Conformité2 juin 202611 min de lecture

RGPD, AI Act, NIS2, Data Act : le guide de la convergence réglementaire pour les PME en 2026

Quatre réglementations européennes se cumulent désormais sur les PME : RGPD, AI Act, NIS2 et Data Act. Échéances, entreprises concernées, obligations et plan d'action 2026 pour ne pas se laisser submerger.

2026, l'année où les réglementations européennes se cumulent

Pendant des années, la conformité d'une PME se résumait à une question : « sommes-nous en règle avec le RGPD ? ». En 2026, ce n'est plus suffisant. Quatre textes européens majeurs s'appliquent désormais en parallèle — RGPD, AI Act, NIS2 et Data Act — et ils partagent un point commun : ils touchent vos données, vos outils numériques et votre responsabilité de dirigeant.

La bonne nouvelle : ces réglementations se recoupent largement. Une approche structurée permet de traiter les quatre ensemble plutôt qu'en silos. Ce guide fait le point sur chacune, leurs échéances, et la façon de les aborder sans y consacrer un temps démesuré.

1. RGPD : le socle, toujours d'actualité

Le Règlement Général sur la Protection des Données reste la fondation. En 2025, la CNIL a prononcé 87 sanctions pour 1,15 milliard d'euros d'amendes, et 32 % des entreprises contrôlées étaient des PME ou TPE. La procédure simplifiée permet des amendes jusqu'à 20 000 € en quelques semaines.

Les fondamentaux n'ont pas changé : registre des traitements, bandeau cookies conforme, contrats de sous-traitance (DPA), respect des droits des personnes, sécurité des données. Le RGPD est aussi le point d'ancrage des trois autres textes : l'AI Act encadre les traitements automatisés que le RGPD réglemente déjà, le Data Act touche au partage de données qui peuvent être personnelles, et NIS2 impose une sécurité qui recoupe l'article 32 du RGPD.

2. AI Act : le nouveau venu qui concerne plus d'entreprises qu'on ne croit

Le Règlement UE 2024/1689 (EU AI Act) encadre l'usage de l'intelligence artificielle. Si vous utilisez un chatbot, un outil de scoring, un système de recommandation ou tout logiciel basé sur l'apprentissage automatique, vous êtes concerné — le plus souvent comme « déployeur ».

Le calendrier, ajusté par le Digital Omnibus du 7 mai 2026 :

  • 2 février 2025 : interdiction des pratiques d'IA inacceptables (déjà en vigueur).
  • 2 août 2025 : obligations pour les modèles d'IA à usage général (GPAI).
  • 2 août 2026 : obligations de transparence (Article 50) — chatbots, deepfakes, contenus générés par IA.
  • 2 décembre 2027 : obligations complètes pour les systèmes haut risque de l'Annexe III (RH, crédit, éducation, biométrie). Date repoussée par le Digital Omnibus.

Les amendes peuvent atteindre 35 millions d'euros ou 7 % du CA mondial pour les pratiques interdites, et 15 M€ ou 3 % du CA pour le non-respect des obligations.

3. NIS2 : la cybersécurité devient une obligation légale

La directive NIS2 élargit massivement le périmètre de la cybersécurité réglementée. Là où la directive NIS1 concernait environ 500 entités en France, NIS2 vise désormais 10 000 à 15 000 entreprises réparties dans 18 secteurs stratégiques.

Deux catégories d'entités sont définies :

  • Entités essentielles (EE) : à partir de 250 employés, ou 50 M€ de chiffre d'affaires, ou 43 M€ de bilan.
  • Entités importantes (EI) : de 50 à 249 employés, ou 10 à 50 M€ de CA.

En France, la directive a été transposée par la loi du 30 juillet 2025, complétée par décret en novembre 2025. L'ANSSI a publié le Référentiel Cyber France (ReCyF) le 17 mars 2026 pour accélérer la mise en œuvre, et les entités concernées doivent s'enregistrer via la plateforme MonEspaceNIS2. Concrètement, NIS2 impose une analyse de risque, des mesures techniques de sécurité, la notification des incidents et une responsabilisation directe des dirigeants.

4. Data Act : le partage et la portabilité des données

Le Data Act (Règlement UE sur les données), en application depuis le 12 septembre 2025, encadre l'accès et le partage des données générées par les objets connectés et les services cloud. Échéances clés :

  • 12 septembre 2025 : entrée en application générale.
  • 12 septembre 2026 : les produits connectés et services associés doivent être conçus pour rendre les données accessibles à l'utilisateur par défaut.
  • 12 janvier 2027 : suppression des frais de changement de fournisseur cloud (« switching »).
  • 12 septembre 2027 : les clauses contractuelles abusives s'appliquent aussi aux contrats B2B de long terme antérieurs.

