CloudSoul
Ressources · Blog · NIS2

NIS2 et RGPD : où la cybersécurité rencontre la protection des données

Comprendre le chevauchement NIS2-RGPD : comment les obligations de cybersécurité au titre des articles 21 et 35 de NIS2 complètent les exigences de protection des données des articles 32, 33-34 du RGPD.

Daniel Grigorovich
Daniel Grigorovich
Fondateur · 11 May 2026 · 11 min de lecture
NIS2
NIS2 et RGPD : où la cybersécurité rencontre la protection des données

Qui devrait lire ceci : délégués à la protection des données, équipes juridiques, responsables de la conformité.

Le cadre réglementaire européen pour la protection des informations sensibles est en couches. Le Règlement général sur la protection des données (RGPD) établit des obligations complètes pour le traitement des données à caractère personnel : consentement, transparence, droits des personnes concernées et mesures de sécurité pour empêcher le traitement non autorisé ou illicite. NIS2 établit des obligations de cybersécurité pour les entités gérant des infrastructures critiques et des services essentiels.

Ces deux régimes se chevauchent. Tous deux exigent des mesures de cybersécurité pour protéger les informations sensibles. Tous deux exigent la notification d’incidents en cas de violations. Tous deux imposent des obligations aux organisations et à leurs prestataires tiers. Pourtant, leurs approches diffèrent : le RGPD se concentre sur les données à caractère personnel et les droits des individus ; NIS2 se concentre sur la sécurité des réseaux et systèmes d’information et la continuité des services essentiels.

Pour les délégués à la protection des données et les équipes de conformité, comprendre la relation NIS2-RGPD est essentiel. Les deux régimes sont complémentaires, non contradictoires, mais ils imposent des obligations distinctes qui doivent toutes deux être satisfaites. Cet article décortique le chevauchement, clarifie où NIS2 et RGPD convergent et divergent, et fournit des conseils pratiques pour concevoir un cadre de conformité satisfaisant les deux.

Portée : données à caractère personnel vs infrastructure critique

La distinction principale entre RGPD et NIS2 réside dans leur portée et leur objet.

Le RGPD s’applique à toutes les organisations traitant des données à caractère personnel de résidents de l’UE, indépendamment du fait que l’organisation soit dans l’UE. Une donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable (un individu). L’objet du RGPD est de protéger les droits des individus : leur vie privée, leur autonomie et leur contrôle sur leurs informations.

Le RGPD s’applique étroitement (uniquement aux organisations traitant des données à caractère personnel) mais largement à travers les secteurs (tous les secteurs manipulent des données à caractère personnel). Une petite entreprise de e-commerce vendant des biens est soumise au RGPD si elle collecte des adresses e-mail clients. Un prestataire de soins de santé, une institution financière, une agence gouvernementale : tous sont soumis au RGPD.

NIS2 s’applique étroitement aux organisations gérant des infrastructures critiques et des services essentiels, mais avec des désignations sectorielles spécifiques. L’objet de NIS2 est de protéger la continuité et la sécurité des services essentiels : énergie, santé, transport, infrastructure numérique et autres. Une boulangerie locale n’est pas soumise à NIS2 (ce n’est pas une infrastructure critique) ; un grand fournisseur d’énergie l’est.

Les portées ne se chevauchent que partiellement. Certaines organisations (par ex. un hôpital, une institution financière) sont soumises à la fois au RGPD (car elles traitent des données à caractère personnel) et à NIS2 (car elles sont fournisseurs de services essentiels). D’autres ne sont soumises qu’à un seul : une multinationale de e-commerce est soumise au RGPD mais peut ne pas être désignée NIS2 ; un fournisseur de télécommunications gérant l’infrastructure réseau mais pas de données à caractère personnel (par ex. un opérateur de réseau dorsal) est soumis à NIS2 mais pourrait ne pas être soumis au RGPD.

Obligations de sécurité : article 32 (RGPD) et article 21 (NIS2)

Les deux régimes imposent des obligations de sécurité, mais avec un langage et une emphase différents.

L’article 32 du RGPD exige des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre le traitement non autorisé ou illicite, la perte accidentelle, la destruction ou les dommages. Ces mesures incluent, selon les cas, le chiffrement, la pseudonymisation, les contrôles d’accès, la garantie de disponibilité et les procédures de réponse aux incidents.

