Il y a les réglementations dont tout le monde parle, celles que personne ne comprend vraiment, et celles qu’on découvre trop tard. RGPD, NIS2, DORA, Cloud Act, AI Act, Cyber Resilience Act — chaque année apporte son lot de nouvelles contraintes, avec ses acronymes, ses périmètres, ses échéances. Pour un DSI ou un dirigeant de PME, s’y retrouver relève parfois du parcours du combattant.
Voici un fil conducteur pour clarifier l’ensemble : imaginez votre système d’information comme un bâtiment. La réglementation numérique, c’est le code de la construction — un ensemble de règles qui ne s’appliquent pas toutes au même type de bâtiment, ni pour les mêmes raisons.
Pourquoi autant de textes en même temps ?
Ce n’est pas un hasard si l’Europe a produit autant de textes réglementaires entre 2022 et 2026. Trois crises simultanées ont forcé le législateur à agir vite :
- La vague de cyberattaques post-Covid, qui a révélé la fragilité des infrastructures critiques (hôpitaux, collectivités, énergie)
- La dépendance aux hyperscalers américains (AWS, Azure, Google Cloud) et la question de la souveraineté des données
- L’accélération de l’IA générative et les risques associés en matière de droits fondamentaux et de fiabilité
Résultat : un corpus réglementaire dense, qui s’empile plutôt qu’il ne se remplace. Chaque texte a son propre périmètre, son propre calendrier d’entrée en vigueur, et ses propres sanctions.
Le RGPD — Les règles de copropriété sur les données personnelles
Entré en vigueur : mai 2018 Qui est concerné : toute organisation traitant des données de personnes physiques résidant en UE, sans seuil de taille
Dans notre analogie, le RGPD, c’est le règlement de copropriété de votre immeuble numérique. Il définit les droits des occupants — vos clients, collaborateurs, prospects — sur les données personnelles que vous détenez. Finalité du traitement, durée de conservation, consentement, droit d’accès, droit à l’effacement : chaque “occupant” a des droits sur ce que vous savez de lui.
Ce qu’il impose concrètement
- Tenir un registre des traitements de données (qui traite quoi, pourquoi, combien de temps)
- Obtenir un consentement valide lorsqu’il est requis
- Notifier la CNIL dans les 72h en cas de violation de données
- Signer des DPA (Data Processing Agreements) avec vos sous-traitants
- Nommer un DPO si vous traitez des données sensibles à grande échelle
Ce que beaucoup de PME oublient
Le RGPD ne s’arrête pas aux formulaires de contact. Il concerne aussi vos emails de prospection, vos outils RH, votre CRM, vos caméras de surveillance, vos logs de connexion — tout ce qui permet d’identifier une personne, directement ou indirectement.
💡 Bon à savoir : Le RGPD s’applique aussi aux données de vos salariés. La gestion des bulletins de paie, des évaluations annuelles, des données de badgeage entre dans son périmètre.
NIS2 — Les normes incendie pour les bâtiments critiques
Transposée en droit français : 2024-2025 (délai accordé aux États membres) Qui est concerné : ~15 000 entités en France dans 18 secteurs critiques
Si le RGPD protège les occupants, NIS2 protège le bâtiment lui-même. C’est la directive européenne sur la sécurité des réseaux et des systèmes d’information — la version renforcée de NIS1, avec un périmètre considérablement élargi.
Dans l’analogie : ce sont les normes incendie, les détecteurs de fumée et les procédures d’évacuation imposés aux Établissements Recevant du Public. Si votre entreprise opère dans un secteur critique, votre immeuble numérique doit respecter des standards de sécurité plus exigeants que le voisin.
Les 18 secteurs couverts
Énergie, transport, banque, marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion TIC, administrations publiques, espace, services postaux, gestion des déchets, produits chimiques, agroalimentaire, fabrication (dispositifs médicaux, véhicules…), fournisseurs numériques, recherche.
