Checklist de conformité pour PME : quelles obligations en 2026

·

La conformité n'est plus l'apanage des grandes entreprises. Depuis 2015, la réforme du Code pénal espagnol a introduit la responsabilité pénale des personnes morales, et depuis lors l'écosystème réglementaire qui entoure les entreprises n'a cessé de s'étendre. En 2026, une PME de taille moyenne doit gérer simultanément des obligations découlant d'au moins six cadres réglementaires distincts : protection des données, cybersécurité, lutte contre le blanchiment de capitaux, égalité, canal d'alerte et, selon le secteur, une réglementation sectorielle spécifique. Ignorer l'un d'eux n'est pas une option : les sanctions administratives peuvent dépasser plusieurs centaines de milliers d'euros et, dans certains cas, engager la responsabilité pénale des dirigeants.

Cette checklist n'a pas vocation à remplacer une analyse juridique personnalisée — chaque entreprise possède son propre profil de risque —, mais à vous fournir une carte de situation permettant d'identifier quels blocs sont obligatoires pour votre entreprise, lesquels s'appliquent selon votre taille ou votre secteur, et lesquels il convient d'anticiper même s'ils ne sont pas encore exigibles. En fin d'article vous trouverez un tableau récapitulatif avec les seuils d'application et les échéances.

Bloc 1 : Conformité pénale (programme de prévention des infractions)

L'article 31 bis du Code pénal (Loi organique 1/2015, du 30 mars) établit que les personnes morales sont pénalement responsables des infractions commises en leur nom ou pour leur compte par leurs représentants légaux, administrateurs ou salariés. L'exonération ou l'atténuation de cette responsabilité requiert d'avoir adopté et exécuté efficacement, avant la commission de l'infraction, un modèle d'organisation et de gestion incluant des mesures de surveillance et de contrôle.

La Circulaire 1/2016 du Parquet général de l'État précise ce que ce modèle doit contenir pour être considéré comme idoine par un tribunal. Les éléments minimaux sont :

Il n'existe aucun seuil légal d'effectif ou de chiffre d'affaires exonérant une entreprise de la responsabilité pénale. Toutefois, l'article 31 bis.3 du Code pénal prévoit un régime simplifié pour les personnes morales de petite dimension, dans lesquelles les fonctions de supervision peuvent incomber directement à l'organe d'administration. En pratique, notre équipe recommande un programme de conformité pénale structuré pour toute entreprise à partir de 10 salariés ou exerçant dans des secteurs à risque élevé (construction, transport, alimentaire, services financiers).

Bloc 2 : Protection des données (RGPD + LOPDGDD)

Le Règlement (UE) 2016/679 (RGPD) est directement applicable dans toute l'Union européenne depuis le 25 mai 2018. En Espagne, la Loi organique 3/2018, du 5 décembre, relative à la protection des données à caractère personnel et à la garantie des droits numériques (LOPDGDD) adapte et complète le règlement européen.

Les obligations de base qui s'appliquent à toute entreprise traitant des données de personnes physiques sont :

L'AEPD a publié en 2024 une mise à jour de son guide d'analyse des risques spécifiquement destiné aux PME. Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.

Bloc 3 : Canal d'alerte (Loi 2/2023)

La Loi 2/2023, du 20 février, réglementant la protection des personnes signalant des infractions normatives et luttant contre la corruption (transposition de la Directive UE 2019/1937, dite Directive Lanceurs d'alerte), établit l'obligation de disposer d'un canal interne de signalement.

Les seuils d'application sont :

Le canal doit garantir la confidentialité, un accusé de réception sous 7 jours, une réponse sous 3 mois et l'indépendance du responsable du système. L'Autorité Indépendante de Protection du Lanceur d'Alerte (A-I) supervise la conformité. Les sanctions en cas de manquement varient entre 1 001 et 1 000 000 euros selon l'article 64 de la loi.

Bloc 4 : Cybersécurité (NIS2 / RD 43/2021)

La Directive (UE) 2022/2555, dite NIS2, élargit considérablement le champ d'application de l'ancienne Directive NIS. En Espagne, la transposition est en cours via un projet de loi qui, à la date de cet article (avril 2026), est encore en cours d'examen parlementaire, bien que le cadre de référence du Décret royal 43/2021 demeure en vigueur pour les opérateurs de services essentiels et les fournisseurs de services numériques.

NIS2 introduit deux catégories d'entités obligées :

Les obligations comprennent des politiques de sécurité des systèmes d'information, la gestion des incidents, la continuité d'activité, la sécurité de la chaîne d'approvisionnement et l'utilisation de la cryptographie. Les sanctions pour les entités essentielles peuvent atteindre 2 % du chiffre d'affaires annuel mondial total ou 10 millions d'euros.