Pour une PME, le Data Act a deux faces : il vous donne de nouveaux droits (récupérer vos données, changer de fournisseur cloud sans pénalité), et il impose des obligations si vous fabriquez ou exploitez des produits connectés (contrats équitables, accès aux données par défaut).

La convergence : pourquoi traiter les quatre ensemble

Ces textes partagent une logique commune — gouvernance des données, transparence, responsabilité du dirigeant, documentation. Un audit unique peut couvrir :

  • L'inventaire des données et des outils (utile pour le RGPD, l'AI Act et le Data Act).
  • La cartographie des risques (RGPD article 32, NIS2, gestion des risques AI Act).
  • La documentation et la traçabilité (commune aux quatre).
  • La chaîne de sous-traitance (DPA RGPD, déployeur/fournisseur AI Act, contrats Data Act).

Traiter ces réglementations en silos coûte cher et génère des doublons. Une approche transversale, pilotée par un référent conformité ou un DPO externalisé, est à la fois plus économique et plus robuste.

Plan d'action 2026 pour votre PME

  1. Cartographier : recenser tous vos traitements de données, outils d'IA, produits connectés et systèmes critiques.
  2. Qualifier votre exposition : êtes-vous concerné par NIS2 (taille, secteur) ? Utilisez-vous de l'IA haut risque ? Exploitez-vous des objets connectés ?
  3. Prioriser par échéance : transparence AI Act (août 2026), conformité NIS2 (en cours), Data Act design (septembre 2026).
  4. Mutualiser la documentation : un registre unique, une politique de sécurité, une gouvernance des données partagée.
  5. Vous faire accompagner : un audit transversal évite les doublons et sécurise les quatre fronts en une seule démarche.

Conclusion

La convergence réglementaire de 2026 n'est pas une vague de contraintes isolées, mais un mouvement cohérent vers plus de transparence et de responsabilité dans l'usage des données et de l'IA. Les PME qui structurent leur conformité de façon transversale gagnent du temps, réduisent leurs coûts et transforment l'obligation en avantage de confiance vis-à-vis de leurs clients. Digital Work accompagne les PME de la région PACA dans cette démarche : audit RGPD, conformité AI Act, mise en conformité NIS2 et gouvernance des données.

Questions fréquentes

Ma PME doit-elle se conformer aux quatre réglementations à la fois ?+
Pas nécessairement aux quatre. Le RGPD s'applique à toute entreprise qui traite des données personnelles. L'AI Act vous concerne si vous utilisez des outils d'IA. NIS2 ne vise que les entreprises de 18 secteurs stratégiques dépassant certains seuils (50 salariés ou 10 M€ de CA minimum). Le Data Act concerne surtout les fabricants et exploitants de produits connectés et les utilisateurs de services cloud. Un diagnostic permet d'identifier précisément lesquelles s'appliquent à vous.
Quelle est l'échéance la plus urgente en 2026 ?+
Pour la plupart des PME, deux échéances 2026 sont prioritaires : les obligations de transparence de l'AI Act au 2 août 2026 (chatbots, contenus générés par IA), et l'obligation Data Act au 12 septembre 2026 de rendre les données des produits connectés accessibles par défaut. La mise en conformité NIS2 est, elle, déjà en cours pour les entreprises concernées.
NIS2 concerne-t-elle vraiment les PME ?+
Oui, c'est une nouveauté majeure. NIS2 fait passer le nombre d'entités concernées en France d'environ 500 à 10 000-15 000. Les « entités importantes » incluent des entreprises de 50 à 249 salariés dans des secteurs comme la santé, l'agroalimentaire, la fabrication, le numérique ou la gestion des déchets. Beaucoup de PME sont concernées sans le savoir.
Peut-on mutualiser la mise en conformité des quatre textes ?+
Oui, et c'est recommandé. Ces réglementations partagent les mêmes fondations : inventaire des données, cartographie des risques, documentation, traçabilité et gestion des sous-traitants. Un audit transversal traite les recoupements en une seule démarche, ce qui réduit les coûts et évite les doublons par rapport à quatre projets séparés.
Quelles sont les sanctions en cas de non-conformité ?+
Elles varient selon le texte : jusqu'à 20 M€ ou 4 % du CA mondial pour le RGPD, jusqu'à 35 M€ ou 7 % du CA pour les pratiques interdites de l'AI Act, des amendes administratives et une responsabilité personnelle des dirigeants pour NIS2. Au-delà des montants, le risque réputationnel et la perte de confiance des clients sont souvent les conséquences les plus coûteuses.

Besoin d'un accompagnement personnalisé ?

Digital Work vous accompagne dans la mise en conformité RGPD et AI Act, de l'audit initial au suivi annuel, depuis Vitrolles.

Faire le point sur votre conformité avec Digital Work