Juridique - Avril 2026

NIS2 et RGPD : deux textes, une strategie de conformité

La directive NIS2 et le RGPD coexistent et s'appliquent souvent simultanement. Comprendre leur articulation est essentiel pour batir une strategie de conformité coherente et éviter les doublons.

Deux textes complémentaires, pas concurrents

Quand les deux s'appliquent simultanement

La majorite des incidents cyber declenchent les deux regimes. Exemples :

• Un ransomware sur un hopital : NIS2 (entité essentielle santé) + RGPD (donnees patients)
• Une fuite de donnees clients : RGPD (donnees personnelles) + NIS2 si l'entité est concernee
• Une attaque supply chain : NIS2 (article 21.2.d) + RGPD si des sous-traitants traitent des donnees

Vers un guichet unique de notification ?

L'avis conjoint CEPD 4/2026 du 18 mars 2026 recommande un point d'entree unique pour harmoniser les notifications entre l'article 33 du RGPD, l'article 23 de NIS2 et le reglement DORA. En pratique, une notification unique declencherait le circuit vers l'autorite competente (CNIL et/ou ANSSI).

Le rôle du DPO dans la conformité NIS2

Le Data Protection Officer est un candidat naturel pour piloter la conformité NIS2 :

• Connaissance des analyses d'impact (DPIA transferable vers l'analyse de risques NIS2)
• Lien etabli avec la direction et les équipes techniques
• Expérience de la conformité reglementaire europeenne
• Independance et capacité d'alerte

Mutualiser les efforts

1. Registres : ajoutez une dimension NIS2 à votre registre RGPD existant
2. Analyses d'impact : DPIA et analyse de risques NIS2 peuvent être conduites conjointement
3. Gouvernance : votre comite RGPD peut devenir comite RGPD/NIS2
4. Formation : intégréz un module NIS2 dans vos formations RGPD
5. Référentiel : ISO 27001 couvre les deux périmètre

Voir aussi le glossaire NIS2, les obligations de l'article 21 et la procédure de notification.

Sources

1. Directive (UE) 2022/2555, article 23
2. RGPD, article 33
3. Avis conjoint CEPD 4/2026, 18 mars 2026