Aller au contenu
AuditNIS2
Conformité

NIS2 vs RGPD : quelles différences pour une PME ?

NIS2 et RGPD se complètent mais ne se confondent pas. Décryptage des différences clés en termes de périmètre, obligations, sanctions et démarche pour une PME française.

8 min de lecture Par Équipe Audit NIS2
Documents juridiques NIS2 et RGPD côte à côte sur un bureau

« On est déjà conformes RGPD, donc on est tranquilles pour NIS2 ». Cette phrase, on l’entend une fois sur deux dans nos premières visios avec des dirigeants de PME. Et c’est une erreur. Le RGPD et la directive NIS2 sont deux réglementations cousines, qui partagent quelques mécanismes (sanctions calibrées, autorité indépendante, notification d’incident), mais qui poursuivent des objectifs différents et reposent sur des dispositifs distincts. Cet article décrypte les principales différences pour qu’une PME puisse positionner sa démarche cyber et identifier ce qui se complète, ce qui se double, et ce qui doit être fait spécifiquement pour chaque texte.

Deux objectifs différents

Le RGPD (règlement (UE) 2016/679) protège les données personnelles. Son objectif est de garantir aux personnes physiques le contrôle de leurs données et de poser un cadre uniforme dans l’Union européenne. Il s’applique dès qu’une organisation traite des données personnelles d’individus situés dans l’UE, quelle que soit la nationalité ou le lieu d’établissement de l’organisation.

La directive NIS2 (UE 2022/2555) protège la résilience des systèmes d’information des secteurs critiques. Son objectif est d’assurer un niveau commun élevé de cybersécurité dans l’Union pour limiter l’impact des cyberattaques sur les services essentiels et l’économie. Elle s’applique aux entités essentielles et importantes des 18 secteurs listés en annexes de la directive, ainsi qu’à leurs sous-traitants par effet de chaîne d’approvisionnement.

Les deux textes peuvent s’appliquer simultanément à une même entité. Une PME qui traite des données personnelles et qui opère dans un secteur listé NIS2 doit respecter les deux.

Périmètres : qui est concerné

RGPD : tout le monde ou presque. Dès qu’une organisation traite des données personnelles d’une personne située dans l’UE (clients, salariés, prospects, abonnés), elle est concernée. Les seuils ne jouent pas pour l’application du règlement ; ils jouent uniquement pour certaines obligations (DPO obligatoire au-delà d’un certain volume de traitement, par exemple).

NIS2 : uniquement les entités des 18 secteurs listés, avec des seuils d’effectif et de chiffre d’affaires (250 salariés ou 50 M€ pour les essentielles, 50 salariés ou 10 M€ pour les importantes), plus quelques cas particuliers (DNS, IXP, fournisseurs de services managés critiques) couverts quel que soit l’effectif. À cela s’ajoute l’effet chaîne d’approvisionnement qui ramène dans le filet beaucoup de PME sous-traitantes.

Conséquence pratique : une PME peut être concernée RGPD mais pas NIS2 (cabinet de conseil traitant des données personnelles, sans activité dans un secteur listé, sans client OSE), concernée NIS2 mais pas RGPD (rare en pratique, car presque toutes les structures traitent au moins les données de leurs salariés), ou concernée par les deux.

Obligations : ce qu’on doit mettre en place

RGPD repose sur six grands piliers :

  • principes (licéité, loyauté, transparence, minimisation, exactitude, limitation de conservation, intégrité, responsabilité),
  • bases légales (consentement, contrat, obligation légale, intérêt vital, mission d’intérêt public, intérêt légitime),
  • droits des personnes (information, accès, rectification, effacement, opposition, portabilité, limitation),
  • registre des traitements,
  • analyses d’impact (AIPD/DPIA) pour les traitements à risque,
  • DPO dans certains cas.