Bloc 5 : Lutte contre le blanchiment de capitaux (LCB-FT)

La Loi 10/2010, du 28 avril, relative à la prévention du blanchiment de capitaux et du financement du terrorisme (modifiée à plusieurs reprises, la dernière fois par la Loi 4/2022) et son Règlement (RD 304/2014) instaurent un régime de diligence raisonnable pour les personnes assujetties. Il ne s'applique pas à toutes les entreprises, mais exclusivement à certaines activités :

Si votre entreprise est une personne assujettie, vous devez disposer : d'un manuel LCB-FT, d'un responsable de la conformité désigné, d'une politique d'acceptation des clients, de procédures de diligence raisonnable (simplifiée, standard et renforcée), d'une formation continue du personnel et de la déclaration des opérations suspectes au SEPBLAC.

Bloc 6 : Égalité et registre des rémunérations (obligations sociales)

Le Décret royal 902/2020, du 13 octobre, relatif à l'égalité de rémunération entre femmes et hommes, exige de toutes les entreprises (sans seuil minimal d'effectif) de tenir un registre des rémunérations couvrant l'ensemble du personnel, ventilé par sexe et catégorie professionnelle, avec référence à l'écart de rémunération.

Par ailleurs, le Décret royal 901/2020 réglemente les plans d'égalité. L'obligation de négocier et d'enregistrer un plan d'égalité s'applique aux :

Le plan doit être enregistré dans le Registre des Plans d'Égalité (REGCON) du MITES. Le non-respect peut entraîner des amendes allant jusqu'à 225 018 euros pour une infraction très grave en vertu de la LISOS (RDL 5/2000).

Bloc 7 : ESG et durabilité (CSRD et chaîne de valeur)

La Directive (UE) 2022/2464, dite CSRD (Corporate Sustainability Reporting Directive), oblige à publier des rapports de durabilité selon les normes ESRS. Les dates d'application directe sont :

Cependant, les PME non cotées qui se situent en dehors du champ direct de la CSRD sont indirectement concernées par la chaîne d'approvisionnement : leurs grands clients leur adresseront des questionnaires ESG comme condition d'homologation en tant que fournisseur. Anticiper avec une déclaration de durabilité volontaire fondée sur la norme VSME (publiée par l'EFRAG en décembre 2024) représente un réel avantage concurrentiel dans les appels d'offres et les concours fournisseurs.

Bloc 8 : AI Act (application progressive 2024-2026)

Le Règlement (UE) 2024/1689, dit AI Act, est entré en vigueur le 1er août 2024 avec un calendrier d'application progressif :

Pour la majorité des PME, l'obligation immédiate est de classer les systèmes d'IA qu'elles utilisent ou déploient selon l'Annexe III du règlement et de vérifier s'ils sont à haut risque. Si une PME utilise des outils d'IA pour la prise de décisions relatives aux ressources humaines (recrutement, évaluation des performances), à l'octroi de crédits, à l'accès à des services essentiels ou à des composantes d'infrastructures critiques, elle est probablement en présence d'un système à haut risque avec des obligations de transparence, de documentation technique, d'enregistrement et de supervision humaine.

Tableau récapitulatif : seuils et échéances de conformité 2026

Bloc réglementaire Texte principal Seuil d'application Sanction maximale Statut en 2026
Conformité pénale Code pénal art. 31 bis (LO 1/2015) Toutes les personnes morales Dissolution / amende jusqu'au quintuple du bénéfice En vigueur
RGPD / LOPDGDD Règlement (UE) 2016/679 + LO 3/2018 Toute entreprise traitant des données personnelles 20 M€ ou 4 % du CA mondial annuel En vigueur
Canal d'alerte Loi 2/2023 ≥ 50 travailleurs (depuis déc. 2023) Jusqu'à 1 000 000 € En vigueur
NIS2 / Cybersécurité Directive (UE) 2022/2555 Secteurs essentiels/importants ≥ 50 salariés Essentielles : 10 M€ ou 2 % du CA mondial ; importantes : 7 M€ ou 1,4 % Transposition en cours (ES)
LCB-FT Loi 10/2010 + RD 304/2014 Personnes assujetties par secteur uniquement Jusqu'au double du bénéfice obtenu En vigueur
Égalité / Plan RD 901/2020 + RD 902/2020 Registre : toutes ; Plan : ≥ 50 Jusqu'à 225 018 € (LISOS) En vigueur
CSRD / ESG Directive (UE) 2022/2464 Directe : ≥ 250 sal. ; PME : pression chaîne Variable selon l'État membre Progressif 2024-2026
AI Act Règlement (UE) 2024/1689 Toute entreprise utilisant/déployant de l'IA 35 M€ ou 7 % du CA mondial annuel Progressif 2025-2026

Comment construire votre cartographie de conformité en quatre étapes

Étape 1 : Inventaire des activités et des actifs

Avant de déterminer quelles réglementations s'appliquent, vous devez savoir ce que fait votre entreprise, avec quelles données elle travaille, quelle technologie elle utilise et dans quels secteurs elle opère. Un inventaire des processus métier, des traitements de données et des systèmes d'information est le point de départ de tout diagnostic sérieux de conformité. Sans cet inventaire, l'analyse des écarts sera superficielle.

