Depuis 2018 et l'entrée en vigueur du RGPD, la conformité des systèmes d'information n'est plus un sujet réservé aux grandes entreprises. Les réglementations se sont multipliées, leur périmètre s'est élargi, et les sanctions se sont concrétisées. Or, dans la majorité des PME et ETI françaises, personne n'est formellement désigné pour piloter cet enjeu.

Les trois référentiels qui structurent la conformité SI

RGPD

Règlement Général sur la Protection des Données

En vigueur depuis mai 2018, le RGPD impose à toute organisation traitant des données personnelles de citoyens européens un ensemble d'obligations : registre des traitements, base légale pour chaque traitement, droits des personnes concernées, encadrement des sous-traitants, notification des violations de données sous 72h. La CNIL peut contrôler sur place ou à distance, sur plainte ou de sa propre initiative.

  • Désignation d'un DPO (obligatoire pour certaines activités)
  • Analyse d'impact (AIPD) pour les traitements à risque élevé
  • Contrats DPA avec tous les sous-traitants IT
Sanctions
Jusqu'à 20 M€ ou 4% du CA mondial annuel, selon le montant le plus élevé. Des amendes sont prononcées contre des PME françaises depuis 2019.
NIS2

Directive Network and Information Security 2

Transposée en droit français depuis fin 2024, NIS2 élargit considérablement le périmètre de la directive initiale. Elle touche désormais des milliers d'entités supplémentaires, dont de nombreuses PME qui sont fournisseurs ou sous-traitants d'entités essentielles. Les obligations portent sur la gestion des risques cyber, la notification d'incidents sous 24h, la sécurité de la chaîne d'approvisionnement et la gouvernance au niveau dirigeant.

  • Analyse de risques et politique de sécurité documentée
  • Plan de continuité et de reprise d'activité
  • Responsabilité personnelle des dirigeants en cas de manquement
Sanctions
Jusqu'à 10 M€ ou 2% du CA mondial pour les entités importantes. Responsabilité personnelle des dirigeants : suspension temporaire possible.
ISO 27001

Norme internationale de sécurité de l'information

L'ISO 27001 n'est pas une obligation légale — c'est un référentiel de bonnes pratiques structurant pour la sécurité de l'information. Elle est de plus en plus exigée comme pré-requis contractuel dans les appels d'offres publics et privés. Sa certification démontre une maturité organisationnelle que vos clients et partenaires reconnaissent comme un signal de confiance.

  • Système de management de la sécurité de l'information (SMSI)
  • 93 mesures de sécurité organisationnelles et techniques
  • Audits de certification et de surveillance annuels

La question centrale : qui est responsable dans votre entreprise ?

La conformité réglementaire SI n'est pas un projet ponctuel. C'est une discipline continue qui exige une compétence technique (compréhension des référentiels, des risques, des architectures), une compétence juridique (lecture des textes, mise en veille réglementaire) et une compétence organisationnelle (pilotage des équipes, sensibilisation, audits).

Cette combinaison est rare. Elle ne se trouve pas dans un responsable informatique opérationnel, ni dans un cabinet juridique, ni dans un prestataire de maintenance. Elle se trouve dans un RSSI — Responsable de la Sécurité des Systèmes d'Information — ou dans un DSI ayant une expertise sécurité.

Ce que NIS2 change fondamentalement : pour la première fois, la responsabilité personnelle des dirigeants est explicitement engagée en cas de manquement. Ce n'est plus le RSSI qui est en première ligne — c'est le DG ou le DAF. Cette évolution transforme la conformité SI en sujet de gouvernance d'entreprise, pas seulement de gestion informatique.

Le rôle du DSI ou RSSI à temps partagé dans la conformité

Un DSI ou RSSI à temps partagé prend en charge la conformité réglementaire SI de manière structurée, avec une approche en trois niveaux :

Niveau 1 — Évaluation et cartographie

Premier mois : identification des référentiels applicables à votre activité et à votre chaîne de valeur, analyse des écarts entre votre situation actuelle et les exigences réglementaires, priorisation des actions correctrices par niveau de risque.

Niveau 2 — Mise en conformité

Documentation des politiques de sécurité (PSSI), registre des traitements RGPD, plan de continuité, contrats sous-traitants, procédures de gestion des incidents. Ce travail est concret, documenté, et auditable.

Niveau 3 — Maintien en condition de conformité

La réglementation évolue. Les sous-traitants changent. Les systèmes se transforment. La conformité n'est pas un état stable — c'est un processus. Le DSI à temps partagé assure la veille réglementaire et l'actualisation permanente du dispositif.

Conclusion

NIS2, RGPD, ISO 27001 : ces référentiels ne sont pas des obstacles bureaucratiques. Ils formalisent des bonnes pratiques que toute entreprise bien gouvernée devrait appliquer de toute façon. La différence est que leur non-application expose désormais les dirigeants à des risques personnels et financiers documentés.

La vraie question n'est pas « comment se conformer ? » — c'est « qui, dans votre organisation, a la responsabilité, la compétence et le mandat pour le faire ? » Si la réponse est floue, c'est que la réponse n'existe pas encore.