Évolution de la conformité et du marquage CE à l’ère du CRA

La conformité réglementaire des produits mis sur le marché européen connaît une évolution majeure. Historiquement centré sur la sécurité, la santé et la protection de l’environnement, le marquage CE s’inscrit désormais dans un cadre élargi intégrant la cybersécurité. Cette évolution se cristallise avec l’adoption du règlement (UE) 2024/2847, dit règlement sur la cyber-résilience (CRA) (1), qui introduit des exigences de cybersécurité pour les produits comportant des éléments numériques.

Le CRA modifie ainsi en profondeur les logiques d’évaluation de la conformité et de marquage CE, tout en renforçant la responsabilité des opérateurs économiques.

Le marquage CE : fondements et portée juridique

Le marquage CE, dont la portée est aujourd’hui renforcée par le CRA, constitue un pilier du marché intérieur. En apposant ce marquage, le fabricant déclare que son produit respecte l’ensemble des exigences légales applicables issues de la législation d’harmonisation de l’Union européenne. Il permet, par conséquent, la libre circulation des produits au sein de l’Espace économique européen (EEE).

Contrairement à une idée reçue, le marquage CE n’est ni un label de qualité ni une autorisation préalable délivrée par une autorité publique. Il n’indique pas non plus l’origine du produit. Il matérialise une auto-déclaration de conformité, fondée sur une procédure juridiquement encadrée, comprenant notamment :

• • l’évaluation de la conformité ;
• • la constitution du dossier technique ;
• • l’établissement de la déclaration UE de conformité ; et
• • l’apposition du marquage CE sur le produit.

Ces principes structurants sont précisés par le Guide Bleu de la Commission européenne (2).

Les responsabilités des opérateurs économiques

Le rôle central du fabricant : Le fabricant assume une responsabilité première. Il doit s’assurer que le produit, avant sa mise sur le marché, respecte l’ensemble des exigences applicables. Cette obligation couvre l’ensemble du cycle de vie du produit, depuis la conception jusqu’au suivi post-commercialisation.

Dans ce cadre, le CRA renforce considérablement les obligations existantes. L’article 13 impose au fabricant de concevoir et développer les produits comportant des éléments numériques conformément à des exigences essentielles de cybersécurité, incluant la gestion des vulnérabilités et la fourniture de mises à jour de sécurité pendant une période d’assistance définie.

Importateurs et distributeurs, une vigilance accrue : Les importateurs et distributeurs jouent un rôle d’intermédiaires essentiels. Ils doivent vérifier que les produits portent bien le marquage CE, qu’une déclaration UE de conformité existe et que le fabricant a respecté ses obligations.

Avec le CRA, leur devoir de vigilance s’étend également à la cybersécurité, notamment lorsque des produits numériques ou connectés sont concernés (art. 19 et suivants).

L’apport du CRA dans l’évolution du marquage CE

Une intégration explicite de la cybersécurité : Le CRA marque une rupture conceptuelle. Jusqu’à présent, la cybersécurité était traitée de manière sectorielle ou indirecte. Désormais, elle devient une exigence horizontale, intégrée au socle même de la conformité CE.

À cet égard, l’article 30 prévoit que les produits relevant de son champ d’application ne peuvent être mis à disposition sur le marché que s’ils respectent les exigences essentielles de cybersécurité et ont fait l’objet des procédures d’évaluation de la conformité prévues par le règlement. Le marquage CE s’inscrit dans ce cadre comme l’instrument juridique attestant de la conformité du produit à l’ensemble des exigences européennes applicables, y compris celles issues du CRA, sans constituer une approbation préalable par une autorité publique.

Une conformité dynamique et continue : Le CRA rompt avec une approche figée de la conformité limitée au moment de la mise sur le marché. Il impose aux fabricants une gestion continue des vulnérabilités et la fourniture de mises à jour de sécurité pendant toute la période d’assistance du produit (CRA, art. 13 ; considérant 38). Dans ce cadre, l’absence de mise à jour de sécurité après la mise sur le marché est susceptible de constituer un défaut de sécurité engageant la responsabilité du fabricant, notamment au regard de la directive (UE) 2024/2853 relative à la responsabilité du fait des produits défectueux (3) (CRA, consid. 31).

Les bénéfices pour le marché et les consommateurs

Cette évolution du marquage CE profite à l’ensemble des acteurs :

• • les entreprises bénéficient d’un cadre harmonisé, réduisant l’insécurité juridique et favorisant une concurrence loyale ;
• • les consommateurs disposent d’un niveau élevé et homogène de protection, y compris face aux risques cyber ;
• • les autorités de surveillance disposent d’un référentiel commun facilitant les contrôles et la coopération européenne.

Le CRA renforce ainsi la crédibilité du marquage CE comme instrument central de confiance dans le marché numérique européen.

Conclusion

L’évolution de la conformité et du marquage CE illustre l’adaptation du droit de l’Union aux nouveaux risques technologiques. Avec le CRA, le marquage CE devient le vecteur d’une cyber-conformité européenne, intégrée, exigeante et juridiquement structurée.

Pour les fabricants, importateurs et distributeurs, cette mutation impose une révision des stratégies de conformité, mais elle constitue également une opportunité : celle de sécuriser les produits, de renforcer la confiance des utilisateurs et de garantir une mise sur le marché pérenne au sein de l’EEE.

1. Règlement concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les règlements (UE) no 168/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828 (règlement sur la cyberrésilience).
2. Communication de la commission Le «Guide bleu» relatif à la mise en œuvre de la réglementation de l’UE sur les produits 2022 (Texte présentant de l’intérêt pour l’EEE) 2022/C 247/01.
3. Directive (UE) 2024/2853 du Parlement européen et du Conseil du 23 octobre 2024 relative à la responsabilité du fait des produits défectueux et abrogeant la directive 85/374/CEE du Conseil.