Les caméras intelligentes sont-elles des produits importants au sens du Cyber Resilience Act européen ?

Là où un grille-pain connecté peut emprunter le chemin de conformité CRA standard, les caméras de sécurité intelligentes ne bénéficient pas de cette simplicité. L'Union européenne les a explicitement placées à l'Annexe III en tant que Produits Importants, Classe I, un cran au-dessus de la plupart des objets connectés grand public, avec des exigences de conformité plus strictes pour quiconque fabrique, importe ou distribue ces équipements.

Une idée reçue circule encore : les caméras seraient des « Produits Critiques ». Ce n'est pas le cas. Mais la Classe I Importante représente déjà une élévation significative du niveau d'exigence. Voici ce que vous devez savoir.

Ce que dit réellement le CRA sur les caméras

Les catégories de produits du CRA prêtent souvent à confusion. Le règlement établit trois niveaux :

CLASSIFICATION DES PRODUITS CRA

CATÉGORIE PAR DÉFAUT (Auto-évaluation, Module A) :
  → La majorité des objets connectés grand public :
    enceintes connectées, thermostats, etc.

PRODUITS IMPORTANTS (Annexe III) :
  Classe I (Auto-évaluation avec normes harmonisées OU tiers) :
    → Caméras de sécurité domestiques connectées  ← LES CAMÉRAS SONT ICI
    → Serrures connectées, babyphones, systèmes d'alarme
    → Routeurs, modems, systèmes d'exploitation, gestionnaires de mots de passe
  Classe II (Tiers obligatoire) :
    → Pare-feu, systèmes de détection/prévention d'intrusion

PRODUITS CRITIQUES (Annexe IV, Tiers obligatoire, sans exception) :
  → Modules matériels de sécurité, passerelles de compteurs intelligents, cartes à puce

Le texte juridique exact

Annexe III, Classe I, Point 17 du Règlement (UE) 2024/2847 :

« Produits domestiques intelligents dotés de fonctionnalités de sécurité, notamment les serrures de porte intelligentes, les caméras de sécurité, les systèmes de surveillance de bébés et les systèmes d'alarme »

Le Règlement d'exécution (UE) 2025/2392 de la Commission précise davantage le périmètre technique, en employant le terme « systèmes de caméras », légèrement plus large que les « caméras de sécurité » du règlement parent.

Un qualificatif important : le produit doit comporter des « fonctionnalités de sécurité » dans un contexte domestique connecté. Une webcam classique destinée aux visioconférences ne tombe pas automatiquement dans la Classe I. En revanche, une caméra de surveillance connectée qui surveille votre domicile ou votre commerce, oui.

Pourquoi l'UE a ciblé les caméras

Ce n'est pas un choix arbitraire. Les caméras IP ont acquis une réputation de maillon faible dans la sécurité des réseaux, et les données le confirment :

• Le botnet Mirai (à partir de 2016) a constitué des armées de plus de 150 000 caméras et enregistreurs vidéo compromis pour lancer des attaques DDoS massives (ENISA Threat Landscape 2020 : Rapport sur les botnets)
• Les attaques DDoS représentaient 77 % de l'ensemble des incidents cyber signalés en 2024-2025, souvent alimentées par des objets connectés détournés (ENISA Threat Landscape 2025)
• Des variantes de Mirai sont toujours actives. Elles ont été identifiées en train d'exploiter des caméras GeoVision encore en avril 2025
• Environ 7,7 millions de nouveaux objets connectés se connectent chaque jour à Internet ; seulement 1 sur 20 se trouve derrière un pare-feu

Le schéma est clair : les caméras fonctionnent en permanence, restent constamment connectées, sont souvent mal sécurisées et traitent des données sensibles (vos flux vidéo). C'est précisément le profil de risque que le CRA entend traiter.

Ce que la Classe I implique pour l'évaluation de conformité

En vertu de l'Article 32(2), les fabricants de Classe I disposent de deux voies, et celle qui vous est accessible dépend d'un élément encore en évolution.

Voie 1 : Auto-évaluation (Module A)

L'auto-évaluation interne est possible, mais uniquement si vous appliquez des normes harmonisées couvrant toutes les exigences essentielles de cybersécurité. Une couverture partielle ne suffit pas : manquez une exigence et vous basculez sur la Voie 2.

Le problème : à la date de février 2026, les normes harmonisées au titre du CRA sont encore en cours de finalisation par CEN/CENELEC. Tant qu'elles ne sont pas publiées au Journal officiel, la plupart des fabricants ne pourront pas emprunter cette voie.

