En 2026, les entreprises devront gérer des obligations réglementaires de plus en plus divergentes entre l’Union européenne et les États-Unis. D’un côté, l’UE renforce ses règles sur les données personnelles, la cybersécurité et l’IA ; de l’autre, les États américains multiplient leurs lois sectorielles et consommateurs.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Le RGPD a posé, en 2018, des principes de responsabilisation (le principe d’accountability du règlement) et des obligations documentaires pour les organisations traitant des données personnelles. Depuis, l'UE a enrichi ses normes : le NIS2 renforce la cybersécurité des opérateurs essentiels, le Data Act ouvre des droits sur les données techniques issues d’objets connectés, et l’AI Act encadre, pour la première fois au niveau régional, l’usage des systèmes d’intelligence artificielle « à haut risque ».
Dans le même temps, la mosaïque américaine se densifie : pas de loi fédérale unifiée à ce jour, mais des lois d’État — Californie, Virginie, Colorado, Connecticut, Utah, etc. — qui multiplient les obligations opérationnelles et les droits pour les consommateurs. Les entreprises doivent donc composer avec une conformité transversale de plus en plus exigeante.
RGPD : ce qui bouge (et ce qui reste) pour les PME en 2026
L’idée répandue selon laquelle « le registre des traitements disparaît » est fausse. En revanche, la Commission européenne a proposé en 2025 d’assouplir certaines obligations documentaires pour les petites et moyennes structures. Concrètement, la proposition Omnibus / « simplification » prévoit d'étendre la dérogation actuelle (article 30(5) du RGPD) — exemption pour les entreprises de moins de 250 salariés — à un seuil plus élevé, environ 750 employés pour les petites-midcaps, et à relever la barre du risque déclenchant l’obligation de registre (de « risque » à « risque élevé »).
Attention : il s’agit d’une proposition, adoptée par la Commission en 2025 et actuellement examinée par le CEPD et le Contrôleur européen de la protection des données (EDPS). Les entreprises doivent donc rester prudentes et suivre la procédure législative.
Indépendamment de ce débat, le principe de responsabilisation demeure : tenir à jour une cartographie des traitements, des finalités, des durées de conservation et des mesures de sécurité reste une pratique essentielle pour prouver sa conformité lors d’un contrôle. L’authentification multifacteur (MFA) et le chiffrement sont désormais considérés comme des mesures de base, et certaines obligations sectorielles ou directives connexes — notamment le NIS2 — renforcent l’exigence de sécurité pour les opérateurs jugés essentiels.
Le Data Act : accès aux données techniques
Le Data Act régule l’accès et le partage des données non personnelles générées par les produits et services connectés (télémétrie machine, données de performance, etc.).
Il est entré en application le 12 septembre 2025, avec une précision importante : certaines obligations relatives aux produits connectés ne s’appliquent qu’aux produits mis sur le marché après le 12 septembre 2026 — notamment les exigences d’interopérabilité et les droits d’accès B2B/B2C.
Le règlement repose sur un principe d’accès « FRAND » (fair, reasonable and non-discriminatory, soit « équitable, raisonnable et non discriminatoire ») et interdit les clauses contractuelles limitant l’accès aux données. Concrètement, fabricants, fournisseurs de services et intégrateurs doivent revoir leurs contrats et leurs architectures de données pour permettre des accès équitables et non exploitants.
L’AI Act : calendrier et obligations pour 2026
L’AI Act est entré en vigueur le 1er août 2024, mais ses obligations s’appliquent progressivement jusqu’en 2026.
La plupart des règles deviendront effectives le 2 août 2026, sauf exceptions pour certaines IA intégrées à des produits réglementés (délai prolongé jusqu’en 2027).
Le texte impose un ensemble d’exigences pour les systèmes à haut risque : gestion des risques, documentation complète (logs, données d’entraînement, protocoles de test), obligations de transparence et contrôles de conformité (qualité, supervision post-déploiement).
Pour les entreprises, cela implique de formaliser des processus de gouvernance de l’IA, de créer des bancs d’essai et d’instaurer des audits réguliers.
NIS2 et cybersécurité : l’autre pression réglementaire en Europe
La directive NIS2 a été adoptée pour élargir le périmètre d’entités soumises à des obligations de cybersécurité et renforcer les sanctions. Les États membres ont dû transposer NIS2 dans leurs lois nationales avant octobre 2024 ; depuis, elle remplace la première directive NIS.
Conséquence, davantage d’entreprises classées « essentielles » ou « importantes », plus d’obligations de notification d’incidents et des exigences accrues en matière de sécurité opérationnelle et de gouvernance.
En pratique, la conformité NIS2 impose des ajustements techniques (inventaire, contrôles d’accès, supervision SOC) et organisationnels (responsabilités de la direction, reporting).
USA : une mosaïque réglementaire à maîtriser
Les États-Unis ne disposent toujours pas d’une loi fédérale unique encadrant la protection des données personnelles. En son absence, ce sont les États qui légifèrent.
La Californie (CPRA), la Virginie (VCDPA), le Colorado (CPA), le Connecticut, l’Utah et plusieurs autres disposent déjà de lois effectives. Leur nombre a fortement augmenté entre 2023 et 2025.
Pour une entreprise opérant sur le marché américain, cela signifie devoir composer avec des régimes hétérogènes : obligations d’information, droits d’accès, de rectification ou de suppression, exigences de sécurité et règles propres aux notifications de fuites de données.
Le Congrès discute régulièrement de projets de loi fédéraux, mais aucun texte national ne s’est encore imposé. L' IAPPpropose une veille actualisée sur ces législations.
Les transferts UE–US : le Data Privacy Framework en pratique
Le cadre de transfert existe bien : l’EU–U.S. Data Privacy Framework (DPF) a reçu une décision d’adéquation de la Commission européenne en juillet 2023.
Il permet aux entreprises américaines certifiées de recevoir des données personnelles depuis l’UE sans garanties supplémentaires. Ce mécanisme repose sur l’Executive Order 14086 et sur une participation volontaire des entreprises au programme administré par le département du Commerce.
Des recours juridiques ont été engagés, mais plusieurs décisions rendues en 2025 ont confirmé la validité du DPF.
En pratique, les organisations combinent l’adhésion au DPF de leurs sous-traitants américains avec des clauses contractuelles types et des analyses de transfert.
Et pour les entreprises, quelles actions concrètes d’ici 2026 ?
- Surveiller les évolutions du RGPD — notamment la proposition de modification de l’article 30. Si elle est adoptée, de nombreuses PME pourraient être dispensées du registre des traitements sous conditions ;
- Préparer la mise en œuvre du Data Act : adapter les contrats, les API et les interfaces d’accès avant 2026 ;
- Structurer la gouvernance de l’IA : classification, documentation, surveillance, formation — conformément à l’AI Act ;
- Assurer la conformité au NIS 2 : MFA, chiffrement, gestion des incidents et clarification des rôles internes ;
- Sécuriser les transferts transatlantiques: vérifier la certification DPF des partenaires américains et anticiper les évolutions juridiques ;
- Cartographier les obligations américaines : pour chaque État concerné, appliquer le standard le plus strict. Le site de l’IAPP propose une veille actualisée sur ces législations.