Étape 2 : Analyse des écarts par bloc

Pour chacun des huit blocs ci-dessus, évaluez si la réglementation s'applique à votre entreprise (critère de taille, de secteur ou d'activité), quels contrôles vous avez actuellement mis en place et quelle distance existe entre votre situation réelle et les exigences réglementaires. Le résultat est une matrice d'écarts hiérarchisée par niveau de risque et d'urgence.

Étape 3 : Plan de remédiation avec responsable et échéance

Chaque écart identifié doit se traduire par une action concrète, avec un responsable interne désigné et une date limite. En pratique, les entreprises qui échouent en matière de conformité ne le font pas par méconnaissance de la réglementation, mais par manque d'attribution claire des responsabilités et de mécanismes de suivi.

Étape 4 : Système de veille continue

La conformité n'est pas un projet avec une date de fin : c'est un système de gestion permanent. Les réglementations évoluent, les entreprises changent et les risques se transforment. Une révision annuelle de la cartographie de conformité, combinée à la veille sur les nouveautés réglementaires (BOE, EUR-Lex, circulaires de l'AEPD, INCIBE, SEPBLAC), est le minimum requis pour maintenir le système à jour.

Questions fréquentes

Ai-je besoin d'un programme de conformité pénale si je suis une petite entreprise ?

La responsabilité pénale des personnes morales n'a pas de seuil minimal d'effectif ou de chiffre d'affaires. Ce que prévoit le Code pénal (art. 31 bis.3), c'est un régime simplifié pour les entités de petite dimension, dans lesquelles l'organe d'administration peut assumer directement les fonctions de surveillance. Cela ne signifie pas qu'il n'y a rien à mettre en place : cela signifie que le modèle peut être allégé, mais il doit exister. Une entreprise de 15 salariés opérant dans la logistique ou la construction présente un profil de risque pénal réel (accidents du travail, corruption, fraude fiscale) et l'absence de modèle documenté l'empêche d'établir l'exonération ou l'atténuation devant un tribunal.

Que se passe-t-il si mon entreprise compte moins de 50 travailleurs et n'a pas de canal d'alerte ?

Pour les entreprises de moins de 50 salariés, la Loi 2/2023 n'impose pas l'obligation de disposer d'un canal interne propre, bien qu'elles puissent adhérer à un canal partagé (par exemple, via une association professionnelle). Cependant, si la convention collective applicable à votre secteur l'exige, ou si votre entreprise appartient au secteur financier ou bénéficie de fonds européens, une obligation peut en découler. En tout état de cause, disposer d'un canal — même si ce n'est pas obligatoire — réduit sensiblement le risque qu'une alerte parvienne directement à l'autorité sans passer par un filtre interne.

Comment savoir si mon entreprise est concernée par NIS2 ?

Le premier filtre est le secteur : NIS2 concerne les secteurs hautement critiques (énergie, transports, banques, santé, infrastructure numérique, administration publique) et les secteurs importants (fabrication, alimentation, services postaux, fournisseurs numériques). Le second filtre est la taille : en général, plus de 50 salariés ou plus de 10 millions d'euros de chiffre d'affaires. Si votre entreprise dépasse les deux filtres dans l'un de ces secteurs, elle est probablement une entité importante ou essentielle. La transposition espagnole (en attente à la date de cet article) peut introduire des nuances supplémentaires. La démarche la plus prudente est de réaliser un diagnostic de situation avant l'entrée en vigueur de la loi.

L'AI Act me concerne-t-il même si j'utilise uniquement des outils d'IA tiers ?

Oui. L'AI Act distingue entre les fournisseurs (ceux qui développent des systèmes d'IA), les déployeurs (ceux qui les utilisent dans un contexte professionnel) et les importateurs. Si votre entreprise utilise un outil d'IA tiers pour prendre des décisions affectant des personnes (salariés, clients, candidats), vous agissez en tant que déployeur et avez vos propres obligations : vérifier que le système satisfait aux exigences du règlement, tenir des registres d'utilisation, garantir une supervision humaine et, dans certains cas, réaliser une évaluation de l'impact sur les droits fondamentaux. Se fier uniquement au fournisseur est insuffisant.

Si vous souhaitez évaluer votre situation de départ ou structurer un programme de conformité intégral pour votre entreprise, l'équipe de Summum Consultoría accompagne les PME et les entreprises de taille intermédiaire dans la mise en place de systèmes de conformité réglementaire en Castille-et-León et aux Îles Canaries depuis 2007. Le point de départ est toujours le même : savoir exactement où vous en êtes avant de décider quoi faire.