L’Europe renforce son arsenal réglementaire en matière de cybersécurité. Après avoir imposé le RGPD pour protéger les données personnelles, elle déploie désormais la directive NIS2 pour obliger les acteurs essentiels à mieux protéger leurs systèmes d’information. Deux textes fondamentaux, deux logiques différentes, mais un terrain commun qui interroge : où s’arrête la protection des données, où commence celle des infrastructures ? Et surtout, comment les entreprises concernées peuvent-elles concilier des exigences parfois proches dans leur esprit mais divergentes dans leur mise en œuvre ?
Depuis l’entrée en vigueur du RGPD en 2018, les délégués à la protection des données (DPO) ont appris à piloter les obligations de notification en cas de fuite, à documenter les analyses d’impact, à rassurer les clients et à dialoguer avec la CNIL. La logique est claire : responsabiliser les organismes dans le traitement des données personnelles. La sanction est dissuasive, l’exposition médiatique potentielle, et la mécanique bien rodée.
Avec NIS2, c’est un tout autre réflexe qu’il faut acquérir. Ici, ce sont les RSSI, responsables de la sécurité des systèmes d’information, qui se retrouvent en première ligne. L’enjeu n’est plus seulement la confidentialité des données, mais la disponibilité des services, la continuité d’activité, la résilience face aux cyberattaques. Le texte s’adresse aux opérateurs critiques : santé, finance, eau, transport, administration… Et les modalités de réaction, elles aussi, changent de tempo : pré-notification dans les 24 heures, rapport complet sous 72 h, obligation de mesures correctives.
Dans les faits, les organisations se retrouvent avec deux temporalités, deux autorités de contrôle, deux chaînes de décision. Une cyberattaque peut ainsi déclencher une double alerte : à la CNIL pour les données, à l’ANSSI ou à l’autorité sectorielle désignée pour la sécurité des systèmes. Une fuite de données devient un incident systémique, un rançongiciel peut enclencher deux régimes de responsabilité.
Le vrai risque ? Que la démarche reste cloisonnée. Que le DPO et le RSSI travaillent en parallèle, sans se coordonner. Que les outils de gestion de crise ne prévoient pas de réaction conjointe. Pourtant, les deux logiques se nourrissent. Une organisation qui sait protéger ses données est souvent plus mature sur la gouvernance de ses systèmes. Et inversement, une entreprise dotée d’une vraie stratégie de cybersécurité sera plus à même d’identifier, contenir et documenter une fuite.
Sur le terrain, certains points posent encore question. Les seuils de notification ne sont pas identiques. Le RGPD parle d’un risque pour les droits et libertés des personnes concernées ; NIS2, d’un impact significatif sur les services. Les logiques de sanction aussi diffèrent. Le RGPD vise la démonstration publique de la faute, avec amendes jusqu’à 4 % du chiffre d’affaires mondial. NIS2, lui, fonctionne plus en logique de responsabilité systémique, avec des montants moindres mais des impacts potentiellement tout aussi lourds (perte d’agrément, retrait d’activités, obligation de remédiation).
Derrière ces subtilités juridiques, une question plus vaste : les entreprises peuvent-elles harmoniser leur gouvernance réglementaire ? Beaucoup commencent à répondre par l’affirmative. Des cellules mixtes DPO-RSSI voient le jour, des processus unifiés de notification sont mis en place, des simulations d’incidents conjoints sont organisées. On passe d’une logique de conformité formelle à une résilience intégrée.
Un exemple fictif permet de mieux saisir les implications. Une mutuelle régionale de santé subit une attaque par rançongiciel. Les systèmes de gestion des adhérents sont paralysés, les données sensibles chiffrées. Immédiatement, le DPO déclenche une alerte à la CNIL. Parallèlement, le RSSI contacte l’autorité sectorielle désignée au titre de NIS2. Les deux démarches s’enclenchent en parallèle, avec leurs exigences spécifiques. L’entreprise doit établir deux rapports, gérer deux calendriers, et surtout maintenir une coordination en interne pour éviter les contradictions. Ce scénario, de plus en plus courant, illustre combien il est crucial d’unifier les chaînes de décision.
Historiquement, les deux textes s’inscrivent dans des dynamiques différentes. Le RGPD est né dans le sillage des révélations sur la surveillance de masse et l’exploitation des données personnelles par des acteurs privés. Il répondait à une urgence citoyenne. NIS2, lui, est une réponse aux attaques ciblant les infrastructures critiques (NotPetya, Colonial Pipeline) et au besoin de renforcer la souveraineté numérique européenne. Le premier protège l’individu, le second protège l’État et ses opérateurs vitaux.
Dans ce contexte, la maturité des entreprises repose aussi sur leur capacité à mutualiser leurs audits, à décloisonner leurs référentiels. Plusieurs grandes structures travaillent déjà à des matrices de conformité croisées, permettant de répondre aux deux cadres avec un même socle documentaire. Le futur est à l’audit combiné, à la gouvernance intégrée, à la culture cyber partagée.
Car in fine, RGPD et NIS2 parlent de la même chose : la maîtrise des risques numériques. L’un met l’accent sur l’individu, l’autre sur les infrastructures. Mais les deux imposent aux organisations de mieux connaître leur système d’information, de mieux cartographier leurs flux, de mieux piloter les incidents.
Un encadré résumé peut aider les équipes terrain :
RGPD vs NIS2 en bref
- RGPD : notification à la CNIL sous 72 h ; incident = atteinte aux données personnelles.
- NIS2 : pré-notification < 24 h, rapport < 72 h ; incident = atteinte à la disponibilité ou à la sécurité d’un système critique.
- Autorités : CNIL vs ANSSI ou ministères sectoriels.
- Sanctions : 4 % CA mondial vs 2 %, mais impacts différents (juridiques vs opérationnels).
RGPD & NIS2, une culture de la responsabilité numérique
Ce n’est pas un choix entre deux textes. C’est une exigence de maturité. Plus qu’un alignement réglementaire, ce que visent RGPD et NIS2, c’est une culture de la responsabilité numérique. Où chaque acteur de l’entreprise sait quoi faire, avec qui, et pourquoi. Le droit suit l’évolution des menaces. Aux organisations de suivre l’évolution du droit avec intelligence.
C’est aussi un test de gouvernance. Car à travers RGPD et NIS2, ce sont deux visions de la gestion des risques qui se rencontrent : l’une orientée données, l’autre orientée infrastructures. Les faire dialoguer, c’est dépasser la logique du service juridique ou de la direction technique pour embarquer toute l’entreprise. Former, anticiper, documenter, coordonner. Ces verbes deviennent les nouveaux piliers de la conformité intelligente. Celle qui protège, mais surtout qui prépare.
Il ne s’agit plus seulement d’éviter les sanctions, mais de consolider la confiance. Vis-à-vis des clients, des autorités, des partenaires. Et dans cette convergence normative, se dessine une opportunité : transformer une contrainte perçue en avantage concurrentiel assumé.
