Liste de conformité UE pour les startups tech en 2026
What you need to know: Liste de conformité UE pour les startups tech en 2026
Vous lancez ou développez votre activité dans l'UE ? Cette liste couvre les obligations liées au RGPD, au règlement IA, à la directive NIS2, au CRA et au DSA selon les étapes de développement de votre entreprise — pour savoir exactement quoi prioriser et quand.
Les obligations réglementaires de l'UE pour les entreprises technologiques ne sont pas universelles. Ce qui s'applique à votre startup dépend de trois éléments : ce que fait votre produit, à qui vous le vendez, et la taille de votre entreprise. Toutes les réglementations ne s'appliquent pas dès le premier jour — les confondre revient à gaspiller des ressources de conformité sur des non-problèmes, tout en laissant de véritables lacunes sans réponse.
Cette liste est structurée par étape de développement. Parcourez l'étape qui correspond à votre situation actuelle, puis lisez celle qui suit.
Avant le lancement / Phase MVP
Votre première obligation de conformité UE n'est pas un long processus de certification — il s'agit de comprendre vos flux de données personnelles et de poser les fondements essentiels du RGPD avant de traiter toute donnée d'utilisateurs de l'UE.
Entité juridique et représentation
- Si vous n'avez pas d'entité juridique dans l'UE, désignez un représentant UE au titre de l'article 27 du RGPD avant de collecter des données de résidents de l'UE. Un représentant UE est une personne physique ou morale nommément désignée dans l'UE, pouvant être contactée par les autorités de contrôle en votre nom.
- Si vous traitez à grande échelle des catégories particulières de données (données de santé, biométriques, génétiques, convictions religieuses, opinions politiques, orientation sexuelle), évaluez si vous devez désigner un délégué à la protection des données (DPD, art. 37). La plupart des startups en phase initiale ne remplissent pas les conditions d'une désignation obligatoire de DPD, mais documentez l'évaluation.
Fondements de la gouvernance des données
- Rédigez une politique de confidentialité conforme aux articles 13–14 du RGPD : base légale pour chaque activité de traitement, droits des personnes concernées, durées de conservation, sous-traitants tiers nommément désignés
- Rédigez une politique de gestion des cookies couvrant les exigences de consentement au titre de la directive ePrivacy — les cookies analytiques et publicitaires nécessitent un consentement opt-in ; les cookies strictement nécessaires non
- Constituez un registre des activités de traitement (RAT) (art. 30) — un registre des données personnelles que vous collectez, pour quelle finalité, sur quelle base légale, qui y a accès et combien de temps vous les conservez. Commencez dès maintenant, même sous la forme d'un simple tableur
- Identifiez et documentez la base légale de chaque activité de traitement avant de commencer à traiter
Fonctionnalités d'IA
- Si votre MVP intègre une fonctionnalité d'IA, vérifiez si elle relève des pratiques interdites par le règlement IA de l'UE (en vigueur depuis août 2025). La notation sociale, la manipulation subliminale et la reconnaissance des émotions sur le lieu de travail sont purement et simplement interdites, quelle que soit la taille de l'entreprise.
- Mettez en place des pratiques de culture de l'IA pour tout le personnel utilisant des outils d'IA (art. 4, en vigueur depuis février 2025) — même de manière informelle à ce stade ; documentez les outils d'IA utilisés et sensibilisez l'équipe à leurs limites.
Après le lancement / Phase de croissance (jusqu'à 50 employés)
Une fois que vous avez des utilisateurs UE et un produit fonctionnel, le périmètre de conformité s'élargit.
Sécurité RGPD et préparation aux incidents
- Réalisez un audit de sécurité RGPD art. 32 — documentez les mesures techniques et organisationnelles protégeant les données personnelles (contrôles d'accès, chiffrement au repos et en transit, sauvegarde et restauration, journaux d'accès)
- Établissez une procédure de notification de violation de données : qui est notifié en interne, qui notifie l'autorité de contrôle dans les 72 heures, et qui informe les personnes concernées si la violation de données crée un risque élevé
- Négociez des accords de sous-traitance (art. 28) avec tous les sous-traitants traitant des données personnelles UE pour votre compte — cela inclut les fournisseurs cloud, les outils d'analyse, les plateformes de support client et les prestataires de messagerie
Règlement IA UE (si vous disposez de fonctionnalités d'IA)
- Évaluez chaque fonctionnalité d'IA au regard de l'annexe III du règlement IA UE pour déterminer si elle est à haut risque. La liste couvre : le tri de CV, la notation de crédit, les composants d'infrastructure critique, les systèmes d'admission, les outils d'application de la loi, l'évaluation du risque migratoire et les outils d'influence électorale.