L’article 21 de NIS2 exige des mesures techniques et organisationnelles proportionnées pour gérer le risque de cybersécurité dans les réseaux et systèmes d’information. Ces mesures doivent traiter des menaces, des vulnérabilités et des impacts sur les services essentiels, et doivent inclure la réponse aux incidents, la continuité d’activité et la gestion du risque de la chaîne d’approvisionnement.

Les deux imposent des contrôles similaires : contrôles d’accès, chiffrement, surveillance et réponse aux incidents. Cependant, leur focalisation diffère. Le RGPD se concentre sur la protection des données à caractère personnel contre une utilisation abusive ; NIS2 se concentre sur la protection des systèmes contre la compromission et la perturbation de service.

En pratique, une organisation soumise aux deux régimes doit développer un programme de sécurité satisfaisant les deux. Les exigences de l’article 32 du RGPD (chiffrement des données à caractère personnel, contrôles d’accès limitant l’accès à ceux ayant un besoin légitime, surveillance de l’accès aux données) sont fondamentales et traitent de la protection des données à caractère personnel. Les exigences de l’article 21 de NIS2 (gestion proportionnée du risque sur tous les systèmes, planification de la continuité d’activité, gestion du risque tiers) vont au-delà du RGPD pour traiter de la résilience systémique.

Un hôpital, par exemple, doit mettre en œuvre les protections requises par le RGPD pour les données des patients (contrôles d’accès garantissant que seuls les cliniciens ayant un besoin de savoir peuvent accéder aux dossiers, chiffrement des données en transit et au repos, journaux d’audit des accès aux données). Il doit simultanément mettre en œuvre les mesures de cybersécurité requises par NIS2 protégeant tous les systèmes utilisés dans la prestation des soins, y compris les systèmes non liés aux données à caractère personnel tels que les interfaces d’équipements cliniques, les systèmes d’information de laboratoire et les réseaux d’imagerie. La combinaison satisfait les deux régimes.

Notification d’incident : articles 33-34 du RGPD et article 23 de NIS2

Les deux régimes exigent la notification en cas d’incident, mais avec des déclencheurs et des procédures différents.

Le RGPD exige la notification des « violations de données à caractère personnel » (incidents où des données à caractère personnel sont consultées, divulguées ou détruites sans autorisation ou par accident) dans des délais spécifiques. L’organisation doit notifier les autorités de protection des données (généralement sous 72 heures, ou sans retard injustifié dans certains cas) et, en cas de risque élevé pour les individus, les individus concernés.

NIS2 exige la notification des « incidents significatifs » affectant les infrastructures critiques dans les 24 heures aux autorités compétentes et aux CSIRT. L’accent est mis sur la perturbation du service et la compromission du système, pas spécifiquement sur l’exposition des données.

Les déclencheurs diffèrent. Une violation de données à caractère personnel est significative aux fins du RGPD si elle présente un risque élevé pour les individus (par ex. exposition de données financières, données de santé ou données permettant un vol d’identité). Un incident significatif au titre de NIS2 peut ou non impliquer des données à caractère personnel ; il peut impliquer une perturbation du service (par ex. un rançongiciel affectant un système énergétique, sans compromission de données à caractère personnel).

Pour les organisations soumises aux deux régimes, les cadres de notification d’incident doivent être intégrés mais distincts. Un seul incident de cybersécurité peut déclencher à la fois une notification RGPD et NIS2, ou n’en déclencher qu’une seule. Par exemple :

Une attaque par rançongiciel sur le système DME d’un hôpital atteint le seuil de signification au titre de NIS2 (perturbation des opérations cliniques) et se qualifierait probablement comme une violation de données à caractère personnel au titre du RGPD (dossiers des patients à risque). L’hôpital doit notifier les autorités compétentes au titre de NIS2 dans les 24 heures et les autorités de protection des données au titre du RGPD dans les 72 heures (ou à des échéances différentes selon la juridiction).

Une attaque par déni de service sur le système de facturation d’un fournisseur d’énergie perturbe le service (significatif au titre de NIS2) mais ne compromet pas les données clients (pas de violation de données à caractère personnel au titre du RGPD, sauf si le système contient des informations personnelles et que l’attaque permet un accès non autorisé). Le fournisseur doit notifier au titre de NIS2 ; la notification RGPD dépend de l’existence d’une violation de données à caractère personnel.

