Engager un hacker – légal ou illégal ? Ce que dit la loi en Europe
Engager un hacker, est-ce légal ? C’est la première question que se posent les dirigeants d’entreprise, les responsables informatiques et les professionnels lorsqu’ils envisagent de faire appel à un expert en cybersécurité offensive.
La réponse courte est : OUI, c’est parfaitement légal – à condition de respecter certaines règles essentielles.
La réponse longue mérite que l’on s’y attarde. Car entre le hacker « white hat » (chapeau blanc, éthique) et le « black hat » (chapeau noir, malveillant), la différence tient en un mot : l’autorisation.
En 2026, avec l’harmonisation des législations européennes (NIS2, RGPD, directives nationales), le cadre juridique du hacking éthique n’a jamais été aussi clair. Découvrons ensemble ce que dit la loi en Europe, pays par pays, et comment engager un hacker en toute sérénité.
⚖️ La règle d’or : l’autorisation écrite fait toute la différence
Avant même de parler de lois, il y a un principe fondamental, commun à tous les pays européens :
| Sans autorisation écrite | Avec autorisation écrite |
|---|---|
| Accès non autorisé à un système informatique | Accès autorisé dans un cadre contractuel |
| Infraction pénale (amende, prison) | Activité légale (prestation de service) |
| Le hacker est en tort (et vous aussi si vous l’avez sollicité) | Le hacker est protégé par le mandat |
| Application du Code pénal national | Application du droit des contrats |
Règle absolue : Un hacker éthique n’intervient JAMAIS sans un mandat écrit signé par le propriétaire du système (ou son représentant légal). Ce mandat définit le périmètre, les techniques autorisées et la durée de l’intervention.
🇪🇺 Le cadre européen : les directives qui s’imposent à tous les États membres
L’Union européenne a harmonisé les règles en matière de cybersécurité. Deux textes majeurs s’appliquent en 2026 :
1. La directive NIS2 (Network and Information Security)
| Ce qu’elle impose | Lien avec le hacking éthique |
|---|---|
| Les entités essentielles et importantes doivent réaliser des tests d’intrusion réguliers | Le hacking éthique devient obligatoire pour les secteurs critiques (énergie, santé, transport, eau, numérique, etc.) |
| Sanctions pouvant atteindre 10 à 20 millions d’euros en cas de non-conformité | Ne pas réaliser de tests d’intrusion peut coûter très cher |
| Les États membres devaient transposer NIS2 avant octobre 2024 (effective pleinement en 2025-2026) | Tous les pays européens ont désormais une législation alignée |
Impact sur la légalité : NIS2 encourage activement le recours aux hackers éthiques. Loin de l’interdire, la loi européenne le recommande.
2. Le RGPD (Règlement Général sur la Protection des Données)
| Ce qu’il impose | Lien avec le hacking éthique |
|---|---|
| Les données personnelles doivent être protégées par des mesures techniques appropriées (art. 32) | Un test d’intrusion est une mesure technique reconnue |
| En cas de fuite de données, l’entreprise doit prouver sa diligence | Un rapport d’audit signé par un hacker certifié est une preuve de diligence |
| Amendes pouvant atteindre 20 millions d’euros ou 4% du CA mondial | L’absence de test peut être considérée comme une négligence |
Impact sur la légalité : Le RGPD n’interdit pas le hacking éthique. Au contraire, il l’encourage comme outil de conformité.
🇫🇷 France : ce que dit la loi
| Texte juridique | Contenu | Impact sur le hacking éthique |
|---|---|---|
| Code pénal, article 323-1 | « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 € d’amende. » | L’élément clé est le mot « frauduleusement ». Avec autorisation, il n’y a pas de fraude. |
| Code pénal, article 323-3-1 | Introduit par la loi LOPMI (2023), précise les conditions du hacking éthique | Le hacker éthique agissant dans le cadre d’un contrat n’est pas poursuivable |
| ANSSI (recommandations) | L’Agence nationale de la sécurité des systèmes d’information publie des guides pour les tests d’intrusion | Encadre les bonnes pratiques et renforce la légitimité du hacking éthique |
En pratique en France : Engager un hacker est légal si vous signez une convention de test d’intrusion (mandat) avant toute action. L’ANSSI fournit même des modèles.
