Guides & Ressources pratiques
Auto-entrepreneur ou entrepreneur individuel : quelle différence et lequel choisir ?
Droit dérivé de l'Union européenne : définition, sources et portée pour les entreprises
Points clés de l'article
- Le droit dérivé désigne l'ensemble des actes juridiques adoptés par les institutions de l'UE sur le fondement des traités : règlements, directives, décisions, recommandations et avis.
- Les règlements s'appliquent directement dans chaque État membre, sans transposition. Les directives fixent un objectif que chaque État doit transposer dans son droit national.
- Le principe de primauté impose que le droit dérivé prévaut sur toute norme nationale contraire, y compris les lois françaises.
- Pour les directions juridiques, identifier la nature exacte d'un acte dérivé conditionne le calendrier de mise en conformité, les obligations applicables et les sanctions encourues.
- RGPD, IA Act, directive CSRD, directive sur le devoir de vigilance : ces textes relèvent tous du droit dérivé et structurent aujourd'hui les programmes de conformité des entreprises françaises.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Qu'est-ce que le droit dérivé de l'Union européenne ?
Droit primaire vs droit dérivé : la hiérarchie des normes UE
Les actes de droit dérivé : règlement, directive, décision, recommandation, avis
Effet direct et primauté : la portée juridique des actes dérivés
Comment le droit dérivé s'applique en France : transposition et application directe
Impact concret du droit dérivé sur la conformité des entreprises
FAQ : questions fréquentes sur le droit dérivé européen
Qu'est-ce que le droit dérivé de l'Union européenne ?
Le droit dérivé de l'Union européenne désigne l'ensemble des actes juridiques que les institutions européennes — Parlement, Conseil et Commission — adoptent sur la base des traités fondateurs. Il se distingue du droit primaire, qui regroupe les traités eux-mêmes (TUE, TFUE, Charte des droits fondamentaux). Concrètement, chaque fois qu'un règlement ou une directive entre en vigueur, il s'agit d'un acte de droit dérivé.
Pour un directeur juridique, cette distinction n'est pas théorique. Elle détermine la force obligatoire du texte, son mode d'entrée en vigueur en droit français et les marges d'interprétation dont dispose l'entreprise. Le RGPD, entré en application le 25 mai 2018, est un règlement européen : il s'est imposé directement, sans loi nationale de transposition préalable. La directive NIS 2 sur la cybersécurité, adoptée en décembre 2022, suppose au contraire une transposition par chaque État membre avant le 17 octobre 2024.
Le droit dérivé constitue aujourd'hui la source la plus volumineuse du droit de l'UE. Selon les données de EUR-Lex, la base juridique officielle de l'Union, plus de 90 000 actes législatifs et non législatifs y sont répertoriés. C'est ce corpus qui structure, dans les faits, l'essentiel des obligations de conformité pesant sur les entreprises opérant sur le marché intérieur.
Droit primaire vs droit dérivé : la hiérarchie des normes UE
La hiérarchie des normes de l'Union européenne repose sur un principe simple : le droit primaire fonde et encadre le droit dérivé. Les traités définissent les compétences de l'Union, les procédures d'adoption des actes et les droits fondamentaux. Le droit dérivé, lui, met en œuvre ces compétences dans des domaines précis : marché intérieur, concurrence, protection des données, environnement, fiscalité.
En pratique, un acte de droit dérivé ne peut pas contredire les traités. La Cour de justice de l'Union européenne (CJUE) contrôle cette conformité et peut annuler un acte dérivé qui excéderait les compétences attribuées par les traités. Ce contrôle a des conséquences directes pour les entreprises : un règlement annulé par la CJUE perd sa force obligatoire, ce qui peut modifier rétroactivement les obligations de conformité.
| Critère | Droit primaire | Droit dérivé |
|---|---|---|
| Nature | Traités fondateurs (TUE, TFUE, Charte) | Actes adoptés par les institutions UE |
| Adoption | Conférences intergouvernementales, ratification par les États | Procédure législative ordinaire ou spéciale |
| Exemples | Traité de Lisbonne (2007) | RGPD (2016), directive CSRD (2022) |
| Modification | Révision des traités (unanimité) | Procédure législative classique |
| Contrôle | CJUE (interprétation) | CJUE (légalité, conformité aux traités) |
Cette architecture explique pourquoi un directeur juridique doit systématiquement vérifier la base juridique d'un texte européen avant d'en évaluer la portée. Un acte fondé sur une compétence partagée n'a pas la même portée qu'un acte fondé sur une compétence exclusive de l'Union.
Les actes de droit dérivé : règlement, directive, décision, recommandation, avis
L'article 288 du TFUE distingue 5 catégories d'actes de droit dérivé. Leur force obligatoire varie selon leur nature.
