SaaSFort
RGPD NIS2 B2B SaaS protection des données cybersécurité conformité notification de violation

RGPD + NIS2 pour le B2B SaaS : recoupements, divergences et plan d'action

Le RGPD protège les données personnelles. NIS2 protège la continuité des services. Le recoupement est réel, mais les traiter comme équivalents est l'une des erreurs de conformité les plus fréquentes en B2B SaaS en 2026.

ST
SaaSFort Team
· 9 Min. Lesezeit

Le RGPD et NIS2 atterrissent dans la boîte mail du même fondateur B2B SaaS la même semaine, signalés par le même acheteur procurement, traités comme deux variantes légèrement différentes du même texte. Ce n’est pas le cas. Le RGPD est une réglementation sur la protection des données qui exige des mesures de sécurité. NIS2 est une directive de cybersécurité qui s’applique aux services traitant des données personnelles. Le recoupement est réel, mais les traiter comme équivalents est l’une des erreurs de conformité les plus fréquentes en B2B SaaS en 2026.

Cet article cartographie les points communs (pour éviter les doublons) et les divergences (pour ne rien manquer), et propose un plan pratique pour le B2B SaaS doublement soumis.

Définitions en une ligne

RGPDNIS2
Ce qu’il protègeDonnées personnelles des personnes physiquesContinuité des réseaux et systèmes d’information
DéclencheurTraitement de données personnelles de résidents UEPérimètre Annexe I ou II, seuils de taille
AutoritéAutorité nationale de protection des données (CNIL, BfDI, etc.)Autorité nationale de cybersécurité (BSI, ANSSI, etc.)
Plafond de sanctionEUR 20M ou 4 % du chiffre d’affaires mondialEUR 10M ou 2 % (entités essentielles) ; EUR 7M ou 1,4 % (entités importantes)
En vigueur depuis25 mai 2018Transposition NIS2 le 17 octobre 2024 ; BSIG allemand depuis mars 2026

La différence catégorielle est importante. Un éditeur SaaS hors périmètre NIS2 reste soumis au RGPD s’il traite des données personnelles UE. Un éditeur ne traitant pas de données personnelles (rare, mais possible : outils d’infrastructure purs, métriques anonymisées) reste soumis à NIS2 s’il franchit les seuils de l’Annexe I ou II. Les deux questions coexistent pour la plupart des B2B SaaS, mais leur conjonction n’est pas automatique.

Points communs (pour éviter les doublons)

Recoupement 1 : les mesures de sécurité doivent être adaptées au risque

L’article 32 du RGPD exige des « mesures techniques et organisationnelles appropriées » pour garantir la sécurité des données. L’article 21 de NIS2 liste dix mesures de gestion des risques de cybersécurité, elles aussi calibrées au risque. Les mesures techniques se recoupent largement :

  • Chiffrement (RGPD Art. 32(1)(a) et NIS2 Art. 21(2)(h))
  • Confidentialité, intégrité, disponibilité, résilience (RGPD Art. 32(1)(b) et NIS2 Art. 21(2)(b) et (c))
  • Tests et évaluations réguliers (RGPD Art. 32(1)(d) et NIS2 Art. 21(2)(f))

Concrètement : une politique de chiffrement documentée, assortie de la preuve de TLS 1.3 sur les services exposés, satisfait les deux cadres. Vous rédigez la politique une seule fois et la citez sous les deux référentiels.

Recoupement 2 : les notifications de violation et d’incident ont toutes deux un délai de 72 heures (mais ce sont deux délais distincts)

L’article 33 du RGPD exige de notifier l’autorité de contrôle dans les 72 heures suivant la prise de connaissance d’une violation de données personnelles. L’article 23 de NIS2 exige une alerte précoce sous 24 heures, puis une notification complète de l’incident de cybersécurité sous 72 heures.

Le point commun est le délai de 72 heures. La différence concerne le déclencheur et le destinataire. Une attaque par ransomware sur un éditeur SaaS qui expose des données personnelles UE déclenche les deux : notification RGPD à la DPA ET notification NIS2 d’incident au CSIRT national, dans leurs délais respectifs, à compter de leurs définitions respectives de la prise de connaissance. La plupart des équipes construisent un runbook de réponse aux incidents commun avec deux branches de notification.

Recoupement 3 : documentation et accountability

Le RGPD exige un Registre des Activités de Traitement (Art. 30) et la capacité à démontrer la conformité (Art. 5(2)). NIS2 exige la documentation des mesures de gestion des risques (Art. 21) et l’approbation des organes de direction (Art. 20). Les deux s’appuient sur le même socle documentaire : politiques, matrices de contrôles, pistes d’audit, registres de formation.

