejoint King & Spalding en tant qu'associé au sein du groupe de pratiques transactionnelles Corporate, Finance and Investments (CFI) à Paris

K&S conseille Spring Holding sur le projet d’offre publique d’achat simplifiée portant sur Manutan International

K&S conseille le groupe Almerys lors de son premier LBO

Laurent Bensaid et Agnieszka Opalach conseillent Cathay Capital Private Equity dans le cadre d’un accord avec 3i portant sur la vente du groupe Havea à BC Partners

Le plan de vigilance : socle d’une conformité pénale renforcée et sur mesure, rapides observations

Laurent Bensaid, Julien Vicariot, Aurélia de Viry et Alice Mony sur la vente de Brainwave GRC à Radiant Logic

Distressed M&A – Devoir de vigilance en cas de cession d’une entreprise en difficulté

Plaider, ce n’est pas s’excuser

L’avènement du temps long en M&A

Fernand Arsanios et Mohamed Badji aux côtés de CREI dans le cadre d’un crédit pour la construction de 618 tours de télécommunication aux Philippines

CJIP et due diligence des tiers : la justice négociée devient un passage oblige

Non-concurrence et cession de droits sociaux : attention à l’associé devenu salarié !

Le Conseil d’Etat apporte des clarifications sur la qualification des sociétés étrangères en France et les critères déterminants d’assimilation (CE, 8e et 3e ch., 12 novembre 2025, n 502894, et 9e et 10e ch., 25 juillet 2025)

Regards croisés : les rémunérations à l’épreuve de la crise : ne pas négliger la transparence salariale

King & Spalding conseille LBO France dans le cadre de la vente du groupe Dutscher à Vivo Capital

L’effondrement des valeurs des éditeurs de logiciels : une crise aux allures d’opportunité

S’engager durablement en Afrique : une équation juridique et opérationnelle à repenser

L’effondrement des valeurs des éditeurs de logiciels : une crise aux allures d’opportunité

Licenciement économique : jusqu’où s’étend le groupe ? Quand le juge social se prononce sur le Code de commerce

Cybersécurité et Intelligence Artificielle : les nouveaux piliers de la sécurité nationale et de la compétitivité industrielle

juin 15, 2026

Cybersécurité et Intelligence Artificielle : les nouveaux piliers de la sécurité nationale et de la compétitivité industrielle

Key Takeaways

La cybersécurité et l'IA sont devenues des enjeux de sécurité nationale ; les entreprises privées en sont désormais les acteurs centraux. L'imbrication des cadres réglementaires (AI Act, NIS 2, RGPD, Cybersecurity Act, contrôles à l'export, filtrage des investissements) fait basculer le risque cyber de la conformité ponctuelle à la responsabilité continue. Un incident cyber devient immédiatement une crise réglementaire, financière et réputationnelle, dont les dirigeants peuvent être personnellement responsables. La cyber-résilience suppose une architecture intégrée : cartographie évolutive des risques, gouvernance verticale du chief information security officer (« CISO ») au conseil d'administration/board, gouvernance horizontale cross-fonctionnelle intégrant les spécificités métiers, mobilisation du facteur humain et d'un écosystème de partenaires de confiance.

Lorsque la Commission européenne publie, en janvier 2024, sa stratégie « Advancing European Economic Security », elle acte un basculement que les dirigeants d'entreprises technologiques pressentaient depuis longtemps : la frontière entre intérêts économiques privés et intérêts régaliens s'est, silencieusement, quasiment effacée1Commission européenne, communication « Advancing European Economic Security », COM(2024) 22 final, 24 janvier 2024.. La donnée, l'algorithme et le code source sont devenus des actifs stratégiques au même titre que l'acier ou l'uranium l'étaient au siècle dernier.

