Andrea Margiovanni .it
ITENFRDE
Home / Compliance européenne du logiciel 2026

Compliance européenne du logiciel 2026

CRA, AI Act, PLD, NIS2, EAA, DORA. Six règlements qui, entre 2026 et 2027, changent la façon dont on conçoit, vend et documente le logiciel en Europe. Voici la page d'index — avec mon point de vue, les échéances et les essais que j'ai écrits pour chaque règlement.

Ce qui suit est ma lecture personnelle de ce qui change dans le logiciel européen sur les 18-24 prochains mois, avec référence aux essais que j’ai écrits sur chaque thème. Ce n’est pas un avis juridique — c’est le point de vue de quelqu’un qui conçoit des architectures logicielles qui doivent passer en production et y rester.

Dernière révision : 27 mai 2026. Je mets à jour cette page quand sort une nouvelle échéance ou que je reviens sur un point dans un essai.

Thèse en une phrase

La compliance européenne 2026–2027 ne se « coche » pas en fin de projet : elle se conçoit en architecture dès le premier jour, comme n’importe quelle autre contrainte non fonctionnelle.

Tout ce qui suit est le raisonnement derrière cette phrase.

Les six règlements, en un souffle

  • CRA (Cyber Resilience Act) — obligations de sécurité pour les « produits comportant des éléments numériques » : SBOM, gestion des vulnérabilités, signalement d’incidents, support pendant une période déclarée.
  • AI Act — obligations échelonnées pour les systèmes IA selon le niveau de risque : modèles généraux, systèmes à haut risque (RH, crédit, justice), systèmes interdits, GPAI (general purpose AI).
  • PLD (nouvelle directive responsabilité du produit) — étend la responsabilité objective au logiciel : le producteur répond des dommages dus à un défaut indépendamment de la faute.
  • NIS2 — cybersécurité pour les entités essentielles et importantes : gouvernance, incident reporting sous 24/72h, obligations sur la supply chain numérique.
  • EAA (European Accessibility Act) — accessibilité obligatoire pour e-commerce, ebooks, banking en ligne, billetterie, services de téléphonie et de transport à partir de juin 2025.
  • DORA (Digital Operational Resilience Act) — résilience opérationnelle pour le secteur financier UE : gestion du risque ICT, tests de résilience, supervision des fournisseurs tiers critiques. En vigueur depuis janvier 2025 ; sa portée au-delà de la finance est considérable, car il fixe de facto les standards de résilience opérationnelle pour toute la supply chain numérique.

Six règlements rédigés à des époques différentes par des DG différentes avec des styles différents. Mais ils convergent vers une idée opérationnelle commune : le logiciel n’est plus une « œuvre de l’esprit exempte de responsabilité technique » — c’est un produit industriel avec des obligations de conformité comparables à celles d’un réfrigérateur.

Spécificité italienne — ACN. L’Agence italienne pour la cybersécurité nationale a publié une matrice de qualification (QC1–QC4) sur les services cloud destinés à l’administration publique, qui se superpose à NIS2, CRA et RGPD avec des contraintes opérationnelles plus serrées. Pour qui vend à l’administration publique italienne, c’est une variable non optionnelle, à lire avec — et non à la place de — le paquet UE.

Mes essais, regroupés par règlement

CRA, architecture, SBOM

07.05 2026
№ 65

Le sablier de la compliance

Carte du marché italien de la compliance vue de l'intérieur : le conseil en haut, les plateformes en bas, le middle layer écrasé entre les deux. Et la spécificité italienne — ACN — qui change les règles.

9′ temps de lecture
1 870 mots
Lire →
21.04 2026
№ 58

AIPD comme genre, pas comme formulaire

Le template EDPB pour les AIPD, publié en avril, n'est pas un formulaire plus long. C'est la codification d'une forme. Sur le passage du formulaire au genre, et sur ce que cela change pour qui écrit la compliance comme pratique d'écriture continue.

28′ temps de lecture
6 850 mots
Lire →
18.04 2026
№ 56

La dernière bouteille de Mrs Donoghue

Pourquoi le « produit » sur lequel repose la responsabilité civile n'existe plus dans le logiciel contemporain, et ce qui pourrait prendre sa place.