Divergences (pour ne rien manquer)

Différence 1 : la base légale du traitement (RGPD uniquement)

Le RGPD exige une base légale pour chaque traitement : consentement, contrat, obligation légale, intérêts vitaux, mission d’intérêt public ou intérêt légitime (Art. 6). NIS2 n’a pas d’équivalent. Un programme centré sur NIS2 qui ignore la documentation des bases légales échouera à un audit RGPD, quelle que soit la solidité de la posture de cybersécurité.

Différence 2 : les droits des personnes (RGPD uniquement)

Le RGPD confère aux personnes des droits d’accès, de rectification, d’effacement, de portabilité, de limitation du traitement et d’opposition (Art. 15 à 22). NIS2 n’a pas de dimension « droits des personnes ». Les éditeurs SaaS doivent construire des workflows de demandes d’accès pour le RGPD ; NIS2 ne l’exige pas.

Différence 3 : le risque lié à la chaîne d’approvisionnement (NIS2 spécifiquement)

L’article 28 du RGPD exige des contrats de sous-traitance et des obligations de traitement. L’article 21(2)(d) de NIS2 exige d’évaluer les fournisseurs directs et prestataires de services comme un risque de cybersécurité, au-delà du seul aspect traitement de données. NIS2 est plus large sur la chaîne d’approvisionnement car il couvre toutes les dépendances ICT, pas seulement celles traitant des données personnelles.

Différence 4 : la responsabilité personnelle des dirigeants (NIS2 spécifiquement)

Les amendes RGPD ciblent l’entité responsable de traitement ou le sous-traitant. L’article 20 de NIS2 et le §38 du BSIG allemand rendent les membres des organes de direction personnellement responsables de la supervision de la cybersécurité. Un dirigeant peut être temporairement suspendu de ses fonctions sous NIS2 Art. 32(6) ; aucun équivalent n’existe sous le RGPD.

Différence 5 : le mécanisme transfrontière

Le mécanisme transfrontière du RGPD repose sur le guichet unique avec une Autorité de Contrôle Chef de File. Les entités NIS2 traitent avec chaque régulateur national où elles ont des opérations ; il n’y a pas de guichet unique.

Conformité pratique pour le B2B SaaS

Si vous êtes un B2B SaaS qui traite des données personnelles UE ET est en périmètre NIS2, bâtissez votre programme sur le recoupement :

Un jeu de politiques, deux en-têtes de référentiel. Rédigez une politique de chiffrement, une politique de contrôle d’accès, une politique de réponse aux incidents. Chaque politique comporte une section d’en-tête citant les articles RGPD pertinents ET les articles NIS2 pertinents. Une politique, deux pistes de preuve de conformité.

Un registre des risques, deux dimensions d’impact. Chaque risque identifié documente l’impact RGPD (probabilité et gravité pour les personnes concernées) ET l’impact NIS2 (probabilité et gravité sur la disponibilité du service). Les mesures de réduction sont les mêmes contrôles ; le cadrage de l’impact diffère.

Un runbook de réponse aux incidents, deux branches de notification. Quand un incident survient, le runbook décide dans la première heure : implique-t-il des données personnelles (branche RGPD) et se qualifie-t-il comme incident de cybersécurité significatif (branche NIS2) ? Souvent les deux, parfois un seul, rarement aucun. Lancez un scan externe gratuit pour établir une base de référence sur les catégories qui se recoupent (TLS, headers, DMARC, certificats) avant qu’un régulateur ne vous demande des preuves.

Un programme de formation, deux audiences de régulateurs. La formation à la sensibilisation à la cybersécurité compte pour NIS2 Art. 21(2)(g). La formation à la protection des données par conception compte pour RGPD Art. 25 et Art. 35. La plupart des éditeurs SaaS délivrent une formation combinée (4 à 6 heures, annuelle) avec des preuves au niveau du module par référentiel.

Ce que ça donne au niveau de la note SaaSFort

Chaque PDF de scan SaaSFort associe les résultats de posture externe aux sous-clauses de l’Article 21 de NIS2 ET aux catégories de mesures de sécurité de l’Article 32 du RGPD. La même configuration TLS compte pour les deux régulateurs ; la même configuration DMARC compte pour les deux. SaaSFort Starter à EUR 9 par mois couvre 1 domaine avec le double mapping ; Growth à EUR 19 couvre 10 domaines. Le coût marginal de la collecte de preuves pour les deux référentiels est nul une fois le scan mis en place.