NIS2 repose sur les dix mesures techniques et organisationnelles de l’article 21 (politique SI, gestion des risques, gestion des incidents, continuité, chaîne d’approvisionnement, sécurité du développement, évaluation, formation, cryptographie, contrôle d’accès et MFA), assorties d’obligations de notification d’incident (24h alerte, 72h rapport, 1 mois rapport final) et de désignation d’un point de contact.

Les recoupements existent : la sécurité des traitements (article 32 du RGPD) recoupe partiellement les mesures 9 et 10 de NIS2 (cryptographie, contrôle d’accès) ; les obligations de notification de violation (RGPD article 33-34) sont parallèles à celles de NIS2. Mais l’essentiel des obligations est distinct.

Sanctions : un calibrage proche mais pas identique

RGPD et NIS2 partagent une logique commune de sanctions financières dissuasives calibrées en valeur absolue ou en pourcentage du chiffre d’affaires.

RGPD : jusqu’à 20 millions d’euros ou 4% du CA mondial pour les manquements les plus graves (atteinte aux principes, aux droits des personnes, aux transferts internationaux). Jusqu’à 10 millions d’euros ou 2% du CA mondial pour les manquements aux obligations de sécurité, de notification, de tenue du registre.

NIS2 : jusqu’à 10 millions d’euros ou 2% du CA mondial pour les entités essentielles, 7 millions d’euros ou 1,4% du CA mondial pour les entités importantes.

La nouveauté NIS2 par rapport au RGPD est la sanction personnelle des dirigeants : suspension temporaire de fonctions, interdiction d’exercer. Le RGPD ne prévoit pas explicitement ces sanctions individuelles (sauf dans des cas de fraude pénale relevant du droit national).

Autorités de contrôle

RGPD : la CNIL en France, indépendante depuis 1978, avec un pouvoir étendu de contrôle, d’enquête, de sanction. La CNIL traite plusieurs dizaines de milliers de plaintes par an et publie ses sanctions. Elle dispose d’un site très documenté, d’outils en ligne (registre type, modèles d’AIPD) et d’une jurisprudence abondante.

NIS2 : l’ANSSI sera l’autorité de référence en France, en collaboration avec d’autres entités selon les secteurs (Banque de France pour la finance, ARCEP pour les télécoms, par exemple). Le décret d’application fin 2026 précisera les modalités exactes de contrôle. À la différence de la CNIL, l’ANSSI a une culture opérationnelle cyber plus que juridique : ses contrôles porteront davantage sur la mise en œuvre technique que sur les obligations documentaires pures.

Notifications d’incident : deux régimes parallèles

C’est un point de vigilance majeur. Une attaque cyber qui touche une PME concernée par les deux textes peut déclencher deux notifications distinctes.

RGPD : si l’incident entraîne une violation de données personnelles susceptible d’engendrer un risque pour les personnes, notification à la CNIL dans les 72 heures. Si le risque est élevé, information directe des personnes concernées.

NIS2 : si l’incident est significatif (perturbation grave d’un service, impact sur d’autres entités, etc.), notification à l’autorité (ANSSI) dans les 24 heures pour l’alerte précoce, 72 heures pour le rapport, 1 mois pour le rapport final.

Concrètement, en cas de ransomware avec exfiltration de données personnelles, vous notifiez à la fois la CNIL au titre du RGPD et l’ANSSI au titre de NIS2. Les deux régimes sont indépendants et les délais courent en parallèle. Un plan de réponse aux incidents bien fait doit prévoir cette double notification.

Compatibilité et économies d’échelle

La bonne nouvelle, c’est qu’une démarche RGPD bien menée pose une partie des fondations d’une mise en conformité NIS2. Concrètement, vous récupérez :

  • une cartographie des données (registre des traitements RGPD) qui aide à identifier les actifs critiques pour NIS2,
  • des politiques de sécurité qui peuvent être enrichies pour couvrir les exigences NIS2,
  • des procédures de notification d’incident déjà rodées (à étendre au cadre NIS2),
  • une culture de la documentation et de la traçabilité.

