Veille réglementaire
Le cadre réglementaire numérique : ce que tout dirigeant doit savoir¶
La réglementation numérique s’est considérablement renforcée depuis 2018 avec le RGPD, et continue de s’étoffer avec NIS2, DORA, l’AI Act et le Data Act. Ce corpus réglementaire crée des obligations directes pour les dirigeants, y compris une responsabilité personnelle dans certains cas. Le tableau suivant synthétise les cinq textes réglementaires que tout dirigeant doit connaître. Cette synthèse est informative et ne saurait remplacer un conseil juridique spécialisé.
Figure 4.5 : Le cadre réglementaire numérique applicable aux organisations françaises
Synthèse des cinq textes clés, de leurs obligations et de ce que le dirigeant doit vérifier
| Règlement | Entrée en vigueur | Ce qu’il impose | Ce que le dirigeant doit vérifier |
|---|---|---|---|
| RGPD | Mai 2018 | Encadre la collecte, le traitement et la conservation des données personnelles. Sanctions jusqu’à 4% du CA mondial. | Registre des traitements à jour. DPO désigné si obligatoire. Clauses data dans les contrats fournisseurs. Procédure de notification en 72h. |
| NIS2 | Transposition 2024-2025 | Renforce la cybersécurité des entités essentielles et importantes. Obligations de gestion des risques, notification d’incidents, responsabilité des dirigeants. | Vérifier si dans le périmètre. Plan de sécurité, tests de résilience, déclaration à l’ANSSI. Responsabilité personnelle du dirigeant. |
| DORA | Janvier 2025 | Résilience opérationnelle numérique du secteur financier. Notification d’incident en 4h puis 24h. Gestion des risques liés aux prestataires IT tiers. | Cartographie des prestataires IT critiques. Tests de résilience obligatoires. Clauses contractuelles spécifiques avec les fournisseurs cloud. |
| AI Act | En vigueur 2024-2027 | Encadre le développement et l’usage de l’IA par niveaux de risque. Usages à risque élevé : obligations strictes de transparence et de traçabilité. | Inventaire des usages IA dans l’organisation. Classification par niveau de risque. Documentation et auditabilité des systèmes à risque élevé. |
| Data Act | Septembre 2025 | Encadre le partage et l’accès aux données générées par les objets connectés. Rééquilibre les droits entre fabricants, utilisateurs et tiers. | Vérifier les droits contractuels sur les données de ses équipements connectés. Impact pour les organisations utilisant l’IoT. |
La responsabilité personnelle du dirigeant dans NIS2
La directive NIS2, transposée en droit français en 2024-2025, introduit une nouveauté importante : elle prévoit explicitement la responsabilité des dirigeants des entités concernées en matière de cybersécurité. Les dirigeants des entités essentielles et importantes doivent approuver les mesures de cybersécurité, suivre une formation sur les risques cyber, et s’exposent à des sanctions personnelles en cas de non-conformité. Ce n’est plus seulement un enjeu technique délégué à la DSI et au RSSI : c’est un enjeu de gouvernance qui engage directement la direction générale. Premier réflexe : vérifier si votre organisation est dans le périmètre NIS2. Les secteurs essentiels comprennent l’énergie, les transports, la santé, l’eau et l’infrastructure numérique. Les secteurs importants comprennent les services postaux, la gestion des déchets, la chimie, l’alimentation, l’industrie manufacturière et les fournisseurs numériques. Si votre organisation est concernée, une déclaration à l’ANSSI est obligatoire.
Note
Un mot pour les dirigeants de PME et d’ETI : ne pas supposer être hors périmètre Une erreur fréquente des dirigeants d’organisations de taille intermédiaire est de supposer que la réglementation numérique ne concerne que les grandes entreprises ou les acteurs du secteur financier. C’est inexact. NIS2 s’applique à toute entité essentielle ou importante, y compris des PME dans des secteurs comme la santé, l’alimentation ou la chimie. L’AI Act s’applique à toute organisation qui déploie des systèmes d’IA à risque élevé, quelle que soit sa taille : un cabinet de recrutement de 50 personnes qui utilise un outil IA pour filtrer des CV est dans le périmètre. Le RGPD s’applique à toute organisation traitant des données personnelles de résidents européens, sans seuil de taille. La bonne pratique est de faire réaliser un audit de conformité réglementaire numérique par un conseil spécialisé, puis d’en déduire un plan d’action priorisé. Ce n’est pas un investissement optionnel : les sanctions sont réelles, et certaines réglementations engagent personnellement les dirigeants.
Référence dans le livre
Ce dossier prolonge le chapitre 4, « Le vocabulaire indispensable du dirigeant ». Page à préciser à la parution.
L’auteur s’exprime à titre personnel. © 2026 Mehdi Moudden.