33′ temps de lecture
7 540 mots
Lire →
16.03 2026
№ 41

Choses que j'ai cessé de faire en quinze ans de travail

Notes sur les choses qu'il m'a fallu au moins 15 ans à désapprendre.

8′ temps de lecture
1 850 mots
Lire →
11.03 2026
№ 39

Le paradoxe du petit : vive la régulation européenne

Entre AI Act, CRA et NIS2, l'Europe réécrit les règles : ce n'est pas le plus rapide qui gagne, mais celui qui fait du logiciel sérieux, sûr et accessible.

10′ temps de lecture
2 240 mots
Lire →
08.03 2026
№ 36

La compliance, c'est votre affaire

Entre 2026 et 2027, le logiciel devient un produit avec responsabilité légale. Si le client ne veut que le go-live, le risque reste pour tout le monde.

7′ temps de lecture
1 540 mots
Lire →
24.02 2026
№ 29

N'ajoutez pas d'IA à vos produits. Repensez-les de zéro.

Ajouter un chatbot ne suffit pas. Si la moitié des interactions passe par des agents IA, il faut repenser logiciel, API, confiance et compliance.

8′ temps de lecture
1 685 mots
Lire →
18.02 2026
№ 21

Le logiciel est un produit. Et maintenant ?

À partir du 9 décembre 2026, la nouvelle Product Liability Directive intègre le logiciel parmi les produits. Ce qui change pour la roadmap, les contrats, les releases et l'open source.

10′ temps de lecture
2 260 mots
Lire →

AI Act, gouvernance, déployeur

27.05 2026
№ 69

L'humain est une position

Je suis athée, je viens de la philosophie, je travaille dans la compliance européenne. La première encyclique de Léon XIV sur l'intelligence artificielle, je ne l'ai pas signée, je l'ai discutée. Et j'y ai trouvé un lexique qui manque encore à Bruxelles.

11′ temps de lecture
2 151 mots
Lire →
13.05 2026
№ 67

Douze métiers en quête de marché

La première norme nationale européenne sur les profils professionnels de l'IA est parue le 30 avril. Elle mérite d'être prise au sérieux, et mérite aussi qu'on s'en méfie de la bonne manière.

7′ temps de lecture
1 396 mots
Lire →
05.05 2026
№ 64

Le spectre que nous sommes

Une longue traversée de la réglementation européenne du numérique, vue de l'extérieur — par ceux qui la détestent — et une contre-lecture de l'intérieur, par ceux qui traduisent ces normes, chaque jour, en objets techniques.

26′ temps de lecture
5 640 mots
Lire →
01.05 2026
№ 63

L'illusion du contrat

Pourquoi le contrat de fourniture de logiciel, tel que nous l'avons connu, a cessé d'être l'instrument principal de la relation entre fournisseur et client — et combien coûte le fait de continuer à faire semblant qu'il l'est encore.

20′ temps de lecture
4 380 mots
Lire →
01.05 2026
№ 62

L'ascension du compliance engineer

Sur la figure qui émerge du vide entre l'ingénierie logicielle et la régulation européenne, et sur pourquoi presque personne ne s'en rend compte à temps.

17′ temps de lecture
3 760 mots
Lire →
01.05 2026
№ 61

La dette de spécification

Pourquoi le document qui certifie le système vieillit plus mal que le code qui l'implémente, et pourquoi la prochaine génération de procès civils en matière de logiciel se livrera sur la spécification.

21′ temps de lecture
4 720 mots
Lire →
27.04 2026
№ 59

La forme de la contrainte

Traiter la conformité réglementaire comme l'adversaire du projet technique signifie qu'on n'a pas compris ce qu'est un projet technique. Un essai sur l'erreur de catégorie qui affaiblit l'industrie européenne du logiciel, et sur la manière dont le cadre normatif européen — lu comme système et non comme liste — configure un avantage compétitif structurel pour qui sait l'habiter.

17′ temps de lecture
4 050 mots
Lire →
07.04 2026
№ 54

Le comportement est le nouveau credential. Et c'est un problème.

