Rechercher Espace client
Outil gratuit · Conformité

Quelle réglementation s'applique à moi ? Découvrez-le en 2 minutes.

Un assistant de 10 questions qui croise le secteur, la taille et l'activité de votre entreprise avec l'ENS, la NIS2, DORA, l'AI Act et le RGPD — et vous indique, domaine par domaine, si cela s'applique, ce qui est exigé et par où commencer.

Gratuit, sans inscription Résultat immédiat Vos réponses ne quittent pas votre navigateur
Question 1 1 / 10

Dans quel secteur opère votre entreprise ?

Détermine si vous relevez de la Directive NIS2 (Annexe I et Annexe II).

Combien de salariés compte votre entreprise ?

La taille est essentielle pour savoir si la NIS2 ou le RGPD vous imposent plus ou moins d'obligations.

Quel est le chiffre d'affaires ou le bilan annuel de votre entreprise ?

Nous retenons le critère le plus défavorable (salariés ou chiffre d'affaires) pour ne pas sous-évaluer votre obligation.

Votre entreprise fournit-elle des services, sous contrat, à une administration publique ?

Contrats, appels d'offres ou marchés publics avec des mairies, régions, ministères ou organismes publics.

Votre organisation est-elle un organisme du secteur public ?

Mairie, conseil départemental, organisme autonome, université publique, entité dépendant d'une administration…

Votre entreprise est-elle une entité financière ou fournit-elle des services TIC à des entités financières ?

Détermine si DORA, le règlement européen sur la résilience opérationnelle numérique, s'applique à vous.

Développez-vous ou commercialisez-vous des systèmes d'intelligence artificielle ?

Selon l'AI Act, cela fait de vous un « fournisseur » d'IA, avec des obligations renforcées.

Utilisez-vous des systèmes d'IA tiers dans votre activité, sous votre propre autorité ?

Chatbots, outils de recrutement, scoring, génération de contenu… Cela fait de vous un « déployeur » d'IA.

Dans quel domaine ce système d'IA est-il utilisé ?

Certains usages sont classés « à haut risque » à l'Annexe III de l'AI Act.

Traitez-vous des données de catégorie spéciale ou effectuez-vous une surveillance systématique à grande échelle de personnes ?

Santé, biométrie, idéologie, orientation sexuelle… ou géolocalisation, vidéosurveillance, profilage et scoring à grande échelle.

Résultat indicatif

Voici ce que nous avons trouvé pour votre entreprise

Avis légal : ce résultat est indicatif et généré automatiquement à partir de vos réponses. Il ne remplace pas l'avis d'un professionnel juridique ou de conformité sur le cas concret de votre entreprise. En cas de doute sur une obligation à portée juridique ou économique, consultez la source officielle ou réservez une session avec nous.
Comment ça marche

Cinq étapes, aucune donnée envoyée.

01

Répondez à 10 questions

Sur votre secteur, votre taille, votre chiffre d'affaires, votre relation avec l'administration publique, le secteur financier et votre usage de l'IA.

02

Tout se passe dans votre navigateur

La logique est du JavaScript local : aucune réponse n'est envoyée à un serveur ni stockée nulle part.

03

Nous croisons vos réponses

Avec les critères d'application de chaque réglementation : secteur et taille pour la NIS2, relation contractuelle pour l'ENS, activité financière pour DORA, rôle pour l'AI Act.

04

Vous obtenez 5 verdicts

ENS, NIS2, DORA, AI Act et RGPD : s'applique, ne s'applique pas, ou probablement — avec les obligations clés de chacun.

05

Approfondissez si besoin

Chaque carte renvoie vers le guide complet de cette réglementation. Et si vous préférez en parler avec quelqu'un, une session gratuite est proposée à la fin.

Pourquoi cet outil

Cinq réglementations, un seul point de départ.

Entre 2022 et 2026, le cadre de conformité pour les entreprises espagnoles et européennes s'est densifié d'un coup. L'Esquema Nacional de Seguridad (ENS) espagnol exige depuis 2010 des mesures de sécurité de la part de l'administration et de ses prestataires technologiques. La Directive NIS2 élargit le périmètre de la cybersécurité obligatoire à des secteurs entiers de l'économie, avec ou sans marché public. Le règlement DORA fait de même pour le secteur financier et ses fournisseurs technologiques. L'AI Act européen commence à imposer des obligations concrètes à quiconque développe ou utilise des systèmes d'IA. Et le RGPD, le plus ancien de tous, continue de s'appliquer à pratiquement toute entreprise qui traite des données de personnes — c'est-à-dire toutes.

