Droit numérique Guyane : ce qui change pour les PME en 2026

Le droit numérique en Guyane n’a pas attendu que vous soyez prêt.

En 2026, six textes européens et nationaux frappent toute PME qui a un site, traite des données, vend en ligne ou utilise un outil IA. La distance avec Bruxelles ne change rien. Ce qui change : un tissu juridique local moins dense, des hébergeurs systématiquement hors territoire, et une rareté criante de prestataires capables d’accompagner la mise en conformité depuis Cayenne. Voici l’état réel du droit numérique pour une PME guyanaise en 2026, et le plan d’action qui tient sur une page.

Droit numérique 2026 : les six textes qui s’appliquent déjà à votre PME guyanaise

Le bloc réglementaire est entré en régime de croisière. Plus aucune des grandes échéances n’est lointaine, elles sont toutes derrière nous ou à six mois.

• RGPD – socle depuis 2018. Toujours la base de tout contrôle CNIL. Sanctions jusqu’à 4% du CA mondial.
• DSA (Digital Services Act) – pleinement applicable depuis février 2024. Concerne tout intermédiaire numérique : marketplace, hébergeur, plateforme de mise en relation. Une PME guyanaise qui exploite un site de petites annonces locales tombe dedans.
• NIS2 – transposée en droit français en 2024-2025. Étend la cybersécurité obligatoire à environ 15 000 entités françaises, dont des ETI et PME de secteurs essentiels (santé, énergie, transport, alimentation, services postaux). Plusieurs entreprises guyanaises de ces secteurs sont concernées sans le savoir.
• Loi SREN – votée mai 2024. Régule la pornographie en ligne, les arnaques, le cyberharcèlement, les jeux à objets numériques monétisables. Impact direct sur les hébergeurs et éditeurs.
• Data Act européen – applicable depuis septembre 2025. Impose le partage des données générées par les objets connectés et les services associés. Une PME qui vend des compteurs intelligents, des véhicules connectés ou des équipements industriels IoT est concernée.
• AI Act européen – les premières interdictions sont actives depuis février 2025 (notation sociale, manipulation cognitive, reconnaissance émotionnelle au travail). Les obligations sur les modèles à usage général (GPAI) s’appliquent depuis août 2025. Le régime complet entre en vigueur en août 2026.

Aucun de ces textes n’a de version « DOM-TOM allégée ». L’éloignement géographique n’est pas un moyen de défense.

Ce qui frappe vraiment une PME guyanaise (et ce qui n’arrive jamais)

La majorité des PME du territoire fantasme un risque mal calibré. Trions.

Ce qui frappe pour de vrai :

• Plainte CNIL d’un client ou d’un ex-salarié – 14 137 plaintes en 2023 selon le rapport CNIL, en hausse continue. C’est le déclencheur numéro un d’un contrôle.
• Cyberattaque par rançongiciel – Cybermalveillance.gouv.fr a recensé plus de 280 000 demandes d’assistance en 2023, avec une croissance forte sur les TPE/PME et les collectivités. La Guyane n’est pas isolée du flux : plusieurs collectivités et entreprises locales ont été touchées en 2024-2025.
• Mise en demeure d’un fournisseur de cloud non conforme – si vous hébergez chez un acteur extra-européen, le transfert de données hors UE doit être encadré (clauses contractuelles types ou décision d’adéquation). Sinon : exposition RGPD réelle.
• Mention d’IA non déclarée dans un produit ou service – dès août 2026, l’obligation de transparence sur les systèmes IA s’applique. Un chatbot client non identifié comme IA est désormais une infraction.

Ce qui n’arrive presque jamais à une PME de moins de 50 personnes :

• Un contrôle CNIL aléatoire sans plainte déclenchante
• Une sanction maximale (4% du CA mondial) sur un premier manquement
• Une visite ANSSI sur place pour audit NIS2 spontané

Le risque réel suit toujours un déclencheur : une plainte, un incident, un signalement client. La conformité utile est celle qui vous protège quand le déclencheur arrive, pas celle qui coche toutes les cases d’un audit théorique.

Spécificités amazoniennes : hébergement, fournisseurs, sous-traitance

Trois angles morts récurrents en Guyane.

