FAQ Conformité 2026
NIS2, AI Act & RGPD

La directive NIS2, transposée en droit français en 2024, s'applique à environ 15 000 entités en France dans 18 secteurs (énergie, transports, santé, eau, banque, infrastructures numériques, etc.). Elle distingue les entités essentielles (EE) des entités importantes (EI).

Si votre entreprise compte plus de 50 salariés ou réalise plus de 10 M€ de CA dans un secteur réglementé, elle est vraisemblablement concernée. L'ANSSI publie la liste indicative des secteurs et seuils sur son site. La formation CYBE-001 — Hygiène numérique répond à l'obligation de sensibilisation des salariés imposée par NIS2.

NIS2 distingue 11 secteurs hautement critiques (annexe I) : énergie, transports, secteur bancaire, marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC, espace, et administration publique. S'y ajoutent 7 secteurs critiques (annexe II) : services postaux, gestion des déchets, chimie, denrées alimentaires, industrie manufacturière, fournisseurs numériques, recherche.

Pour les secteurs industriels et de santé, l'obligation de former les collaborateurs à la cybersécurité est directement impliquée. La formation CYBE-003 — Sécurité bureautique couvre les mesures techniques attendues.

Le RGPD porte sur la protection des données personnelles : il impose des obligations aux organisations qui collectent, traitent ou conservent des données de personnes physiques. NIS2 porte sur la résilience des réseaux et systèmes d'information : il impose des mesures de sécurité technique et organisationnelle aux entités critiques, indépendamment des données personnelles traitées.

Les deux référentiels se complètent : une mesure technique NIS2 (ex. chiffrement des données en transit) répond souvent également à une exigence RGPD (art. 32). La formation CYBE-001 couvre les fondamentaux communs aux deux référentiels.

Un deployer (ou déployeur) est toute entreprise ou organisation qui utilise un système d'IA à haut risque dans le cadre de ses activités professionnelles — par opposition au provider (fournisseur) qui développe ou commercialise ce système.

En pratique, si votre entreprise utilise un outil de recrutement automatisé, un système de notation de crédit, un logiciel de surveillance des salariés ou un outil de diagnostic médical fondé sur l'IA, elle est un deployer et est soumise aux obligations de l'AI Act : évaluation des risques, supervision humaine, tenue d'un registre, information des personnes concernées. La formation REGU-001 détaille ces obligations.

L'article 4 de l'AI Act impose aux providers et deployers de systèmes d'IA de veiller à ce que leurs personnels aient un niveau de littératie IA suffisant pour exercer leurs fonctions. La deadline s'applique dès que le système IA est mis en production.

En cas de manquement, les sanctions peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel pour les violations des obligations générales. Le Bureau européen de l'IA et les autorités nationales de surveillance peuvent diligenter des enquêtes. La formation IA-001 répond directement à cette obligation de littératie IA.

La littératie IA désigne la capacité à comprendre le fonctionnement des systèmes d'IA, leurs limites, leurs biais potentiels et leurs impacts. L'article 4 de l'AI Act n'impose pas un niveau de qualification précis mais exige que chaque salarié concerné dispose des compétences adaptées à son rôle.

Pour un collaborateur qui utilise un outil IA au quotidien, cela signifie comprendre ce que l'outil fait (et ne fait pas), savoir quand sa supervision est nécessaire, et être en mesure de signaler un dysfonctionnement. La formation IA-001 — IA au quotidien répond directement à cette obligation.

La DPIA (Data Protection Impact Assessment) du RGPD analyse les risques pour les droits et libertés des personnes liés au traitement de leurs données personnelles. L'évaluation IA Act analyse les risques systémiques du système d'IA lui-même : biais, robustesse, sécurité, exactitude.

Pour tout système d'IA haut risque traitant des données personnelles (ex. outil RH, scoring), les deux analyses sont nécessaires. Il est recommandé de les conduire simultanément et de documenter les croisements dans un registre unifié. La formation REGU-001 couvre cette articulation en détail.

L'AI Act classe les systèmes d'IA en quatre niveaux de risque. Les systèmes à haut risque (annexe III) sont ceux utilisés dans des domaines critiques : recrutement et évaluation des salariés, octroi de crédit, accès aux services publics, éducation, contrôle d'accès, maintien de l'ordre, migration et gestion des frontières, administration de la justice. Ces systèmes doivent satisfaire à des exigences strictes avant leur mise sur le marché.

