Sanctions CRA en pratique : à quoi ressemble réellement la surveillance du marché
Comprendre les mécanismes d'application du CRA, les structures de sanctions et ce à quoi s'attendre de la surveillance du marché. Guide pratique pour éviter les actions d'application.
Dans cet article
Le CRA inclut des dispositions de sanctions pouvant atteindre 15 millions d'euros ou 2,5% du chiffre d'affaires mondial. Mais à quoi ressemble réellement l'application ? Comment fonctionnent les autorités de surveillance du marché ? Et qu'est-ce qui déclenche les sanctions les plus élevées ?
Ce guide explique les mécanismes d'application du CRA et comment rester du bon côté des régulateurs.
Points clés
- Sanctions maximales : 15M€ ou 2,5% du CA mondial pour violations des exigences essentielles
- Les autorités de surveillance du marché effectuent inspections, demandes de documentation, tests de produits
- Réponse graduée : opportunités de correction avant sanctions (généralement)
- Pires résultats : retrait de produit, rappel, interdictions d'importation
- Meilleure défense : décisions de conformité documentées et coopération réactive
Quelles sont les tranches de sanctions prévues par le CRA ?
Trois niveaux de sanctions
Le CRA établit des amendes administratives maximales basées sur la gravité des violations :
NIVEAU 1 : Violations des exigences essentielles (Article 64(2)) Maximum : 15 000 000 € ou 2,5% du chiffre d'affaires annuel mondial (le plus élevé)
Violations incluent :
- Non-conformité aux exigences essentielles de l'Annexe I
- Mise sur le marché de produits non conformes
- Évaluation de conformité manquante ou invalide
- Fourniture de fausses informations aux autorités
NIVEAU 2 : Autres violations d'obligations (Article 64(3)) Maximum : 10 000 000 € ou 2% du chiffre d'affaires annuel mondial
Violations incluent :
- Déficiences de documentation
- Marquage CE manquant ou incorrect
- Manquements aux obligations importateur/distributeur
- Manquements aux exigences de notification
NIVEAU 3 : Violations d'information (Article 64(4)) Maximum : 5 000 000 € ou 1% du chiffre d'affaires annuel mondial
Violations incluent :
- Fourniture d'informations incorrectes/incomplètes aux autorités
- Non-fourniture d'informations sur demande
- Obstruction aux activités de surveillance du marché
Avertissement : Les sanctions maximales atteignent 15 millions d'euros ou 2,5% du chiffre d'affaires annuel mondial, le montant le PLUS ÉLEVÉ s'applique. Pour les grandes entreprises, le calcul basé sur le chiffre d'affaires peut largement dépasser le plafond fixe.
Comment les sanctions sont calculées
Les autorités doivent considérer (Article 64(5)) :
| Facteur | Impact sur la sanction |
|---|---|
| Nature, gravité et durée de l’infraction et de ses conséquences | Plus sérieux = plus élevé |
| Amendes déjà imposées au même opérateur pour infraction similaire | Récidive = plus élevé |
| Taille de l’opérateur (notamment micro-, petites et moyennes entreprises, y compris jeunes pousses) et part de marché | Petite taille = facteur atténuant |
Surveillance du marché : comment ça fonctionne
Qui applique le CRA ?
Les autorités de surveillance du marché (ASM) dans chaque État membre appliquent le CRA. Ce sont généralement :
- Agences de protection des consommateurs
- Autorités de sécurité industrielle/produits
- Régulateurs sectoriels
Séquence d'application typique
- DEMANDE D'INFORMATION - L'autorité demande la documentation
- ÉVALUATION DE CONFORMITÉ - L'autorité examine la documentation, peut tester les produits
- DEMANDE D'ACTION CORRECTIVE - L'autorité identifie la non-conformité, demande des mesures correctives
- AVERTISSEMENT FORMEL - Corrections inadéquates ou retardées
- MESURES ADMINISTRATIVES - Retrait de produit, interdiction, avertissements publics, amende
- APPLICATION ESCALADÉE - Rappel, sanctions maximales, référence pénale
Au-delà des amendes : autres conséquences
Retrait de produit
Retirer le produit du marché (arrêter les ventes). Ordonné quand le produit présente un risque ou une non-conformité corrigeable.
Rappel de produit
Récupérer les produits déjà vendus aux clients. Ordonné quand le produit présente un risque sérieux même chez les utilisateurs.
Interdiction d'importation
Le produit ne peut pas entrer sur le marché UE. Produits retenus en douane, peuvent être détruits ou retournés.
Nomination publique
L'autorité publie les détails de la non-conformité. Dommage réputationnel, impact sur la confiance client.
Comment éviter les actions d'application
Conseil : La meilleure défense, ce sont des décisions de conformité documentées. Même si votre approche n'est pas parfaite, démontrer un effort de bonne foi avec une justification documentée réduit significativement le risque de sanction.
Stratégie de prévention
DOCUMENTATION :
- Dossier technique complet et accessible
- DoC exacte et signée
- SBOM actuel et disponible
- Évaluation des risques documentée
CONFORMITÉ :
- Voie d'évaluation correcte sélectionnée
- Évaluation réellement complétée
- Marquage CE correctement appliqué
GESTION DES VULNÉRABILITÉS :
- Contact sécurité publié
- Politique CVD en place
- Capacité de réponse démontrée
POSTURE DE COOPÉRATION :
- Répondre rapidement aux demandes des autorités
- Fournir des informations complètes
- Ne pas cacher les problèmes
- Documenter les efforts de bonne foi
Important : Ne fournissez jamais de fausses informations aux autorités de surveillance du marché. Ce qui commence comme une violation de Niveau 3 (max. 5M€) devient une violation de Niveau 1 (max. 15M€) si vous mentez.
