Un produit comportant des éléments numériques est un matériel ou un logiciel mis sur le marché de l'Union dont l'utilisation prévue ou raisonnablement prévisible inclut une connexion de données directe ou indirecte à un autre dispositif ou à un réseau. Trois critères le déterminent: la forme du produit, sa mise sur le marché commercial, et la connexion. La connexion est le critère que les équipes sous-estiment le plus. Cette page passe en revue chacun de ces critères, les cas propres au cloud, et les secteurs qui se situent hors du champ du CRA.
Résumé
- Le champ est fondé sur la connexion. Un matériel ou un logiciel mis sur le marché de l'Union est dans le champ lorsque son utilisation prévue ou raisonnablement prévisible inclut une connexion de données à un autre dispositif ou à un réseau.
- Le règlement reconnaît quatre formes. Les produits logiciels, les produits matériels, les composants mis sur le marché séparément, et les solutions de traitement de données à distance fournies par le fabricant.
- Trois types de connexion s'appliquent. Logique, physique et indirecte. La clause de connexion indirecte est la prise la plus large et atteint tout produit qui touche un réseau via un système plus large.
- Certains secteurs sont exclus. Les dispositifs médicaux, les véhicules à moteur, les produits de l'aviation civile certifiés, les équipements marins, les pièces de rechange et les produits relevant de la sécurité nationale ou de la défense sont tous hors champ; voir Qui doit se conformer pour le règlement applicable à chaque secteur.
Le champ du CRA en quatre chiffres: le test qui fait entrer un produit dans le champ, les formes reconnues, les trois façons dont une connexion compte, et les secteurs qui en sont exclus.
Ce qui constitue un produit comportant des éléments numériques
Pour simplifier, posez trois questions. Le produit n'entre dans le champ du CRA que si les trois réponses sont affirmatives.
- S'agit-il d'un produit logiciel, d'un produit matériel, d'un composant mis sur le marché séparément, ou d'une solution de traitement de données à distance ? Ce sont les quatre formes couvertes, détaillées dans la section suivante.
- Sera-t-il mis sur le marché de l'Union dans le cadre d'une activité commerciale ? La mise à disposition à titre onéreux et à titre gratuit compte toutes deux, dès lors que l'activité est commerciale.
- Son utilisation prévue ou raisonnablement prévisible inclut-elle une connexion de données directe ou indirecte à un autre dispositif ou à un réseau ? Les types de connexion sont traités dans le test de connexion de données ci-dessous.
En termes simples, la définition couvre les produits logiciels, les produits matériels, les composants logiciels ou matériels commercialisés séparément et les services de traitement à distance que le fabricant fournit comme partie du produit.
Le CRA est le Règlement (UE) 2024/2847. Pour le contexte plus large (ce que couvre le règlement, les dates clés et les sanctions), voir Qu'est-ce que le règlement sur la cyberrésilience.
Formes d'un produit comportant des éléments numériques
Le règlement reconnaît quatre formes. L'une d'elles peut s'appliquer à votre produit.
- Produit logiciel. Systèmes d'exploitation, pare-feux, gestionnaires de mots de passe, suites antivirus, navigateurs, extensions de navigateur, applications mobiles téléchargeables et bibliothèques de développement distribuées commercialement.
- Produit matériel. Routeurs, capteurs IoT, caméras intelligentes, automates industriels (PLC), dispositifs domotiques et trackers d'activité. Tout ce qui communique via Wi-Fi, Bluetooth, Ethernet, réseau cellulaire ou bus de terrain industriel.
- Composant mis sur le marché séparément. Logiciel ou matériel distribué de façon autonome pour intégration dans un autre système. Un firmware vendu comme produit séparé, des bibliothèques logicielles fournies aux OEM et des modules embarqués entrent tous dans cette catégorie.
- Solution de traitement de données à distance. Services cloud ou distants que le fabricant conçoit et fournit comme partie intégrante du produit, lorsque l'absence de ce service empêcherait le produit d'exécuter l'une de ses fonctions. L'exemple canonique est le cloud d'un fabricant de maison connectée permettant aux utilisateurs de contrôler le dispositif à distance. Un SaaS cloud pur sans produit associé est généralement en dehors du champ du règlement; le SaaS, le PaaS et l'IaaS en tant que tels relèvent de la directive (UE) 2022/2555 (NIS2).
Le test décisif est la connexion de données, et non la forme.