Ce qu’il impose concrètement
- Gouvernance de la sécurité au niveau de la direction (la responsabilité remonte jusqu’aux dirigeants)
- Gestion des risques formalisée
- Détection et gestion des incidents
- Notification des incidents significatifs à l’ANSSI dans les 24h (alerte précoce) puis 72h (rapport complet)
- Sécurisation de la chaîne d’approvisionnement (vos fournisseurs aussi)
- Plans de continuité d’activité testés
Entités essentielles vs entités importantes
NIS2 distingue deux catégories avec des exigences différentes :
| Entité essentielle | Entité importante | |
|---|---|---|
| Taille | > 250 salariés ou > 50M€ CA | 50-250 salariés ou 10-50M€ CA |
| Supervision | Proactive (audits à l’initiative de l’ANSSI) | Réactive (contrôles après incident) |
| Sanctions max | 10M€ ou 2% du CA mondial | 7M€ ou 1.4% du CA mondial |
⚠️ Piège fréquent : beaucoup de PME pensent ne pas être concernées par NIS2. Mais si vous êtes prestataire d’une entité essentielle ou importante, vous entrez dans leur chaîne d’approvisionnement — et NIS2 exige qu’elles sécurisent leurs fournisseurs. Vos clients NIS2 vont vous demander des garanties.
DORA — Les normes parasismiques pour les tours financières
En vigueur : janvier 2025 Qui est concerné : entités financières opérant en UE — banques, assurances, sociétés de gestion, établissements de paiement, prestataires ICT critiques du secteur
Dans notre bâtiment, certaines tours ont des exigences structurelles spécifiques : les banques et établissements financiers doivent résister à des secousses que les bâtiments ordinaires n’auront jamais à subir. C’est le rôle de DORA (Digital Operational Resilience Act).
DORA ne s’intéresse pas seulement à la prévention — il impose de prouver que vous êtes capable de fonctionner pendant une crise et d’en sortir sans perte de données critiques.
Ce qu’il impose concrètement
- Un cadre de gestion des risques ICT formalisé et approuvé par le conseil d’administration
- Des tests de résilience opérationnelle numérique (dont des TLPT — Threat-Led Penetration Tests pour les entités les plus critiques)
- Un registre exhaustif de tous les contrats avec les prestataires ICT tiers
- Des clauses contractuelles obligatoires avec les fournisseurs cloud et ICT (droits d’audit, plans de sortie, localisation des données…)
- Un dispositif de notification des incidents ICT majeurs au régulateur (BCE, ACPR…)
La grande nouveauté : les prestataires ICT critiques
DORA introduit une supervision directe par les régulateurs européens (EBA, ESMA, EIOPA) des prestataires ICT jugés critiques pour le secteur financier — AWS, Microsoft Azure, Google Cloud sont directement visés. Pour la première fois, un hyperscaler américain peut être audité directement par un régulateur européen s’il est considéré comme critique.
💡 Bon à savoir : Si vous n’êtes pas dans le secteur financier, DORA ne vous s’applique pas directement. Mais si vous vendez des services numériques à des banques ou assurances, vos contrats vont intégrer des clauses DORA — droits d’audit, exigences de sécurité, plans de sortie de contrat.
Cloud Act — Le droit de perquisition qui ignore les frontières
En vigueur : mars 2018 (loi américaine) Qui est concerné : toute organisation dont les données sont hébergées chez un prestataire soumis à la juridiction américaine
Retour à notre analogie : imaginez que les matériaux utilisés pour construire votre immeuble — les briques, les fondations — aient été fabriqués aux États-Unis. Une loi américaine dit que si les autorités fédérales le demandent, le fabricant de ces briques peut être contraint de leur donner accès à ce qui se passe à l’intérieur — même si l’immeuble est en France, même si les données sont stockées en Europe.
C’est exactement ce que fait le Cloud Act (Clarifying Lawful Overseas Use of Data Act).
Ce qu’il impose
Le Cloud Act autorise les autorités américaines à exiger d’une entreprise américaine la communication de données stockées à l’étranger, sans nécessiter de commission rogatoire internationale. AWS, Microsoft, Google, Salesforce, Zoom : si la maison mère est américaine, le Cloud Act s’applique.
Le conflit avec le RGPD
Le Cloud Act crée une contradiction directe avec le RGPD : d’un côté, le RGPD interdit les transferts de données vers des pays tiers sans garanties adéquates. De l’autre, le Cloud Act peut forcer un transfert aux États-Unis. Juridiquement, les entreprises européennes se trouvent potentiellement en infraction quelle que soit la décision qu’elles prennent.
