Accueil
IA Act
IA Act IA Benchmark
Produit Tarifs Équipe Baromètre
Rapport Annuel · Themio · Bureau de Conformité Numérique Édition 2026 — mis à jour en juin 2026

Baromètre Conformité Numérique PME
France & Europe 2026

Où en sont vraiment les PME françaises face à l'AI Act, au RGPD et à NIS2 ? Les chiffres que vous ne verrez pas dans les communiqués officiels.

Participez à notre étude → Tester ma conformité gratuitement →
60 %

des PME françaises restent non conformes au RGPD — six ans après son entrée en vigueur.

Pourquoi ce Baromètre ?

Ce que les rapports institutionnels ne disent pas

La conformité réglementaire des grandes entreprises est documentée. Celle des PME, beaucoup moins. Les études disponibles s'arrêtent souvent aux déclarations d'intention — « nous sommes en cours de mise en conformité » — sans mesurer l'état réel des pratiques.

Ce baromètre compile les données publiques disponibles issues de la CNIL, de l'ENISA, de la Direction générale des Entreprises et de France Num. Il ne prétend pas à l'exhaustivité. Il pose le diagnostic d'ensemble le plus fiable aujourd'hui, et invite les PME à y contribuer directement via notre étude participative. Ce travail est supervisé par notre équipe d'experts .

Étude Participative Themio

Themio conduit en parallèle sa propre étude auprès des PME françaises et européennes. Les résultats seront publiés dans le Baromètre 2027.

Participer à l'étude →

Sondage hébergé sur la plateforme officielle de la Commission européenne — vos données sont traitées conformément au RGPD.

Les Chiffres Clés 2025-2026

Ce que les données disent

60 %

des PME françaises ne sont pas conformes au RGPD

Méconnaissance des obligations ou défaut de mise en œuvre. Ce chiffre est stable depuis 2022.

88 %

des sites web de TPE/PME françaises ne respectent pas les obligations RGPD

Absence de bandeau cookies conforme, pas de politique de confidentialité à jour, traceurs non consentis.

486 M€

d'amendes prononcées par la CNIL en 2025

Hausse de +780 % par rapport à 2024 (55 M€). 32 % des entreprises contrôlées étaient des PME ou TPE.

41 %

des TPE/PME tiennent un registre des traitements

Ce document est pourtant obligatoire pour toute structure traitant des données personnelles — soit la quasi-totalité des entreprises.

26 %

des TPE/PME utilisent au moins un outil d'intelligence artificielle

Ce chiffre a doublé en un an. La majorité de ces entreprises ignore que l'utilisation d'IA est désormais encadrée par le Règlement (UE) 2024/1689 (AI Act) .

59 %

des PME européennes ne trouvent pas de profils qualifiés en cybersécurité

Conséquence directe : les obligations NIS2 — entrées en vigueur en octobre 2024 — restent largement non implémentées dans les structures de moins de 250 salariés.

Tableau de synthèse

Trois règlements, trois niveaux de maturité

Règlement Niveau de connaissance PME Niveau de conformité estimé Prochaine échéance clé
RGPD (Règlement UE 2016/679) Élevé — connu de 80 %+ des dirigeants Faible — 40 % conformes sur le fond Contrôles CNIL renforcés en continu
AI Act (Règlement UE 2024/1689) Faible — moins de 20 % des PME utilisatrices d'IA en ont entendu parler Très faible — conformité quasi inexistante Article 4 (formation IA) : en vigueur depuis fév. 2025 — Systèmes haut risque : décembre 2027 (report Digital Omnibus, mai 2026)
NIS2 (Directive UE 2022/2555) Moyen — connu des secteurs les plus exposés Faible — implémentation en retard dans la majorité des États membres Transposition FR attendue — vérifier le statut national
Mise à jour

Digital Omnibus (mai 2026) : Le report des obligations AI Act haut risque à décembre 2027 a été acté en mai 2026. Ce report ne concerne pas l'Article 4 (obligation de formation IA) ni les pratiques interdites, qui sont en vigueur depuis février 2025.

Focus par secteur

Les secteurs les plus exposés

Toutes les PME ne sont pas exposées de la même façon. Voici les quatre secteurs où l'écart conformité/obligation est le plus critique.

RH, recrutement, gestion de paie

L'IA est massivement utilisée pour le tri de CV, la gestion des présences et l'évaluation des performances. Ces usages entrent directement dans le champ des « systèmes IA à haut risque » de l'Annexe III de l' AI Act (Article 6). Les obligations de transparence et de supervision humaine s'appliquent — même pour une PME de 20 salariés utilisant un logiciel RH tiers intégrant de l'IA.