🇩🇪 Allemagne : ce que dit la loi
| Texte juridique | Contenu | Impact sur le hacking éthique |
|---|---|---|
| StGB (Code pénal), § 202a | « Quiconque accède sans autorisation à des données qui ne lui sont pas destinées est puni d’une peine d’emprisonnement pouvant aller jusqu’à trois ans. » | L’autorisation écrite exonère. |
| StGB, § 202b | Intercepte des données informatiques sans autorisation | Pareil : l’autorisation est l’exemption. |
| IT-SiG 2.0 | Loi sur la sécurité des technologies de l’information | Oblige les opérateurs d’infrastructures critiques à réaliser des tests d’intrusion. |
| BSI (recommandations) | L’Office fédéral de la sécurité de l’information publie des standards | Les tests réalisés selon les standards BSI sont présumés légaux. |
En pratique en Allemagne : Non seulement c’est légal, mais c’est obligatoire pour les KRITIS (infrastructures critiques) depuis l’IT-SiG 2.0.
🇨🇭 Suisse : ce que dit la loi (hors UE mais alignée)
| Texte juridique | Contenu | Impact sur le hacking éthique |
|---|---|---|
| Code pénal suisse, art. 143 | « Quiconque, sans autorisation, aura pris connaissance, pour lui-même ou pour un autre, d’une donnée enregistrée ou transmise par un système informatique sera puni d’une peine privative de liberté de cinq ans au plus. » | Le mot « sans autorisation » est clé. L’autorisation écrite exonère. |
| Code pénal suisse, art. 147 | Intercepte des données sans autorisation | Même principe. |
| nLPD (nouvelle loi sur la protection des données) | Obligation de sécuriser les données personnelles | Encourage les tests d’intrusion. |
En pratique en Suisse : Légal avec mandat écrit. La place financière suisse (banques, assurances, crypto) recourt massivement aux hackers éthiques.
🇪🇸 Espagne : ce que dit la loi
| Texte juridique | Contenu | Impact sur le hacking éthique |
|---|---|---|
| Código Penal, art. 197 | « Quiconque, sans autorisation, accède à des données informatiques est puni d’un emprisonnement de un à quatre ans. » | L’autorisation écrite est l’exemption. |
| Real Decreto-ley 8/2026 (transposition NIS2) | Impose des tests d’intrusion pour certaines entités | Rend le hacking éthique obligatoire dans certains secteurs. |
| LOPDGDD (Ley Orgánica de Protección de Datos) | Version espagnole du RGPD | Recommande les mesures techniques dont les pentests. |
En pratique en Espagne : Légal avec mandat. L’AEPD (autorité de protection des données) considère favorablement les entreprises qui réalisent des audits.
🇮🇹 Italie : ce que dit la loi
| Texte juridique | Contenu | Impact sur le hacking éthique |
|---|---|---|
| Codice Penale, art. 615-ter | « Quiconque, sans autorisation, accède à un système informatique est puni d’un emprisonnement de un à cinq ans. » | L’autorisation écrite exonère. |
| Decreto Legislativo 138/2025 (transposition NIS2) | Oblige les tests d’intrusion pour les entités essentielles | Rend le hacking éthique légal et parfois obligatoire. |
| Codice della Privacy (D.Lgs. 196/2003 modifié) | Version italienne du RGPD | Encourage les audits de sécurité. |
En pratique en Italie : Légal avec mandat. Le Garante per la protezione dei dati personali recommande les tests d’intrusion.
🇧🇪 Belgique : ce que dit la loi
| Texte juridique | Contenu | Impact sur le hacking éthique |
|---|---|---|
| Code pénal belge, art. 550bis | « Quiconque accède sans autorisation à un système informatique est puni d’un emprisonnement de six mois à cinq ans. » | L’autorisation écrite exonère. |
| Transposition NIS2 | Oblige les tests d’intrusion pour les opérateurs de services essentiels | Rend le hacking éthique légal et parfois obligatoire. |
| Loi RGPD (transposée) | Sécurisation des données personnelles | Encourage les audits. |
En pratique en Belgique : Légal avec mandat. Le Centre pour la Cybersécurité Belgique (CCB) publie des recommandations officielles.
🇬🇧 Royaume-Uni (post-Brexit) : ce que dit la loi
| Texte juridique | Contenu | Impact sur le hacking éthique |
|---|---|---|
| Computer Misuse Act 1990 (modifié) | « Toute personne qui cause un ordinateur à exécuter une fonction sans autorisation est coupable d’une infraction. » | L’autorisation écrite exonère. |
| UK GDPR (version britannique) | Similaire au RGPD européen | Encourage les tests d’intrusion. |
| NCSC (recommandations) | Le National Cyber Security Centre publie des guides | Les tests conformes aux guides NCSC sont protégés. |
En pratique au Royaume-Uni : Légal avec mandat. Le NCSC a même créé un programme « CHECK » de hackers éthiques agréés.