La cybersécurité traverse une transition qui mérite plus d'attention qu'elle n'en reçoit.

11′ temps de lecture
2 380 mots
Lire →
06.04 2026
№ 53

Microsoft a écrit la confession parfaite — et la facture, c'est vous qui la paierez

La tentation est de balayer ça d'un revers de main comme une bourde du service juridique. Ce n'est pas le cas. Les Terms of Use ne s'écrivent pas par distraction.

19′ temps de lecture
4 220 mots
Lire →
30.03 2026
№ 51

L'angle mort de l'advisory : ce que sait un prestataire IT qu'un analyste ignore

Il y a quelques semaines, j'ai reçu un rapport d'un cabinet d'advisory connu évaluant le marché des services IT dans notre segment.

6′ temps de lecture
1 400 mots
Lire →
25.03 2026
№ 47

Le progrès n'est pas une direction : anatomie d'une équivoque dangereuse

Quand on hurle que l'État « freine le progrès », parle-t-on vraiment de progrès, ou d'autre chose ?

29′ temps de lecture
6 500 mots
Lire →
17.03 2026
№ 42

Compliance EU 2026 : c'est de l'architecture, pas juste du juridique

Dans les 18 prochains mois, CRA, AI Act, PLD, NIS2 et EAA changent le logiciel européen. La compliance ne se « coche » pas : elle se conçoit en architecture.

10′ temps de lecture
2 280 mots
Lire →

Gouvernance et le métier du logiciel dans un monde de contraintes

27.04 2026
№ 59

La forme de la contrainte

Traiter la conformité réglementaire comme l'adversaire du projet technique signifie qu'on n'a pas compris ce qu'est un projet technique. Un essai sur l'erreur de catégorie qui affaiblit l'industrie européenne du logiciel, et sur la manière dont le cadre normatif européen — lu comme système et non comme liste — configure un avantage compétitif structurel pour qui sait l'habiter.

17′ temps de lecture
4 050 mots
Lire →
17.03 2026
№ 42

Compliance EU 2026 : c'est de l'architecture, pas juste du juridique

Dans les 18 prochains mois, CRA, AI Act, PLD, NIS2 et EAA changent le logiciel européen. La compliance ne se « coche » pas : elle se conçoit en architecture.

10′ temps de lecture
2 280 mots
Lire →
16.03 2026
№ 41

Choses que j'ai cessé de faire en quinze ans de travail

Notes sur les choses qu'il m'a fallu au moins 15 ans à désapprendre.

8′ temps de lecture
1 850 mots
Lire →

Comment j’utiliserais cette page

Si vous êtes CTO ou Head of Engineering : mon conseil opérationnel est de traiter ces échéances comme du release engineering — ownership explicite, milestones en roadmap, RACI. Pas du juridique avec code review.

Si vous êtes product manager : commencez par l’EAA si vous avez un produit grand public, par le CRA si vous vendez B2B. Ce sont les deux qui ont les implications produit les plus tangibles.

Si vous êtes une PME logicielle française : ce n’est pas catastrophique, mais des décisions sont nécessaires maintenant sur trois plans — logging/audit, SBOM, procédure d’incident. J’en parle directement dans certains essais que j’ai regroupés ci-dessus.

Si vous êtes conseil/advisor : la fenêtre pour faire des assessments de readiness est maintenant, pas quand sortira le premier procès exemplaire.

Sources primaires (les lectures obligatoires)

Travaillons ensemble

Mon engagement ici n’est pas de vous dire « voici la norme ». C’est de vous aider à transformer six règlements européens en une série de choix architecturaux ordonnés, avec une roadmap et un ownership interne. Le juridique reste nécessaire, mais ce n’est pas le bon endroit pour commencer.

Pour qui c'est utile

  • CTO et Heads of Engineering de software vendors et SaaS qui opèrent sur le marché UE

  • Product managers qui doivent comprendre ce qui change dans leur produit avant de planifier les quatre prochains trimestres

  • Fondateurs de PME tech qui constatent que l’échéance CRA est trop proche pour être ignorée

  • Compliance officers qui veulent traduire les exigences en backlog, pas en policies PDF

Comment je travaille

Assessment de readiness (2–4 semaines)

Je prends le produit, la pipeline et la supply chain et je les compare aux exigences CRA, AI Act, PLD, NIS2, EAA et DORA applicables. Output : une carte des gaps avec priorités, effort estimé et suggestions de design-in.

