Caméras intelligentes : produits importants au sens du CRA ?

Les caméras de sécurité connectées sont des Produits Importants (Classe I) à l'Annexe III du CRA. Ce que cela implique pour fabricants et importateurs.

CRA Evidence Team Publié 25 février 2026 Mis à jour 31 mai 2026
Carte de prévisualisation du blog avec le titre « Les caméras intelligentes sont-elles des produits importants au sens du CRA ? » sur le modèle réglementaire CRA Evidence
Dans cet article

Là où un grille-pain connecté peut emprunter le chemin de conformité CRA standard, les caméras de sécurité intelligentes ne bénéficient pas de cette simplicité. L'Union européenne les a explicitement placées à l'Annexe III en tant que Produits Importants, Classe I, un cran au-dessus de la plupart des objets connectés grand public, avec des exigences de conformité plus strictes pour quiconque fabrique, importe ou distribue ces équipements.

Une idée reçue circule encore : les caméras seraient des « Produits Critiques ». Ce n'est pas le cas. Mais la Classe I Importante représente déjà une élévation significative du niveau d'exigence.

En résumé

  • Les caméras de sécurité intelligentes sont des Produits Importants, Classe I au titre de l'Annexe III du CRA, Point 17 (et non des « Produits Critiques »)
  • La Classe I autorise l'auto-évaluation uniquement si les normes harmonisées sont intégralement appliquées, faute de quoi un audit par un tiers est obligatoire
  • Les mots de passe par défaut sont interdits : des identifiants uniques ou une authentification sécurisée doivent être imposés dès la première utilisation
  • Les fabricants sont tenus de gérer les vulnérabilités et de déployer des mises à jour de sécurité pendant au moins 5 ans
  • Un SBOM (Software Bill of Materials) est obligatoire
  • Les importateurs sont personnellement responsables de vérifier la conformité du fabricant avant la mise sur le marché européen
  • L'ensemble des obligations s'applique à compter du 11 décembre 2027
150 000+
Caméras compromises
et enregistreurs vidéo, pic du botnet Mirai (à partir de 2016)
77 %
Incidents cyber signalés
étaient des DDoS en 2024-2025
5 ans
Période de support minimale
pour les caméras de Classe I (Article 13, paragraphe 8)
11 déc. 2027
Application complète du CRA
marquage CE et conformité requis

Sources : ENISA Threat Landscape 2020 et 2025, Règlement (UE) 2024/2847, Articles 13 et 71.

Ce que dit réellement le CRA sur les caméras

Les catégories de produits du CRA prêtent souvent à confusion. Le règlement établit trois niveaux :

Niveaux de produits du CRA plaçant les caméras de sécurité intelligentes en Classe I Importante, Annexe III, Point 17. La catégorie par défaut couvre la majorité des objets connectés grand public comme les enceintes connectées et les thermostats. La Classe I couvre les caméras de sécurité domestiques connectées, les serrures connectées, les babyphones, les systèmes d'alarme, les routeurs, les modems, les systèmes d'exploitation et les gestionnaires de mots de passe. La Classe II couvre les pare-feu et les systèmes de détection et de prévention d'intrusion. Critique, Annexe IV, couvre les modules matériels de sécurité, les passerelles de compteurs intelligents et les cartes à puce.
Où se situent les caméras de sécurité intelligentes dans la classification des produits du CRA.

Le texte juridique exact

Annexe III, Classe I, Point 17 du Règlement (UE) 2024/2847 :

« Produits domestiques intelligents dotés de fonctionnalités de sécurité, notamment les serrures de porte intelligentes, les caméras de sécurité, les systèmes de surveillance de bébés et les systèmes d'alarme »

Le Règlement d'exécution (UE) 2025/2392 de la Commission précise davantage le périmètre technique, en employant le terme « systèmes de caméras », légèrement plus large que les « caméras de sécurité » du règlement parent.

Un qualificatif important : le produit doit comporter des « fonctionnalités de sécurité » dans un contexte domestique connecté. Une webcam classique destinée aux visioconférences ne tombe pas automatiquement dans la Classe I. En revanche, une caméra de surveillance connectée qui surveille votre domicile ou votre commerce, oui.