📊 Tableau récapitulatif par pays (2026)
| Pays | Texte pénal clé | Légal avec mandat ? | Obligation légale de tester ? | Autorité de référence |
|---|---|---|---|---|
| France | Art. 323-1 CP | ✅ OUI | Pour KRITIS (NIS2) | ANSSI |
| Allemagne | § 202a StGB | ✅ OUI | Pour KRITIS (IT-SiG 2.0) | BSI |
| Suisse | Art. 143 CP | ✅ OUI | Non (mais encouragé) | PFPDT |
| Espagne | Art. 197 Código Penal | ✅ OUI | Pour entités essentielles (NIS2) | AEPD / INCIBE |
| Italie | Art. 615-ter Codice Penale | ✅ OUI | Pour entités essentielles (NIS2) | Garante / CSIRT Italia |
| Belgique | Art. 550bis CP | ✅ OUI | Pour opérateurs essentiels (NIS2) | CCB |
| Pays-Bas | Art. 138a Wetboek van Strafrecht | ✅ OUI | Pour KRITIS (NIS2) | CSIRT-DSP |
| Luxembourg | Art. 509-1 Code pénal | ✅ OUI | Pour entités essentielles (NIS2) | CIRCL |
| Royaume-Uni | Computer Misuse Act 1990 | ✅ OUI | Non (mais encouragé) | NCSC |
Conclusion du tableau : Dans TOUS les pays européens, le hacking éthique est légal à condition d’avoir un mandat écrit signé.
🛡️ Les garanties que nous offrons pour une intervention 100% légale
Chez engager-hacker.com, nous ne prenons aucun risque juridique. Voici nos garanties :
| Garantie | Description |
|---|---|
| Mandat écrit systématique | Avant toute intervention, un contrat détaille le périmètre, les techniques autorisées, la durée. Juridiquement conforme au droit de votre pays. |
| Vérification de l’autorité du signataire | Nous nous assurons que la personne qui signe a bien le pouvoir juridique d’autoriser un test d’intrusion (dirigeant, DSI mandaté). |
| Périmètre strict | Nous n’allons jamais au-delà de ce qui est écrit. Toute action hors périmètre est interdite par notre propre code de conduite. |
| Confidentialité totale (NDA) | Nous signons un accord de confidentialité qui protège vos données et nos méthodes. |
| Assurance responsabilité civile | Nos hackers sont assurés jusqu’à 5 à 10 millions d’euros selon la mission. En cas de dommage accidentel (extrêmement rare), vous êtes couvert. |
| Traçabilité complète | Chaque action est loggée, chaque vulnérabilité est documentée. Vous pouvez prouver à votre autorité de tutelle que vous avez agi en conformité. |
❌ Ce qu’il ne faut PAS faire (pour rester dans la légalité)
- ❌ Engager un hacker sans contrat écrit → c’est la première cause de mise en danger juridique.
- ❌ Demander un test sur un système dont vous n’êtes pas propriétaire → même avec un contrat, si vous n’avez pas le droit de tester (ex : serveur d’un fournisseur externe sans son accord), c’est illégal.
- ❌ Utiliser les résultats d’un test pour nuire à un concurrent → usage détourné, pénalement répréhensible.
- ❌ Engager un hacker non certifié et non assuré → en cas de dommage, vous êtes responsable civilement.
- ❌ Diffuser les vulnérabilités publiquement sans avoir corrigé → vous exposez vos clients et vous-même.
✅ Ce qu’il faut faire (checklist de la légalité)
| Action | Statut |
|---|---|
| Signer un mandat écrit avant toute intervention | 🔒 OBLIGATOIRE |
| Définir un périmètre précis (IP, domaines, applications, dates) | 🔒 OBLIGATOIRE |
| S’assurer que le signataire a l’autorité légale pour autoriser le test | 🔒 OBLIGATOIRE |
| Engager un hacker certifié (OSCP, CEH, GPEN, CREST) | 👍 FORTS RECOMMANDÉ |
| Vérifier que le hacker a une assurance responsabilité civile | 👍 FORTS RECOMMANDÉ |
| Signer un NDA (confidentialité) | 👍 RECOMMANDÉ |
| Conserver le rapport et l’attestation de test pour vos autorités (CNIL, BSI, AEPD, Garante, etc.) | 👍 RECOMMANDÉ |
❓ Foire Aux Questions (FAQ) – 5 questions essentielles
1. Puis-je être poursuivi pénalement si j’engage un hacker ?
Non, si vous respectez les conditions légales. Si vous signez un mandat écrit avant l’intervention, que le périmètre est clairement défini, et que vous êtes bien le propriétaire (ou mandataire) du système testé, alors l’intervention est parfaitement légale. Aucune poursuite pénale n’est possible, car l’élément « frauduleux » ou « sans autorisation » requis par les codes pénaux est absent.
