Dirigeant PME : les obligations numériques en 2026
RGPD, NIS2, IA, facturation électronique, CGV : le panorama des obligations numériques du dirigeant de PME en 2026, avec priorités et risques.
- Le réflexe du dirigeant : raisonner en risque, pas en texte
- Bloc 1 — RGPD : le socle incontournable
- Bloc 2 — Cybersécurité : NIS2 rebat les cartes
- Bloc 3 — Intelligence artificielle : l’AI Act arrive par étapes
- Bloc 4 — Obligations commerciales et site web
- Bloc 5 — Facturation électronique : la nouveauté 2026-2027
- Par où commencer concrètement
- Ce qu’il faut retenir
- FAQ
En vingt ans de conseil auprès de dirigeants de PME, j’ai constaté une chose : ce qui empêche un patron de PME de dormir, ce n’est pas le texte d’un règlement, c’est de ne pas savoir lequel des dix textes le concerne réellement — ni combien lui coûterait de l’ignorer. Entre le RGPD, la directive NIS2, l’AI Act, la facturation électronique et le droit de la consommation, un dirigeant peut légitimement se sentir noyé. Voici le panorama structuré des obligations numériques qui pèsent sur une PME en 2026, classées par priorité de risque, pour décider où mettre votre temps et votre budget.
Le réflexe du dirigeant : raisonner en risque, pas en texte
Vous n’êtes pas juriste, et ce n’est pas votre métier de le devenir. Votre métier est d’allouer des ressources rares — temps, argent, attention — là où elles réduisent le plus le risque pour l’entreprise. La bonne question n’est donc pas « suis-je 100 % conforme au RGPD ? » (personne ne l’est parfaitement), mais « quels sont les manquements qui exposent mon entreprise à une sanction, un contentieux ou un blocage commercial, et lesquels puis-je traiter en priorité ? ».
En pratique, les obligations numériques d’une PME se répartissent en cinq blocs : la protection des données (RGPD), la cybersécurité (NIS2 et sécurité de droit commun), l’intelligence artificielle (AI Act), les obligations commerciales et contractuelles (CGV, cookies, information du consommateur) et, depuis 2026, la facturation électronique. Chacun a son propre régime de sanction et son propre calendrier.
Un point rassurant d’abord : le législateur européen a intégré le principe de proportionnalité. Le RGPD comme l’AI Act prévoient des allègements pour les petites structures, et toutes les obligations ne pèsent pas sur toutes les entreprises. Encore faut-il savoir lesquelles s’appliquent à vous.
Bloc 1 — RGPD : le socle incontournable
Le RGPD s’applique à toute entreprise qui traite des données personnelles, sans seuil d’effectif ni de chiffre d’affaires. Dès que vous avez des salariés, des clients, des prospects ou un site web, vous êtes responsable de traitement au sens de l’Art. 4(7) du RGPD. La PME de trois personnes est concernée au même titre que le groupe du CAC 40 — avec des modalités adaptées, mais des principes identiques.
Pour un dirigeant, quatre obligations forment le noyau dur, celui dont l’absence est immédiatement reprochable en cas de contrôle de la CNIL.
D’abord, le registre des activités de traitement (Art. 30 du RGPD). C’est le document de base : il recense ce que vous faites des données (paie, clients, prospection, vidéosurveillance…). Les entreprises de moins de 250 salariés bénéficient d’une dispense partielle, mais celle-ci tombe dès que le traitement est régulier ou porte sur des données sensibles — c’est-à-dire, en pratique, presque toujours. Ne pas avoir de registre est le premier manquement relevé lors d’un contrôle. Je détaille la méthode dans mon guide pour créer votre registre RGPD.
Ensuite, une base légale valable pour chaque traitement (Art. 6(1) du RGPD) : consentement, exécution d’un contrat, obligation légale, intérêt légitime… Beaucoup de PME s’appuient à tort sur le consentement là où l’intérêt légitime (Art. 6(1)(f)) serait plus solide, notamment en prospection B2B.
Troisième pilier, l’information des personnes (Art. 13 et 14 du RGPD) : mentions d’information sur vos formulaires, politique de confidentialité sur votre site, information des salariés. C’est peu coûteux et cela réduit fortement le risque de plainte.
Enfin, la sécurité des données (Art. 32 du RGPD) et la gestion des violations. En cas de faille (piratage, vol de fichier, envoi d’un mail à la mauvaise liste), l’Art. 33 impose une notification à la CNIL sous 72 heures. Ce délai très court surprend souvent les dirigeants : il faut avoir anticipé la procédure avant l’incident.
Le risque financier est réel mais souvent surestimé pour une PME. Les amendes record (LinkedIn, Criteo…) visent des géants ; pour une PME, la CNIL privilégie la mise en demeure et l’accompagnement, sauf mauvaise foi caractérisée. Le vrai risque, ce sont les plaintes de clients ou de salariés et la perte de contrats B2B — vos donneurs d’ordre exigent de plus en plus une conformité démontrée. Pour dimensionner votre effort, consultez mon analyse du coût de la mise en conformité RGPD pour une PME et le panorama des sanctions RGPD.
