Adoption du Cyber Resilience Act : qui est concerné ?

Le règlement 2024/2847 sur la cyberrésilience (le « Cyber Resilience Act » ou « CRA »), est entré en vigueur le 10 décembre 2024. Ce texte, d’application directe, a pour objet l’amélioration de la cybersécurité des « produits comportant des éléments numériques »¹ (en anglais « products with digital elements » ou encore « PDE ») et la sécurisation de « l’internet des objets ». Les équipes de DLA Piper décrypteront le CRA dans une série d'articles dédiée.

Le Cyber Resilience Act s’inscrit dans le programme européen de la « Digital Decade », qui inclut également le règlement sur l’intelligence artificielle (« AI Act »), le Digital Services Act ou encore la directive NIS 2. L’articulation du CRA avec ces différents textes fera l’objet d’un prochain post – stay tuned. La plupart des obligations prévues par le CRA s’appliqueront à compter du 11 décembre 2027, avec quelques exceptions.

Ce premier article a pour objet la présentation du champ d’application du CRA, notamment les différents produits et acteurs concernés ainsi que le calendrier d’application.

 

i. Les produits concernés par le CRA

Ce règlement s’applique aux produits comportant des éléments numériques, à savoir les produits logiciels ou matériels et leurs solutions de traitement de données à distance² , y compris les composants logiciels ou matériels mis sur le marché séparément³ .

Cela comprend l’ensemble des produits embarquant des composants connectés, tels que les jouets connectés, routeurs et cartes à puce, mais aussi les ordinateurs, les téléphones portables, les systèmes de contrôle industriels, les applications mobiles et bureautiques, les jeux vidéo, ou encore les bibliothèques de logiciels (« software libraries ») ⁴ .

Le CRA exclut de son champ d’application certains produits déjà soumis à d’autres textes européens. Cela est par exemple le cas des produits en matière d’aviation, de véhicules à moteurs ou de dispositifs médicaux.

La notion de produit comportant des éléments numériques a donc vocation à s’appliquer à un grand nombre de produits. A noter toutefois que l’application du CRA au « SaaS », aux « logiciels en tant que service », et plus généralement à l’informatique en nuage devra vraisemblablement faire l’objet d’une analyse au cas par cas. Le considérant 12 du règlement indique en effet que « Les solutions en nuage ne constituent des solutions de traitement de données à distance au sens du présent règlement que si elles répondent à la définition énoncée dans ce dernier ».

Par ailleurs, le texte introduit deux catégories spécifiques de produits, soumis à des obligations particulières :

• Les produits importants, qui concernent par exemple certains logiciels importants pour la sécurité (VPN, systèmes d’exploitation, pares feu, etc.) ou encore les jouets et montres connectés ainsi que les produits domestiques intelligents dotés de fonctionnalités de sécurité (caméras, etc.).
• Les produits critiques, à l’heure actuelle, seuls trois produits sont considérés comme critiques, à savoir les boitiers de sécurité, les cartes à puce et les « passerelles pour compteur intelligent » (« smart meter gateway »)⁵ .

La liste de ces produits peut cependant être mise à jour par la Commission européenne.

 

ii. Les acteurs de la chaîne d’approvisionnement concernés

Le CRA s’applique à trois catégories d’acteurs de la chaîne d’approvisionnement d’un produit comportant des éléments numériques :

• Le fabricant, défini comme « une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit »⁶ ;
• L’importateur défini comme « une personne physique ou morale établie dans l’Union qui met sur le marché un produit comportant des éléments numériques, lequel porte le nom ou la marque d’une personne physique ou morale établie en dehors de l’Union »⁷ ;
• Le distributeur défini comme « une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fabricant ou l’importateur, qui met un produit comportant des éléments numériques à disposition sur le marché de l’Union sans altérer ses propriétés »⁸ .

A noter qu’un importateur ou un distributeur peut être requalifié de fabricant s’il (a) commercialise le produit comportant des éléments numériques sous sa propre marque⁹ ou (b) apporte des modifications substantielles à un produit comportant des éléments numériques qui aurait déjà été mis sur le marché. Attention, l’hypothèse (b) s’applique également à toute autre personne, même non originellement concernée par le CRA. Ce mécanisme est similaire à des mécanismes prévus par d’autres réglementations européennes, comme notamment l’AI Act. Les obligations incombant à chaque acteur en fonction de sa qualification seront analysées par nos équipes dans un prochain article.

 

iii. Champ d’application extraterritoriale du CRA et calendrier d’application

Le CRA s’applique à tous les produits comportant des éléments numériques mis sur le marché, c’est-à-dire mis à disposition sur le marché de l’Union européenne¹⁰ . Dès lors, le CRA s’applique même lorsque le fabricant n’est pas établi sur le territoire de l’Union européenne.

Entré en vigueur le 10 décembre 2024, les obligations du Cyber Resilience Act s’appliquent à compter du 11 décembre 2027, à quelques exceptions près (notamment, l’obligation de signalement des vulnérabilités activement exploitées s’appliquera aux fabricants dès le 11 septembre 2026¹¹).

Pour autant, ces dates ne signifient pas qu’il n’est pas nécessaire d’anticiper le Cyber Resilience Act. En effet, si en principe un produit mis sur le marché avant l’entrée en application du texte n’est pas concerné par le CRA, il peut le devenir, par exemple, s’il fait l’objet d’une « modification substantielle » à compter du 11 décembre 2027 (i.e., modification de la fonction d’un produit, ajout de nouvelles fonctionnalités, etc).¹²