+33 (0)1 85 12 00 03 Suivez-nous
Logo Skuria — Solutions informatiques souveraines
Parlons de votre projet
Veille réglementaire

RGPD, NIS2 et IA Act : ce qui change pour votre entreprise en France en 2026

RGPD, NIS2 et IA Act : ce qui change pour votre entreprise en France en 2026 est résumé dans ce guide expert. Sanctions CNIL record, directive NIS2 en vigueur depuis octobre 2024, IA Act qui s’impose progressivement — la réglementation numérique évolue vite et les PME françaises doivent s’adapter sans attendre. Voici le point complet sur les textes qui impactent votre activité, avec des implications pratiques claires et une checklist de conformité prête à l’emploi.

⏱️ 13 min de lecture🎯 Dirigeants, DG, DSI de PME et ETI, acheteurs IT
RGPD NIS2 IA Act entreprise France 2026 — guide conformité Skuria

Sommaire

RGPD NIS2 IA Act entreprise France : bilan CNIL 2024 et tendances 2026

La Commission Nationale de l’Informatique et des Libertés a considérablement renforcé sa politique de sanction depuis l’entrée en application du RGPD en 2018. Les montants prononcés en Europe ont dépassé 2,1 milliards d’euros en 2023 — un record — dont 1,2 milliard pour Meta Ireland seule. La CNIL française a prononcé pour plus de 100 millions d’euros de sanctions en 2023-2024.

Les tendances de contrôle en 2025

La CNIL a annoncé ses priorités de contrôle pour 2025. Trois domaines sont particulièrement surveillés :

  • L’intelligence artificielle : utilisation de données personnelles pour l’entraînement de modèles, systèmes de reconnaissance faciale, profilage automatisé
  • Les cookies et traceurs : le bilan des contrôles 2024 montre que 60% des sites contrôlés n’étaient pas conformes sur la gestion du consentement
  • La sécurité des données : violations de données non notifiées, mesures techniques insuffisantes, gestion des habilitations
📋 Ce que vous devez vérifier maintenant :

votre bannière cookies est-elle conforme ? Vos sous-traitants traitent-ils des données personnelles sous contrat DPA (Data Processing Agreement) ? Vos données personnelles sont-elles hébergées dans l'UE ou transférées avec des garanties suffisantes ?

NIS2 : ce qui change concrètement pour votre entreprise France en 2026

La ddirective NIS2 (Network and Information Security 2) a été adoptée par l’UE en novembre 2022. Elle devait être transposée par les États membres avant le 17 octobre 2024. La France a publié son ordonnance de transposition française — les obligations sont donc en vigueur.

Qui est concerné ?

NIS2 s’applique à un nombre beaucoup plus large d’entités que NIS1. En France, on estime que 15 000 entités sont concernées (contre 300 sous NIS1). Les secteurs visés sont :

Secteur "Hautement critique"Secteur "Critique"
Énergie (électricité, gaz, pétrole, hydrogène)Services postaux et de messagerie
Transport (aérien, ferroviaire, maritime, routier)Gestion des déchets
Banque et infrastructures des marchés financiersFabrication industrielle (critique)
Santé et pharmacieChimie
Eau potable et eaux uséesAlimentation
Infrastructures numériques (DNS, datacenters, cloud)Recherche
Services TIC B2BFournisseurs de réseaux numériques
Administrations publiquesServices numériques (places de marché, moteurs de recherche)

Les obligations concrètes de NIS2

  • Gestion des risques cyber : politique de sécurité documentée, analyse des risques, mesures techniques et organisationnelles proportionnées
  • Notification des incidents : alerte à l’ANSSI dans les 24h suivant la détection d’un incident significatif, rapport intermédiaire sous 72h, rapport final dans un mois
  • Sécurité de la chaîne d’approvisionnement : évaluation de la sécurité de vos fournisseurs critiques — y compris vos prestataires cloud et IT
  • Gestion des accès et authentification : MFA (authentification multi-facteurs) requise pour les accès critiques
  • Chiffrement : chiffrement des données sensibles au repos et en transit
  • Plans de continuité d’activité : PCA et PRA documentés et testés
  • Responsabilité des dirigeants : les membres de la direction sont personnellement responsables du respect de NIS2

