Temps de lecture : 10 min
Voici ce que beaucoup de dirigeants de PME pensent encore en 2026 :
“On a mis en place le RGPD en 2018, on a signé la politique de confidentialité, on a ajouté le bandeau cookies. C’est bon, on est conformes.”
Et voici ce que la réalité ressemble aujourd’hui :
En 2025, plus d’un tiers des sanctions CNIL visaient des TPE et PME — et la plupart n’avaient commis aucune violation flagrante. Elles avaient simplement arrêté de s’occuper du RGPD après 2018. Cybermalveillance
Pendant ce temps, NIS2 est entrée en vigueur, avec ses propres obligations, ses propres sanctions, et sa propre logique réglementaire. Et les deux textes interagissent de façon que la plupart des dirigeants n’ont pas encore mesurée.
Le plan stratégique 2025-2028 de la CNIL identifie quatre axes prioritaires : l’intelligence artificielle, la protection des mineurs, la cybersécurité et les usages du quotidien numérique. En 2026, l’accent est mis sur l’audit des systèmes d’IA, l’exigence de MFA pour les bases de données sensibles et la poursuite du plan d’action cookies. CERT-FR
Cet article vous donne une vue d’ensemble claire et honnête de ce que RGPD et NIS2 signifient concrètement pour votre PME en 2026 — sans doublons inutiles, sans jargon, avec les chiffres réels et les actions qui comptent.
RGPD et NIS2 : deux textes différents, une même réalité pour votre PME
Commençons par clarifier ce que chaque texte fait — et ce qu’il ne fait pas.
Le RGPD : la protection des données personnelles
Le Règlement Général sur la Protection des Données (RGPD, ou GDPR en anglais) est entré en vigueur en mai 2018. Il protège les données à caractère personnel des individus : noms, emails, numéros de téléphone, données bancaires, données de santé, habitudes de navigation…
Il s’applique à toute organisation — grande ou petite, publique ou privée — qui traite des données personnelles de résidents européens. Il n’y a pas de seuil de taille minimum. Une micro-entreprise avec 3 salariés et une liste clients de 200 personnes est soumise au RGPD.
Le régulateur en France : la CNIL (Commission Nationale de l’Informatique et des Libertés).
NIS2 : la sécurité des systèmes d’information
La directive NIS2 (Network and Information Security 2) est entrée en vigueur en octobre 2024. Elle impose un cadre de cybersécurité aux entreprises des secteurs essentiels et importants, pour garantir la résilience des réseaux et des systèmes d’information.
Elle s’applique selon deux critères : votre secteur d’activité ET votre taille (50 salariés ou 10 M€ de CA minimum pour la plupart des secteurs importants).
Le régulateur en France : l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).
Ce qui les distingue — et ce qui les unit
Le RGPD protège les données à caractère personnel et s’applique à toute organisation traitant ce type de données, quel que soit sa taille ou son secteur. NIS2 impose un cadre de cybersécurité aux entités des secteurs essentiels et importants, pour garantir la résilience des réseaux et des systèmes d’information. Les deux textes sont complémentaires : NIS2 impose des mesures techniques et organisationnelles qui contribuent aussi à protéger les données personnelles, tandis que le RGPD impose des exigences spécifiques (minimisation, consentement, droits des personnes) qui ne figurent pas dans NIS2. Prodware
Comptez que le RGPD couvre environ 20 % des exigences NIS2. C’est un excellent point de départ — mais NIS2 va beaucoup plus loin sur le volet technique et opérationnel : détection d’incidents, plan de continuité d’activité, sécurité réseau. Copwell
En langage simple : le RGPD vous demande de protéger les données de vos clients et collaborateurs. NIS2 vous demande de sécuriser l’ensemble de votre système d’information. Les deux sont nécessaires. Les deux sont complémentaires. Et en 2026, les deux sont activement appliqués.
Ce que le RGPD exige concrètement de votre PME en 2026
Les 5 obligations fondamentales que toute PME doit respecter
1. Le registre des traitements Vous devez tenir un registre documentant tous les traitements de données personnelles que vous effectuez : fichier clients, fichier RH, newsletter, cookies, caméras de surveillance… Ce registre doit mentionner la finalité du traitement, les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité.
Ce registre est la première chose que la CNIL demandera lors d’un contrôle. En son absence, la sanction peut tomber indépendamment de tout incident.