- Si aucune fonctionnalité n'est à haut risque, documentez cette évaluation — les régulateurs la demanderont. La plupart des outils B2B SaaS en phase initiale ne comportent pas de systèmes d'IA à haut risque, mais l'évaluation doit être réalisée et consignée.
- Si vous disposez de fonctionnalités d'IA à haut risque, commencez dès maintenant la documentation de conformité : système de gestion des risques, gouvernance des données d'entraînement, documentation technique (annexe IV), conception de la supervision humaine. La date limite de conformité est le 2 août 2026 — le délai de mise en œuvre est généralement de 9 à 18 mois.
- Mettez en place une formation à la culture de l'IA (art. 4) pour tout le personnel utilisant des systèmes d'IA — une séance d'information structurée ou un module e-learning est suffisant ; documentez les participations.
DSA (si vous disposez d'une plateforme avec du contenu généré par les utilisateurs)
- Examinez les obligations de base du DSA : conditions d'utilisation conformes à l'art. 14, point de contact unique pour les autorités (art. 11), rapport de transparence si vous modérez du contenu (art. 15)
- Si les utilisateurs peuvent publier du contenu, mettez en place un mécanisme de signalement et d'action pour les contenus illicites (art. 16)
Phase de croissance avancée (50–250 employés)
À ce stade, vous pouvez franchir des seuils qui font entrer en jeu NIS2, des obligations plus exigeantes au titre du règlement IA, ou le CRA.
NIS2 (infrastructure numérique et services)
- Évaluez si votre entreprise répond aux critères d'entité couverte au titre de NIS2. Consultez l'annexe II de NIS2 : les prestataires de services gérés, les fournisseurs cloud, les centres de données, les fournisseurs CDN, les prestataires de services DNS, les bureaux d'enregistrement de noms de domaine, les places de marché en ligne et les moteurs de recherche sont couverts si vous êtes de taille moyenne (≥50 employés ou >10 M€ de chiffre d'affaires) ou grande.
- Si NIS2 s'applique : enregistrez-vous auprès de votre autorité nationale NIS, mettez en œuvre les 10 catégories de mesures de sécurité de l'art. 21 (analyse des risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, contrôles d'accès, MFA, cryptographie, formation, gestion des vulnérabilités, sécurité RH), et établissez la procédure de notification double des incidents (alerte précoce sous 24 h ; notification d'incident au CSIRT sous 72 h).
- Assurez la responsabilisation de l'organe de direction — l'art. 20 de NIS2 exige que la direction approuve les mesures de sécurité et soit personnellement responsable en cas de non-conformité.
Règlement IA UE (systèmes à haut risque)
- Si vous avez identifié des systèmes d'IA à haut risque et n'avez pas encore achevé votre mise en conformité : la date limite du 2 août 2026 est contraignante. Finalisez l'évaluation de la conformité, enregistrez le système dans la base de données UE (pour les systèmes relevant des domaines de l'annexe III soumis à une utilisation par les autorités publiques ou à un risque significatif pour des tiers), et préparez la déclaration UE de conformité.
- Si vous êtes un fournisseur de modèle GPAI (vous développez un modèle d'IA à usage général) : les obligations GPAI s'appliquent depuis le 2 août 2025. Elles comprennent la documentation technique, la politique en matière de droits d'auteur et les résumés des données d'entraînement. Les modèles présentant un risque systémique sont soumis à des tests adversariaux et à des obligations de signalement des incidents.
CRA (si vous vendez des logiciels ou des produits connectés dans l'UE)
- Évaluez si l'un de vos produits constitue un produit comportant des éléments numériques au sens du CRA. Les logiciels vendus sur le marché UE — y compris les SaaS avec des composants traités localement, les applications mobiles, les micrologiciels — entrent dans le champ d'application.
- Classifiez chaque produit (Standard, Important classe I/II, Critique) en utilisant les annexes III et IV du CRA.