Une violation du portail patients d’un prestataire de soins exposant les informations de contact des patients est une violation de données à caractère personnel au titre du RGPD (affectant la vie privée des individus) mais peut ne pas être significative au titre de NIS2 (si le service aux patients n’est pas largement perturbé). La notification aux autorités de protection des données est requise au titre du RGPD ; la notification au titre de NIS2 dépend du fait que la perturbation du service ou la compromission du système atteigne le seuil de signification.

Les organisations doivent disposer de procédures de réponse aux incidents intégrées qui évaluent les incidents par rapport aux deux cadres et déterminent quelle notification est requise.

Gestion du risque tiers : article 28 du RGPD et article 22 de NIS2

Les deux régimes exigent la gestion du risque tiers, bien qu’avec une terminologie et une focalisation différentes.

L’article 28 du RGPD exige que les organisations s’assurent que les sous-traitants (tiers traitant des données à caractère personnel pour leur compte) mettent en œuvre des mesures de sécurité appropriées. Les organisations doivent établir des accords de traitement de données avec les sous-traitants, auditer leurs pratiques et s’assurer qu’ils sont soumis aux garanties juridiques et techniques appropriées.

L’article 22 de NIS2 exige que les organisations s’assurent que les fournisseurs et prestataires de services mettent en œuvre des mesures de cybersécurité proportionnées. Les organisations doivent établir des exigences contractuelles de cybersécurité, surveiller la conformité et garantir une notification rapide des incidents.

Pour les organisations gérant à la fois des données à caractère personnel et des infrastructures critiques, ces obligations doivent être consolidées. Les contrats avec les fournisseurs cloud, les MSP et autres prestataires doivent :

  • Inclure des exigences de cybersécurité satisfaisant à la fois le RGPD (pour les sous-traitants) et NIS2 (pour les prestataires de services gérant des systèmes critiques).
  • Exiger des évaluations de sécurité ou certifications démontrant la conformité.
  • Établir des exigences de notification d’incident, permettant à l’organisation de respecter les délais de notification RGPD et NIS2.
  • Réserver les droits d’audit et d’inspection, permettant à l’organisation de vérifier la conformité.
  • Spécifier les contrôles de sous-traitance : le RGPD exige que les sous-traitants ne fassent pas appel à des sous-sous-traitants sans autorisation explicite ; NIS2 exige que les dépendances de la chaîne d’approvisionnement soient gérées. Ces exigences doivent toutes deux être traitées dans les contrats.

Interaction avec des cadres réglementaires plus larges

Il est important de noter que les organisations peuvent être soumises à des réglementations supplémentaires au-delà du RGPD et de NIS2. DORA (Digital Operational Resilience Act) s’applique aux services financiers ; des réglementations sectorielles s’appliquent à la santé, à l’énergie et aux télécoms. Toutes peuvent avoir des exigences de sécurité et de notification d’incident chevauchantes.

Une entité soumise au RGPD, à NIS2 et à DORA doit concevoir des cadres de conformité traitant les trois. La bonne nouvelle est que ces cadres sont complémentaires : un programme de conformité satisfaisant les exigences strictes des trois satisfait généralement chacun individuellement.

Pour les équipes de conformité, la stratégie consiste à cartographier les exigences chevauchantes, identifier les plus strictes dans chaque domaine et concevoir des contrôles et procédures satisfaisant l’union de toutes les exigences. Une seule structure de gouvernance de la sécurité, un seul cadre de réponse aux incidents et une gestion intégrée des tiers peuvent accommoder plusieurs régimes réglementaires.

Stratégie d’alignement pratique

Pour les organisations soumises à la fois à NIS2 et au RGPD (et potentiellement à d’autres régimes), la stratégie d’alignement doit inclure :

Cadre de gouvernance unifié : établir une seule structure de gouvernance de cybersécurité et de protection des données avec responsabilité au niveau du conseil d’administration. Le RSSI et le DPO doivent se coordonner.

Évaluation des risques intégrée : conduire des évaluations des risques traitant à la fois les risques RGPD (risques pour la vie privée et les droits des individus) et les risques NIS2 (risques pour la disponibilité, l’intégrité du système et la continuité du service). Identifier les contrôles traitant les deux.