Que faire concrètement ?
| Niveau de sensibilité des données | Approche recommandée |
|---|---|
| Données publiques ou faiblement sensibles | Prestataires américains acceptables avec clauses contractuelles |
| Données personnelles clients, données RH | Évaluation du risque + clauses DPA renforcées ou cloud souverain |
| Données hautement sensibles (défense, santé, judiciaire…) | Cloud souverain qualifié SecNumCloud (OVHcloud, Outscale, S3NS…) |
⚠️ La qualification SecNumCloud de l’ANSSI impose une immunité au Cloud Act : les prestataires qualifiés ne peuvent pas être des filiales de sociétés non-européennes. C’est aujourd’hui la seule garantie technique et juridique robuste.
AI Act — La réglementation des ascenseurs autonomes
Adopté : mai 2024 Application progressive : jusqu’en 2027 selon les catégories Qui est concerné : fournisseurs, déployeurs et importateurs de systèmes d’IA en UE
Les ascenseurs autonomes d’un bâtiment sont pratiques — ils optimisent les flux, anticipent les demandes, réduisent la consommation. Mais s’ils tombent en panne, s’ils discriminent, s’ils prennent de mauvaises décisions sans supervision humaine, les conséquences peuvent être graves. L’AI Act impose des règles d’homologation proportionnelles au risque.
C’est la première réglementation mondiale sur l’intelligence artificielle. Elle adopte une approche par niveau de risque.
Les quatre niveaux de risque
Risque inacceptable → interdit Notation sociale des citoyens par les autorités, manipulation subliminale, reconnaissance faciale en temps réel dans les espaces publics (avec exceptions étroites), exploitation des vulnérabilités des personnes.
Risque élevé → obligations strictes IA utilisée dans le recrutement, le crédit, la santé, l’éducation, les infrastructures critiques, la justice, la police aux frontières. Ces systèmes doivent être documentés, auditables, supervisés par des humains, enregistrés dans une base UE.
Risque limité → transparence obligatoire Chatbots : l’utilisateur doit savoir qu’il interagit avec une IA. Deepfakes : le contenu doit être marqué.
Risque minimal → pas d’obligation Filtres anti-spam, jeux vidéo, systèmes de recommandation (avec exceptions) : pas de contrainte spécifique.
Les modèles d’IA à usage général (GPAI)
L’AI Act régule aussi les modèles comme GPT-4, Claude, Gemini — les “General Purpose AI Models”. Les fournisseurs de ces modèles doivent publier une documentation technique, respecter le droit d’auteur européen, et s’ils présentent des “risques systémiques” (modèles très puissants), passer par des évaluations de sécurité.
💡 Bon à savoir : Si vous utilisez un outil d’IA pour des décisions RH (tri de CV, scoring d’entretiens), vous êtes déployeur d’un système IA à risque élevé — même si vous n’avez pas développé l’outil. Les obligations s’appliquent à vous, pas seulement au fournisseur.
Cyber Resilience Act — Les normes de fabrication des matériaux
Adopté : octobre 2024 Application : progressivement jusqu’en 2027 Qui est concerné : fabricants, importateurs et distributeurs de produits avec éléments numériques vendus en UE
Un bâtiment ne peut être sécurisé que si ses matériaux de construction le sont. À quoi sert une porte blindée si la serrure est défaillante par conception ? C’est le principe du Cyber Resilience Act (CRA).
Le CRA impose aux fabricants de produits connectés — routeurs, caméras IP, NAS, logiciels, smartphones, objets IoT — de concevoir la cybersécurité dès la conception (security by design) et de maintenir la sécurité pendant toute la durée de vie du produit.
Ce qu’il impose concrètement
- Conception sécurisée dès le départ (pas de mots de passe par défaut, chiffrement, surface d’attaque minimale)
- Gestion des vulnérabilités : les fabricants doivent corriger les failles et publier des patches
- Notification des vulnérabilités activement exploitées à l’ENISA dans les 24h
- Documentation technique (Software Bill of Materials — SBOM)
- Marquage CE étendu aux exigences cyber
Pourquoi c’est important pour les entreprises utilisatrices
Vous n’êtes pas fabricant ? Le CRA vous concerne quand même indirectement. D’ici 2027, les produits non conformes ne pourront plus être commercialisés en UE. Vos achats de matériel et de logiciels seront naturellement filtrés par la conformité CRA.