Avantages de la coopération
| Comportement | Impact probable |
|---|---|
| Réponses rapides et complètes | Sanctions plus basses |
| Auto-signalement proactif | Potentiellement pas d'amende |
| Action corrective rapide | Dossier peut clore tôt |
| Effort de bonne foi documenté | Facteur atténuant |
| Obstruction ou retard | Facteur aggravant |
| Fausse information | Sanctions maximales |
Considérations PME
Proportionnalité
Les sanctions CRA doivent être "effectives, proportionnées et dissuasives". Pour les PME :
- Les plafonds en pourcentage du CA comptent (15M€ peu probable pour petite entreprise)
- Le principe de proportionnalité s'applique
- Les premières violations mineures reçoivent souvent des avertissements
Exemption de signalement PME
Info : Les microentreprises et petites entreprises sont exemptées des sanctions pour manquement aux délais de signalement 24h (Art. 14(2)(a) et Art. 14(4)(a)). Les moyennes entreprises ne bénéficient pas de cette exemption. Cela NE signifie PAS qu’elles peuvent ignorer le signalement, simplement qu’elles ne sont pas sanctionnées pour le timing de ces notifications spécifiques.
Les microentreprises et petites entreprises sont exemptées des sanctions pour manquement aux délais de signalement spécifiques à l’Art. 14(2)(a) et Art. 14(4)(a) (Article 64(10)(a)). Mais :
- Doivent toujours signaler (juste pas sanctionnées pour le timing)
- Autres sanctions s’appliquent toujours
- Pas un laissez-passer pour défaillances systématiques
Foire aux questions
Quelle est l'amende maximale prévue par le CRA ?
L'article 64(2) fixe le maximum à 15 millions d'euros ou 2,5% du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Pour les grandes entreprises, le calcul basé sur le chiffre d'affaires peut largement dépasser le plafond fixe. Le plafond de 15 millions d'euros ne s'applique que lorsque 2,5% du chiffre d'affaires est inférieur à ce montant.
Quelle autorité applique le CRA dans chaque État membre de l'UE ?
Le CRA ne désigne pas un organe d'application unique à l'échelle de l'UE. Chaque État membre désigne sa propre autorité de surveillance du marché. En France, c'est l'ANSSI qui est l'autorité nationale attendue au premier plan. L'Allemagne s'appuie sur le BSI, l'Italie sur l'ACN, et la Pologne sur le CERT Polska. Le réseau européen de conformité des produits coordonne l'application transfrontalière lorsque les problèmes concernent plusieurs marchés.
Qu'est-ce qui déclenche une enquête de surveillance du marché au titre du CRA ?
Les déclencheurs courants comprennent les plaintes de concurrents, les incidents de sécurité signalés par des clients, l'échantillonnage aléatoire de produits par les autorités, les signalements lors d'inspections douanières, et les vulnérabilités non corrigées rendues publiques. Les autorités mènent aussi des campagnes sectorielles proactives ciblant les catégories de produits à risque élevé.
Une entreprise peut-elle être sanctionnée avant l'échéance de décembre 2027 ?
Les produits mis sur le marché après le 11 décembre 2027 doivent être pleinement conformes. Mais l'obligation de signalement des vulnérabilités prévue à l'article 14 entre en vigueur le 11 septembre 2026. Les autorités peuvent faire appliquer cette obligation dès cette date. Une entreprise qui ignore une vulnérabilité activement exploitée confirmée après septembre 2026 est déjà exposée.
Les sanctions CRA s'appliquent-elles par produit ou par entreprise ?
Les amendes sont calculées par violation, non par unité vendue. Une seule ligne de produits non conformes constitue une violation, mais le calcul de la sanction tient compte de l'ampleur de la non-conformité, du nombre d'unités en circulation, et de tout avantage financier obtenu. Une non-conformité systématique sur plusieurs lignes de produits serait généralement traitée comme des violations distinctes.
Comment le régime de sanctions du CRA se compare-t-il au RGPD ?
Les plafonds sont similaires : le RGPD prévoit jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial, le CRA jusqu'à 15 millions d'euros ou 2,5%. Les deux utilisent une structure par tranches basée sur la gravité de la violation. La différence principale porte sur la cible : le RGPD vise les responsables de traitement et sous-traitants de données, le CRA cible les fabricants, importateurs et distributeurs de produits. L'application du CRA relève des autorités de sécurité des produits, non des autorités de protection des données.
Prochaines étapes
Vous gérez la conformité CRA pour plusieurs produits ? CRA Evidence suit vos preuves de dossier technique, vos enregistrements de traitement des vulnérabilités et le statut de votre évaluation de conformité. Votre documentation est prête quand une autorité la demande.
Une fois la structure des sanctions comprise, vérifiez votre calendrier avec le calendrier de mise en oeuvre du CRA. Constituez votre dossier de preuves avec le guide du dossier technique avant la première échéance d'application.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils spécifiques en matière de conformité, consultez un conseiller juridique qualifié.
Articles connexes
Le CRA s'applique-t-il à votre produit ?
Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du Cyber Resilience Act de l'UE. Obtenez votre résultat en moins de 2 minutes.
Prêt à atteindre la conformité CRA ?
Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.