L’hébergement local quasi inexistant. Aucun datacenter de classe Tier III sur le territoire. Vos données partent forcément en métropole, en zone Caraïbe (Trinité, Miami) ou plus loin. Conséquence : vous êtes systématiquement en situation de transfert de données. Cela ne pose aucun problème si le destinataire est dans l’UE et si le contrat de sous-traitance RGPD article 28 est signé. Cela pose un vrai problème si vous utilisez sans encadrement un service américain (un CRM, un outil de visio, un stockage), car le Data Privacy Framework conclu avec les États-Unis en juillet 2023 a remplacé le Privacy Shield mais reste contesté juridiquement.

La sous-traitance métropolitaine non documentée. Beaucoup de PME guyanaises sous-traitent leur paie, leur compta, leur informatique à un cabinet ou un prestataire métropole sans avoir formalisé l’accord de sous-traitance RGPD. C’est une faille. Le donneur d’ordre reste responsable. La signature d’une convention article 28 est obligatoire et gratuite, elle se fait en quelques heures.

L’isolement face aux experts. Un avocat parisien spécialisé droit numérique facture 300 à 500 euros de l’heure. À Cayenne, le vivier est mince et orienté droit des affaires classique. La parade : passer par un cabinet en visio, ou s’appuyer sur les ressources publiques (CNIL, ANSSI, Cybermalveillance.gouv.fr) pour la couche standard, et garder le budget avocat pour les cas complexes (litige client, cyberattaque, sanction).

Le plan d’action terrain : checklist 12 points pour 2026

À exécuter dans cet ordre, par une personne identifiée en interne (DSI, RAF, ou dirigeant) avec un budget temps de 2 à 3 jours étalé sur un mois.

1. Cartographier vos traitements de données – registre CNIL article 30, modèle gratuit téléchargeable. Lister chaque finalité, chaque base de données, chaque destinataire.
2. Identifier vos sous-traitants – cabinet compta, prestataire IT, agence com, hébergeur, outils SaaS. Lister tout, même ce qui semble anodin.
3. Signer une convention article 28 avec chaque sous-traitant – modèle CNIL disponible. Refus du sous-traitant = changement de fournisseur.
4. Vérifier la localisation de vos données – pour chaque outil, lire la politique de confidentialité. Hors UE = clauses contractuelles types ou décision d’adéquation à valider.
5. Mettre à jour vos mentions légales et politique de confidentialité – obligation RGPD + DSA. Modèle conforme : voir notre guide CGV CGU.
6. Activer le double facteur sur tous les comptes critiques – email pro, hébergement, banque en ligne, CRM, compta. Sans 2FA, en 2026, vous êtes en faute professionnelle élémentaire.
7. Faire une sauvegarde 3-2-1 – 3 copies, 2 supports différents, 1 hors site. Test de restauration une fois par trimestre.
8. Documenter votre procédure d’incident – qui appelle qui, dans quel ordre, sous 72h pour la notification CNIL si fuite de données. Une page A4 suffit.
9. Identifier les systèmes IA en usage – ChatGPT pro, Copilot, outils de scoring, chatbot. Pour chacun : usage à risque selon AI Act ? Information transparente du client ?
10. Rédiger une charte d’usage IA interne – quels outils, quelles données interdites en input (clients, médical, financier), quelle relecture humaine.
11. Vérifier votre exposition NIS2 – secteur essentiel ou important ? Si oui, déclaration ANSSI obligatoire avant fin 2025 (en retard = régularisation immédiate).
12. Programmer un audit annuel – même informel, par un consultant externe ou un confrère dirigeant. Une vue extérieure trouve toujours ce que l’interne ne voit plus.

Cette checklist droit numérique ne couvre pas 100% du périmètre réglementaire. Elle couvre 80% du risque réel pour une PME guyanaise de moins de 50 personnes. Le reste se traite au cas par cas, en fonction du secteur (santé, finance, marketplace, IoT).

Le mot de la fin

Le droit numérique en Guyane n’est ni plus simple ni plus dur qu’ailleurs. Il est juste moins accompagné. Les PME qui s’organisent maintenant prennent une avance opérationnelle de 18 mois sur celles qui attendent leur première plainte. Et nous savons d’expérience qui se fait rattraper en premier : ceux qui pensaient être trop petits pour intéresser un contrôleur. Voir aussi notre guide RGPD PME et nos 7 clauses SaaS à verrouiller.

♚ 1D-D1 – One Day or Day One. Parlons stratégie →