Aller au contenuAller au contenu principal
    Entreprisma
    EntreprismaLe média des entrepreneurs
    Tendances & Actualités

    CSRD, AI Act, NIS2 : les nouvelles réglementations européennes qui changent la donne pour les PME

    L'Union européenne accélère sur la réglementation numérique et environnementale. Voici ce que chaque dirigeant de PME doit savoir pour anticiper plutôt que subir ces nouvelles obligations.

    Maîtrisez les enjeux de la CSRD, l'AI Act et NIS2. Ce guide explique comment les PME doivent s'adapter aux nouvelles obligations européennes dès maintenant.

    Entreprisma
    EntreprismaLa rédaction Entreprisma Les articles publiés sous le nom Entreprisma sont principalement rédigés par Elouan Azria, fondateur et dirigeant du média. Cette signature regroupe les contenus qui s’inscrivent dans la ligne éditoriale d’Entreprisma, avec une exigence de clarté, de pertinence et de qualité. Dans le cas où d’autres rédacteurs contribueraient au média, chacun disposera de sa propre page auteur et sera explicitement crédité dans les articles concernés.
    16 min de lecture
    Dirigeants analysant des documents réglementaires européens
    Sommaire(18 sections)

    Le tsunami réglementaire européen

    2025 marque un tournant pour les entreprises françaises. Trois réglementations majeures entrent en application ou se précisent : la CSRD (reporting de durabilité), l'AI Act (encadrement de l'intelligence artificielle) et la directive NIS2 (cybersécurité). Et contrairement aux idées reçues, elles ne concernent pas que les grands groupes.

    À retenir : Les PME qui fournissent des grands groupes seront indirectement concernées par la CSRD dès 2026. Les entreprises utilisant de l'IA seront soumises à l'AI Act. Et NIS2 élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité.

    La CSRD : le reporting de durabilité devient obligatoire

    Qui est concerné et quand ?

    • 2025 : Grandes entreprises cotées (>500 salariés) — c'est déjà en cours
    • 2026 : Grandes entreprises non cotées (>250 salariés OU >50 M€ de CA)
    • 2027 : PME cotées sur les marchés réglementés
    • Impact indirect immédiat : Les grands groupes soumis à la CSRD demandent à leurs fournisseurs PME des données ESG dès maintenant

    Ce que la CSRD exige concrètement

    Le rapport de durabilité doit couvrir les normes ESRS (European Sustainability Reporting Standards) :

    • Environnement : Empreinte carbone (scopes 1, 2 et 3), gestion des ressources, biodiversité
    • Social : Conditions de travail, diversité, formation, santé et sécurité
    • Gouvernance : Éthique des affaires, lobbying, protection des données

    Erreur fréquente : Attendre d'être officiellement concerné. Les appels d'offres des grands groupes intègrent déjà des critères ESG. Une PME qui ne peut pas fournir ces données perd des marchés dès aujourd'hui.

    Le plan de mise en conformité pour les PME

  1. Mois 1-3 : Réalisez un bilan carbone simplifié (l'ADEME propose des outils gratuits)
  2. Mois 3-6 : Collectez les données sociales (turnover, formation, accidents du travail)
  3. Mois 6-9 : Structurez un premier rapport ESG allégé
  4. Mois 9-12 : Intégrez les indicateurs dans votre reporting financier régulier

    5. L'AI Act : encadrer l'IA sans tuer l'innovation

    Les niveaux de risque

    L'AI Act classe les systèmes d'IA en quatre catégories de risque :

    • Risque inacceptable (interdit) : Scoring social, manipulation subliminale, surveillance biométrique en temps réel dans les espaces publics
    • Risque élevé : IA de recrutement, scoring de crédit, diagnostic médical. Soumis à des obligations strictes de transparence, documentation et audit
    • Risque limité : Chatbots, deepfakes. Obligation de transparence (informer l'utilisateur qu'il interagit avec une IA)
    • Risque minimal : Filtres anti-spam, jeux vidéo. Pas d'obligation spécifique

    Ce que ça change pour les PME

    Contexte : Si vous utilisez un chatbot IA sur votre site web, vous devez informer les visiteurs qu'ils interagissent avec une IA. Si vous utilisez l'IA pour trier des CV, vous êtes dans la catégorie « risque élevé » avec des obligations de documentation et d'audit.

    Les obligations pratiques

    • Transparence : Étiquetez tous les contenus générés par IA
    • Documentation : Tenez un registre des systèmes d'IA utilisés dans votre entreprise
    • Évaluation des risques : Pour les IA « risque élevé », documentez les biais potentiels et les mesures de mitigation
    • Supervision humaine : Garantissez qu'un humain peut toujours intervenir dans les décisions automatisées

    Cet article vous plaît ?