2. La sécurité des données (article 32) C’est le point de convergence avec NIS2. L’article 32 du RGPD exige des mesures techniques et organisationnelles appropriées pour sécuriser les données personnelles. La CNIL considère désormais le MFA comme un prérequis non négociable — un signal clair envoyé lors des sanctions Free Mobile (42 millions d’euros en janvier 2026) pour absence de MFA sur les accès VPN des employés. CERT-FR
En pratique : MFA activé, chiffrement des données, sauvegardes testées, gestion des accès. Ce ne sont plus des recommandations — ce sont des attendus vérifiés lors des contrôles.
3. La notification des violations de données En cas de fuite, de piratage ou d’accès non autorisé à des données personnelles, vous avez 72 heures pour notifier la CNIL. Pas 73 heures. Pas “dès que vous avez eu le temps”. 72 heures. Cette obligation s’applique même si vous n’êtes pas sûr de l’étendue de la violation — vous notifiez en état des connaissances à l’instant T, puis vous complétez.
4. Les droits des personnes Vos clients, prospects et collaborateurs ont des droits : accès à leurs données, rectification, effacement, opposition, portabilité. Vous devez pouvoir répondre à ces demandes dans un délai d’un mois.
Parmi les manquements les plus courants sanctionnés chez les PME : la non-réponse aux demandes de droit d’accès et d’effacement (14 organismes sanctionnés en 2025 pour ce seul motif). ALTEZIA
5. Les contrats de sous-traitance (article 28) Tous vos prestataires qui traitent des données personnelles pour votre compte — hébergeur, logiciel CRM, comptable en cloud, agence marketing — doivent signer un contrat de sous-traitance conforme au RGPD. En l’absence de ce contrat, vous êtes en infraction même si le prestataire est parfaitement sécurisé.
Ce que la CNIL contrôle vraiment en 2026
La CNIL utilise désormais des outils de contrôle automatisés qui scannent les sites web à grande échelle. Si vous pensiez que votre petite entreprise passerait sous les radars, détrompez-vous. Digitemis
Les trois types de contrôle les plus fréquents :
Le contrôle en ligne automatisé. Un agent ouvre votre site, teste votre bandeau cookies, note si refuser est aussi simple qu’accepter. Si votre bouton “Refuser” est gris et petit et votre bouton “Accepter” vert et grand — c’est un dark pattern sanctionnable. Un e-commerce de taille intermédiaire a écopé de 25 000€ pour exactement cette configuration en 2025. Cybermalveillance
Le contrôle sur plainte. Un de vos clients ou collaborateurs dépose une plainte à la CNIL pour non-réponse à une demande d’accès ou d’effacement. La CNIL instruite enquête. Si vous n’avez pas répondu dans les délais légaux, la sanction est quasi automatique.
Le contrôle après incident. Vous subissez une cyberattaque, des données sont compromises, et vous notifiez la CNIL. L’agence peut alors décider d’aller plus loin et de contrôler l’ensemble de votre conformité RGPD.
Ce que NIS2 exige concrètement de votre PME en 2026
D’abord : êtes-vous dans le périmètre ?
NIS2 ne s’applique pas à toutes les PME. Pour être soumis directement, vous devez remplir deux critères simultanément : appartenir à l’un des 18 secteurs couverts (énergie, santé, transports, industrie, agroalimentaire, services numériques, etc.) ET dépasser les seuils de taille (50 salariés ou 10 M€ de CA pour les entités importantes, 250 salariés ou 50 M€ de CA pour les entités essentielles).
Si vous n’êtes pas dans le périmètre direct : vous pouvez quand même être impacté indirectement via vos clients grands comptes qui vous imposeront des exigences contractuelles.
Les 10 obligations de l’article 21 en langage clair
L’article 21 de la directive NIS2 liste 10 mesures de cybersécurité obligatoires. Voici ce qu’elles signifient en pratique pour une PME. SoSafe
1. Politique de sécurité documentée. Votre approche des risques IT doit être écrite, approuvée par la direction, connue des équipes et mise à jour régulièrement. Ce n’est pas un document de 200 pages — c’est un document qui dit clairement ce que vous protégez, comment et pourquoi.
2. Gestion des incidents. Vous devez avoir un plan documenté pour détecter, répondre et notifier les incidents de cybersécurité. Les délais sont stricts : alerte initiale à l’ANSSI sous 24 heures, rapport détaillé sous 72 heures, rapport final sous 30 jours.
3. Plan de continuité d’activité (PCA/PRA). En cas de cyberattaque, comment reprenez-vous l’activité ? Ce plan doit exister, être documenté, et avoir été testé. Un PRA non testé ne compte pas.