Conception du plan de compliance (3–6 semaines)

De l’assessment à la roadmap. Qui fait quoi, avec quelles milestones mesurables, synchronisées avec les échéances UE. Un document qu’un board peut approuver et qu’une équipe peut exécuter.

Second avis sur RFP et fournisseurs (1–2 semaines)

Je lis un contrat fournisseur ou une proposition d’achat et je vous dis si la chaîne de responsabilité tient face au nouveau PLD et au CRA. Utile avant de signer.

Questions opérationnelles

Êtes-vous avocat ?

Non. Je suis un architecte système qui travaille avec des équipes juridiques. Mon output est opérationnel : diagrammes de flux, RACI, backlog. L’avis juridique, votre avocat le donne.

Travaillez-vous aussi sur des règlements isolés (par ex. seulement l'AI Act) ?

Oui, mais à contrecœur. Les six règlements interagissent de manière subtile (par exemple CRA et PLD, ou AI Act et NIS2, ou NIS2 et DORA). N’en regarder qu’un seul cache souvent des coûts qui apparaissent sur le second.

Combien de temps dure un engagement type ?

Deux à six semaines pour un assessment ou une review, deux à trois mois pour un plan de compliance complet.

Faites-vous de la delivery ou des audits de certification ?

Non aux deux. Le conseil est indépendant précisément parce qu’il n’a pas d’incitation à vous vendre du travail de delivery. Pour la certification, je vous oriente vers des organismes accrédités.

Écrivez-moi à hello@margiovanni.it avec deux lignes de contexte. Je réponds sous quelques jours ouvrés avec une proposition concrète, ou un refus poli si ce n'est pas mon périmètre.

Vous voulez être averti quand je mets cette page à jour ?

Le flux RSS FR signale chaque mise à jour des essais principaux. Pour des conversations plus directes, écrivez-moi : hello@margiovanni.it.

Questions & answers

Quels règlements européens impactent le logiciel en 2026–2027 ?

Six : Cyber Resilience Act (CRA), AI Act, Product Liability Directive (PLD), NIS2, European Accessibility Act (EAA), DORA (sectoriel, finance). Ils entrent en vigueur à des moments différents entre 2024 et 2027 mais produisent des effets cumulés qui redessinent l’architecture du logiciel européen.

La compliance est-elle un problème juridique ou d'ingénierie ?

Les deux, mais l’aspect ingénierie est systématiquement sous-estimé. Ces règlements sont des contraintes système — des échéances de livraison de fonctionnalités (logs, audit, SBOM, accessibilité) avec une date obligatoire. Les traiter comme une bureaucratie à régler en fin de projet coûte 5–10× le design-in en amont.

À qui s'applique le Cyber Resilience Act ?

À tout « produit comportant des éléments numériques » vendu sur le marché UE : logiciel commercial, firmware, dispositifs connectés, SDK. Beaucoup de SaaS rentrent dans la catégorie. La première vague d’obligations (rapport d’incident) démarre en septembre 2026, le gros en décembre 2027.

Mon logiciel n'est pas de l'IA : l'AI Act me concerne-t-il ?

Potentiellement oui. L’AI Act s’applique aussi aux fournisseurs de systèmes qui intègrent de l’IA tierce (API OpenAI, Claude, Gemini, etc.) et aux rôles de « déployeur » — qui utilise l’IA pour prendre des décisions sur des personnes (RH, crédit, prestations sociales). Les échéances vont de février 2025 à août 2027.

Puis-je commencer plus tard, quand il y aura plus d'exemples ?

Non. Le design-in de la compliance demande des choix architecturaux (logging, data retention, SBOM, accessibilité) qui deviennent très coûteux à rétro-adapter. Qui attend « de voir comment font les autres » paie le double.

© 2026 Andrea Margiovanni Fait avec soin, à la main