Pourquoi l'UE a ciblé les caméras

Ce n'est pas un choix arbitraire. Les caméras IP ont acquis une réputation de maillon faible dans la sécurité des réseaux, et les données le confirment :

  • Le botnet Mirai (à partir de 2016) a constitué des armées de plus de 150 000 caméras et enregistreurs vidéo compromis pour lancer des attaques DDoS massives (ENISA Threat Landscape 2020 : Rapport sur les botnets)
  • Les attaques DDoS représentaient 77 % de l'ensemble des incidents cyber signalés en 2024-2025, souvent alimentées par des objets connectés détournés (ENISA Threat Landscape 2025)
  • Des variantes de Mirai sont toujours actives et ont été identifiées en train d'exploiter des caméras GeoVision encore en avril 2025
  • Environ 7,7 millions de nouveaux objets connectés se connectent chaque jour à Internet, seulement 1 sur 20 se trouve derrière un pare-feu

Le schéma est clair : les caméras fonctionnent en permanence, restent constamment connectées, sont souvent mal sécurisées et traitent des données sensibles (vos flux vidéo). C'est précisément le profil de risque que le CRA entend traiter.

Ce que la Classe I implique pour l'évaluation de la conformité

En vertu de l'Article 32, paragraphe 2, les fabricants de Classe I disposent de deux voies, et celle qui vous est accessible dépend d'un élément encore en évolution.

Voie 1 : auto-évaluation (Module A)

L'auto-évaluation interne est possible, mais uniquement si vous appliquez des normes harmonisées couvrant toutes les exigences essentielles de cybersécurité. Une couverture partielle ne suffit pas : manquez une exigence et vous basculez sur la Voie 2.

Le problème : à la date de février 2026, les normes harmonisées au titre du CRA sont encore en cours de finalisation par CEN/CENELEC. Tant qu'elles ne sont pas publiées au Journal officiel, la plupart des fabricants ne pourront pas emprunter cette voie.

Voie 2 : évaluation par un tiers

Sans couverture intégrale des normes harmonisées, vous avez besoin de l'une des options suivantes :

  • Module B + C : examen UE de type par un organisme notifié, puis conformité au type
  • Module H : système d'assurance qualité complet certifié par un organisme notifié

Ces deux options sont plus coûteuses et plus longues que l'auto-évaluation. La capacité des organismes notifiés se réduira à mesure que l'on s'approchera de décembre 2027, les demandes convergeront toutes au même moment.

Exigences essentielles pour les caméras intelligentes

Chaque caméra connectée doit satisfaire aux exigences essentielles de cybersécurité du CRA (Annexe I), quelle que soit la voie de conformité retenue. Celles qui pèsent le plus lourd pour les fabricants de caméras :

1. Interdiction des mots de passe par défaut

L'Article 13 et l'Annexe I, Partie I exigent une configuration « sécurisée par défaut ». En pratique :

  • Plus d'admin/admin ou d'admin/password livrés sur chaque unité
  • Chaque appareil doit disposer d'un mot de passe unique, ou forcer la création d'identifiants sécurisés dès la première utilisation
  • Authentification multifacteur là où cela est techniquement faisable

Cette seule exigence contraindra de nombreuses gammes de caméras à une refonte en profondeur.

2. Gestion des vulnérabilités (5 ans minimum)

L'Annexe I, Partie II oblige les fabricants à :

  • Mettre en place une politique de divulgation coordonnée des vulnérabilités (CVD)
  • Offrir aux chercheurs en sécurité un canal clair pour signaler des problèmes
  • Corriger les vulnérabilités sans délai pendant toute la durée du support
  • Assurer le support du produit pendant au moins 5 ans à compter de sa mise sur le marché
  • Signaler les vulnérabilités activement exploitées dans un délai de 24 h suivant la prise de connaissance, simultanément au CSIRT désigné comme coordinateur et à l'ENISA via la plateforme unique de signalement (cette obligation entre en vigueur le 11 septembre 2026)

Cinq ans de correctifs obligatoires représentent un changement majeur pour les fabricants de caméras habitués au modèle « livrer et oublier ».

