28e régime, AI Act, Data Act… ces nouvelles réglementations qui vont toucher les start-up

L'AI Act

Grande star des mesures européennes, le règlement européen sur l'intelligence artificielle passe un nouveau palier en 2026. Le 2 août prochain, la plupart des dispositions de l'AI Act vont en effet devenir applicables : les règles relatives aux systèmes d'IA à haut risque, les règles de transparence, les mesures de soutien à l'innovation… Enfin, les Etats membres devraient avoir au moins un bac à sable réglementaire en matière d'IA par pays.

Une loi omnibus pourrait néanmoins prévoir le report de certaines obligations prévues par le règlement. Les systèmes d'intelligence artificielle à haut risque ne seraient soumis à leurs nouvelles obligations qu'à partir de décembre 2027, soit seize mois plus tard qu'initialement prévu.

Alors, faut-il attendre ? « Il vaut toujours mieux s'y prendre plus tôt que trop tard », estime Me Pauline Ducoin, associée chez Cornet Vincent Ségurel. « On a un peu tendance, en France, à attendre le dernier moment, voire à être en retard. Il faut prendre en compte les réglementations qui sont en cours d'adoption, quelles que soient les échéances. »

Le Data Act

Le Data Act, applicable depuis le 12 septembre 2025, permet aux entreprises et particuliers d'avoir un meilleur accès à leurs données issues des services de cloud ou des objets connectés. Cette année marque la période où ses obligations (accès et portabilité des données issues d'objets connectés et services) se traduisent en cas pratiques et en demandes clients et fournisseurs.

Le 12 septembre 2026, les fabricants d'objets connectés et services connexes devront garantir l'accès gratuit et en temps réel des données relatives aux produits et services. Cela concernera les produits mis sur le marché à partir de cette date. « Un entrepreneur peut y trouver un grand intérêt, à savoir récupérer de la donnée structurée directement d'un autre fabricant en le demandant à l'utilisateur, plutôt que de la générer lui-même », explique Pauline Ducoin.

Un « 28e régime » pour les start-up

Les champions européens de la tech sont encore rares. Pour aider à les faire émerger, la Commission européenne a lancé en juillet dernier une consultation publique afin de déterminer un ensemble unique de règles permettant aux start-up « d'investir et d'opérer plus facilement dans le marché unique ». Il s'agit, en d'autres termes, d'harmoniser les législations européennes en matière de droit des sociétés, de droit du travail ou de fiscalité. Comme si c'était un 28e Etat au sein de l'Union européenne.

« Une fois qu'on a dit que c'était le Delaware européen, on n'a pas tranché grand-chose. Le projet sur le papier est séduisant, mais pour l'instant, on en sait assez peu », rappelle néanmoins Me Charles-Emmanuel Prieur, associé UGGC Avocats.

La Commission prépare une proposition de loi, qui pourrait être publiée en 2026. Viendront alors différents processus de négociations, critiques, votes… Du côté des start-up, peu de choses à faire à part se tenir informé, au travers notamment des associations de la tech, comme France Digitale, le lobby national du secteur.

Le Cyber Resilience Act (CRA)

A partir de 2026, le Cyber Resilience Act (CRA) imposera de nouvelles obligations de cybersécurité aux fabricants, importateurs et distributeurs de produits numériques connectés.

Au global, ce règlement européen adopté en 2024 s'adresse à toute personne mettant à disposition sur le marché européen un produit contenant des éléments numériques (fabricant, importateur, distributeur).

Dans le détail, le 11 septembre 2026 marque l'entrée en application des « obligations de déclaration aux autorités compétentes », à savoir la notification des « vulnérabilités activement exploitées et les incidents graves » ayant un impact sur la sécurité des produits. L'ensemble des obligations du CRA entrera en vigueur le 11 décembre 2027.

La directive NIS2

Cette réglementation européenne remplace la directive NIS de 2016. Elle renforce les exigences de cybersécurité pour les entreprises françaises. Pas moins de 18 secteurs critiques (énergie, santé, transport, banque…) sont couverts par NIS2 pour les entreprises d'au moins 50 salariés ou générant plus de 10 millions d'euros de chiffre d'affaires annuel.

Déjà retardée à plusieurs reprises, la transposition de la loi pourrait intervenir en France au premier trimestre 2026. « Les start-up qui n'entrent pas dans les seuils de NIS2 et qui ne se disent pas concernées sont pour moi en tort. Si elles sont des fournisseurs d'entreprises soumises à NIS2, elles vont être touchées par la chaîne d'approvisionnement, les exigences vont être répercutées en qualité de fournisseurs », estime l'avocate spécialisée en droit numérique Pauline Ducoin.

La facturation électronique

A partir du 1er septembre 2026 et par étapes jusqu'en septembre 2027, il sera obligatoire pour chaque entreprise d'émettre et de recevoir des factures électroniques pour toute transaction entre entreprises assujetties à la TVA et l'Etat. Elles doivent alors choisir un prestataire privé agréé par l'Etat.

Si toutes les entreprises devront être en mesure de recevoir des factures électroniques, l'émission se fera en deux temps. Pour les sociétés entre 250 et 4.999 salariés, la réforme est applicable dès septembre prochain. Pour les PME, TPE et microentreprises, l'échéance est fixée à septembre 2027.

La directive sur la transparence salariale

Adoptée en mai 2023, la directive sur la transparence salariale doit être transposée dans le droit français avant le 7 juin 2026. Elle vise surtout à lutter contre les inégalités de salaire entre les hommes et les femmes. Elle concerne les entreprises d'au moins 50 salariés et impose de nouvelles obligations aux employeurs.

Certaines ciblent la période de recrutement, comme le fait d'indiquer dans les offres le salaire ou une fourchette, ou encore les dispositions prévues par la convention collective (treizième mois, congés, titres-restaurant…). D'autres obligations interviennent au sein de l'entreprise, comme fournir à la demande du salarié des informations sur sa rémunération, les niveaux de rémunération moyens ou encore prévoir la publication d'indicateurs sur les écarts salariaux.
 

Par Camille Wong (Les Echos Publishing). Publié le 5 janvier 2025;