Dirigeants & TNS

Plan de Continuité d'Activité : l'obligation qui s'étend des ETI à toutes les entreprises.

Le PCA organise la survie de votre entreprise face à une cyberattaque, un sinistre ou l'indisponibilité d'un dirigeant. Avec la directive NIS2, l'obligation passe de ~500 à ~15 000 entités : ETI, PME et leurs sous-traitants. Anticiper, c'est protéger votre premier actif patrimonial.

Maxime Schwob · 06 juillet 2026 · 6 min de lecture

TL;DR — l'essentiel en 30 secondes. Le Plan de Continuité d'Activité (PCA) organise la survie de votre entreprise face à un sinistre majeur : cyberattaque, incendie, panne, indisponibilité d'un dirigeant clé. Longtemps réservée à quelques grands acteurs (secteurs sensibles, opérateurs vitaux), l'obligation de continuité s'élargit fortement : la directive européenne NIS2, applicable en France à partir de fin 2026, fait passer le périmètre d'environ 500 à ~15 000 entités — dont de nombreuses ETI et désormais des PME de 18 secteurs, avec un effet de cascade sur leurs sous-traitants. Autrement dit, ce qui était l'affaire des grands groupes devient progressivement celle de toutes les entreprises structurées. Anticiper ce virage, c'est protéger la valeur de votre entreprise — souvent votre premier actif patrimonial.


Le PCA, c'est quoi exactement ?

Le Plan de Continuité d'Activité est un document opérationnel qui répond à une question simple mais vitale : « Si demain un événement grave frappe mon entreprise, comment continue-t-elle à fonctionner — ou à redémarrer au plus vite ? »

Il couvre les scénarios qui peuvent tout arrêter :

  • une cyberattaque (rançongiciel qui paralyse vos systèmes) ;
  • un sinistre physique (incendie, dégât des eaux, sinistre sur les locaux) ;
  • une panne majeure (informatique, fournisseur critique, énergie) ;
  • l'indisponibilité soudaine d'une personne clé (dirigeant, homme ou femme-clé).

Le PCA identifie les activités essentielles, les ressources minimales pour les maintenir, et les procédures à déclencher en cas de crise. Son cousin, le PRA (Plan de Reprise d'Activité), se concentre sur le redémarrage technique, notamment informatique.

L'idée directrice : ce n'est pas « est-ce qu'un incident arrivera ? », mais « quand il arrivera, serai-je capable de tenir ? ». Une entreprise sur deux touchée par un sinistre majeur sans plan de continuité ne s'en relève pas.


Hier réservé à quelques-uns, demain l'affaire de tous

Une obligation historiquement ciblée

Pendant longtemps, l'obligation formelle de disposer d'un plan de continuité ne concernait qu'un cercle restreint : opérateurs d'importance vitale, secteur bancaire et financier, établissements de santé, infrastructures critiques. Pour l'immense majorité des entreprises, le PCA relevait de la bonne pratique — pas de l'obligation.

Le tournant NIS2 : le périmètre explose

C'est en train de changer, sous l'impulsion de la réglementation européenne. La directive NIS2 (transposée en droit français en 2024, pleinement applicable vers octobre 2026) élargit considérablement le champ des entreprises soumises à des obligations de cybersécurité et de continuité d'activité :

  • le nombre d'entités concernées passe d'environ 500 à ~15 000 en France ;
  • 18 secteurs sont visés, bien au-delà des seules infrastructures critiques ;
  • les ETI sont largement concernées, et désormais aussi de nombreuses PME classées « importantes » ou « essentielles ».

⚠️ L'effet de cascade, souvent sous-estimé : même si votre entreprise n'entre pas directement dans le périmètre, vos donneurs d'ordre qui, eux, y sont soumis vous demanderont des garanties de continuité pour rester leur fournisseur. La contrainte se diffuse ainsi le long de la chaîne, jusqu'aux plus petites structures.

Une trajectoire claire : l'élargissement continu

NIS1 concernait ~500 entités ; NIS2 en vise ~15 000. La direction est sans ambiguïté : le filet réglementaire s'élargit à chaque étape. Ce qui était l'apanage des grands groupes devient, année après année, la norme pour toute entreprise structurée. Anticiper aujourd'hui, c'est éviter de subir demain dans l'urgence.


Ce que change concrètement l'obligation

Pour les entreprises entrant dans le périmètre, les exigences ne sont pas symboliques :

Sans démarche Avec un PCA structuré
Face à une cyberattaque Arrêt total, rançon, perte de données Activités essentielles maintenues, reprise organisée
Conformité réglementaire Risque de sanction Obligations couvertes
Relations clients / donneurs d'ordre Référencement menacé Garanties apportées, avantage concurrentiel
Valeur de l'entreprise Fragilisée Renforcée (résilience valorisable)

Les sanctions prévues par NIS2 pour les manquements peuvent atteindre, pour les entités les plus critiques, plusieurs millions d'euros ou un pourcentage du chiffre d'affaires — un ordre de grandeur qui place le sujet au niveau du comité de direction, pas de la seule DSI.

Les seuils, secteurs et modalités précises d'application dépendent de votre situation et des textes en vigueur. Une analyse au cas par cas est indispensable pour savoir si — et quand — votre entreprise est concernée.


Pourquoi ce sujet concerne votre patrimoine, pas seulement votre informatique

On range trop vite le PCA dans la case « technique » ou « cybersécurité ». C'est une erreur de perspective. Pour un dirigeant, l'entreprise est le plus souvent le premier actif patrimonial — celui qui portera la retraite, la transmission, la sécurité de la famille.

Or un sinistre majeur non anticipé peut, en quelques jours, détruire des années de valeur créée. Le PCA s'inscrit donc dans une logique patrimoniale globale, aux côtés d'autres protections que nous connaissons bien :

  • la prévoyance et l'assurance homme-clé, pour absorber l'indisponibilité d'une personne essentielle ;
  • la structuration juridique (holding, gouvernance) pour sécuriser la continuité de direction ;
  • la préparation de la transmission, qui suppose une entreprise robuste et « transmissible ».

Protéger la continuité de l'activité, c'est protéger la valeur de ce que vous transmettrez — et le revenu qui en dépend.


Anticiper plutôt que subir

La vague réglementaire est engagée, et elle ne se refermera pas. Les entreprises qui s'y préparent tôt en tireront un double bénéfice : la conformité, bien sûr, mais aussi un argument de solidité vis-à-vis de leurs clients, partenaires et futurs repreneurs.

Attendre d'y être contraint, c'est se condamner à agir dans l'urgence, sans recul et souvent à un coût supérieur. Anticiper, c'est transformer une contrainte en avantage.


Pour aller plus loin

Article informatif. Le périmètre exact des obligations de continuité d'activité (directive NIS2 et réglementations sectorielles) dépend de votre secteur, de votre taille et des textes applicables. Ce contenu ne constitue pas un conseil juridique : une analyse personnalisée est recommandée.

Besoin d'un conseil personnalisé ?

Un article ne remplace pas un audit. Prenons 45 min pour analyser votre situation — à votre domicile ou en visioconférence.

Prendre rendez-vous
← Retour au blog