Si votre entreprise utilise ou envisage d'utiliser un outil IA dans ces domaines, elle est soumise aux obligations de deployer : évaluation de conformité, supervision humaine, registre de logs, information des personnes concernées. La formation REGU-001 détaille comment identifier et gérer ces obligations.

Piloter un projet IA en 2026 exige de maîtriser à la fois les fondamentaux techniques (données, modèles, évaluation) et le cadre réglementaire (AI Act, RGPD, gouvernance). Un chef de projet qui ignore les obligations de son organisation expose celle-ci à des risques légaux et éthiques dès la phase de conception.

La formation IA-010 — Piloter un projet IA (14h) est conçue pour les chefs de projet, MOA et managers qui veulent comprendre comment cadrer, superviser et livrer un projet IA conforme : de la définition du besoin à la mise en production, en passant par l'évaluation des risques et la documentation obligatoire.

Les sanctions RGPD sont proportionnées au chiffre d'affaires et à la gravité du manquement. Pour les violations les plus graves (absence de base légale, non-respect des droits des personnes), l'amende peut atteindre 20 millions d'euros ou 4 % du CA mondial. Pour les violations moins graves (manquements à la documentation, absence de DPO), l'amende peut atteindre 10 millions d'euros ou 2 % du CA.

La CNIL peut également prononcer des injonctions de mise en conformité et publier les décisions. La formation CYBE-002 — RGPD opérationnel donne aux équipes les outils concrets pour documenter et maintenir la conformité.

La nomination d'un DPO est obligatoire pour trois catégories d'organisations : les autorités publiques, les entreprises dont l'activité principale implique un suivi régulier et à grande échelle de personnes (ex. plateformes de données), et les organisations traitant à grande échelle des données sensibles (santé, opinions politiques, origine ethnique). Pour les PME hors de ces catégories, la nomination est facultative mais fortement recommandée.

En pratique, même sans obligation légale, un DPO ou référent RGPD interne facilite la conformité quotidienne et réduit le risque de sanction. La formation CYBE-002 — RGPD opérationnel donne aux référents RGPD les outils pour exercer ce rôle efficacement.

Oui, et de manière concrète. Les cas d'usage IA dans le BTP se multiplient : analyse de plans et maquettes numériques (BIM), détection automatisée de défauts sur chantier par vision artificielle, optimisation des plannings et des approvisionnements, génération de comptes-rendus de réunion, analyse de contrats. La plupart ne nécessitent pas de compétences en développement — uniquement de comprendre les outils disponibles et leurs limites.

La formation SECT-001 — IA pour le Bâtiment & BTP (14h) est conçue pour les conducteurs de travaux, chefs de projet BIM, responsables techniques et dirigeants qui veulent identifier les opportunités IA pertinentes pour leurs métiers et éviter les pièges des outils mal maîtrisés.

Le financement via OPCO se fait dans le cadre du Plan de Développement des Compétences (PDC). L'employeur identifie les besoins, saisit la demande sur le portail de son OPCO avant ou après la formation, et l'OPCO prend en charge tout ou partie des frais pédagogiques selon les niveaux de prise en charge en vigueur.

Les 7 OPCOs ciblés par Telemach Learning : OPCO 2i, Atlas, OPCO Santé, Opcommerce, Constructys, Afdas et AKTO. Telemach Learning vous accompagne dans la constitution du dossier de prise en charge.

Telemach Learning propose principalement des formations en intra-entreprise (au sein de votre organisation, en présentiel ou distanciel), ce qui permet d'adapter les exemples et ateliers à votre contexte réel. Des sessions inter-entreprises peuvent être organisées sur demande.

Pour les formations de 7h ou 14h, l'intra reste le format le plus adapté car il permet de partir des pratiques et outils déjà en place dans votre organisation.

Telemach Learning est en cours de certification Qualiopi, avec un audit prévu au premier semestre 2026. La certification Qualiopi est la condition nécessaire pour accéder aux financements des fonds mutualisés (OPCOs, OPCO/PDC).

En attendant l'obtention de la certification, les formations peuvent être financées par les entreprises sur fonds propres. La certification sera annoncée sur le site dès son obtention.