Trois dynamiques se conjuguent pour expliquer ce moment de bascule. La première tient à la mutation de la conflictualité : selon le Concept stratégique adopté par l'OTAN à Madrid en 2022, les menaces hybrides (cyberattaques, ingérences informationnelles, manipulations algorithmiques) sont désormais traitées comme un théâtre d'affrontement à part entière, impliquant directement les acteurs privés détenteurs d'infrastructures critiques2OTAN, NATO Strategic Concept, sommet de Madrid, 29 juin 2022.. La deuxième est l'effort massif d'investissement gouvernemental dans les technologies duales (IA, drones, cybersécurité) porté par les grandes puissances que sont les États-Unis, la Chine et, plus récemment, l'Union européenne. La troisième est la convergence opérationnelle entre intelligence artificielle et cybersécurité : selon l’Agence nationale de la sécurité des systèmes d’information (« ANSSI »), l'IA générative démocratise la capacité d'attaque en abaissant le seuil technique d'entrée des acteurs malveillants, tout en s'imposant comme un levier défensif incontournable3ANSSI, Panorama de la cybermenace, éditions 2024 et 2025.. Selon Eurostat, 20% des entreprises de l'Union européenne employant dix salariés ou plus utilisaient l'IA en 2025, soit une progression de 6,5 points en un an, accélération qui multiplie d'autant la surface d'exposition4Eurostat, « 20 % of EU enterprises use AI technologies », 11 décembre 2025.. Cette évolution se manifeste aujourd’hui par une intensification sans précédent des attaques exploitant l’intelligence artificielle, dont le volume a progressé de près de 90%. Une accélération extrême des intrusions est également remarquée, le temps de compromission du système cible étant désormais inférieur à trente minutes et pouvant, dans certains cas, se réduire à quelques secondes. Le déséquilibre temporel qui en résulte est considérable : une cyberattaque peut renverser 87 % des défenses en quelques minutes, alors même que plus des deux tiers de ses conséquences, soit 68 %, ne se révèleront parfois qu’au terme de plusieurs mois. Enfin, les modes opératoires évoluent profondément : plus de 80% des intrusions s’appuient sur l’exploitation d’identités et d’accès légitimes plutôt que sur le déploiement de malwares5CrowdStrike, 2026 Global Threat Report: Year of the Evasive Adversary, 2026..

Pour les dirigeants d'entreprises technologiques, l'équation est sans appel : la cybersécurité et l'IA ne sont plus des sujets techniques relégués à la direction des systèmes d'information. Ce sont des enjeux de sécurité nationale qui exposent personnellement les organes de direction à un risque juridique, financier et réputationnel d'une intensité inédite.

I. Une imbrication des cadres qui transforme la nature du risque

Du droit sectoriel au continuum réglementaire

Le législateur européen, dans un mouvement d'une rare densité, a tissé en moins de cinq ans un maillage juridique particulièrement exhaustif. Le règlement (UE) 2024/1689, dit « AI Act », encadre le développement et la mise sur le marché des systèmes d'IA selon une logique de gradation des risques, en imposant aux systèmes dits « à haut risque » un régime de conformité comparable, dans sa philosophie, à celui des dispositifs médicaux6Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle (AI Act).. La directive NIS 2 élargit considérablement le périmètre des entités soumises à des obligations de cyber-résilience sous le contrôle de l'ANSSI en France7Directive (UE) 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union (dite « NIS 2 »).. Ce nouveau périmètre inclut notamment des secteurs stratégiques tels que les industries biotechnologiques, dont les chaines de valeur reposent sur des données sensibles, ainsi que les acteurs de la défense et des technologies duales, au cœur des enjeux de souveraineté et de sécurité nationale. Dans le prolongement de ces instruments, le règlement (UE) 2019/881 Cybersecurity Act, a confié un mandat permanent à l’Agence de l’Union européenne pour la cybersécurité (« ENISA ») et posé les bases d’un cadre européen de certification destiné à harmoniser l’évaluation de la sécurité des produits et services numériques. Parallèlement, la stratégie européenne de cybersécurité pour la décennie numérique organise l’action de l’Union autour du renforcement de la cyber-résilience des infrastructures, du développement des capacités opérationnelles communes et de l’affirmation d’un cyberespace ouvert et souverain. Le règlement général sur la protection des données (« RGPD »), dont la Cour de justice de l'Union européenne a, dans l’important arrêt La Quadrature du Net, rappelé qu'il s'applique même aux activités touchant à la sécurité nationale dans la mesure où elles relèvent du droit de l'Union8CJUE, La Quadrature du Net e.a., 6 octobre 2020, affaires jointes C-511/18, C-512/18 et C-520/18., continue d'imposer un standard élevé de protection des flux informationnels.

À cet ensemble s'ajoutent les régimes de contrôle des investissements étrangers (articles L.151-3 et suivants du code monétaire et financier en France, règlement (UE) 2019/452 au niveau européen, en cours de remplacement après l'accord politique du 11 décembre 20259Articles L.151-3 et R.151-1 et suivants du code monétaire et financier ; règlement (UE) 2019/452 du 19 mars 2019 sur le filtrage des investissements étrangers directs.) et les régimes de contrôle des biens à double usage, dont la Commission a annoncé la révision dans sa communication de janvier 2024. Cette dispersion apparente recouvre une stratégie de fond : il s'agit, dans tous les cas, de protéger les intérêts stratégiques européens en encadrant des flux de données, de capitaux, de technologies.