- Commencez une analyse des écarts de l'annexe I : auditez chaque produit au regard des exigences essentielles de cybersécurité (sécurisé par défaut, absence d'exploits connus lors de la mise sur le marché, surface d'attaque minimale, contrôles d'accès, intégrité, journalisation).
- Mettez en place des processus de gestion des vulnérabilités (politique de divulgation coordonnée, signalement des vulnérabilités exploitées sous 24 h à l'ENISA/CSIRT) — requis à partir de septembre 2026.
- Planifiez l'évaluation de la conformité pour les produits de classe I/II Importante — les organismes notifiés ont une capacité limitée ; commencez tôt.
Matrice de priorités : quelle réglementation s'applique quand
| Réglementation | Avant lancement/MVP | Croissance (≤50 employés) | Croissance avancée (50–250 employés) | |----------------|---------------------|---------------------------|---------------------------------------| | RGPD | S'applique (bases requises avant le premier utilisateur UE) | S'applique (conformité complète requise) | S'applique (conformité complète requise) | | Règlement IA UE (pratiques interdites) | S'applique (depuis août 2025) | S'applique | S'applique | | Règlement IA UE (systèmes à haut risque) | Évaluation uniquement | Évaluation + documentation | Mise en conformité avant août 2026 | | NIS2 | Pas encore | Pas encore (sous le seuil) | S'applique si dans un secteur couvert | | CRA | Pas encore (pré-marché) | Évaluer si vente de produits | Mise en conformité (signalement depuis sep. 2026 ; complet depuis déc. 2027) | | DSA | Niveau de base si hébergement de contenu utilisateur | Niveau de base/plateforme | Niveau plateforme ou VLOP selon le nombre d'utilisateurs |
Erreurs fréquentes
Considérer que le RGPD couvre tout. Le RGPD régit les données personnelles. Il ne couvre pas la sécurité opérationnelle de vos réseaux (NIS2), les propriétés de sécurité de vos produits (CRA), ni la sûreté de vos systèmes d'IA (règlement IA UE). Ce sont des cadres juridiques distincts avec des obligations distinctes.
Ignorer le règlement IA UE parce que « nous n'utilisons que des API ». L'utilisation d'une API d'IA tierce ne fait pas de vous un fournisseur — mais elle fait de vous un déployeur. Les déployeurs ont de réelles obligations au titre du règlement IA, notamment la supervision humaine des systèmes à haut risque et la culture de l'IA pour le personnel. Le règlement s'applique à la manière dont vous intégrez et utilisez l'IA, pas seulement à ceux qui développent le modèle sous-jacent.
Manquer le CRA parce que le logiciel semble immatériel. Le CRA couvre explicitement les produits logiciels. Les micrologiciels, applications mobiles, applications de bureau et composants logiciels qui traitent des données localement entrent dans le champ d'application s'ils correspondent à la définition d'un « produit comportant des éléments numériques ». L'idée répandue selon laquelle le CRA ne concerne que le matériel est incorrecte.
Par où commencer : trois actions immédiates pour toute startup tech UE
Quelle que soit votre étape, ces trois actions doivent être réalisées avant tout le reste :
-
Faites l'inventaire de vos flux de données — listez chaque catégorie de données personnelles que vous collectez, cartographiez leur circulation, identifiez les sous-traitants tiers et documentez votre base légale pour chaque finalité de traitement. C'est le fondement à la fois de la conformité RGPD et de toute évaluation au titre du règlement IA.
-
Documentez vos systèmes d'IA — pour chaque outil d'IA que vous utilisez ou développez, consignez : ce qu'il fait, quelles données il traite, sur qui il prend des décisions, et si ces décisions ont des effets significatifs sur les personnes. Cet inventaire est le point de départ pour la classification au titre du règlement IA UE.
-
Attribuez la responsabilité de la conformité — quelqu'un dans votre organisation doit être responsable de chaque réglementation. Pour une startup en phase initiale, il s'agit généralement du directeur technique ou d'un ingénieur senior. Une conformité sans responsable ne produit que de la documentation sans substance.
Dernière mise à jour : avril 2026. À titre informatif uniquement — ne constitue pas un avis juridique.
Foire aux questions
Quelles réglementations UE s'appliquent à une startup de moins de 50 employés ?