Voie 2 : Évaluation par un tiers

Sans couverture intégrale des normes harmonisées, vous avez besoin de l'une des options suivantes :

• Module B + C : Examen UE de type par un organisme notifié, puis conformité au type
• Module H : Système d'assurance qualité complet certifié par un organisme notifié

Ces deux options sont plus coûteuses et plus longues que l'auto-évaluation. La capacité des organismes notifiés se réduira à mesure que l'on s'approchera de décembre 2027 : les demandes convergeront toutes au même moment.

Exigences essentielles pour les caméras intelligentes

Chaque caméra connectée doit satisfaire aux exigences essentielles de cybersécurité du CRA (Annexe I), quelle que soit la voie de conformité retenue. Celles qui pèsent le plus lourd pour les fabricants de caméras :

1. Interdiction des mots de passe par défaut

L'Article 13 et l'Annexe I, Partie I exigent une configuration « sécurisée par défaut ». En pratique :

• Plus d'admin/admin ou d'admin/password livrés sur chaque unité
• Chaque appareil doit disposer d'un mot de passe unique, ou forcer la création de credentials sécurisés dès la première utilisation
• Authentification multifacteur là où cela est techniquement faisable

Cette seule exigence contraindra de nombreuses gammes de caméras à une refonte en profondeur.

2. Gestion des vulnérabilités (5 ans minimum)

L'Annexe I, Partie II oblige les fabricants à :

• Mettre en place une politique de divulgation coordonnée des vulnérabilités (CVD)
• Offrir aux chercheurs en sécurité un canal clair pour signaler des problèmes
• Corriger les vulnérabilités sans délai pendant toute la durée du support
• Assurer le support du produit pendant au moins 5 ans à compter de sa mise sur le marché
• Signaler à ENISA les vulnérabilités activement exploitées dans un délai de 24 heures (cette obligation entre en vigueur le 11 septembre 2026)

Cinq ans de correctifs obligatoires représentent un changement majeur pour les fabricants de caméras habitués au modèle « livrer et oublier ».

3. Software Bill of Materials (SBOM)

Chaque composant logiciel intégré dans le firmware de votre caméra doit être documenté : le noyau Linux, les bibliothèques de streaming RTSP, le framework de l'interface web, la pile TLS. Le SBOM doit :

• Utiliser un format lisible par machine (CycloneDX ou SPDX)
• Couvrir au minimum les dépendances de premier niveau
• Faire partie de la documentation technique
• Être maintenu à jour tout au long de la période de support

4. Mécanisme de mise à jour sécurisé

Les caméras doivent disposer de mises à jour de firmware sécurisées et authentifiées :

• Délivrées via des canaux chiffrés
• Intégrité du firmware vérifiée avant installation
• Mises à jour de sécurité automatiques activées par défaut (avec possibilité de désactivation par l'utilisateur)
• Capacité de retour en arrière (rollback) recommandée

5. Minimisation des données et vie privée

Les caméras collectant des données vidéo doivent :

• Ne traiter que les données nécessaires à la fonction du produit
• Chiffrer les données stockées et transmises
• Permettre aux utilisateurs de supprimer leurs données de manière sécurisée
• Protéger les données au repos contre les accès physiques

Le rôle des importateurs et des distributeurs

Importateurs : vous êtes le gardien du marché européen

Si vous importez des caméras depuis l'extérieur de l'UE (la plupart des caméras intelligentes sont fabriquées en Asie), l'Article 19 vous engage personnellement. Vous êtes personnellement responsable de vérifier que le fabricant a rempli ses obligations de conformité avant que le produit entre sur le marché européen.

Votre checklist de vérification avant de placer une caméra sur le marché UE :

• [ ] Le fabricant a effectué l'évaluation de conformité appropriée (Classe I)
• [ ] La Déclaration de conformité UE (DoC) existe et fait référence au CRA
• [ ] Le marquage CE est correctement apposé
• [ ] La documentation technique est disponible et satisfaisante
• [ ] Les coordonnées du fabricant figurent sur le produit ou l'emballage
• [ ] Le SBOM est disponible dans la documentation technique

Si l'un des points n'est pas satisfait, vous ne pouvez pas légalement commercialiser le produit. Point final. Vous devez informer le fabricant et, en cas de risque cybersécurité, notifier les autorités de surveillance du marché.

Sanctions applicables aux importateurs : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (Article 64).