Les flux comme objet central du contrôle

Cette grille de lecture par les flux est, à notre sens, celle qui éclaire le mieux la logique de la dynamique réglementaire actuelle. Les flux d'investissements sont devenus des objets de filtrage permanent : la Direction générale du Trésor, à travers la procédure d'examen des investissements étrangers, arbitre désormais en continu la tension entre attractivité économique du territoire français et préservation de la souveraineté industrielle. Les flux de données, personnelles ou industrielles, font l'objet d'un encadrement renforcé, le Comité européen de la protection des données (« CEPD ») ayant émis en 2025 ses premières lignes directrices conjointes avec la Commission sur l'articulation entre RGPD et règlement sur les marchés numériques. Les flux d'informations techniques sensibles, enfin, sont saisis par les régimes d'export controls dont le redéploiement, tant aux États-Unis qu'en Europe, traduit la prise de conscience que les poids des modèles d'IA peuvent constituer des actifs aussi sensibles que les puces qui les calculent.

Cette logique de contrôle des flux explique l'importance croissante prise par les autorités nationales et européennes (ANSSI, Commission nationale de l’informatique et des libertés (« CNIL »), CEPD, leurs homologues britanniques et allemands) dont les positions doctrinales, autrefois confinées à des cercles de spécialistes, structurent désormais l'environnement opérationnel des entreprises.

La matérialisation du risque: quand la conformité devient responsabilité

Une attaque cyber n'est plus, pour une entreprise de la tech, un simple incident technique. Elle se traduit instantanément en une cascade d'obligations réglementaires (en ce compris : notifications à l'autorité de protection des données dans les soixante-douze heures sous l'empire du RGPD, signalement à l'ANSSI au titre de NIS 2, communications financières aux marchés), en sanctions administratives potentielles, en contentieux civils de masse ou encore en obligation de dénonciation pénale à la section cyber du parquet. Le bilan publié par la CNIL pour l'année 2025 est éloquent : 17 802 notifications de violations de données personnelles ont été reçues, un volume sans précédent expliqué notamment par des attaques visant des éditeurs de solutions logicielles et des fédérations sportives, et démontrant, selon les termes mêmes de la présidente de l'autorité, que « personne n'est épargné »10CNIL, Rapport annuel 2025 : 17 802 notifications de violations de données personnelles en 2025 (6 167 après retraitement de deux incidents fournisseurs exceptionnels), en hausse de 9,5 % par rapport à 2024.. Pour les opérateurs gérant de grandes bases de données, la CNIL a fait de la mise en œuvre de l'authentification multifacteur et de la sécurité des accès des sous-traitants l’une de ses priorités pour l’année 2026, annonçant également une campagne de contrôles ciblés.

Au-delà des sanctions administratives (qui peuvent atteindre 4% du chiffre d'affaires mondial annuel au titre du RGPD et jusqu'à 7% au titre de l'AI Act11Articles 83 RGPD et 99 de l'AI Act ; le plafond le plus élevé est retenu en fonction de la nature du manquement.), la dimension réputationnelle est devenue, pour les entreprises de la tech, de la cybersécurité et de la défense, un sujet de souveraineté à part entière : leur crédibilité industrielle auprès de leurs clients étatiques est désormais conditionnée à la solidité de leur posture cyber ainsi qu’à celle de leur programme de cyber-résilience.

Comme en toute matière, la responsabilité pénale à la fois des dirigeants et des personnes morales est exposée. Pour rappel, cette dernière découle des actes commis par un organe ou un représentant (dont les délégataires de pouvoir, que cette délégation soit matérialisée ou induite). Une forte augmentation des investigations gouvernementales visant des manquements à ces règles est à prévoir, avec potentiellement pour conséquence l’ouverture de nombreuses procédures pénales. Aux États-Unis, la levée du corporate veil est explicite: le Yates Memo (2015), le Monaco Memo (2022) puis le mémorandum Blanche du 12 mai 2025 ont érigé la poursuite individuelle des dirigeants en première priorité du Department of Justice (« DOJ »). Les condamnations récentes de responsables techniques de haut niveau, à l'image de l’ancien Chief Security Officer (« CSO ») d'Uber, en octobre 2022 confirment que les fonctions techniques de direction ne protègent plus. Ces problématiques seront désormais inclues dans de nombreuses procédures d’investigation transfrontalières.

