Depuis 2023, trois textes européens majeurs redessinent en profondeur le cadre dans lequel opèrent les organisations publiques et privées. NIS2 (cybersécurité), DORA (résilience opérationnelle du secteur financier) et l'AI Act (régulation des systèmes d'intelligence artificielle) sont généralement présentés comme des enjeux juridiques ou techniques. Ils sont surtout, et avant tout, des enjeux de communication institutionnelle.
La tendance est connue : quand une réglementation entre en vigueur, les directions juridiques prennent la main, produisent un mémo de conformité, et considèrent le dossier traité. Ce réflexe laisse dans l'angle mort une question pourtant centrale — comment l'organisation va-t-elle expliquer sa conformité à ses parties prenantes ? À ses clients ? À ses partenaires institutionnels ? À la presse en cas d'incident ?
NIS2, applicable en France depuis octobre 2024, impose aux entités essentielles et importantes une obligation de notification en cas d'incident significatif. Ce n'est pas qu'une obligation technique de signalement à l'ANSSI. C'est aussi, implicitement, une obligation de préparation à la communication de crise. Quand un incident survient, les 24 heures de délai de notification initiale sont aussi les 24 heures pendant lesquelles la réputation se joue. Les organisations qui n'ont pas préparé leurs éléments de langage en amont naviguent à vue.
L'AI Act, lui, introduit la notion de « système d'IA à haut risque » dans des secteurs aussi variés que la santé, l'éducation, la sécurité ou les ressources humaines. Au-delà de la mise en conformité technique, les organisations concernées devront être en mesure d'expliquer — à leurs usagers, à leurs partenaires, aux autorités de contrôle — comment leurs systèmes fonctionnent, sur quelle base les décisions sont prises, et quelles garanties sont apportées. C'est de la communication institutionnelle à part entière.
Ce que cela implique concrètement
Pour les équipes communication, ces trois textes sont un signal d'alarme. Il ne s'agit plus seulement de produire des contenus, mais d'être capable de tenir un discours structuré, cohérent et vérifiable sur des sujets techniques. Voici trois réflexes à adopter dès maintenant.
1. Cartographier les obligations de transparence
Quels textes s'appliquent à votre organisation, quelles sont les parties prenantes à informer (régulateurs, clients, partenaires, grand public), et quels sont les délais imposés ? Ce travail de cartographie devrait être copiloté par la direction juridique et la direction de la communication — pas confié à l'une ou à l'autre exclusivement.
2. Préparer des éléments de langage « pré-crise »
Il est trop tard pour rédiger un communiqué au moment où l'incident survient. Les grandes organisations du secteur financier soumises à DORA l'ont compris — elles intègrent désormais des scénarios de communication dans leurs plans de continuité d'activité. Un kit de communication d'incident, comprenant 3 à 5 messages-clés validés en amont, change la donne quand le compteur tourne.
3. Former les porte-paroles
La conformité réglementaire engage souvent la direction générale ou le DSI en représentation. Or ces profils sont rarement formés à la prise de parole publique sur des sujets techniques sensibles. Une demi-journée de media training ciblée sur les enjeux NIS2 ou AI Act, avec des simulations d'entretien presse, transforme la posture du porte-parole.
En résumé
NIS2, DORA et l'AI Act ne sont pas des sujets réservés aux juristes et aux DSI. Ce sont des enjeux de communication stratégique que les organisations ont tout intérêt à traiter en amont — avant que l'actualité les y oblige.