4. Sécurité de la chaîne d’approvisionnement. Vous devez évaluer le niveau de sécurité de vos prestataires critiques — hébergeur, éditeur logiciel, prestataire IT. Si votre prestataire est compromis et que cela impacte votre système d’information, votre responsabilité est engagée. NIS2facile
5. Sécurité dans le développement et l’acquisition de systèmes. Toute nouvelle solution IT doit intégrer des exigences de sécurité dès sa conception — pas en post-déploiement.
6. Politiques et procédures pour évaluer les mesures. Vous devez mesurer l’efficacité de vos mesures de sécurité — pas juste les mettre en place et oublier.
7. Formations de base en cybersécurité. NIS2 place la cybersécurité au niveau de la gouvernance. Les dirigeants doivent suivre des formations régulières pour évaluer les risques, et les équipes doivent être sensibilisées. NIS2facile
8. Politiques de cryptographie et chiffrement. Les données sensibles doivent être chiffrées — en transit (TLS) et au repos (chiffrement des disques, sauvegardes chiffrées).
9. Gestion des accès et authentification multifacteur. MFA obligatoire sur tous les accès critiques. Gestion des droits d’administration. Suppression des comptes des collaborateurs qui quittent l’entreprise.
10. Sécurité des ressources humaines. Procédures claires pour l’intégration et le départ des collaborateurs, gestion des accès, sensibilisation continue.
La responsabilité personnelle du dirigeant : le vrai changement
C’est la rupture fondamentale de NIS2 par rapport à tout ce qui existait avant. NIS2 impose une obligation de responsabilité des organes de direction : les membres du comité de direction ne peuvent plus se contenter d’une validation formelle, ils doivent superviser activement la mise en œuvre et assumer la responsabilité en cas de manquement. Prodware
Les sanctions individuelles possibles pour le dirigeant : amende personnelle, suspension temporaire de l’exercice de fonctions, publication de la décision de sanction. Ces sanctions sont indépendantes des amendes infligées à l’entreprise.
Le point de convergence critique : la double notification en cas d’incident
C’est là que RGPD et NIS2 se croisent de façon concrète — et où les PME non préparées peuvent se retrouver en infraction sur deux fronts simultanément.
Une violation de données personnelles causée par un incident de cybersécurité peut déclencher les deux obligations de notification : à l’ANSSI sous NIS2 (article 23), et à la CNIL sous RGPD (article 33). Prodware
Scénario concret : votre PME subit un ransomware. Vos fichiers clients sont chiffrés — et peut-être exfiltrés. Vous avez simultanément :
Sous RGPD : 72 heures pour notifier la CNIL d’une violation de données personnelles (fichiers clients, données RH…).
Sous NIS2 (si vous êtes dans le périmètre) : 24 heures pour l’alerte initiale à l’ANSSI, 72 heures pour le rapport détaillé.
Ces deux horloges tournent en même temps, à partir du moment où vous avez connaissance de l’incident. Si vous n’avez pas de plan de réponse à incident préparé à l’avance, ces délais sont impossibles à tenir dans le chaos des premières heures.
Et le piège : si votre incident de sécurité déclenche un contrôle CNIL, elle ne regardera pas seulement la notification — elle regardera l’ensemble de votre conformité RGPD. L’incident devient le prétexte d’un audit complet.
Les synergies à exploiter : travailler une seule fois pour deux conformités
La bonne nouvelle dans tout ça : les deux réglementations se recoupent largement. Travailler pour l’une fait avancer l’autre.
Voici les mesures qui servent les deux réglementations simultanément :
L’activation du MFA. Exigée explicitement par NIS2 (article 21). Considérée comme mesure de sécurité “appropriée” par le RGPD (article 32). La CNIL l’a érigée en prérequis non négociable après les sanctions Free Mobile en janvier 2026. Une seule action, deux obligations remplies. I lead consulting
Les sauvegardes testées et isolées. Plan de continuité d’activité obligatoire sous NIS2. Mesure de sécurité des données personnelles attendue sous RGPD. Même action, double bénéfice réglementaire.
La politique de sécurité documentée. Obligatoire sous NIS2. Contribue à démontrer les “mesures appropriées” exigées par l’article 32 du RGPD. Votre document signé par la direction sert les deux régulateurs.
La gestion des droits d’accès. Principe du moindre privilège exigé par NIS2. Minimisation des accès aux données personnelles exigée par le RGPD (principe de minimisation). Même politique technique, deux conformités.