II. Du risque à la stratégie : construire une architecture de cyber-résilience

L'évolution technologique, dont Geoffrey Hinton a comparé en avril 2026 le rythme actuel à celui d'« une voiture sans volant ni freins »12UN News, « Time to apply the brakes to runaway AI, says pioneer », 22 avril 2026., dépasse structurellement la capacité d'adaptation des cadres juridiques étatiques. Le décalage est en réalité fondateur : l'entreprise ne peut plus se contenter d'une conformité ponctuelle, calée sur les réformes au fur et à mesure de leur entrée en vigueur. Elle doit intégrer les enjeux cyber et IA dans son architecture de gouvernance, par anticipation.

Une cartographie des risques perpétuellement évolutive

Le point de départ de toute architecture de résilience est l'identification des actifs critiques (données, systèmes, infrastructures) et la localisation précise des risques associés : où sont hébergées les données ? qui y accède, depuis quelle juridiction ? quelles dépendances technologiques structurent la chaîne d'approvisionnement ? L'exercice n'est pas un audit ponctuel mais un outil de pilotage stratégique, malléable, mis à jour au rythme des évolutions du parc technologique et du cadre réglementaire. C'est précisément la fonction que la CNIL recommande désormais aux délégués à la protection des données d'occuper à un niveau opérationnel, fonction qui, selon une étude menée par la CNIL avec l'AFCDP en 2025, est aujourd'hui sollicitée dans les projets d'IA pour 60% des DPO interrogés13CNIL, Rapport annuel 2025 : enquête menée avec la Délégation générale à l'emploi et à la formation professionnelle du ministère du Travail et des Solidarités et l'AFCDP sur l'évolution du métier de DPO à l'heure de l'IA..

L'axe vertical: du CISO au conseil d'administration/board

L'arbitrage des grands choix, comme le budget cyber face à la vélocité commerciale, la conformité face à l'innovation ou l'ancrage souverain face à l'internationalisation, ne peut plus se faire à l'échelle d'un département. Il appelle des remontées d'information formalisées du CISO vers le comité exécutif et le conseil d'administration/board. La mise à jour de septembre 2024 de l'Evaluation of Corporate Compliance Programs du DOJ américain, qui intègre désormais des exigences spécifiques sur la gouvernance des systèmes d'IA14Department of Justice, Evaluation of Corporate Compliance Programs, Criminal Division, mise à jour de septembre 2024, intégrant des exigences spécifiques sur la gouvernance des systèmes d'IA., balise la voie : l'effectivité, et non la seule existence, du dispositif de conformité devient le critère décisif d'appréciation par les autorités.

Une remontée d'information bien conçue suppose une langue commune. Le risque cyber, exposé en termes techniques, est inaudible au conseil. Décrit dans les termes du risque opérationnel, financier et réputationnel, il devient un objet d'arbitrage stratégique. Cette traduction est, à notre sens, l'un des points faibles structurels des organisations matricielles caractéristiques des licornes technologiques.

Ces enjeux nécessitent que l’axe vertical soit irrigué par un effort structuré de formation du conseil d’administration/board lui-même ; il doit être régulièrement confronté à des mises en situation opérationnelle. Le recours à des exercices de type tabletop exercises, fondé sur des cas pratiques simulant des incidents cybers majeurs, permet de sensibiliser les administrateurs aux dynamiques concrètes de crise. Ce cadre maîtrisé permet d’éclairer les enjeux de leur responsabilité personnelle, y compris pénale, ainsi que les conséquences réputationnelles d’une telle attaque pour l’entreprise.

L'axe horizontal: le facteur humain, première vulnérabilité et premier levier

L'expérience opérationnelle confirme une intuition simple: la majorité des failles tient à un facteur humain, qu'il s'agisse d'un mot de passe partagé, d'un hameçonnage réussi ou d'une exfiltration par un sous-traitant insuffisamment encadré. La CNIL a observé qu'environ 80% des violations de grande ampleur constatées en 2024 ont été rendues possibles par l'usurpation d'un compte protégé uniquement par mot de passe15CNIL, recommandations relatives à la sécurité des grandes bases de données, printemps 2025 ; voir également la recommandation de la CNIL sur l'authentification multifacteur.. Cette vulnérabilité est aujourd’hui accentuée par la sophistication croissante des attaques dites “AI-enabled”, qui permettent d’industrialiser les techniques d’ingénierie sociale et d’en améliorer la crédibilité. On observe ainsi un basculement progressif des scénarios classiques de phishing vers des formes de vishing direct : là où les attaques reposaient auparavant sur des leurres incitant la victime à rappeler un faux support technique, les attaquants exploitent désormais des informations en source ouverte pour identifier leurs cibles et les contacter directement par téléphone, en se faisant passer pour un service interne, souvent informatique, afin de provoquer l’ouverture d’une session distante ou la transmission d’identifiants.

