Cyber Resilience Act (CRA) : quels acteurs sont concernés ?

Le règlement (UE) 2024/2847 relatif à la cyber-résilience (Cyber Resilience Act ou CRA) (1) s’inscrit dans une logique résolument produit-centrée. Contrairement à d’autres textes européens récents en matière de cybersécurité, le CRA ne procède ni par catégories d’entreprises ni par secteurs d’activité. Il identifie, de manière fonctionnelle, les opérateurs économiques impliqués dans la mise sur le marché de produits comportant des éléments numériques.

Il convient donc de préciser quels acteurs sont effectivement soumis aux obligations du règlement, et selon quels critères.

CRA : une approche fondée sur la mise sur le marché

Le champ d’application du CRA repose sur un principe structurant : le règlement s’applique aux produits comportant des éléments numériques mis à disposition sur le marché de l’Union dans le cadre d’une activité commerciale (art. 2 ; considérants 15).

Il en résulte que :

• la forme juridique de l’acteur (SAS, SA, PME, startup) est indifférente ;
• le règlement ne vise pas les entreprises en tant que telles, mais leurs activités de mise sur le marché ;
• la qualification d’« opérateur économique » découle exclusivement du rôle joué à l’égard du produit.

Cette approche, assumée par le législateur européen, vise à instaurer un cadre horizontal et harmonisé de cybersécurité des produits numériques, indépendamment des modèles économiques ou des structures sociétaires (considérants 1 à 4).

Le fabricant, débiteur principal des obligations du CRA

Le fabricant constitue l’acteur central du dispositif. Au sens du CRA, est fabricant toute personne physique ou morale qui :

• conçoit ou développe un produit comportant des éléments numériques, ou le fait concevoir ou développer pour son compte ;
• met ce produit sur le marché sous son nom ou sa marque (art. 3, point 13).

Relèvent ainsi directement du champ du règlement :

• les éditeurs de logiciels, y compris de logiciels autonomes ;
• les fabricants de produits matériels intégrant des logiciels embarqués ;
• les acteurs combinant matériel, logiciel et, le cas échéant, services à distance indissociables.

Le fabricant supporte l’essentiel des obligations prévues par le CRA, notamment :

• la conformité aux exigences essentielles de cybersécurité (art. 6 à 8) ;
• la mise en œuvre d’une gestion structurée des vulnérabilités (art. 10 et 12) ;
• la fourniture de mises à jour de sécurité pendant la période d’assistance ;
• la réalisation des procédures d’évaluation de la conformité et l’apposition du marquage CE.

La taille de l’entreprise n’affecte pas l’applicabilité du règlement. Les microentreprises et PME peuvent bénéficier d’une application proportionnée, sans que le principe de conformité soit remis en cause (considérants 4 à 6).

Importateurs et distributeurs : une responsabilité encadrée par le CRA

Le CRA s’inscrit dans la continuité du droit européen de la surveillance du marché. Les importateurs et distributeurs (article 19 et 20) sont concernés lorsqu’ils participent à la mise à disposition sur le marché de l’Union de produits comportant des éléments numériques, notamment lorsqu’ils proviennent de pays tiers.

Leurs obligations, de nature essentiellement préventive et corrective, portent notamment sur :

• la vérification de la présence du marquage CE et de la documentation requise ;
• la coopération avec les autorités de surveillance du marché ;
• la mise en œuvre de mesures correctives en cas de non-conformité.

Ils ne sont pas responsables de la conception sécurisée du produit, mais participent à la chaîne de conformité instaurée par le règlement.

Le risque de requalification en fabricant

Une entreprise utilisatrice peut être amenée à relever du CRA lorsqu’elle :

• modifie substantiellement un produit comportant des éléments numériques ;
• intègre un composant logiciel dans un nouveau produit commercialisé sous son nom ;
• reconditionne ou redistribue un produit après modification de ses fonctions ou de son niveau de risque cyber.

Constituent notamment des modifications substantielles les modifications logicielles ou fonctionnelles qui :

• altèrent l’usage prévu du produit ; ou
• augmentent le niveau de risque de cybersécurité (considérants 38 et suivants).

Dans une telle hypothèse, l’entreprise peut être requalifiée en fabricant et se voir appliquer l’ensemble des obligations du règlement.

SaaS et traitement de données à distance interprété par le CRA

Le CRA opère une distinction claire entre produits et services. Les services d’informatique en nuage et les SaaS autonomes demeurent, en principe, exclus du champ du règlement et relèvent principalement de la directive NIS 2.

En revanche, le CRA s’applique aux solutions de traitement de données à distance lorsque :

• le service est conçu ou développé par le fabricant ou pour son compte ;
• il est indispensable au fonctionnement du produit ;
• son absence empêcherait le produit d’exécuter l’une de ses fonctions essentielles (art. 3, point 2 ; considérant 12).

Dans ce cas, la solution à distance est juridiquement appréhendée comme une composante du produit.

Le cas des logiciels libres et open source

Le CRA distingue selon l’existence d’une activité commerciale. Les logiciels libres et open source non monétisés, fournis en dehors de toute activité commerciale, sont exclus du champ du règlement (considérants 17 et 18).

À l’inverse, les logiciels open source intégrés dans des produits commercialisés ou monétisés peuvent relever du CRA, sous réserve d’un régime adapté pour certains « intendants de logiciels ouverts » (considérant 19).

Conclusion

Le CRA consacre une approche rigoureuse et fonctionnelle de la cybersécurité des produits numériques. Il ne vise pas les entreprises en tant que telles, mais les responsabilités assumées dans la mise sur le marché.

La qualification d’opérateur économique, et en particulier de fabricant, constitue ainsi le point d’entrée déterminant du dispositif. À cet égard, la vigilance s’impose notamment aux acteurs qui, sans se percevoir comme fabricants, modifient, intègrent ou redistribuent des produits numériques, au risque de basculer dans le champ du règlement.

(1) Règlement concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les règlements (UE) no 168/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828 (règlement sur la cyber-résilience).

**Katharina Berbett**
Avocate
Directrice du département Informatique contentieux complexe

Photo Mathilde Pennès-Lavoye MAP — **Mathilde Pennès-Lavoye**
Avocate
Département Informatique contentieux complexe

Miniature YouTube Lexbase - Les secrets d'Alain Bensoussan

Cookie	Durée	Description
cookielawinfo-checkbox-functional	12 mois	Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels
cookielawinfo-checkbox-necessary	12 mois	Gestion de l'affichage du bandeau d'information.
CookieLawInfoConsent	12 mois	Enregistrement de l'absence d'affichage du bandeau.

Cookie	Durée	Description
sbjs_current	12 mois	Boutique en ligne
sbjs_current_add		Boutique en ligne
sbjs_first		Boutique en ligne
sbjs_first_add		Boutique en ligne
sbjs_migrations		Boutique en ligne
sbjs_udata		Boutique en ligne
wpr_guest_token		Mise en cache
_GRECAPTCHA	6 mois	Protection du site contre les pratiques abusives des logiciels automatisés grâce à l’identification de l’utilisateur du site en distinguant un être humain du robot.

Cyber Resilience Act (CRA) : quels acteurs sont concernés ?

Informations

Navigation