Le règlement
Le règlement est obligatoire dans tous ses éléments et directement applicable dans chaque État membre. Il ne nécessite aucune transposition. Le RGPD (règlement 2016/679) en est l'exemple le plus connu : ses 99 articles s'appliquent de manière identique dans les 27 États membres depuis le 25 mai 2018.
La directive
La directive lie les États membres quant au résultat à atteindre, mais leur laisse le choix des moyens. Elle impose une transposition en droit national dans un délai fixé. La directive CSRD (2022/2464) sur le reporting de durabilité devait être transposée avant le 6 juillet 2024. Ce délai de transposition crée une période d'incertitude pour les entreprises, qui doivent anticiper les obligations finales sans connaître encore les modalités nationales exactes.
La décision
La décision est obligatoire dans tous ses éléments. Lorsqu'elle désigne des destinataires (un État, une entreprise), elle ne lie que ceux-ci. Les décisions de la Commission en matière de concentrations ou d'aides d'État relèvent de cette catégorie. En 2023, la Commission a adopté plus de 400 décisions en matière d'aides d'État.
La recommandation et l'avis
Les recommandations et avis ne sont pas contraignants. Ils n'imposent aucune obligation juridique. Toutefois, la CJUE a précisé que les juridictions nationales doivent prendre en compte les recommandations pour interpréter le droit national (arrêt Grimaldi, 1989). Un directeur juridique ne peut donc pas les ignorer dans une analyse de risque.
| Acte | Force obligatoire | Application | Transposition nécessaire |
|---|---|---|---|
| Règlement | Oui, intégralement | Directe dans tous les États | Non |
| Directive | Oui, quant au résultat | Via le droit national | Oui, dans le délai fixé |
| Décision | Oui, pour les destinataires | Directe | Non |
| Recommandation | Non | Aucune force contraignante | Non |
| Avis | Non | Aucune force contraignante | Non |
Un programme de conformité efficace repose d'abord sur l'identification précise de la nature des textes applicables à l'entreprise.
Échangez avec un avocat spécialisé en conformité
Effet direct et primauté : la portée juridique des actes dérivés
Deux principes structurent la portée du droit dérivé dans l'ordre juridique interne : l'effet direct et la primauté.
L'effet direct signifie qu'un acte de droit dérivé crée des droits et obligations que les particuliers et les entreprises peuvent invoquer directement devant les juridictions nationales. Les règlements bénéficient toujours de l'effet direct. Les directives peuvent en bénéficier sous conditions : la disposition doit être suffisamment précise, inconditionnelle, et le délai de transposition doit être expiré (arrêt Van Duyn, CJCE, 1974).
La primauté impose que le droit de l'Union, y compris le droit dérivé, prévaut sur toute norme nationale contraire. Ce principe, posé par l'arrêt Costa c/ ENEL (CJCE, 1964), a été confirmé à de nombreuses reprises. En France, le Conseil d'État l'a reconnu dans l'arrêt Nicolo (1989) pour les traités, puis l'a étendu aux actes de droit dérivé.
Pour une direction juridique, ces deux principes ont une conséquence opérationnelle directe : une entreprise ne peut pas se retrancher derrière une loi française pour échapper à une obligation issue d'un règlement européen. En cas de conflit entre une disposition du Code de commerce et un règlement de l'UE, c'est le règlement qui s'applique.
Comment le droit dérivé s'applique en France : transposition et application directe
Le mode d'entrée en vigueur d'un acte de droit dérivé en France dépend de sa nature.
Un règlement s'applique directement dès sa publication au Journal officiel de l'Union européenne, ou à la date qu'il fixe. Le règlement sur l'intelligence artificielle (IA Act, 2024/1689), publié le 12 juillet 2024, prévoit une entrée en application échelonnée entre février 2025 et août 2027 selon les catégories de systèmes d'IA. Aucune loi française n'est nécessaire pour qu'il produise ses effets.
Une directive exige une transposition par le législateur ou le pouvoir réglementaire français. Le Parlement adopte une loi, ou le gouvernement prend un décret, pour intégrer les obligations de la directive dans le droit national. Si la France ne transpose pas dans le délai imparti, la Commission peut engager une procédure en manquement devant la CJUE. En 2023, la France comptait 23 procédures d'infraction ouvertes pour retard de transposition, selon le tableau de bord du marché unique de la Commission.
Ce décalage entre l'adoption d'une directive et sa transposition effective crée un risque juridique spécifique. Pendant la période intermédiaire, les dispositions précises et inconditionnelles d'une directive non transposée peuvent être invoquées par un particulier contre l'État (effet direct vertical). En revanche, elles ne peuvent pas être opposées entre particuliers ou entre entreprises (pas d'effet direct horizontal), sauf interprétation conforme par le juge national.