La formation des équipes. Obligation NIS2 (article 21). Bonne pratique reconnue par la CNIL pour démontrer la mise en conformité. Une formation, deux cases cochées.
Les contrats de sous-traitance. L’article 28 du RGPD exige des contrats avec tous les prestataires traitant des données personnelles. NIS2 exige une évaluation de la sécurité de vos prestataires critiques. Revisez vos contrats pour intégrer les deux exigences en une seule démarche.
Si vous avez un DPO, une partie du travail NIS2 (registre des traitements, analyse d’impact) est déjà faite. Et inversement : si vous avez mis en place les mesures de sécurité NIS2, vous avez déjà couvert une grande partie des exigences de l’article 32 RGPD. Copwell
Ce que les sanctions récentes disent de la direction que prend 2026
Les décisions de sanction récentes sont des signaux très clairs sur ce que les régulateurs vérifient.
Le 13 janvier 2026, la CNIL a infligé 42 millions d’euros à Free Mobile et Free. Les deux failles retenues : l’absence d’authentification multifacteur sur les accès VPN des employés, et l’inefficacité des systèmes de détection d’exfiltration de données. I lead consulting
Le 22 janvier 2026, la CNIL a sanctionné France Travail d’une amende de 5 millions d’euros pour ne pas avoir assuré la sécurité des données des personnes. Carinel
Le message est limpide : la CNIL sanctionne désormais explicitement l’absence de mesures techniques basiques — MFA, détection d’intrusion, gestion des accès. Ces mesures ne sont plus “recommandées” — elles sont attendues, vérifiées, et leur absence est sanctionnée.
Pour les PME, la procédure simplifiée représente désormais 80 % des sanctions, ce qui les expose à un risque accru de poursuites même pour des manquements courants. Les manquements les plus fréquemment sanctionnés chez les PME concernent la vidéosurveillance non conforme, l’absence de réponse aux demandes de droit d’accès et les défauts de sécurité élémentaires. CERT-FR
Ce que ça signifie concrètement : la CNIL peut ouvrir une procédure contre votre PME depuis son bureau, sans vous prévenir, sans que vous ayez subi le moindre incident. Elle scanne votre site, teste vos cookies, vérifie votre bandeau. Si elle trouve un problème, elle ouvre un dossier.
Votre plan d’action RGPD + NIS2 : par où commencer
Face à la complexité apparente, voici une approche progressive et pragmatique.
Phase 1 — Ce que vous devez faire cette semaine (coût : 0€)
Vérifiez votre bandeau cookies. Ouvrez votre site en navigation privée. Refuser les cookies doit être aussi simple qu’accepter. Vérifiez que les boutons sont de taille et visibilité équivalentes.
Activez le MFA sur votre messagerie professionnelle. C’est à la fois une exigence NIS2 et une mesure de sécurité RGPD. C’est inclus dans votre abonnement Microsoft 365 ou Google Workspace. Activation en 30 minutes.
Vérifiez que vous avez un process de réponse aux demandes d’accès. Si un client vous demande les données que vous avez sur lui, qui s’en charge dans votre équipe ? En combien de temps ? Si vous n’avez pas de réponse claire, formalisez-la maintenant.
Phase 2 — Ce que vous devez faire ce mois-ci (coût : 500 à 2 000€)
Mettez à jour ou créez votre registre des traitements. Listez tous les traitements de données personnelles : clients, RH, comptabilité, newsletter, vidéosurveillance, outils collaboratifs. Pour chaque traitement : finalité, catégories de données, durée de conservation, mesures de sécurité.
Vérifiez vos contrats de sous-traitance. Tous vos prestataires cloud doivent avoir signé un DPA (Data Processing Agreement) conforme RGPD. Un avocats spécialisé ou un DPO externalisé peut vérifier vos contrats existants en quelques heures.
Rédigez une politique de sécurité simple. Un document de 2-3 pages signé par la direction, listant les mesures en place (MFA, sauvegardes, mises à jour, gestion des accès). C’est votre preuve de diligence pour les deux régulateurs.
Phase 3 — Ce que vous devez faire dans les 3 mois (coût : 2 000 à 8 000€)
Formalisez votre plan de réponse à incident. Document imprimé (pas uniquement sur SharePoint), définissant qui appelle qui dans les 30 premières minutes, les délais de notification CNIL et ANSSI, et les critères de décision.