Faut-il désigner un DPO ?
La désignation d’un délégué à la protection des données (DPO) n’est obligatoire que dans trois cas (Art. 37 du RGPD) : autorité publique, suivi à grande échelle et systématique des personnes, ou traitement à grande échelle de données sensibles. La grande majorité des PME n’y sont donc pas légalement tenues. Beaucoup choisissent néanmoins un DPO externe pour sécuriser le sujet à moindre coût ; j’ai détaillé les tarifs d’un DPO externalisé pour vous permettre d’arbitrer.
Bloc 2 — Cybersécurité : NIS2 rebat les cartes
La sécurité informatique n’est plus seulement une bonne pratique : elle devient une obligation réglementaire à part entière. La directive NIS2, en cours de transposition en droit français, élargit très fortement le périmètre des entreprises concernées par rapport à la première directive NIS.
Concrètement, NIS2 vise les entités « essentielles » et « importantes » dans dix-huit secteurs (énergie, transport, santé, eau, infrastructures numériques, fournisseurs de services numériques, fabrication, agroalimentaire…). Le seuil de principe est celui des entreprises de plus de 50 salariés ou 10 millions d’euros de chiffre d’affaires opérant dans ces secteurs. Une PME industrielle, un éditeur de logiciels, un prestataire informatique ou un transporteur peuvent y être soumis alors qu’ils échappaient totalement à NIS1.
Pour un dirigeant concerné, NIS2 impose trois choses : mettre en place des mesures de gestion des risques cyber (Art. 21 de la directive), notifier les incidents significatifs à l’autorité nationale (l’ANSSI en France) dans des délais courts, et — c’est la nouveauté qui doit retenir votre attention — une responsabilité personnelle de l’organe de direction. Les dirigeants doivent approuver et superviser les mesures de cybersécurité, et peuvent voir leur responsabilité engagée en cas de manquement. Le sujet cyber n’est donc plus délégable en totalité à la DSI. Je fais le point régulièrement sur l’actualité NIS2 et son calendrier de transposition.
Même hors du champ de NIS2, la sécurité reste une obligation via l’Art. 32 du RGPD dès que vous traitez des données personnelles. Les mesures de base — sauvegardes testées, gestion des mots de passe, mises à jour, sensibilisation des équipes au phishing — protègent à la fois vos données et votre activité, indépendamment de toute qualification réglementaire.
Bloc 3 — Intelligence artificielle : l’AI Act arrive par étapes
Si votre PME utilise ou développe des systèmes d’intelligence artificielle — recrutement automatisé, scoring clients, chatbot, outils génératifs — l’AI Act (règlement européen 2024/1689) vous concerne, mais son application est progressive jusqu’en 2027.
Le règlement classe les usages par niveau de risque. Les pratiques interdites (notation sociale, manipulation…) le sont depuis février 2025. Les obligations sur les systèmes à haut risque et sur les modèles d’IA à usage général s’échelonnent ensuite. Pour l’immense majorité des PME, l’exposition se limite à deux points : ne pas utiliser un système interdit, et respecter les obligations de transparence de l’Art. 50 lorsque vous exposez un utilisateur à un système d’IA (par exemple signaler qu’il dialogue avec un chatbot, ou étiqueter un contenu généré).
Bonne nouvelle : l’AI Act prévoit explicitement des mesures de soutien et des allègements pour les PME et les start-up, notamment un accès prioritaire aux bacs à sable réglementaires. J’ai résumé ce qui change concrètement dans mon guide AI Act et PME. Point de vigilance : dès que votre outil d’IA traite des données personnelles, le RGPD s’ajoute à l’AI Act, et une analyse d’impact (AIPD) peut devenir obligatoire au titre de l’Art. 35 du RGPD.
Bloc 4 — Obligations commerciales et site web
Ce bloc est le plus visible pour vos clients, et le plus facile à contrôler pour un plaignant ou une association de consommateurs. Il regroupe des obligations souvent anciennes mais régulièrement mises à jour.
Vos conditions générales de vente sont obligatoires entre professionnels dès qu’un client vous les demande, et systématiquement en B2C. Elles encadrent vos ventes, vos délais, votre droit de rétractation et limitent vos risques contentieux. Un modèle mal ficelé ou absent est une faiblesse réelle en cas de litige ; je propose un modèle de CGV annoté pour partir sur une base solide.
Sur votre site, les cookies et traceurs obéissent à un régime strict issu de l’article 82 de la loi Informatique et Libertés et des lignes directrices de la CNIL : consentement préalable, refus aussi simple que l’acceptation, pas de dépôt avant choix. C’est l’un des manquements les plus sanctionnés car il est vérifiable en un clic depuis un navigateur. Ma checklist cookies RGPD vous permet de vérifier votre bandeau en quelques minutes.
S’y ajoutent les mentions légales obligatoires, l’information précontractuelle du consommateur, et, pour le e-commerce, l’affichage clair des prix et des conditions de livraison.