Le RGPD s'applique dès le premier utilisateur UE, quelle que soit la taille de l'entreprise — il n'existe pas de seuil basé sur le nombre d'employés. Les pratiques interdites du règlement IA UE (article 5) et l'obligation de culture de l'IA (article 4) s'appliquent à tous les déployeurs, quelle que soit leur taille. Les obligations relatives aux systèmes à haut risque du règlement IA UE s'appliquent si votre produit contient un système d'IA à haut risque ; la taille de l'entreprise n'est pas un critère d'exemption. NIS2 et le CRA exigent généralement au moins 50 employés ou 10 millions d'euros de chiffre d'affaires pour déclencher leur champ d'application (avec des exceptions limitées pour les prestataires uniques de services critiques). Les obligations de base du DSA s'appliquent si vous hébergez du contenu généré par les utilisateurs, là encore quelle que soit la taille.
Quelle est la première étape de conformité UE pour une nouvelle startup tech ?
Avant de traiter toute donnée personnelle UE, cartographiez vos flux de données : identifiez chaque catégorie de données personnelles que vous collectez, la finalité de la collecte, la base légale au titre de l'article 6 du RGPD, qui y a accès et quels sous-traitants tiers sont impliqués. Cette cartographie des flux de données est le fondement de votre registre des activités de traitement (article 30 du RGPD), de votre politique de confidentialité (articles 13–14), de vos accords de sous-traitance (article 28) et de toute obligation d'analyse d'impact relative à la protection des données (AIPD, article 35). Elle fournit également les éléments nécessaires pour évaluer l'applicabilité du règlement IA UE si votre produit intègre des fonctionnalités d'IA.
Existe-t-il des exemptions de conformité UE pour les startups ou les PME ?
Le RGPD ne prévoit pas d'exemptions pour les PME concernant les obligations essentielles, bien que l'article 30, paragraphe 5, exempte les organisations de moins de 250 employés de l'obligation de tenir un registre des activités de traitement, sauf si le traitement n'est pas occasionnel, porte sur des catégories particulières de données, ou est susceptible d'engendrer un risque pour les droits des personnes. NIS2 exclut généralement les micro et petites entreprises (moins de 50 employés et moins de 10 millions d'euros de chiffre d'affaires), sauf si elles sont prestataires unique d'un service critique. Le règlement IA UE n'exempte pas les PME des pratiques interdites ni des obligations relatives aux systèmes à haut risque, mais l'article 55 charge les États membres de mettre en place des bacs à sable réglementaires et un soutien aux PME et aux startups pour réduire les obstacles à la conformité.
Sources
- Règlement (UE) 2016/679 — Règlement général sur la protection des données (RGPD) — Texte complet du RGPD, notamment les articles 4–6 (définitions et base légale), l'article 30 (registre des traitements), l'article 35 (AIPD) et l'article 37 (désignation du DPD).
- Directive (UE) 2022/2555 — Directive NIS2 — Texte complet de NIS2, notamment l'annexe II (catégories d'entités couvertes), l'article 20 (responsabilité de l'organe de direction) et l'article 21 (mesures de sécurité).
- Règlement (UE) 2024/1689 — Règlement sur l'intelligence artificielle — Texte complet du règlement IA, notamment l'article 4 (culture de l'IA), l'article 5 (pratiques interdites), l'annexe III (catégories de systèmes à haut risque) et l'article 55 (mesures de soutien aux PME).
- Commission européenne — Conformité numérique et orientations réglementaires pour les PME — Ressources de la Commission pour les PME naviguant dans les réglementations numériques UE, notamment RGPD, règlement IA et obligations CRA.
- ENISA — Guide de cybersécurité pour les PME — Orientations pratiques de l'ENISA pour les petites et moyennes entreprises sur la mise en œuvre de mesures de cybersécurité conformes aux exigences de l'article 21 de NIS2.
Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un conseiller juridique qualifié avant de prendre des décisions en matière de conformité.
Key takeaways: Liste de conformité UE pour les startups tech en 2026
This article covers: Avant le lancement / Phase MVP, Après le lancement / Phase de croissance (jusqu'à 50 employés), Phase de croissance avancée (50–250 employés).
- Avant le lancement / Phase MVP
- Après le lancement / Phase de croissance (jusqu'à 50 employés)
- Phase de croissance avancée (50–250 employés)
- Matrice de priorités : quelle réglementation s'applique quand
- Erreurs fréquentes
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing — 2 minutes, every Thursday.