    Chaque lundi, un article exclusif + notre sélection de la semaine, directement dans votre boîte mail.

    NIS2 : la cybersécurité n'est plus optionnelle

    Le périmètre élargi

    La directive NIS2 remplace NIS1 et élargit considérablement le nombre d'entreprises concernées. En France, on passe de quelques centaines à environ 15 000 entreprises soumises à des obligations de cybersécurité.

    Êtes-vous concerné ?

    Vous l'êtes probablement si votre entreprise opère dans l'un de ces secteurs :

    • Énergie, transports, santé, eau, alimentation
    • Infrastructure numérique, services cloud, data centers
    • Administration publique, spatial, services postaux
    • Fabrication : Produits chimiques, dispositifs médicaux, électronique, machines, véhicules
    • Services numériques : Places de marché, moteurs de recherche, réseaux sociaux

    Les obligations concrètes

    • Gouvernance : Nommer un responsable cybersécurité (RSSI ou équivalent)
    • Gestion des risques : Évaluation régulière des risques cyber avec plan de traitement
    • Notification d'incidents : Signalement obligatoire sous 24h à l'ANSSI en cas d'incident significatif
    • Sécurité de la chaîne d'approvisionnement : Évaluation de la sécurité de vos fournisseurs
    • Continuité d'activité : Plan de continuité et de reprise documenté et testé

    Plan d'action : Étape 1 — Faites un audit de cybersécurité (l'ANSSI propose un diagnostic gratuit pour les PME). Étape 2 — Identifiez vos actifs critiques et vos vulnérabilités. Étape 3 — Mettez en place les mesures de base : MFA, sauvegardes, mise à jour des systèmes, formation des employés au phishing.

    Le coût de la conformité vs le coût de la non-conformité

    Les sanctions

    • CSRD : Jusqu'à 75 000 € d'amende et responsabilité pénale du dirigeant
    • AI Act : Jusqu'à 35 M€ ou 7 % du CA mondial pour les infractions les plus graves
    • NIS2 : Jusqu'à 10 M€ ou 2 % du CA mondial, avec responsabilité personnelle du dirigeant

    L'approche pragmatique

    À retenir : La conformité n'est pas un coût, c'est un investissement commercial. Les entreprises conformes accèdent à des marchés que les autres perdent. 72 % des grands donneurs d'ordres intègrent désormais des critères ESG et cybersécurité dans leurs appels d'offres.

    Transformer la contrainte en avantage compétitif

    Les entreprises les plus agiles transforment ces réglementations en différenciateurs :

    • CSRD → Argument commercial auprès des grands comptes et attractivité employeur
    • AI Act → Label de confiance pour les clients utilisant vos solutions IA
    • NIS2 → Certification cybersécurité comme gage de fiabilité

    Conclusion : anticiper plutôt que subir

    Le message est clair : l'Europe réglemente, et la France applique. Les PME qui anticipent aujourd'hui seront les partenaires privilégiés des grands groupes demain. Celles qui attendent le dernier moment subiront des coûts de mise en conformité bien supérieurs et risqueront de perdre des marchés stratégiques.

    Sources & références

    Commentaires

    Soyez le premier à commenter cet article.

    Laisser un commentaire

    Les commentaires sont modérés avant publication.

    À lire ensuite

    Un homme assis qui se tient la tête entouré de ses proches, devant son ordinateur, avec comme message centrale, le soutien des entrepreneur par ses prochesest promordial.

    Soutenir un entrepreneur : pourquoi les proches font toute la différence

    Derrière chaque entrepreneur, il n’y a pas seulement un projet, une ambition ou une entreprise à faire grandir. Il y a aussi un être humain sous pression, confronté à la solitude, aux doutes, à la fatigue, aux erreurs et parfois à l’échec. Dans ces moments où tout vacille, soutenir un entrepreneur ne relève pas du simple réconfort : cela peut faire toute la différence entre l’effondrement et la capacité à se relever.

    Elouan Azria·15 mars 2026·10 min

    La newsletter Entreprisma

    Chaque lundi, recevez un article inédit sur une entreprise française qui se démarque — exclusif abonnés — ainsi qu'une sélection des meilleurs contenus de la semaine.

    Gratuit · Pas de spam · Désinscription en un clic

    Nous utilisons des cookies pour mesurer l'audience et améliorer votre expérience. Vous pouvez paramétrer vos choix ou tout accepter/refuser. En savoir plus