La résilience se mesure, en pratique, à l’optimisation du temps qu’une entreprise met pour passer de la détection d'un incident à la mobilisation coordonnée de cet écosystème, surtout dans un contexte où l’attaque désorganise les défenses en quelques minutes, tandis qu’une part substantielle de ses effets ne se laisse parfois appréhender qu’après plusieurs mois.

L'approche purement normative (politique de sécurité, charte informatique) n'est ni suffisante, ni discriminante. Elle suppose d’être relayée par des dispositifs de formation véritablement opérationnels, fondés sur des contenus dont le langage, les exemples et le lexique sont adaptés aux réalités métier des publics concernés, seule condition pour rendre intelligible le risque et susciter une appropriation effective par les équipes. Elle doit être complétée par des formations ciblées, adaptées au métier des équipes destinataires, par des exercices de mise en situation (tabletop exercises) qui permettent de tester en conditions réalistes la réactivité de l'organisation et de ses partenaires, et par une typologie claire des partenaires stratégiques mobilisables en cas de crise: assureurs cyber, experts forensiques, conseils juridiques internationaux.

Ces partenaires ne doivent toutefois pas être envisagés uniquement au moment de la survenance d’un incident, mais intégrés en amont dans une logique de préparation et d’amélioration continue : leur mobilisation anticipée permet non seulement d’optimiser la réponse de crise, mais également d’enrichir les dispositifs de détection et de prévention pour les incidents futurs, chaque crise constituant un retour d’expérience structurant pour renforcer les capacités de surveillance, de qualification et d’attribution des attaques.

Conclusion : un changement de paradigme

Le moment présent acte un changement de paradigme à plusieurs égards. Les entreprises de la tech, du cyber et de la défense ne sont plus simplement des acteurs économiques : elles sont devenues des enjeux de souveraineté nationale, à la fois objet de protection et instrument d'influence. L'évolution technologique accélérée s'accompagne d'un mouvement parallèle de renforcement des exigences réglementaires et de la responsabilité personnelle des dirigeants. Et le risque cyber ne se laisse plus réduire à sa dimension technique : il est, simultanément, un risque juridique, financier, réputationnel et stratégique. Il en va d’autant plus ainsi que les risques cyber et les risques liés à l’intelligence artificielle sont désormais intrinsèquement imbriqués, les systèmes d’IA constituant à la fois des surfaces d’attaque nouvelles et des leviers d’amplification des menaces existantes, au point que leur appréhension ne peut plus être dissociée ni techniquement, ni juridiquement, ni stratégiquement.

Trois axes de positionnement se dégagent pour les dirigeants. Comprendre, d'abord, l'imbrication des cadres réglementaires plutôt que d'en avoir une lecture cloisonnée : un incident cyber est immédiatement une affaire, notamment, de RGPD, de NIS 2, d’AI Act, de Cybersecurity Act parfois de sécurité nationale et de droit pénal. Anticiper, ensuite, les scénarios de crise en construisant en amont la matrice de coopération avec les autorités, françaises, européennes, parfois américaines, et la matrice de privilège entre conseils internes et externes. Construire, enfin, une gouvernance équilibrée entre l'axe vertical (CISO / COMEX / conseil d'administration) et l'axe horizontal (formation, exercices, partenaires de confiance), qui constitue la véritable architecture de résilience, appelée à être continuellement renforcée par le retour d’expérience sur les incidents, chacun devant conduire à des mesures de remédiation et d’ajustement des dispositifs de détection pour les situations ultérieures.

Aucune de ces tâches n'est entièrement technique. Aucune n'est entièrement juridique. Toutes appellent une expertise transversale capable de penser ensemble le droit pénal des affaires, le droit du numérique, le droit du commerce international et la stratégie d'entreprise. C'est, à notre sens, l'horizon de la pratique juridique des prochaines années.

Un grand merci à notre stagiaire en droit, Adrien Viala, pour sa contribution à cet article.