Sanctions NIS2

Les sanctions en cas de non-conformité sont significativement plus élevées que sous NIS1 :

  • Entités essentielles : jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial annuel
  • Entités importantes : jusqu’à 7 millions d’euros ou 1,4% du CA mondial
  • Interdiction temporaire pour les dirigeants d’exercer des fonctions de management
⚠️ Point d'attention pour les PME sous-traitantes :

même si vous n'êtes pas directement soumis à NIS2, vos clients qui le sont vous demanderont des garanties sur votre niveau de sécurité. Ne pas être en mesure de les fournir peut coûter des contrats.

IA Act : calendrier et obligations pour les entreprises en France

Le règlement européen sur l’intelligence artificielle (IA Act) a été publié au Journal Officiel de l’UE en juillet 2024. C’est le premier cadre légal global sur l’IA au monde. Son entrée en vigueur est progressive :

24 Août 2024 : entrée en vigueur du règlement

Le texte est officiellement en vigueur. La période de transition commence.

25 Février 2025 : interdictions des IA à risque inacceptable

Les IA jugées à risque inacceptable sont interdites : notation sociale généralisée, manipulation comportementale à l'insu des personnes, reconnaissance faciale en temps réel dans l'espace public (sauf exceptions), IA exploitant les vulnérabilités des personnes.

25 Août 2025 : obligations pour les IA à usage général (GPAI)

Les fournisseurs de modèles d'IA à usage général (comme les LLM) devront respecter des obligations de transparence, de documentation et de sécurité. Les modèles les plus puissants sont soumis à des exigences encore plus strictes.

26Août 2026 : obligations pour les IA à haut risque

Les systèmes d'IA à haut risque (recrutement, crédit, sécurité critique, etc.) devront être conformes : documentation technique, évaluation de conformité, enregistrement dans une base de données EU.

Ce que l’IA Act change pour les entreprises

Pour les entreprises en France, le RGPD, NIS2 et l’IA Act forment désormais un triptyque réglementaire indissociable que tout dirigeant doit maîtriser.

Si vous utilisez ou développez des outils d’IA dans votre entreprise, vous êtes concerné à plusieurs titres :
  • Comme utilisateur d’IA (chatbots, outils d’analyse, aide à la décision) : vous devez vous assurer que les systèmes que vous déployez respectent l’IA Act, notamment en termes de transparence envers les utilisateurs et de supervision humaine
  • Comme développeur ou déployeur d’IA à haut risque : obligations de documentation, d’évaluation et d’enregistrement spécifiques
  • Sur les données d’entraînement : les données utilisées pour entraîner des modèles doivent être documentées, et les biais potentiels identifiés et corrigés
💡 L'avantage de l'IA souveraine :

les modèles d'IA que Skuria déploie sur son infrastructure sont open-source et hébergés en France. Contrairement aux solutions comme ChatGPT ou Google Gemini, vos données ne sont pas envoyées vers des serveurs américains pour être traitées. Cela simplifie considérablement votre conformité IA Act.

Data Act et DGA : le cadre complet RGPD NIS2 IA Act entreprise France


Deux règlements européens récents complètent le cadre de la souveraineté des données.

Le Data Governance Act (DGA)

Applicable depuis septembre 2023, le DGA encadre la réutilisation des données du secteur public et crée un cadre pour les services d’intermédiation de données (data spaces). Il vise à faciliter le partage de données tout en garantissant la souveraineté européenne sur ces flux.

