Chronique

Réglementation IT : les grandes dates à ne pas rater en 2026

Dans cette chronique, l'avocat Eric Barbry détaille les nouvelles obligations qui vont s'imposer aux organisations dans l'année à venir, ainsi que les textes qui pourraient s'ajouter à l'équation.

Photo de profil
Eric Barbry

Avocat associé - Racine Avocats

Publié le 13 févr.

Lecture 4 min.

Je fais du droit de l’IT depuis 34 ans ("avant" on disait droit de l’informatique !) et tous les ans je suis étonné de voir à quel point le législateur est attentif à mon bonheur en prévoyant une palanquée de nouvelles obligations… Chaque année j’établis donc un planning des nouvelles contraintes et voici le résultat pour 2026. Je ne tiens compte que des textes de nature règlementaire, en France ou issus des instances Européennes et non des contentieux qui nourrissent aussi notre matière. Je me suis contenté des textes majeurs ; s’il y a des oublis, pardonnez-moi par avance. Il faut distinguer deux situations : la mise en œuvre de nouvelles obligations sur des textes déjà adoptés d’une part ; les nouveaux textes qui seront adoptés dans l’année d'autre part.

La mise en œuvre de nouvelles obligations issues de textes existants

Pour le Règlement IA (UE 2024/1689), à partir du 2 août 2026 :

  • Entrée en vigueur des obligations pour les opérateurs de systèmes d’IA à haut risque de l’annexe III Règlement IA (fournisseurs, déployeurs, mandataires, importateurs, distributeurs).

  • Application du régime des sanctions (articles 99 et 101).

  • Attention : Possiblement impacté par Omnibus

Pour la Facturation Électronique (Ordonnance n° 2021-1190) à partir du 1er septembre 2026 :

  • Toutes les entreprises doivent pouvoir recevoir des factures électroniques.

  • Grandes entreprises et ETI doivent émettre des factures électroniques.

Pour le Cyber Resilience Act (UE 2024/2847) à partir du 11 septembre 2026 :

  • Déclaration des vulnérabilités et incidents (article 14) : Notification au CSIRT sous 24h / information des utilisateurs et des autorités.

Pour le Data Act (UE 2023/2854) à partir du 12 novembre 2026 :

  • Accès aux données générées par les produits connectés et services connexes (article 3).

  • Obligation pour les fabricants et fournisseurs de rendre les données accessibles, structurées et lisibles par machine.

Pour la Directive sur la Responsabilité des Produits Défectueux (UE 2024/2853) à partir du 9 décembre 2026 :

  • Extension de la responsabilité aux logiciels et systèmes d’IA.

  • Responsabilité du fabricant pour les défauts liés aux mises à jour ou à l’apprentissage continu.

Les nouveaux textes annoncés pour 2026

Ces nouveaux textes sont au nombre de trois : la loi de transposition de la directive NIS2, la loi visant à limiter l’accès aux réseaux sociaux aux mineurs et le projet Européen dit « Digital Omnibus ».

Le projet de transposition de NIS2 est attendu depuis octobre 2024 (deadline de transposition) et devrait voir le jour dans les semaines/mois qui viennent. Intitulé pour l’heure « Projet de Loi sur la Résilience des Infrastructures Critiques » il aura cependant un spectre plus large que la seule transposition NIS2 car il traitera également en partie des OIV, de REC résilience physique des infrastructures critiques ou de DORA (Banque Finance Assurance).

La proposition de loi « visant à protéger les mineurs des risques auxquels les expose l’utilisation des réseaux sociaux » devrait être adoptée d’ici la rentrée par la voie d’une procédure d’urgence. Celle-ci devrait prévoir d’interdire l’accès aux mineurs de moins de moins de 15 ans aux réseaux sociaux. Elle comporte évidemment son lot d’incertitudes : qui est, ou n’est pas, un réseau social visé par le texte ? Comment faire en pratique notamment pour éviter les détournements ? Qui doit le faire ? Qui contrôle ce qui doit être fait ? Quelles sanctions ?

Quant au projet de règlement « Digital Omnibus » il semble s’inscrire dans un calendrier plus lointain, probablement second semestre 2026 pour une mise en application en 2027 ou plus tard. Ce « paquet » de mesures touche plusieurs règlementations IT dont le RGPD, le RIA ou encore la directive e-privacy. Il est difficile de donner un contenu certain de ce que sera le texte car les lobbies en tout genre font leur effet mais nous pourrions connaitre :

  • Une évolution par une simplification des conditions d’obtention de l’accord des internautes sur les cookies ;

  • Une évolution majeure du RPGD avec la sortie de son champ d’application les données « pseudonymisées » sans conditions et probablement des dispositions spécifiques pour les données personnelles et l’IA ou un allégement des disposions en matière de notification de violation de sécurité

  • Un report voire une évolution des règles sur les IA à haut risque

  • Un allégement substantiel des obligations liées au Data Act

Quant à la partie cyber, prenant en compte des règlementations « en silo » sur la manière de réagir à une attaque informatique, le projet Omnibus se propose de raisonner de manière plus globale vers un système de type guichet unique.

À la une
Transformations numériques Technopolitique Les Faiseurs Ressources
Ressources
Organisations Guides & Carnets Soumettre un article Soumettre une organisation Défis
Informations
À propos Nous contacter Informations légales CGV Politiques de protections de vos données

© 2026 Alliancy . Tous droits réservés.
Propulsé par Omerlo.