À l’inverse, les démarches NIS2 documentées (analyse de risques, plan de continuité, contrôle des accès) servent directement à démontrer la conformité au principe de sécurité des traitements RGPD (article 32). Une PME mature NIS2 sera presque mécaniquement plus solide en RGPD.

Différences pratiques pour une PME

Pour synthétiser, voici cinq différences pratiques importantes pour une PME.

Première différence : le point d’entrée. RGPD démarre par le registre des traitements et la cartographie des données personnelles ; NIS2 démarre par la politique de sécurité et l’analyse de risques.

Deuxième différence : le public concerné. Un DPO ou un référent RGPD est généralement le pilote interne du RGPD ; pour NIS2, c’est plutôt un DSI, un RSSI ou un dirigeant directement qui pilote.

Troisième différence : la temporalité. Le RGPD est entré en application en mai 2018, et est désormais bien rodé dans les PME françaises. NIS2 entre en application au 17 octobre 2026, en plein démarrage : peu de jurisprudence, peu d’outils standards, beaucoup d’incertitudes opérationnelles.

Quatrième différence : la culture. RGPD est juridique, NIS2 est technique. Le RGPD repose largement sur de la documentation et des processus ; NIS2 impose des contrôles techniques vérifiables (MFA déployée ou non, sauvegardes immuables ou non, chiffrement effectif ou non).

Cinquième différence : la chaîne d’approvisionnement. Le RGPD impose des contrats de sous-traitance (DPA), mais sans obligation de fond sur la sécurité des sous-traitants. NIS2 impose explicitement la sécurisation de la chaîne d’approvisionnement : audit des fournisseurs, clauses de sécurité, vérification de la conformité.

Stratégie recommandée pour une PME

Si vous êtes concerné par les deux textes, voici la démarche que nous recommandons.

Étape 1 : faire le point sur votre conformité RGPD (registre, AIPD, contrats, droits, notifications). Si elle est solide, vous avez 30-40% du chemin NIS2 fait.

Étape 2 : conduire un pré-audit NIS2 pour identifier les écarts spécifiques sur les dix mesures de l’article 21. Notre pré-audit à 299€ est calibré pour cela.

Étape 3 : prioriser les actions par valeur ajoutée croisée. Les contrôles qui satisfont les deux textes (MFA, journaux d’accès, plan de réponse aux incidents, formation) doivent être traités en premier.

Étape 4 : structurer un plan documentaire unifié. Plutôt que d’avoir deux jeux de politiques (un pour RGPD, un pour NIS2), construire une politique de sécurité globale qui répond aux deux et la décliner en politiques spécifiques au besoin.

Étape 5 : aligner les autorités internes. Si vous avez un DPO et un RSSI, ils doivent travailler ensemble. Si vous avez seulement un DPO, son périmètre doit être étendu à la gouvernance NIS2.

Conclusion

NIS2 et RGPD ne se confondent pas, mais ils se complètent. Pour une PME, l’erreur à éviter est de traiter les deux séparément, avec deux démarches isolées qui se dupliquent et qui consomment du temps inutilement. La bonne approche consiste à mutualiser ce qui peut l’être (cartographie, politiques, plan d’incident, formation) et à traiter spécifiquement ce qui est propre à chaque texte (registre des traitements pour RGPD, analyse de risques cyber et MFA pour NIS2).

Pour aller plus loin : le guide complet NIS2 PME, les sanctions NIS2 et risques réels, et un pré-audit NIS2 à 299€ qui prend en compte votre niveau RGPD pour mutualiser les efforts.

#nis2#rgpd#cnil#anssi#comparaison

Cet article vous concerne ?

Démarrez par un pré-audit à 299€, livré sous 48h. Vous repartez avec un plan d'action clair.

Démarrer mon pré-audit Faire le quiz NIS2

Prêt à sécuriser votre conformité NIS2 ?

Démarrez par un pré-audit à 299€, livré sous 48h. Sans engagement.

Démarrer mon pré-audit 07 51 13 37 69