Bloc 5 — Facturation électronique : la nouveauté 2026-2027
C’est probablement la nouveauté la plus structurante pour toute PME française, car elle est obligatoire, datée, et sans exception sectorielle. La réforme de la facturation électronique impose progressivement l’émission et la réception de factures dématérialisées via des plateformes agréées (PDP) pour toutes les entreprises assujetties à la TVA.
Le calendrier distingue la réception (à laquelle toutes les entreprises doivent être prêtes en premier) et l’émission (échelonnée selon la taille de l’entreprise). Pour une PME, l’enjeu n’est pas juridique mais opérationnel : choisir une plateforme, adapter son outil de facturation et former son équipe avant l’échéance. Anticiper évite la précipitation coûteuse de dernière minute. Je tiens à jour le calendrier de la facturation électronique 2026-2027 pour vous situer selon la taille de votre entreprise.
Par où commencer concrètement
Face à ces cinq blocs, un dirigeant doit séquencer. Voici l’ordre de priorité que je recommande à mes clients PME, du plus urgent au plus structurant :
- Vérifier l’échéance facturation électronique qui vous concerne et engager le choix d’outil — c’est daté et non négociable.
- Établir le socle RGPD : registre, bases légales, mentions d’information, procédure violation 72 h. C’est le manquement le plus fréquemment relevé.
- Contrôler votre site : bandeau cookies conforme, mentions légales, politique de confidentialité, CGV à jour. Rapide et visible.
- Sécuriser l’informatique : sauvegardes, mots de passe, sensibilisation. Vérifier si NIS2 vous concerne et, si oui, faire remonter le sujet au niveau de la direction.
- Cartographier vos usages d’IA le cas échéant, en vérifiant l’absence de pratique interdite et les obligations de transparence.
Cette séquence ne vise pas la perfection réglementaire, mais la réduction rapide du risque avec des moyens de PME. C’est exactement ce type de cartographie continue — quel texte s’applique, quelle obligation est ouverte, quel document manque — que des outils comme Legiscope permettent d’industrialiser pour éviter de repartir de zéro à chaque nouvelle réglementation.
Ce qu’il faut retenir
- Les obligations numériques d’une PME se répartissent en cinq blocs : RGPD, cybersécurité (NIS2), IA (AI Act), obligations commerciales (CGV, cookies) et facturation électronique. Chacun a son propre régime.
- Le RGPD est le socle universel : registre (Art. 30), base légale (Art. 6), information (Art. 13-14), sécurité et notification des violations sous 72 h (Art. 32-33). Le DPO n’est obligatoire que dans trois cas (Art. 37).
- NIS2 élargit fortement le périmètre cyber et introduit une responsabilité personnelle du dirigeant : le sujet n’est plus délégable en totalité.
- L’AI Act s’applique par étapes jusqu’en 2027, avec des allègements pour les PME ; l’essentiel pour la plupart est d’éviter les pratiques interdites et de respecter la transparence (Art. 50).
- La facturation électronique est la nouveauté datée et sans exception : vérifiez votre échéance et choisissez votre plateforme dès maintenant.
- Priorisez par risque, pas par exhaustivité : facturation → socle RGPD → site web → cybersécurité → IA.
FAQ
Une PME de moins de 50 salariés est-elle vraiment concernée par le RGPD ?
Oui, sans aucun doute. Le RGPD ne prévoit aucun seuil d’effectif ni de chiffre d’affaires : il s’applique dès qu’une entreprise traite des données personnelles de salariés, de clients ou de prospects. Les entreprises de moins de 250 salariés bénéficient seulement d’une dispense partielle de registre, qui tombe dès que le traitement est régulier ou porte sur des données sensibles.
Ma PME doit-elle nommer un DPO ?
Dans la plupart des cas, non. La désignation d’un délégué à la protection des données n’est obligatoire (Art. 37 du RGPD) que pour les autorités publiques, les entreprises dont l’activité de base implique un suivi à grande échelle des personnes, ou celles traitant à grande échelle des données sensibles. Beaucoup de PME choisissent toutefois un DPO externe par prudence et pour un coût maîtrisé.
Mon entreprise est-elle concernée par NIS2 ?
NIS2 vise principalement les entreprises de plus de 50 salariés ou 10 M€ de chiffre d’affaires opérant dans dix-huit secteurs (énergie, transport, santé, numérique, industrie, agroalimentaire…). Si vous êtes en dessous de ces seuils ou hors de ces secteurs, vous n’êtes probablement pas assujetti — mais la sécurité reste une obligation via l’Art. 32 du RGPD dès que vous traitez des données personnelles.
Quelle obligation numérique est la plus urgente en 2026 ?
Pour une PME française, la facturation électronique est la plus urgente car elle est datée, obligatoire et sans exception sectorielle. Elle exige un choix d’outil et une adaptation opérationnelle avant l’échéance qui vous concerne. Le socle RGPD arrive juste après, car c’est le manquement le plus fréquemment relevé lors des contrôles.