1. Le RGPD : le socle toujours central de la protection des données
Entré en application en 2018, le Règlement général sur la protection des données (RGPD) demeure en 2026 le fondement de la cybersécurité liée aux données personnelles.
Ce qu’il impose
-
La mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir la sécurité des données (chiffrement, contrôle d’accès, traçabilité).
-
L’obligation de notifier les violations de données (data breaches) à la CNIL et, dans certains cas, aux personnes concernées.
-
Une logique de responsabilité (“accountability”) : les organisations doivent démontrer leur conformité.
En 2026
Le RGPD n’est pas dépassé, mais complété. Il reste la référence pour tout ce qui touche à la sécurité des données personnelles, y compris dans les systèmes d’IA et les infrastructures critiques.
2. La loi Informatique et Libertés : l’ancrage français du RGPD
3. La directive NIS 2 : la cybersécurité des systèmes et des réseaux
La directive (UE) 2022/2555 dite NIS 2, en cours de transposition en France, marque un tournant majeur.
Ce qu’elle change
-
Elle élargit considérablement le champ des entités concernées :
-
Entités essentielles (énergie, transports, santé, eau, numérique, administrations).
-
Entités importantes (industrie, services numériques, gestion des déchets, etc.).
-
-
Elle impose des mesures de gestion des risques cyber :
-
gouvernance,
-
gestion des incidents,
-
sécurité de la chaîne d’approvisionnement,
-
formation et sensibilisation.
-
Sanctions
Les sanctions peuvent atteindre des montants très élevés, comparables à ceux du RGPD, avec une responsabilité accrue des dirigeants.
4. L’AI Act : la cybersécurité appliquée à l’intelligence artificielle
4.1. Une approche fondée sur le niveau de risque
L’AI Act repose sur une classification des systèmes d’IA selon leur niveau de risque :
-
risques inacceptables (interdits),
-
risques élevés,
-
risques limités,
-
risques minimes.
Les obligations les plus lourdes concernent les systèmes d’IA à haut risque, largement utilisés dans des domaines sensibles (recrutement, crédit, santé, éducation, infrastructures critiques, services publics).
4.2. La cybersécurité comme exigence légale
Pour les systèmes d’IA à haut risque, l’AI Act impose explicitement :
-
une robustesse technique face aux cyberattaques,
-
une résilience aux manipulations (attaques adversariales, empoisonnement des données),
-
une fiabilité du fonctionnement dans le temps, y compris en cas d’incident.
La cybersécurité n’est plus une bonne pratique : elle devient une condition de mise sur le marché.
4.3. Sécurité des données et des modèles
L’AI Act impose des exigences strictes sur :
-
la qualité et l’intégrité des données d’entraînement, de validation et de test,
-
la prévention des biais issus de données compromises ou manipulées,
-
la protection contre les accès non autorisés aux modèles et paramètres.
Ces exigences complètent directement le RGPD lorsque des données personnelles sont utilisées.
4.4. Gouvernance, traçabilité et gestion des incidents
Les fournisseurs et déployeurs de systèmes d’IA à haut risque doivent :
-
documenter l’architecture et le fonctionnement du système,
-
assurer une traçabilité des décisions automatisées,
-
mettre en place des procédures de gestion des incidents et vulnérabilités.
En cas de faille de sécurité affectant un système d’IA, des obligations de correction et, le cas échéant, de notification peuvent s’appliquer.
4.5. Articulation avec RGPD et NIS 2
En 2026, l’AI Act s’inscrit dans un triptyque clair :
-
RGPD : protection et sécurité des données personnelles,
-
NIS 2 : sécurité des réseaux et systèmes d’information,
-
AI Act : sécurité, robustesse et fiabilité des systèmes d’IA eux-mêmes.
Un système d’IA vulnérable peut désormais engager la responsabilité juridique de son fournisseur ou de son utilisateur, même en l’absence de violation de données personnelles.
5. Autres textes clés à connaître en 2026
Le Cybersecurity Act
Le règlement européen sur la cybersécurité renforce le rôle de l’ENISA et met en place des schémas européens de certification de cybersécurité pour les produits et services numériques.
Le Digital Operational Resilience Act (DORA)
Applicable principalement au secteur financier, DORA impose une résilience opérationnelle numérique renforcée : tests de pénétration, gestion des prestataires TIC, continuité d’activité.
Le Code pénal et le Code de la sécurité intérieure
Ils continuent de sanctionner les infractions cyber (accès frauduleux à un système, atteinte aux données, entrave à un système automatisé).
6. Où en est-on concrètement en 2026 ?
En synthèse :
-
Le RGPD protège les données personnelles.
-
NIS 2 sécurise les systèmes et réseaux critiques et importants.
-
L’AI Act encadre la sécurité des systèmes d’intelligence artificielle.
-
La loi Informatique et Libertés assure la cohérence et l’application en France.
La cybersécurité est désormais une obligation stratégique, intégrée à la gouvernance des organisations, avec une responsabilité accrue des dirigeants et une logique de prévention plutôt que de réaction.
Conclusion
En 2026, la France s’inscrit pleinement dans une architecture européenne de cybersécurité cohérente et exigeante. Les entreprises et administrations ne peuvent plus traiter la cybersécurité comme un simple sujet technique : elle est devenue juridique, organisationnelle et stratégique, au cœur de la conformité et de la confiance numérique.