E-commerce et marketing digital

Traceurs publicitaires, personnalisation algorithmique, chatbots commerciaux : trois points de friction RGPD constants. La CNIL a fait des cookies et du consentement sa priorité de contrôle depuis 2023. Les PME e-commerce sont surreprésentées dans les sanctions de la procédure simplifiée (amendes jusqu'à 20 000 €).

Cabinets comptables, juridiques et de conseil

Entités soumises à NIS2 en tant que fournisseurs de services numériques critiques. Obligation de déclarer les incidents de sécurité sous 24h. 51 % des TPE/PME ont déjà subi un incident de sécurité lié aux données — sans l'avoir déclaré dans la grande majorité des cas. 📎 Source : France Num RGPD 2024

Santé, médico-social, bien-être

Données de santé = catégorie spéciale au sens de l'Article 9 RGPD. Niveau de protection requis maximal. Secteur en retard structurel sur la conformité numérique malgré une exposition aux sanctions plus forte que la moyenne.

Les 3 risques les plus sous-estimés

Ce que la plupart des PME ne savent pas encore

01

Utiliser un logiciel IA ≠ être conforme à l' AI Act

La plupart des PME pensent que l' AI Act ne concerne que les développeurs d'IA. C'est faux. Le règlement distingue deux rôles : le fournisseur (qui développe le système) et le déployeur (qui l'utilise dans un contexte professionnel). En tant que déployeur, une PME a des obligations : vérifier que le système est conforme, former son personnel (Article 4), ne pas utiliser l'IA pour surveiller ses employés de façon illicite. Utiliser ChatGPT, un logiciel RH avec scoring automatique ou un outil de reconnaissance faciale place la PME dans le champ du règlement.

02

Un registre RGPD incomplet peut coûter aussi cher qu'une fuite de données

L'absence de registre des activités de traitement est une infraction documentée, contrôlable lors d'un audit CNIL, et sanctionnable indépendamment de tout incident de sécurité. 59 % des PME n'en tiennent pas. Le registre n'est pas un document optionnel : c'est l'obligation RGPD la plus simple à mettre en œuvre et la première que la CNIL vérifie.

03

Le report de l' AI Act ne signifie pas une pause

Le Digital Omnibus a repoussé certaines obligations à décembre 2027. Mais trois obligations restent actives dès maintenant : l'interdiction des pratiques IA à risque inacceptable (en vigueur depuis février 2025), l'obligation de formation IA (Article 4, en vigueur depuis février 2025), et les règles applicables aux modèles d'IA à usage général (en vigueur depuis août 2025). Les PME qui attendent 2027 pour commencer leur mise en conformité prennent un risque réel.

Étude participative

Aidez-nous à produire le premier baromètre primaire sur la conformité des PME

Les données disponibles sur la conformité des PME sont principalement déclaratives ou issues de grands cabinets travaillant avec les ETI et les grandes entreprises. Il n'existe pas encore d'étude systématique, indépendante et représentative sur les PME de moins de 250 salariés en France et en Europe.

C'est ce que nous construisons.

Ce que vous gagnez en participant :

  • Les résultats complets de l'étude en avant-première, dès leur publication
  • Un benchmark de votre secteur — où se situe votre entreprise par rapport aux autres ?
  • Un accès prioritaire à Themio lors du lancement

Le sondage prend moins de 5 minutes. Il est hébergé sur la plateforme officielle de la Commission européenne (EUSurvey). Vos réponses sont anonymisées et traitées conformément au RGPD.