La veille réglementaire européenne est un levier de sécurisation juridique pour les entreprises exposées à plusieurs textes de droit dérivé.
Consultez un avocat en conformité et vigilance
Impact concret du droit dérivé sur la conformité des entreprises
Le droit dérivé structure aujourd'hui la quasi-totalité des obligations de conformité des entreprises françaises de taille intermédiaire et des grands groupes. Plusieurs textes récents illustrent cette réalité.
RGPD (règlement 2016/679) : applicable depuis 2018, il impose aux entreprises traitant des données personnelles de désigner un DPO, de tenir un registre des traitements et de notifier les violations de données dans un délai de 72 heures. En 2023, la CNIL a prononcé 42 sanctions pour un montant total de 89 millions d'euros.
Directive CSRD (2022/2464) : elle élargit les obligations de reporting extra-financier à environ 50 000 entreprises dans l'UE, contre 11 700 sous l'ancienne directive NFRD. En France, la transposition concerne les exercices ouverts à compter du 1er janvier 2024 pour les grandes entreprises déjà soumises à la NFRD.
IA Act (règlement 2024/1689) : il classe les systèmes d'IA par niveau de risque et impose des obligations graduées. Les systèmes à haut risque (recrutement, notation de crédit, surveillance) devront respecter des exigences de transparence, de documentation technique et de contrôle humain.
Directive sur le devoir de vigilance (CS3D, 2024) : elle impose aux grandes entreprises d'identifier, prévenir et atténuer les atteintes aux droits humains et à l'environnement dans leurs chaînes de valeur. La transposition est attendue d'ici 2026.
Pour un directeur juridique, la difficulté réside dans la superposition de ces textes. Un même processus métier — par exemple le recrutement — peut être simultanément soumis au RGPD (traitement de données des candidats), à l'IA Act (si un outil de tri automatisé est utilisé) et à la directive CS3D (conditions de travail chez un prestataire de recrutement externalisé). La cartographie des actes de droit dérivé applicables à chaque activité devient un prérequis de tout programme de conformité structuré.
Identifier les textes européens applicables à votre entreprise est la première étape d'un programme de conformité opérationnel.
Faites le point avec un avocat spécialisé
FAQ : questions fréquentes sur le droit dérivé européen
Quelle est la différence entre un règlement et une directive européenne ?
Un règlement est obligatoire dans tous ses éléments et s'applique directement dans chaque État membre, sans transposition. Une directive fixe un objectif que chaque État doit atteindre en adoptant ses propres mesures nationales dans un délai déterminé. Le RGPD est un règlement ; la CSRD est une directive.
Un acte de droit dérivé peut-il être contesté par une entreprise ?
Oui. Une entreprise peut contester un acte de droit dérivé devant le Tribunal de l'Union européenne si elle est directement et individuellement concernée (article 263 TFUE). C'est le cas, par exemple, d'une décision de la Commission infligeant une amende pour infraction au droit de la concurrence.
Que se passe-t-il si la France ne transpose pas une directive dans les délais ?
La Commission européenne peut engager une procédure en manquement devant la CJUE, qui peut aboutir à des sanctions financières contre la France. Par ailleurs, les dispositions précises et inconditionnelles de la directive non transposée peuvent être invoquées par un particulier contre l'État devant les juridictions françaises (effet direct vertical).
Le droit dérivé européen s'applique-t-il aux PME ?
Oui, selon les textes. Le RGPD s'applique à toute organisation traitant des données personnelles, quelle que soit sa taille. L'IA Act prévoit des obligations allégées pour les PME. La directive CSRD ne concerne directement que les entreprises dépassant certains seuils (250 salariés, 50 millions d'euros de chiffre d'affaires ou 25 millions de total de bilan), mais les PME sous-traitantes peuvent être indirectement affectées par les exigences de reporting de leurs donneurs d'ordre.
Comment suivre l'évolution du droit dérivé applicable à mon entreprise ?
La base EUR-Lex recense l'ensemble des actes de droit dérivé en vigueur. Le tableau de bord du marché unique de la Commission publie l'état des transpositions par État membre. En interne, la mise en place d'une veille réglementaire structurée, associée à une cartographie des textes applicables par activité, permet d'anticiper les échéances de mise en conformité.
Pour aller plus loin
Droit et jurisprudence de l’Union européenne - Légifrance
Circulaire du 22 mars 2024 relative à la mise en œuvre du droit de l’Union européenne - Légifrance
L’État de droit dans l’Union européenne - Sénat
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