3. Software Bill of Materials (SBOM)

Chaque composant logiciel intégré dans le firmware de votre caméra doit être documenté : le noyau Linux, les bibliothèques de streaming RTSP, le framework de l'interface web, la pile TLS, l'intégralité. Le SBOM doit :

  • Utiliser un format lisible par machine (CycloneDX ou SPDX)
  • Couvrir au minimum les dépendances de niveau supérieur
  • Faire partie de la documentation technique
  • Être maintenu à jour tout au long de la période de support

4. Mécanisme de mise à jour sécurisé

Les caméras doivent disposer de mises à jour de firmware sécurisées et authentifiées :

  • Délivrées via des canaux chiffrés
  • Intégrité du firmware vérifiée avant installation
  • Mises à jour de sécurité automatiques activées par défaut (avec possibilité de désactivation par l'utilisateur)
  • Capacité de retour en arrière (rollback) recommandée

5. Minimisation des données et vie privée

Les caméras collectant des données vidéo doivent :

  • Ne traiter que les données nécessaires à la fonction du produit
  • Chiffrer les données stockées et transmises
  • Permettre aux utilisateurs de supprimer leurs données de manière sécurisée
  • Protéger les données au repos contre les accès physiques

Le rôle des importateurs et des distributeurs

Importateurs : vous êtes le gardien du marché européen

Si vous importez des caméras depuis l'extérieur de l'UE (et soyons honnêtes, la plupart des caméras intelligentes sont fabriquées en Asie), l'Article 19 vous engage personnellement. Vous êtes personnellement responsable de vérifier que le fabricant a rempli ses obligations de conformité avant que le produit entre sur le marché européen.

Votre checklist de vérification avant de placer une caméra sur le marché UE :

  • [ ] Le fabricant a effectué l'évaluation de la conformité appropriée (Classe I)
  • [ ] La déclaration UE de conformité (DoC) existe et fait référence au CRA
  • [ ] Le marquage CE est correctement apposé
  • [ ] La documentation technique est disponible et satisfaisante
  • [ ] Les coordonnées du fabricant figurent sur le produit ou l'emballage
  • [ ] Le SBOM est disponible dans la documentation technique

Si l'un des points n'est pas satisfait, vous ne pouvez pas légalement commercialiser le produit. Point final. Vous devez informer le fabricant et, en cas de risque cybersécurité, notifier les autorités de surveillance du marché.

Sanctions applicables aux importateurs : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (Article 64).

Distributeurs : obligations allégées, conséquences bien réelles

Les distributeurs ont moins de vérifications à effectuer en vertu de l'Article 20, mais les obligations restent contraignantes :

  • Le marquage CE est présent sur le produit
  • Le nom et les coordonnées du fabricant et de l'importateur sont visibles
  • Les conditions de stockage et de transport ne compromettent pas la conformité
  • Ne pas commercialiser des produits dont vous avez des raisons de croire qu'ils ne sont pas conformes

Sanctions applicables aux distributeurs : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (Article 64, paragraphe 3, les obligations des distributeurs relevant de l'Article 20 entrent dans la plage des Articles 18 à 23).

Le piège du rebranding

Attention : si vous importez une caméra et la commercialisez sous votre propre marque, ou si vous apportez des modifications substantielles au firmware ou aux éléments numériques, le CRA vous considère comme le fabricant. Cela implique l'ensemble des obligations du fabricant : évaluation de la conformité, SBOM, gestion des vulnérabilités sur 5 ans, la totalité.

Calendrier de conformité 

CALENDRIER CRA POUR LES CAMÉRAS INTELLIGENTES

11 sep. 2026 ─── Entrée en vigueur des obligations de signalement des vulnérabilités
                 (signalement sous 24 h au CSIRT coordinateur et à l'ENISA via la plateforme unique de signalement)

11 déc. 2027 ─── Conformité CRA complète requise
                 (toutes les exigences essentielles, évaluation de la conformité,
                  marquage CE, SBOM, documentation technique)

Si vous fabriquez ou importez des caméras intelligentes et que vous n'avez pas encore engagé votre démarche de conformité, vous accusez déjà du retard. Les normes harmonisées sont encore en cours d'élaboration, les créneaux auprès des organismes notifiés se remplissent, et décembre 2027 est plus proche qu'il n'y paraît.