Participer à l'étude Themio →
FAQ

Questions fréquentes sur la conformité réglementaire des PME

Mon entreprise est-elle concernée par l' AI Act si elle n'est pas une entreprise tech ?
Oui. L' AI Act (Règlement UE 2024/1689) distingue deux types d'acteurs : les fournisseurs, qui développent des systèmes d'IA, et les déployeurs, qui les utilisent dans un contexte professionnel. Une PME qui utilise un logiciel de recrutement avec scoring automatique, un outil de génération de contenu ou un chatbot client est considérée comme un déployeur et a des obligations légales. L'Article 4 impose une obligation de formation IA pour toute personne impliquée dans l'utilisation d'un système d'IA, en vigueur depuis le 2 février 2025. La grande majorité des PME françaises utilisant des outils IA sont déjà dans le champ du règlement sans le savoir.
Le RGPD s'applique vraiment à une petite entreprise de moins de 10 salariés ?
Oui, sans exception de taille. Le RGPD (Règlement UE 2016/679) s'applique à toute entité qui traite des données personnelles — clients, salariés, prospects, fournisseurs — quelle que soit sa taille. Seule exception limitée : les entreprises de moins de 250 salariés ne sont pas obligées de tenir un registre des traitements... sauf si les traitements sont réguliers, susceptibles d'engendrer un risque, ou portent sur des données sensibles. En pratique, cette exemption ne s'applique presque jamais. La CNIL cible activement les TPE/PME depuis 2023 via sa procédure simplifiée, avec des amendes allant jusqu'à 20 000 €.
Qu'est-ce que NIS2 et est-ce que ça concerne ma PME ?
La directive NIS2 (UE 2022/2555) impose des obligations de cybersécurité aux entités jugées "essentielles" ou "importantes" pour l'économie et la société. Elle s'applique à partir de 50 salariés ou 10 M€ de chiffre d'affaires dans les secteurs identifiés : énergie, transports, santé, eau, infrastructures numériques, administrations publiques, et fournisseurs de services numériques. Elle oblige ces entités à mettre en place des mesures de gestion du risque cyber, à notifier les incidents sous 24h et à désigner un responsable de sécurité. Selon l'ENISA, 59 % des PME concernées ne disposent pas des compétences internes pour y répondre (NIS Investments 2025).
Quel est le vrai coût d'une non-conformité RGPD pour une PME ?
Les amendes CNIL pour les PME via la procédure simplifiée vont de 3 000 à 20 000 €. En 2025, la CNIL a prononcé 87 sanctions, dont 69 via cette procédure ciblant les petites structures — pour un total de 486 M€ toutes entreprises confondues. Mais le coût réel dépasse l'amende : atteinte à la réputation, perte de clients, coût de mise en conformité en urgence, et risque de plainte des personnes concernées. Le coût moyen d'une mise en conformité réactive (après sanction) est estimé entre 5 et 15 fois supérieur à celui d'une mise en conformité proactive.
L' AI Act a été reporté — est-ce que je peux attendre avant de m'y préparer ?
Non. Le Digital Omnibus (accord provisoire mai 2026) a repoussé uniquement les obligations relatives aux systèmes à haut risque de l'Annexe III de août 2026 à décembre 2027. Mais trois obligations restent actives dès maintenant : (1) l'interdiction des pratiques IA à risque inacceptable, en vigueur depuis le 2 février 2025 ; (2) l'obligation de formation IA (Article 4), en vigueur depuis le 2 février 2025 ; (3) les règles pour les modèles IA à usage général (GPAI), en vigueur depuis le 2 août 2025. Attendre 2027 expose les PME déployant de l'IA dès aujourd'hui à des risques réels de non-conformité sur ces trois points.
Comment Themio produit-il ce baromètre ?
Ce baromètre 2026 compile des données issues de sources institutionnelles publiques : CNIL (bilans annuels des sanctions), ENISA (NIS Investments 2025), Direction générale des Entreprises (France), et Baromètre France Num (éditions 2024 et 2025). Chaque statistique est sourcée et vérifiable. En parallèle, Themio conduit sa propre étude primaire auprès des PME françaises et européennes via un sondage hébergé sur la plateforme officielle de la Commission européenne (EUSurvey). Les résultats de cette étude alimenteront le Baromètre 2027, avec des données collectées directement auprès des dirigeants et responsables de conformité de PME.
Méthodologie

Méthodologie et sources

Ce baromètre repose exclusivement sur des données publiques vérifiables, issues d'institutions françaises et européennes. Aucune donnée n'est extrapolée ou estimée sans base documentée.

Donnée Source Année
60 % des PME non conformes RGPD RGPDKit — Bilan CNIL 2025 2025
88 % des sites TPE/PME non conformes au RGPD Cartegie — RGPD 7 ans après 2024
486 M€ d'amendes CNIL en 2025 DPO Partage — Sanctions CNIL 2025 2025
32 % des contrôlés sont des PME/TPE CNIL — Rapport annuel 2025 2025
41 % des TPE/PME tiennent un registre des traitements Baromètre France Num RGPD 2024 2024
51 % ont subi un incident de sécurité données Baromètre France Num RGPD 2024 2024
26 % des TPE/PME utilisent un outil IA (x2 en un an) Baromètre France Num 2025 2025
59 % des PME EU sans profils cybersécurité qualifiés ENISA — NIS Investments 2025 2025
Article 4 AI Act — formation en vigueur fév. 2025 DGE France — Règlement européen sur l'IA 2025
Report AI Act haut risque → déc. 2027 Digital Omnibus — accord provisoire Conseil/Parlement, 7 mai 2026 2026

Comment se situe votre entreprise par rapport à ces statistiques ?

Découvrez si vous êtes en conformité avec l'AI Act européen en évaluant vos obligations de transparence dès aujourd'hui.

Faites le test de conformité Article 50 maintenant →

Ou participez à notre étude et contribuez au Baromètre 2027 :

Répondre au sondage Themio →