Se connecter
  1. 1 - Quelles obligations pour les fabricants ?
    1. 2 - Quelles obligations pour les distributeurs et importateurs ?
      1. 3 - Des produits classés par niveau de criticité
        1. 4 - Les sanctions en cas de non-conformité
          1. 5 - Un texte nécessaire mais redondant ?

            Cyber Resilience Act : Ce que les entreprises doivent savoir dès maintenant

            CybersécuritéAugust 4, 2025

            Adopté le 13 mars 2024, le Cyber Resilience Act (CRA) marque une nouvelle étape dans la stratégie numérique de l’Union européenne. Ce règlement entend imposer des règles claires en matière de cybersécurité pour tous les produits numériques commercialisés sur le marché européen tels que les baby-moniteurs, les montres intelligentes, et de manière générale, tous produits et logiciels qui contiennent un composant numérique, sauf logiciel open-source.

            L’objectif affiché du CRA est de rendre les produits numériques plus sûrs dès leur conception et de protéger in fine les consommateurs et les entreprises qui achètent ces produits. L’UE estime que plus de 50 % des cyber-incidents trouvent leur origine dans des produits insuffisamment sécurisés.

            Cette législation s’inscrit dans le paquet cybersécurité de la Commission européenne, en complément des textes sectoriels comme :

            • le RGPD (sécurité des données personnelles),

            • le règlement DORA (cybersécurité du secteur financier),

            • la directive NIS 2 (sécurité des réseaux et systèmes d’information critiques).

            Le CRA a été proposé par la Commission en septembre 2022, puis amendé par le Parlement et le Conseil. La version finale a été publiée le 8 avril 2024 au JOUE et est entrée en vigueur le 10 décembre 2024.

            Son entière application sera obligatoire à partir du 11 décembre 2027 (avec certaines obligations dès 2025).

            Quelles obligations pour les fabricants ?

            Les fabricants sont les principaux acteurs concernés par le CRA. Ils sont soumis à un ensemble d'obligations strictes tout au long du cycle de vie de leurs produits comportant des éléments numériques.

            Sécurité dès la conception

            Le CRA introduit des exigences obligatoires en matière de cybersécurité pour les produits matériels et logiciels, tout au long de leur cycle de vie. Les produits doivent intégrer des mesures de cybersécurité dès leur conception et développement (security by design qui est un aspect du privacy by design). Cela implique une analyse de risques et la mise en œuvre de mesures techniques adaptées. 

            Mises à jour de sécurité & maintenance

            Le règlement oblige les fabricants à fournir « des soins » pendant le cycle de vie de leurs produits, c’est-à-dire des mises à jour de sécurité distinctes des mises à jour de fonctionnalités. Ces derniers doivent fournir des mises à jour correctives pendant au moins 5 ans, sauf si une durée plus courte est justifiée par la nature ou l’usage du produit. Ces mises à jour doivent être gratuites et faciles à installer.

            Documentation technique

            Chaque produit doit être accompagné d’une déclaration UE de conformité, d’une documentation technique détaillée et d’un manuel d’utilisation précisant les aspects liés à la cybersécurité.

            Déclaration UE de conformité

            Cette déclaration engage le fabricant à attester officiellement que son produit respecte l’ensemble des exigences de cybersécurité prévues par le règlement. Ce document doit être établi avant la mise sur le marché, contenir les références aux normes harmonisées ou procédures d’évaluation utilisées, et être tenu à disposition des autorités pendant 10 ans. Il conditionne le marquage CE du produit, et engage juridiquement le fabricant en cas de non-conformité.

            Notification des vulnérabilités

            Les vulnérabilités doivent être notifiées dans un délai de 24 heures à l’ENISA (l’Agence européenne pour la cybersécurité), ainsi qu’aux utilisateurs concernés.

            Ces nouvelles règles rééquilibreront la responsabilité à l’égard des fabricants, qui doivent veiller à ce que leurs produits comportant des éléments numériques répondent aux normes de cybersécurité pour le marché de l’UE.

            Transparence & assistance

            L’objectif est d’instaurer une relation de confiance numérique, en assurant que l’utilisateur soit informé de manière claire, accessible et compréhensible sur les aspects liés à la cybersécurité du produit.