La carte d’ensemble : qui fait quoi
| Réglementation | Ce qu’elle protège | Qui est ciblé | Sanctions max |
|---|---|---|---|
| RGPD | Données personnelles des individus | Toute organisation | 20M€ ou 4% CA |
| NIS2 | Sécurité des systèmes critiques | ~15 000 entités en 18 secteurs | 10M€ ou 2% CA |
| DORA | Résilience opérationnelle du secteur financier | Banques, assurances, PSP, prestataires ICT | Variable par régulateur |
| AI Act | Droits fondamentaux face aux systèmes IA | Fournisseurs et déployeurs d’IA en UE | 35M€ ou 7% CA |
| Cloud Act | Accès aux données par les autorités US | Utilisateurs de services US | N/A (risque juridique) |
| Cyber Resilience Act | Sécurité des produits numériques | Fabricants et distributeurs | 15M€ ou 2.5% CA |
Ce que ça signifie concrètement pour une PME
La réglementation numérique est souvent pensée pour les grandes entreprises — mais elle arrive dans les PME par ricochets. Trois voies principales :
1. Vos clients grands comptes vous transmettent leurs obligations
Un client bancaire soumis à DORA va exiger de vous un droit d’audit, un plan de continuité, des certifications. Un client dans l’énergie soumis à NIS2 va demander un questionnaire sécurité. Vous ne signez pas la réglementation, mais vous en subissez les contraintes contractuelles.
2. Vous utilisez des outils IA dans vos processus
Si vous avez intégré un outil de scoring, de recommandation ou de prise de décision assistée dans vos processus (RH, crédit, médical), vous êtes déployeur AI Act — avec des obligations documentaires et de supervision humaine.
3. Vos données sont dans le cloud américain
AWS, Microsoft 365, Google Workspace, Salesforce : si vous hébergez des données sensibles chez ces acteurs, le Cloud Act est une réalité juridique. La question n’est pas de changer de prestataire du jour au lendemain, mais de savoir ce que vous exposez et d’en mesurer le risque.
Par où commencer ?
Étape 1 — Cartographiez vos traitements de données (RGPD)
Étape 2 — Vérifiez votre périmètre NIS2 (et votre chaîne fournisseurs)
Étape 3 — Inventoriez vos prestataires cloud et leur juridiction
Étape 4 — Qualifiez vos usages IA selon le niveau de risque AI Act
Étape 5 — Anticipez les normes CRA pour vos achats matériels⚠️ La conformité réglementaire n’est pas un projet ponctuel. C’est un état permanent à maintenir — les textes évoluent, les périmètres s’élargissent, les jurisprudences se construisent. Une gouvernance légère mais continue vaut mieux qu’un grand projet suivi d’un abandon.
Conclusion
La jungle réglementaire numérique n’est pas une punition — c’est le signe que le numérique est devenu une infrastructure critique au même titre que l’eau, l’électricité ou les routes. Et comme pour ces infrastructures, des normes de construction s’imposent.
RGPD protège les occupants. NIS2 sécurise les bâtiments critiques. DORA renforce les tours financières. Le Cloud Act rappelle que les matériaux ont une nationalité. L’AI Act homologue les systèmes autonomes. Le Cyber Resilience Act certifie les composants.
Aucun de ces textes ne s’applique à tout le monde de la même façon. Mais tous ensemble, ils dessinent un code de la construction numérique qui va s’imposer progressivement à l’ensemble de l’écosystème — grands groupes d’abord, PME par ricochet ensuite.
Mieux vaut lire le code avant de construire.
Vous souhaitez savoir lesquelles de ces réglementations s’appliquent à votre organisation, et par où commencer ? La Boussole Digitale vous aide à cartographier vos obligations réglementaires et à construire une feuille de route pragmatique. Contactez-nous pour un premier échange.
Contenu réservé
Cet article est réservé aux contacts de La Boussole Digitale.
Entrez votre email pour y accéder.