Important

Les caméras intelligentes dotées d'une fonctionnalité de sécurité (surveillance, monitoring) sont classifiées comme Classe I Importante au titre de l'Annexe III, Partie I.

Conseil

Les mots de passe par défaut sur les caméras sont explicitement interdits par le CRA. Chaque appareil doit disposer d'un identifiant unique ou exiger une configuration par l'utilisateur.

Sources officielles

Questions fréquentes

Les caméras de sécurité intelligentes sont-elles de Classe I ou Critiques au titre du CRA ?

Classe I. L'Annexe III, Classe I, Point 17 du Règlement (UE) 2024/2847 liste les « produits domestiques intelligents dotés de fonctionnalités de sécurité, notamment les serrures de porte intelligentes, les caméras de sécurité, les systèmes de surveillance de bébés et les systèmes d'alarme ». Les Produits Critiques se trouvent à l'Annexe IV et couvrent les modules matériels de sécurité, les passerelles de compteurs intelligents et les cartes à puce, pas les caméras. Le Règlement d'exécution (UE) 2025/2392 de la Commission emploie la formulation légèrement plus large de « systèmes de caméras » pour la même catégorie. Les webcams classiques destinées aux visioconférences ne tombent pas automatiquement dans cette catégorie, le qualificatif étant un contexte domestique connecté avec une fonction de sécurité.

Les fabricants de caméras peuvent-ils s'auto-évaluer au titre du Module A, ou un organisme notifié est-il obligatoire ?

L'auto-évaluation n'est autorisée que si des normes harmonisées couvrant l'ensemble des exigences essentielles de cybersécurité sont intégralement appliquées. Une couverture partielle impose la voie du tiers : soit Module B+C (examen UE de type par un organisme notifié, puis conformité au type), soit Module H (système d'assurance qualité complet certifié par un organisme notifié). À la date de février 2026, les normes harmonisées CRA sont encore en cours de finalisation par CEN/CENELEC, la plupart des fabricants ne pourront donc pas encore emprunter la voie de l'auto-évaluation.

Les mots de passe par défaut sont-ils réellement interdits sur les caméras intelligentes ?

Oui. L'Article 13 et l'Annexe I, Partie I exigent une configuration « sécurisée par défaut ». En pratique, cela signifie plus de couple admin/admin ou admin/password livré par défaut sur chaque unité. Chaque appareil doit disposer d'un identifiant unique, ou forcer l'utilisateur à effectuer une configuration sécurisée des identifiants dès la première utilisation, avec authentification multifacteur là où cela est techniquement faisable. Cette seule exigence contraindra une large part du marché des caméras à une refonte.

Pendant combien de temps un fabricant de caméras doit-il déployer des mises à jour de sécurité ?

Au moins cinq ans à compter de la mise sur le marché, au titre de l'Article 13, paragraphe 8, ou la durée de vie attendue du produit si elle est inférieure. Pendant cette période, les fabricants doivent mettre en œuvre une politique de divulgation coordonnée des vulnérabilités (CVD), offrir aux chercheurs en sécurité une voie claire pour signaler les problèmes, et corriger les vulnérabilités sans délai. Les mises à jour doivent être délivrées via des canaux authentifiés avec vérification de l'intégrité du firmware avant installation, et les mises à jour de sécurité automatiques doivent être activées par défaut (les utilisateurs pouvant se désinscrire).

Quelle est la responsabilité d'un importateur lors de la mise sur le marché européen de caméras ?

Au titre de l'Article 19, les importateurs sont personnellement responsables de vérifier que le fabricant a mené à bien l'évaluation de la conformité, qu'une déclaration UE de conformité fait référence au CRA, que le marquage CE est correctement apposé, que la documentation technique et le SBOM sont disponibles, et que les coordonnées du fabricant figurent sur le produit ou l'emballage. Si l'une de ces vérifications échoue, le produit ne peut pas être légalement mis sur le marché. Les sanctions atteignent 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (Article 64). Un importateur qui rebrande une caméra ou apporte des modifications substantielles est traité comme le fabricant et hérite de l'ensemble des obligations de fabricant.

