Entre l’entrée en vigueur progressive de l’AI Act européen, le durcissement des sanctions RGPD pouvant atteindre 6% du chiffre d’affaires, et l’explosion des cyberattaques ciblant les PME (67% en ont subi en 2024), les entrepreneurs français font face à un triptyque réglementaire et sécuritaire sans précédent. Décryptage des obligations incontournables pour sécuriser votre activité.
L’AI Act : un cadre européen qui change la donne
Des règles progressives depuis août 2025
L’AI Act, première législation mondiale sur l’intelligence artificielle, structure désormais l’usage de l’IA dans l’Union européenne selon une approche par les risques. Publié au Journal officiel en juillet 2024, ce règlement s’applique progressivement : depuis le 2 août 2025, les règles concernant les modèles d’IA à usage général sont entrées en vigueur, selon la Commission européenne.
Pour les entrepreneurs, la CNIL précise que ce texte ne remplace pas le RGPD mais le complète. Les entreprises utilisant des systèmes d’IA doivent désormais classifier leurs outils selon quatre niveaux de risque : inacceptable (interdit), élevé, limité ou minimal. Les systèmes d’IA à haut risque – utilisés notamment dans le recrutement, le crédit ou la gestion RH – devront obtenir un marquage CE et s’inscrire dans une base de données européenne d’ici août 2026.
Ce qui change concrètement pour les TPE/PME
Les entreprises de moins de 500 salariés ne sont pas exemptées. Tout chatbot ou système génératif doit informer l’utilisateur qu’il interagit avec une IA. Les contenus générés artificiellement doivent être clairement signalés comme tels. La Direction générale des Entreprises rappelle que les fournisseurs de systèmes à haut risque devront mettre en place un système de gestion des risques, garantir la gouvernance des données pour éviter les biais, et assurer la traçabilité et la cybersécurité de leurs solutions.
La France accompagne cette transition avec un fonds de 400 millions d’euros dans neuf clusters IA et un objectif de former 100 000 personnes par an dans ce secteur.
RGPD 2025 : durcissement et nouvelles obligations
Des sanctions qui s’alourdissent
Le RGPD franchit une nouvelle étape en 2025 avec un durcissement notable des contrôles. La CNIL a prononcé 87 sanctions en 2024 (contre 42 en 2023), totalisant 55,2 millions d’euros d’amendes. Plus alarmant encore : les pénalités maximales peuvent désormais atteindre 6% du chiffre d’affaires mondial annuel pour certaines violations, contre 4% auparavant, selon plusieurs cabinets juridiques.
Les secteurs sous surveillance accrue incluent la santé, les ressources humaines, l’e-commerce et la finance. En 2025, la CNIL intensifie ses contrôles avec un focus particulier sur la géolocalisation et la vidéosurveillance des salariés, ainsi que sur l’utilisation des données dans les systèmes d’IA. Le temps où appliquer le RGPD sur son site internet est un sujet d’entreprise est révolu, les pratiques requises ayant été relativement adoptées.
Nouvelles exigences autour de l’IA et des données
La CNIL a publié en février 2025 des recommandations spécifiques concernant l’intelligence artificielle générative et les modèles de langage. Les entreprises doivent désormais informer les personnes concernées lorsque leurs données personnelles servent à entraîner un modèle d’IA et sont potentiellement mémorisées.
Le droit à l’oubli numérique se renforce avec un délai maximum de 72 heures pour répondre aux demandes d’effacement (contre 30 jours auparavant). Les entreprises doivent également garantir la suppression des données auprès de tous les sous-traitants et partenaires, créant une responsabilité en cascade inédite.
Une certification RGPD pour les sous-traitants fait son apparition en 2025, permettant aux entreprises de démontrer leur conformité tout en se démarquant sur le marché. Pour les TPE/PME, une simplification ciblée est en cours d’examen : la Commission européenne propose d’alléger les obligations de tenue de registre pour les structures de moins de 500 salariés, selon le Comité européen de la protection des données.
Cybersécurité : les PME en première ligne
Des chiffres alarmants pour les petites structures
Les cyberattaques contre les TPE-PME explosent. Le baromètre Cybermalveillance 2025, dévoilé lors des Assises de la cybersécurité, révèle que 16% des entreprises ont été victimes d’un incident de sécurité au cours des 12 derniers mois. Selon l’ANSSI, 67% des entreprises françaises déclarent avoir vécu au moins une cyberattaque en 2024, contre 53% en 2023.
Le phishing reste la menace numéro un (43% des cas), devant les failles de sécurité (18%) et la consultation de sites infectés (11%).
Les ransomwares constituent la deuxième menace majeure, avec des conséquences dramatiques : 60% des PME victimes d’une attaque majeure ferment leurs portes dans les 18 mois suivants, et le coût moyen d’un incident s’élève à 50 000 euros.
Un niveau de protection encore insuffisant
Malgré une prise de conscience croissante, 78% des TPE-PME se disent insuffisamment préparées aux menaces en ligne. Seul un tiers est correctement paré face aux cybermenaces selon l’Agence nationale de la sécurité des systèmes d’information. Plus préoccupant : 72% des TPE-PME ne disposent d’aucun salarié dédié à la cybersécurité, et 75% y consacrent moins de 2 000 euros par an.
Les menaces internes, souvent involontaires, représentent plus de la moitié des incidents recensés en 2024 selon le Ponemon Institute. Une simple clé USB non sécurisée, un compte mal désactivé ou une mauvaise manipulation peuvent entraîner des violations de données aux conséquences réglementaires et opérationnelles majeures.
Les solutions à portée de main
Face à ces défis, des mesures concrètes existent. Le programme Cyber PME de BPI, doté de 12,5 millions d’euros dans le cadre de France 2030, vise à améliorer les compétences en cybersécurité des PME et ETI. Les plateformes Cybermalveillance.gouv.fr et France Num proposent des outils gratuits : mallettes cyber, kits de sensibilisation et guides pratiques.
Sur le plan technique, le baromètre 2025 montre des progrès : le nombre moyen de dispositifs de sécurité installés augmente (4,06 contre 3,62 en 2024), avec une adoption croissante de politiques de mots de passe (51%), de gestionnaires de mots de passe (46%) et de solutions de double authentification (26%).
Conclusion : une approche intégrée indispensable
L’année 2025 marque un tournant réglementaire et sécuritaire majeur pour les entrepreneurs. L’articulation entre l’AI Act, le RGPD renforcé et les impératifs de cybersécurité impose une stratégie globale plutôt qu’une approche cloisonnée. La Commission européenne travaille d’ailleurs sur un règlement omnibus numérique visant à simplifier les règles en matière de données, de cybersécurité et d’intelligence artificielle.
Pour les dirigeants de TPE-PME, le message est clair : la conformité n’est plus une option mais un impératif de survie. Au-delà des sanctions financières, c’est la confiance des clients, la résilience opérationnelle et la pérennité même de l’entreprise qui sont en jeu. Les structures qui transformeront ces contraintes réglementaires en leviers stratégiques bénéficieront d’un avantage concurrentiel considérable sur un marché où la protection des données devient une valeur essentielle.