Vérifiez votre statut NIS2. Sur messervices.cyber.gouv.fr (simulateur officiel ANSSI). Si vous êtes dans le périmètre, pré-enregistrez votre entité sur MonEspaceNIS2.
Faites un diagnostic de maturité cyber. Avant tout investissement supplémentaire, identifiez précisément où vous en êtes. Notre outil sur cyberdiagnostic.fr vous donne une image complète en 10 minutes pour 9,99€ — incluant un score NIS2 et un score RGPD, avec un plan d’action priorisé.
Le tableau de bord RGPD / NIS2 pour votre PME
Voici une vue synthétique des deux réglementations, pour ne pas vous perdre entre les deux.
Qui régule ? CNIL pour le RGPD — ANSSI pour NIS2.
Qui est concerné ? Toutes les PME pour le RGPD (dès que vous traitez des données personnelles) — PME de certains secteurs au-dessus de 50 salariés ou 10 M€ de CA pour NIS2.
Sanctions max : 20 M€ ou 4 % du CA mondial pour le RGPD — 10 M€ ou 2 % du CA mondial pour NIS2, plus responsabilité personnelle du dirigeant.
Sanctions PME en pratique : 3 000 à 20 000€ via la procédure simplifiée CNIL — amendes entreprise + suspension possible du dirigeant pour NIS2. Donneespersonnelles
Notification d’incident : 72 heures à la CNIL pour le RGPD — 24 heures à l’ANSSI + 72 heures de rapport détaillé pour NIS2.
Mesures communes clés : MFA, sauvegardes testées, gestion des accès, politique de sécurité documentée, formation des équipes, contrats prestataires.
FAQ — Vos questions sur RGPD et NIS2
Est-ce que le RGPD et NIS2 s’appliquent simultanément ? Oui. Ils sont indépendants et complémentaires. Respecter NIS2 ne vous exonère pas de vos obligations RGPD — et réciproquement. En revanche, de nombreuses mesures NIS2 contribuent également à la conformité RGPD. Travailler les deux ensemble est la stratégie la plus efficace. Citalid
Si je ne suis pas dans le périmètre NIS2, dois-je quand même m’en préoccuper ? Oui, pour deux raisons. Si vous êtes prestataire d’une entité NIS2, elle vous imposera des exigences de sécurité contractuelles dès 2026. Et les mesures NIS2 (MFA, sauvegardes, patch management) sont exactement ce que la CNIL considère comme “mesures appropriées” au sens de l’article 32 RGPD.
Que risque-t-on concrètement en cas de contrôle CNIL sur une PME ? En procédure simplifiée, le plafond est fixé à 20 000 euros. La procédure simplifiée est non publique mais peut inclure une astreinte journalière jusqu’à 100€/jour. En procédure ordinaire : jusqu’à 20 M€ ou 4 % du CA mondial, avec publication possible de la décision. Donneespersonnelles
Mon DPO (délégué à la protection des données) suffit-il pour gérer NIS2 ? Partiellement. Si vous avez un DPO, une partie du travail NIS2 (registre des traitements, analyse d’impact) est déjà faite. Mais NIS2 va plus loin sur le volet technique — détection d’incidents, PCA, sécurité réseau. Votre DPO a besoin d’un interlocuteur technique (prestataire IT ou RSSI externalisé) pour couvrir l’ensemble des obligations NIS2. Copwell
Puis-je rédiger moi-même ma politique de sécurité ? Oui. Une politique de sécurité simple, signée par la direction, listant les mesures en place et les engagements de l’entreprise, a plus de valeur qu’un document de 100 pages jamais appliqué. L’ANSSI propose des modèles téléchargeables sur cyber.gouv.fr. La CNIL propose des guides pratiques sur cnil.fr.
NIS2 s’applique-t-il aux associations et aux professions libérales ? NIS2 peut s’appliquer aux associations si elles opèrent dans un secteur couvert et dépassent les seuils de taille. Les professions libérales de santé peuvent être concernées via le secteur santé, selon leur structure et leur taille.
Article rédigé par l’équipe CyberDiagnostic.fr — Nous aidons les dirigeants de PME à comprendre et prendre en main leurs obligations RGPD et NIS2, sans jargon et sans budget de grand groupe.
Cet article a une vocation informative. Il ne constitue pas un conseil juridique. Pour toute question spécifique sur votre situation, consultez un avocat spécialisé ou un DPO certifié.
→ Évaluez votre niveau de conformité RGPD + NIS2 en 10 minutes sur cyberdiagnostic.fr — 9,99€ — Rapport PDF immédiat