Réponse aux incidents unifiée : concevoir des procédures de réponse aux incidents qui évaluent les incidents par rapport à tous les cadres applicables et déterminent quelles notifications réglementaires sont requises. Former de manière croisée les équipes de réponse aux incidents sur les deux cadres.

Contrats tiers standardisés : développer des modèles pour les contrats fournisseurs, les accords de traitement de données et les accords de prestataires de services traitant les exigences de tous les régimes applicables.

Mesures de sécurité consolidées : mettre en œuvre des contrôles de sécurité qui, lorsque c’est possible, satisfont plusieurs régimes. Les contrôles d’accès et le chiffrement, par exemple, traitent à la fois la protection des données RGPD et les exigences de cybersécurité NIS2.

Documentation et transparence : maintenir une documentation de la conformité aux deux cadres. Les politiques de confidentialité et les déclarations de sécurité doivent traiter à la fois la protection des données à caractère personnel et la gestion du risque de cybersécurité.

Points clés à retenir

  • Le RGPD et NIS2 se chevauchent en portée pour les organisations soumises aux deux : celles traitant des données à caractère personnel (RGPD) et gérant des infrastructures critiques ou des services essentiels (NIS2).
  • Les obligations de sécurité au titre de l’article 32 (RGPD) et de l’article 21 (NIS2) sont complémentaires : le RGPD se concentre sur la protection des données à caractère personnel ; NIS2 se concentre sur la cybersécurité systémique et la continuité du service. Un programme de sécurité unifié peut satisfaire les deux.
  • Les cadres de notification d’incident diffèrent : le RGPD exige la notification des violations de données à caractère personnel sous 72 heures (ou sans retard injustifié) aux autorités de protection des données et aux individus concernés ; NIS2 exige la notification des incidents significatifs sous 24 heures aux autorités compétentes et aux CSIRT. Les deux peuvent être déclenchés par un seul incident.
  • La gestion du risque tiers doit satisfaire les deux cadres : les contrats avec les fournisseurs et prestataires de services doivent établir des exigences de cybersécurité, réserver les droits d’audit et spécifier les délais de notification d’incident satisfaisant à la fois le RGPD et NIS2.
  • Les organisations soumises aux deux régimes (et potentiellement à d’autres comme DORA) doivent adopter une stratégie de conformité unifiée : gouvernance intégrée, évaluation des risques unifiée, contrats tiers standardisés et mesures de sécurité consolidées qui traitent les exigences de tous les régimes applicables.
Daniel Grigorovich

Daniel Grigorovich · Fondateur

Je pense qu'aucune entreprise ne devrait avoir à subir les « listes de contrôle de conformité » ni à se débattre avec des textes réglementaires obscurs. Bien que je reste attaché au principe selon lequel tous les logiciels doivent être fiables et sécurisés, je souhaite offrir aux entreprises un moyen de surmonter les difficultés rencontrées lors de la mise en œuvre de ces exigences.

À lire aussi

Encore plus depuis le blog.

NIS2 au Luxembourg : comment la loi du 5 mai 2026 transpose la directive européenne
NIS2 · 31 May 2026

NIS2 au Luxembourg : comment la loi du 5 mai 2026 transpose la directive européenne

Le Luxembourg a transposé NIS2 par la loi du 5 mai 2026, désignant l'ILR, le HCPN et CIRCL comme piliers institutionnels. Ce que toute entité essentielle ou importante doit savoir.
Divulgation coordonnée des vulnérabilités : un nouveau cadre pour les chercheurs
NIS2 · 29 May 2026

Divulgation coordonnée des vulnérabilités : un nouveau cadre pour les chercheurs

Comprendre le cadre de divulgation coordonnée des vulnérabilités de l'article 12 de NIS2. Comment chercheurs, fournisseurs et CSIRT interagissent dans le nouveau processus CVD européen.
NIS2 pour l'industrie manufacturière : automobile, électronique et machines
NIS2 · 27 May 2026

NIS2 pour l'industrie manufacturière : automobile, électronique et machines

Comprendre les exigences NIS2 pour les fabricants de véhicules, d'électronique et de machines. Ce que les « entités importantes » doivent mettre en œuvre au titre de l'annexe II.