Quand l'obligation de signalement sous 24 heures des vulnérabilités commence-t-elle pour les caméras ?

Le 11 septembre 2026. À compter de cette date, les vulnérabilités activement exploitées doivent être signalées dans un délai de 24 heures suivant la prise de connaissance, simultanément au CSIRT désigné comme coordinateur et à l'ENISA via la plateforme unique de signalement, au titre de l'Article 14. L'application complète du CRA, incluant le marquage CE, l'évaluation de la conformité, le SBOM et la documentation technique, suit le 11 décembre 2027. Les fabricants et importateurs qui n'ont pas encore défini leur dispositif au titre de l'Article 14 sont déjà en retard sur la courbe, les normes harmonisées étant encore en cours d'élaboration et la capacité des organismes notifiés devant se tendre à l'approche de 2027.

Prochaines étapes

Ce qu'il faut faire avant décembre 2027

  1. Classez votre produit au regard de l'Annexe III Point 17. Un contexte domestique connecté avec une fonction de sécurité relève de la Classe I, une caméra de vidéosurveillance professionnelle peut relever du périmètre général du CRA.
  2. Supprimez les mots de passe par défaut sur l'ensemble de votre gamme de caméras. Chaque unité est livrée avec un identifiant unique ou force une configuration sécurisée dès la première utilisation.
  3. Générez un SBOM CycloneDX ou SPDX pour votre firmware. Couvrez au minimum les dépendances de niveau supérieur et maintenez-le à jour pendant toute la période de support de 5 ans.
  4. Publiez une politique de divulgation coordonnée des vulnérabilités et un fichier security.txt avec un point de contact joignable.
  5. Choisissez votre voie de conformité. Si les normes harmonisées CEN/CENELEC ne seront pas finalisées à temps, contactez un organisme notifié dès maintenant. Consultez le guide de décision sur l'évaluation de la conformité.
  6. Si vous importez des caméras fabriquées hors UE, auditez les preuves de conformité de chaque fournisseur avant toute mise sur le marché. Consultez le guide de vérification des obligations des importateurs.

Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Pour une analyse de conformité adaptée à votre situation, consultez un conseil juridique qualifié.

CRA IoT Classes de Produits Importateurs
Share

Articles connexes

Retour à tous les articles

Le CRA s'applique-t-il à votre produit ?

Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du règlement sur la cyberrésilience de l'UE. Obtenez votre résultat en moins de 2 minutes.

Vérifier maintenant

Prêt à atteindre la conformité CRA ?

Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.

Démarrer l'essai gratuit de 14 jours

Exploration approfondie des thèmes du CRA

Guides de référence sur les exigences, processus et rôles définis par le règlement sur la cyberrésilience (CRA).

Déclaration UE de conformité

Ce que la Déclaration de conformité doit contenir, qui la signe et quand elle est requise.

Lire le guide →
Évaluation de la conformité

Comment fonctionne l'évaluation de conformité sous le CRA et quand un organisme notifié est requis.

Lire le guide →
Documentation technique

Ce que la documentation technique CRA doit contenir (Annexe VII section par section) et comment les fabricants doivent la structurer.

Lire le guide →
Exigences SBOM

Ce que le CRA exige pour les SBOM et comment BSI TR-03183 définit les critères de qualité.

Lire le guide →
Notification des vulnérabilités

Comment fonctionne l'obligation de notification à l'ENISA sous 24 heures et ce qui compte comme une vulnérabilité activement exploitée.

Lire le guide →
Obligations de l'importateur

Ce que l'article 19 exige des importateurs et comment vérifier la conformité du fabricant.

Lire le guide →
Planification de la période de support

Ce que l'obligation de période de support du CRA implique pour les mises à jour de sécurité et la planification de fin de vie.

Lire le guide →
View full CRA compliance guide