Distributeurs : obligations allégées, conséquences bien réelles

Les distributeurs ont moins de vérifications à effectuer en vertu de l'Article 20, mais les obligations restent contraignantes :

• Le marquage CE est présent sur le produit
• Le nom et les coordonnées du fabricant et de l'importateur sont visibles
• Les conditions de stockage et de transport ne compromettent pas la conformité
• Ne pas commercialiser des produits dont vous avez des raisons de croire qu'ils ne sont pas conformes

Sanctions applicables aux distributeurs : jusqu'à 5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial (Article 64).

Le piège du rebranding

Attention : si vous importez une caméra et la commercialisez sous votre propre marque, ou si vous apportez des modifications substantielles au firmware ou aux éléments numériques, le CRA vous considère comme le fabricant. Cela implique l'ensemble des obligations du fabricant : évaluation de conformité, SBOM, gestion des vulnérabilités sur 5 ans.

Calendrier de conformité

CALENDRIER CRA POUR LES CAMÉRAS INTELLIGENTES

11 sep. 2026 ─── Entrée en vigueur des obligations de signalement des vulnérabilités
                 (Signalement sous 24h des exploitations actives à ENISA)

11 déc. 2027 ─── Conformité CRA complète requise
                 (Toutes les exigences essentielles, évaluation de conformité,
                  marquage CE, SBOM, documentation technique)

Si vous fabriquez ou importez des caméras intelligentes et que vous n'avez pas encore engagé votre démarche de conformité, vous accusez déjà du retard. Les normes harmonisées sont encore en cours d'élaboration, les créneaux auprès des organismes notifiés se remplissent, et il reste moins de deux ans avant décembre 2027.

Ce qu'il faut faire dès maintenant

Fabricants

1. Classifiez votre produit. Une caméra de sécurité dans un contexte domestique connecté ? C'est la Classe I. Une caméra de vidéosurveillance professionnelle peut relever du périmètre général du CRA, mais pas nécessairement de l'Annexe III Point 17.
2. Supprimez les mots de passe par défaut. Sur l'ensemble de votre gamme, sans délai.
3. Construisez votre SBOM. Format CycloneDX ou SPDX. Commencez par l'arbre de dépendances du firmware de votre caméra.
4. Mettez en place une politique CVD. Un fichier security.txt et un canal de signalement clair pour les vulnérabilités.
5. Choisissez votre voie de conformité. Suivez l'avancement des normes harmonisées auprès de CEN/CENELEC. Si elles ne seront pas disponibles à temps, contactez un organisme notifié dès maintenant.
6. Intégrez 5 ans de support dans votre modèle économique. Les correctifs de sécurité continus ne sont plus optionnels. Répercutez-les dans vos marges.

Importateurs

1. Auditez vos fournisseurs. Demandez à chaque fabricant de caméras avec lequel vous travaillez les preuves de conformité, les SBOM et les Déclarations de conformité.
2. Mettez à jour vos contrats d'approvisionnement. Intégrez des clauses de conformité CRA avant l'échéance, pas après.
3. Vérifiez vos produits en marque propre. Vous vendez des caméras sous votre nom ? Vous êtes peut-être le fabricant au sens du CRA.

Distributeurs

1. Identifiez les produits Classe I dans votre catalogue. Repérez les caméras soumises à des exigences de conformité renforcées.
2. Collectez les preuves de marquage CE et les DoC auprès de votre chaîne d'approvisionnement.
3. Planifiez les procédures de retrait pour les produits qui ne seront pas conformes d'ici décembre 2027.

Important : Les caméras intelligentes avec fonctionnalité de sécurité (surveillance, monitoring) sont classifiées comme Classe I Importante sous l'Annexe III, Partie I.

Conseil : Les mots de passe par défaut sur les caméras sont explicitement interdits par le CRA. Chaque appareil doit disposer d'un identifiant unique ou exiger une configuration par l'utilisateur.

Guides Connexes

• Guide de Classification des Produits CRA
• Guide IoT et EN 303 645
• Exigences SBOM sous le CRA

Sources officielles

• Règlement (UE) 2024/2847 : Cyber Resilience Act (texte intégral)
• Règlement d'exécution (UE) 2025/2392 : Descriptions techniques des catégories Annexes III/IV
• Évaluation de conformité CRA, Stratégie numérique de l'UE
• ENISA Threat Landscape 2020 : Rapport sur les botnets
• ENISA Threat Landscape 2025
• Cartographie des exigences et normes CRA par ENISA