Le problème n'est pas le manque d'information : il existe des guides détaillés sur chaque réglementation prise séparément. Le problème, c'est que personne ne vous dit, en croisant votre secteur, votre taille et votre activité concrète, lesquelles des cinq vous concernent réellement et lesquelles ne vous concernent pas. Une PME industrielle de 80 salariés peut relever de l'Annexe II de la NIS2 sans le savoir. Un cabinet de conseil de 6 personnes qui vend un chatbot de recrutement peut être « fournisseur d'IA à haut risque » selon l'AI Act sans jamais s'être posé la question. Une entreprise qui ne travaille jamais avec une administration publique peut supposer, à tort, que l'ENS ne la concerne jamais — jusqu'à ce qu'elle réponde à un appel d'offres.

Ce qu'évalue chaque bloc du test

ENS — Régi par le décret royal 311/2022, il s'applique au secteur public et aux entreprises privées qui, dans le cadre d'une relation contractuelle, fournissent des services technologiques à une administration publique. Si vous ne travaillez pas avec des administrations, il ne s'applique pas à vous aujourd'hui.

NIS2 — La directive européenne sur la cybersécurité classe les secteurs en deux annexes de criticité et fixe le seuil d'application au niveau de l'entreprise moyenne (à partir de 50 salariés ou 10 millions d'euros de chiffre d'affaires/bilan). En Espagne, la loi qui la transpose — la loi de coordination et de gouvernance de la cybersécurité — est toujours en cours d'examen parlementaire, mais les obligations de fond sont déjà exigées en pratique.

DORA — D'application directe (sans besoin de transposition) depuis le 17 janvier 2025, il concerne plus de vingt types d'entités financières, ainsi que les prestataires tiers de services TIC qui leur apportent un support critique.

AI Act — Le règlement (UE) 2024/1689 distingue les « fournisseurs » (qui développent ou mettent sur le marché des systèmes d'IA) des « déployeurs » (qui les utilisent sous leur propre autorité), et classe le risque selon l'usage : les systèmes de l'Annexe III (RH, crédit, santé, biométrie, justice…) sont considérés à haut risque. L'application générale du règlement arrive le 2 août 2026 ; les obligations spécifiques aux systèmes à haut risque de l'Annexe III ont été reportées au 2 décembre 2027 après le Digital Omnibus adopté en juin 2026.

RGPD — S'applique à toute entreprise qui traite des données personnelles, sans exception de taille. Ce qui varie, c'est l'intensité des obligations : si le délégué à la protection des données est obligatoire, si le registre des activités de traitement bénéficie d'une exemption (entreprises de moins de 250 salariés avec des traitements occasionnels et sans données sensibles), et si une analyse d'impact (AIPD) est nécessaire avant de traiter certaines données.

Si le test montre que l'une des cinq réglementations vous concerne et que vous ne savez pas par où commencer, nos services d'audit et gouvernance de l'IA et de conseil en conformité AI Act détaillent comment chacune se traite concrètement, avec des délais et des livrables réels.

Questions fréquentes

Avant de commencer le test.

Quelles réglementations évalue cet outil ?+

L'ENS espagnol (Schéma national de sécurité, décret royal 311/2022), la Directive NIS2 sur la cybersécurité, le Règlement DORA sur la résilience opérationnelle numérique du secteur financier, l'AI Act européen et le RGPD sur la protection des données.

Le résultat du test constitue-t-il un conseil juridique ?+

Non. Il s'agit d'une orientation automatique fondée sur les réponses que vous donnez, pensée pour savoir par où commencer. Elle ne remplace pas l'analyse d'un conseiller juridique ou de conformité sur votre cas concret.

Mes réponses ou mes données sont-elles conservées ?+

Non. Le test s'exécute entièrement dans votre navigateur en JavaScript : aucune réponse n'est envoyée à un serveur et rien n'est conservé, sauf si vous décidez de réserver une session à la fin.

Mon entreprise est petite, puis-je être exempté de tout ?+

Le RGPD s'applique toujours, quelle que soit votre taille. L'ENS, la NIS2 et DORA dépendent de votre secteur et du fait que vous travailliez ou non avec une administration publique ou des entités financières — une micro-entreprise peut être exemptée de NIS2 mais rarement du RGPD. L'AI Act dépend du fait que vous développiez ou utilisiez des systèmes d'IA, pas de la taille.

Pourquoi la NIS2 apparaît-elle comme « en cours » en Espagne ?+

L'Espagne devait transposer la Directive NIS2 avant le 17 octobre 2024. En juillet 2026, la loi de coordination et de gouvernance de la cybersécurité qui la transpose est toujours en cours d'examen parlementaire, bien que les obligations de fond soient déjà exigées en pratique par les régulateurs et les clients européens.

Envie d'en parler ?

Vous voulez qu'on l'examine ensemble ?

Réservez une session gratuite de 30 minutes. Nous passons en revue votre résultat, clarifions quelle réglementation pèse le plus dans votre cas et quelles démarches concrètes engager en premier.

Réserver une session gratuite →