            Les fabricants doivent fournir, au moment de la mise sur le marché, une documentation accessible contenant les éléments suivants :

            1. La période minimale pendant laquelle le produit fera l’objet d’un support en cybersécurité, autrement dit :

              • combien de temps les mises à jour de sécurité seront fournies ;

              • quelles seront les modalités d’installation de ces mises à jour (automatiques, manuelles, notification préalable).

            2. Les limitations connues du produit en matière de cybersécurité : par exemple, si certaines fonctions doivent être configurées manuellement pour assurer un niveau de sécurité satisfaisant.

            3. Les risques résiduels potentiels, lorsque le fabricant ne peut raisonnablement pas les éliminer.

            4. Des instructions de sécurité claires, y compris des recommandations pour une utilisation sûre.

            Ces informations doivent figurer dans un manuel d’utilisation, qui peut être fourni sous forme numérique ou imprimée.

            L’obligation d’assistance prévue par le Cyber Resilience Act impose aux fabricants de garantir, pour chaque produit numérique, une période minimale pendant laquelle ils fourniront des mises à jour de sécurité (correctifs de vulnérabilités). Cette période doit être clairement indiquée à l’utilisateur, être gratuite et distincte des mises à jour fonctionnelles. Par défaut, la durée minimale est de cinq ans, sauf si une durée plus courte est justifiée par la nature ou l’usage du produit.

            Quelles obligations pour les distributeurs et importateurs ?

            Les importateurs et distributeurs ne peuvent mettre sur le marché que des produits conformes au CRA. Ils doivent :

            • vérifier la conformité des produits :  Vérifier que les produits portent le marquage CE et sont accompagnés de la documentation requise.

            • assurer la traçabilité : Conserver une copie de la déclaration UE de conformité pendant 10 ans.

            • collaborer avec les autorités nationales en cas de non-conformité : Agir s’ils constatent une non-conformité ou un risque grave (retrait du produit, alerte aux autorités).

            Des produits classés par niveau de criticité

            Le Cyber Resilience Act introduit une catégorisation des produits comportant des éléments numériques selon leur niveau de criticité en matière de cybersécurité. Cette classification détermine les obligations de conformité applicables à chaque catégorie, notamment en ce qui concerne la procédure d’évaluation de la conformité (auto-évaluation ou tierce partie).

            L’objectif est d’adapter le niveau d’exigence réglementaire :

            • en fonction de l’exposition au risque du produit,

            • et de son impact potentiel en cas de faille de cybersécurité.

            Ainsi, les produits les plus sensibles doivent faire l’objet d’une surveillance renforcée (évaluation par un organisme notifié, par exemple : Système d’exploitation, antivirus), tandis que les produits standards peuvent suivre une procédure simplifiée (autoévaluation par le fabricant, par exemple : objets connectés domestiques simples, applications non critiques, certains jouets numériques).

            Les sanctions en cas de non-conformité

            Les États membres désignent les autorités compétentes. En cas de non-conformité :

            • des amendes administratives peuvent être prononcées (jusqu’à 15 millions € ou 2,5 % du chiffre d’affaires annuel mondial),

            • les produits peuvent être retirés du marché.

             

            Un texte nécessaire mais redondant ?

            Ce texte renforce indéniablement le niveau de maturité cybersécuritaire du marché européen. Il répond à une réalité : la multiplication des produits numériques vulnérables. Il incarne aussi une volonté politique de souveraineté numérique.

            Mais on peut s’interroger sur l’inflation normative. Le CRA recoupe de nombreuses obligations déjà prévues :

            • en matière de sécurité du traitement (article 32 du RGPD),

            • dans le cadre sectoriel DORA,

            • ou encore dans NIS 2 pour les opérateurs essentiels.

            Le risque est donc une complexification excessive pour les opérateurs économiques, notamment les PME, qui doivent jongler entre différents textes sans cohérence apparente.

            Aurélie PuigWitik - Experte RGPD
            Inscrivez-vous à notre newsletter pour ne rien louper de l'actualité.

            Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.

            • All rights reserved ©Witik 2025