Questions fréquentes

Si j’ai déjà conduit un projet de conformité RGPD, suis-je prêt pour NIS2 ?

En partie. Vos politiques de sécurité, votre runbook de notification de violation et votre socle documentaire s’appliquent. Le nouveau travail concerne les obligations spécifiques à NIS2 : registres de formation des organes de direction (Art. 20), profondeur de l’évaluation des risques de la chaîne d’approvisionnement (Art. 21(2)(d)) et la branche de notification d’incident sous 24 heures. Comptez 2 à 4 mois de travail incrémental, pas un nouveau programme complet.

Une notification de violation RGPD peut-elle satisfaire une notification d’incident NIS2 ?

Non. Elles sont adressées à des autorités différentes sous des bases légales différentes. Une notification de violation RGPD à la DPA ne met pas le BSI au courant. Une notification d’incident NIS2 au CSIRT national ne met pas la DPA au courant. La plupart des incidents impliquant des données personnelles UE déclenchent les deux dépôts ; bâtissez un runbook avec deux branches.

Mon SaaS ne traite aucune donnée personnelle. Que faire ?

Rare en B2B mais possible. Si vous ne traitez aucune donnée personnelle, le RGPD ne s’applique pas et vous vous concentrez uniquement sur NIS2. Même les identifiants pseudonymes pouvant être reliés à une personne physique comptent comme données personnelles au sens de l’Art. 4(1) du RGPD, ce qui signifie que la plupart des B2B SaaS en traitent bien.

Mon client a demandé un DPA et une attestation NIS2. Ce sont les mêmes documents ?

Non. Le DPA est un instrument contractuel au titre de l’Art. 28 du RGPD encadrant les obligations du sous-traitant. Une attestation NIS2 est une déclaration de conformité aux mesures de l’Art. 21. Les acheteurs demandent de plus en plus les deux car chacun répond à un besoin différent. Les clients SaaSFort joignent le PDF de scan pour satisfaire la section preuves techniques de l’attestation NIS2 ; le DPA reste un document juridique négocié séparément.

L’AI Act européen ajoute-t-il un troisième niveau de chevauchement ?

Pour le SaaS qui déploie de l’IA, oui. L’AI Act ajoute des obligations de classification des risques, de transparence et, pour les systèmes à haut risque, d’évaluation de conformité. Le recoupement avec le RGPD porte sur la gouvernance des données ; avec NIS2 sur la cybersécurité. Pour les clients utilisant de l’IA, nous traitons l’AI Act comme un troisième axe du même socle de conformité, mais ce sujet dépasse le cadre de cet article.

En résumé

Le RGPD et NIS2 ne sont ni équivalents ni redondants. Ce sont deux réglementations couvrant un terrain partiellement commun sous des angles différents. Construisez un socle de conformité unique, étiquetez chaque politique avec les deux en-têtes de référentiel, et exécutez un runbook de réponse aux incidents avec deux branches de notification. L’effort gâché vient du fait de les traiter comme des projets distincts avec des équipes séparées.

Lancez un scan SaaSFort gratuit pour établir une base sur les contrôles observables de l’extérieur qui comptent pour les deux référentiels. Tarifs à partir de EUR 9 par mois pour la collecte continue de preuves à un coût négligeable face au plafond de sanctions de chacune des deux réglementations.

Artikel teilen
LinkedIn Post

Von der Theorie zur Praxis

Scannen Sie Ihre Domain kostenlos. Erste Ergebnisse in unter 10 Sekunden — ohne Registrierung.

Kostenlosen Scan starten

Weiterlesen

NIS2RGPD

NIS2 vs RGPD : ce que les éditeurs SaaS doivent savoir en 2026

La conformité RGPD ne couvre pas NIS2. Voici ce qui diffère — périmètre, exigences de sécurité, délais d'incident, et là où les preuves se chevauchent pour les éditeurs SaaS.

Artikel lesen
NIS2responsabilité dirigeant

Responsabilité personnelle des dirigeants NIS2 pour les CEO de SaaS

NIS2 rend les dirigeants personnellement responsables de la cybersécurité. Pas de renonciation possible. Amendes jusqu'à 10 M€. Ce que les CEO de SaaS doivent faire.

Artikel lesen
NIS2conformité

Checklist NIS2 : 10 étapes pour les PME

Checklist NIS2 en 10 étapes pour PME. Enregistrement auprès de l'autorité nationale, mesures de l'article 21, preuves automatisées — sans RSSI.

Artikel lesen
Zurück zu allen Artikeln