En revanche, si vous engagez un hacker sans contrat ou pour tester un système qui ne vous appartient pas (ex : le site d’un concurrent), alors oui, vous êtes en infraction pénale.
2. Le hacker que j’engage peut-il être poursuivi ?
Non, pour les mêmes raisons. Le mandat écrit protège le hacker. Il agit dans le cadre d’une prestation de service légalement autorisée. De nombreux hackers éthiques travaillent en toute transparence avec des entreprises, des gouvernements et des agences nationales (ANSSI, BSI, NCSC, etc.).
Si le hacker agit hors du périmètre défini ou sans mandat, alors il s’expose à des poursuites. C’est pourquoi nous imposons un contrat strict à nos experts.
3. Que dit la loi si le hacker cause un dommage accidentel (plante un serveur, efface des données) ?
C’est une question de responsabilité civile, pas pénale. Si le dommage est accidentel et que le hacker a agi dans le cadre du mandat, c’est son assurance responsabilité civile qui intervient (nos hackers en ont une). Si le dommage résulte d’une négligence grave (hors mandat, commande non sécurisée, etc.), le hacker peut être tenu responsable.
Chez engager-hacker.com :
- Nous travaillons systématiquement sur des environnements de test (copie) ou en hors production quand c’est possible.
- Nos hackers utilisent des techniques non destructives (pas de commandes dangereuses sans validation).
- Notre assurance couvre jusqu’à 5-10 millions d’euros selon la mission.
Un dommage civil n’est pas une infraction pénale – tant qu’il n’y a pas d’intention malveillante.
4. Est-ce que je dois informer mon autorité de protection des données (CNIL, AEPD, Garante, etc.) avant un test ?
Non, sauf cas particuliers. La plupart des tests d’intrusion ne nécessitent pas de notification préalable à l’autorité. Cependant :
- Si le test implique le traitement de données personnelles « réelles » (non anonymisées) et que vous n’avez pas informé vos clients (dans vos conditions générales), une analyse d’impact peut être nécessaire.
- Si vous êtes un opérateur KRITIS (infrastructure critique) en Allemagne, le BSI doit parfois être informé (selon votre plan de conformité).
Notre conseil : Nous vous accompagnons dans cette analyse. Dans 95% des cas, aucune notification n’est requise.
5. Quelle est la différence entre un hacker « certifié » et un hacker « non certifié » sur le plan juridique ?
Sur le plan pénal, aucune différence : un mandat écrit protège les deux. Sur le plan civil, une grande différence :
| Critère | Hacker certifié | Hacker non certifié |
|---|---|---|
| Preuve de compétence | Oui (examen pratique validé) | Non (autodéclaration) |
| Assurance pro | Souvent incluse (obligatoire chez nous) | Rarement |
| Reconnaissance par les autorités (ANSSI, BSI, etc.) | Oui (les certifications sont répertoriées) | Non |
| Valeur probante du rapport pour un audit ou un tribunal | Élevée (expert reconnu) | Faible (risque de contestation) |
Notre recommandation : Engagez exclusivement des hackers certifiés. Si un incident survient et que votre rapport est contesté (par un client, une autorité, un assureur), la certification du hacker est une preuve de son expertise. Un hacker non certifié vous expose à un risque de contestation.
🎯 Conclusion : Engager un hacker, c’est légal – et souvent recommandé
La loi européenne est claire : engager un hacker éthique est légal, encadré et même encouragé dans de nombreux secteurs (NIS2, RGPD, IT-SiG 2.0, etc.).
La seule condition, non négociable, est l’autorisation écrite préalable (mandat). Sans elle, l’intervention est illégale. Avec elle, vous bénéficiez d’une prestation de service parfaitement légale, souvent obligatoire pour votre conformité réglementaire, et toujours protectrice pour votre entreprise.
Chez engager-hacker.com, nous avons conçu nos contrats pour être conformes au droit de chaque pays européen. Nous ne prenons aucun risque juridique – et vous non plus.
Vous hésitiez encore ? La loi est de votre côté. Contactez-nous.
👉 Contactez-nous dès maintenant sur engager-hacker.com
Remplissez notre formulaire simple. Nous vous fournissons un mandat conforme au droit de votre pays.
📩 Ou écrivez-nous directement par email :Lazarus@europe.com
Discrétion garantie. Réponse sous 4 heures ouvrées.
Engager-hacker.com – La référence européenne du hacking éthique.
100% légal. 100% certifié. 100% confidentiel.
🔒 Votre sécurité est notre unique mission. La loi est de notre côté.