Le Data Act (DA)

Applicable depuis septembre 2025, le Data Act européen porte sur les droits liés aux données générées par les objets connectés et les services numériques. Il donne aux utilisateurs le droit d’accéder aux données générées par leurs appareils (IoT) et de les partager avec des tiers. Pour les entreprises qui vendent des équipements connectés ou des services numériques, cela implique des obligations de conception et de transparence nouvelles.

Checklist de conformité RGPD NIS2 IA Act entreprise France 2026

Utilisez cette checklist pour évaluer rapidement votre conformité RGPD NIS2 IA Act entreprise France avant un audit ou un appel d’offres.

Voici les questions à vous poser pour évaluer rapidement votre niveau de conformité réglementaire.

RGPD

  • Avez-vous un Registre des Activités de Traitement (RAT) à jour ?
  • Vos sous-traitants ont-ils signé un DPA (Data Processing Agreement) ?
  • Vos transferts de données hors UE sont-ils encadrés (décision d’adéquation, SCC) ?
  • Votre bannière de cookies est-elle conforme aux dernières recommandations CNIL ?
  • Avez-vous une procédure de notification de violation de données ?

NIS2 (si concerné)

  • Votre organisation est-elle dans le périmètre de NIS2 ?
  • Avez-vous effectué une analyse des risques cyber documentée ?
  • Votre PCA/PRA est-il documenté et testé ?
  • Le MFA est-il déployé sur tous les accès critiques ?
  • Avez-vous évalué le niveau de sécurité de vos fournisseurs IT critiques ?

Souveraineté numérique

  • Avez-vous cartographié vos prestataires soumis au Cloud Act ?
  • Vos données sensibles sont-elles hébergées chez un opérateur de droit français ?
  • Avez-vous évalué votre exposition en cas de violation RGPD liée au Cloud Act ?
  • Votre contrat d’hébergement garantit-il la réversibilité et la portabilité de vos données ?
Questions fréquentes

FAQ — RGPD NIS2 IA Act entreprise France

Une autre question ? Contactez-nous →

NIS2 concerne environ 15 000 entités en France dans les secteurs essentiels et importants : énergie, transport, santé, finance, eau, infrastructures numériques, administrations, et leurs sous-traitants critiques. Même si vous n’êtes pas directement dans le périmètre, vos clients qui le sont vous demanderont des garanties de sécurité. Une analyse de gap NIS2 permet de déterminer précisément vos obligations

Les sanctions RGPD peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel. La CNIL a prononcé plus de 100 millions d’euros de sanctions en 2023-2024, avec une priorité sur les cookies non conformes, les IA mal encadrées et les violations de données non notifiées. Les contrôles ont été multipliés par 3 depuis 2021

Les interdictions des IA à risque inacceptable sont en vigueur depuis février 2025. Les obligations pour les IA à usage général (LLM) s’appliquent depuis août 2025. Les systèmes d’IA à haut risque (recrutement, crédit) devront être conformes en août 2026. Si vous utilisez des outils d’IA dans vos processus RH, financiers ou de décision, vous êtes probablement déjà concerné.

Skuria propose un audit de conformité NIS2 complet : analyse des risques, évaluation de votre infrastructure, vérification des accès et de l’authentification, tests de votre PRA, et documentation pour l’ANSSI. Notre infrastructure souveraine française répond nativement à plusieurs exigences NIS2 — hébergement en France, chiffrement AES-256, supervision 24/7, SLA contractuels.

Nos experts accompagnent les entreprises France sur la conformité RGPD, NIS2 et IA Act — audit, plan d'action, mise en œuvre technique.

Notre newsletter mensuelle décrypte les actualités réglementaires avec des implications pratiques claires. Et si vous souhaitez un audit de votre conformité, nos experts sont disponibles.

Prendre rendez-vous
Nous appeler

Ces services peuvent vous intéresser

Hébergement

Développement

Intégration IA

Infogérance

Workspace

Installation Wifi

Sauvegarde

Cybersécurité