Le test de connexion de données
Un seul des trois types de connexion suffit à faire entrer un produit dans le champ, dès lors que l'utilisation prévue ou raisonnablement prévisible du produit inclut cette connexion.
| Type de connexion | Signification pratique | Exemple concret |
|---|---|---|
| Logique | Voie de données virtuelle par une interface logicielle | Appel REST API entre un microservice et un backend |
| Physique | Lien par interfaces électriques, optiques ou mécaniques, fils ou radio | Câble Ethernet, appairage Bluetooth, bus industriel RS-485 |
| Indirecte | Connexion atteignant un appareil ou un réseau par un système plus large lui-même directement connectable | Capteur qui n'atteint internet que par un hub local |
La clause de connexion indirecte est la plus souvent sous-estimée. Un capteur qui ne dialogue qu'avec une passerelle locale est dans le champ si la passerelle atteint internet, même si le capteur ne dispose d'aucune pile IP.
Quand un service cloud tombe dans le champ du CRA
Un composant cloud ou SaaS entre dans le champ de la conformité CRA du produit seulement lorsque les trois conditions suivantes sont réunies. Le projet d'orientations de la Commission européenne de mars 2026 (communication Ares(2026)2319816) accompagne les fabricants dans ces conditions étape par étape.
- La solution traite-t-elle des données à distance ? Si le service cloud ne traite pas réellement des données à distance, il ne constitue pas une solution de traitement de données à distance.
- Le produit ne pourrait-il pas exécuter l'une de ses fonctions sans cette solution ? Un backend optionnel ou simplement enrichissant ne fait pas entrer le cloud dans le champ; l'absence du service doit empêcher le produit de remplir une fonction qu'il affiche.
- La solution est-elle conçue par le fabricant ou sous sa responsabilité ? Un SaaS tiers standard que le produit utilise par hasard n'est pas une solution de traitement de données à distance. Un service sur mesure développé sous la responsabilité du fabricant peut l'être.
Un « non » à l'une de ces questions sort le composant cloud du champ RDPS.
Hors RDPS ne signifie pas hors obligation. Même lorsqu'un service cloud ne constitue pas une solution de traitement de données à distance, le fabricant conserve des obligations de diligence sur les composants lorsque le service est intégré au produit. L'obligation de sécurité passe de l'évaluation de la conformité à la gestion des composants; elle ne disparaît pas.
La Commission illustre le test avec cinq scénarios concrets: une application bancaire, un thermostat connecté, un e-Reader, un robot industriel et un dispositif de réseau cellulaire. Le guide reste à l'état de projet en attente de finalisation dans toutes les versions linguistiques de l'Union. Il traite aussi le backend d'application mobile exploité par le fabricant et le cloud de maison connectée comme des exemples frontières utiles.
Ce qui n'est PAS un produit comportant des éléments numériques
Deux tests de seuil placent un produit hors du champ du CRA avant même que la question sectorielle ne se pose:
- Les produits sans logiciel, sans firmware et sans connexion de données. Un dispositif purement mécanique sans électronique est hors du champ au stade du premier test. Un thermostat analogique simple, un câble passif ou un outil à main non électronique n'entreraient pas dans le champ.
- Les services cloud purs sans produit associé. Un SaaS, PaaS ou IaaS autonome qui n'est pas la solution de traitement de données à distance d'un produit est hors du champ du CRA; ces modèles de services cloud sont régis par la directive (UE) 2022/2555 (NIS2). Les sites web qui ne servent pas les fonctionnalités d'un produit comportant des éléments numériques sont également hors du champ du CRA. Le règlement n'atteint un service cloud que lorsque le fabricant le fournit dans le cadre d'un produit et que l'absence de ce service empêcherait le produit de fonctionner.
Foire aux questions
Mon dispositif Bluetooth uniquement est-il dans le champ du CRA ?
Oui. Bluetooth est une connexion physique par ondes radio, et un dispositif qui peut s'appairer à un téléphone, un hub ou un autre hôte Bluetooth satisfait au test du champ d'application. Même si le dispositif n'atteint jamais directement internet, la clause de connexion indirecte le place dans le champ dès que l'hôte appairé atteint un réseau.
Le SaaS, le PaaS ou l'IaaS sont-ils dans le champ du CRA ?
Généralement non. Le logiciel en tant que service, la plateforme en tant que service et l'infrastructure en tant que service sont régis par la directive (UE) 2022/2555 (NIS2), et non par le CRA. Un service cloud ne relève du CRA que lorsqu'il est conçu et fourni par le fabricant d'un produit comportant des éléments numériques et que l'absence de ce service empêcherait le produit d'exécuter l'une de ses fonctions. L'exemple canonique dans le champ est le cloud d'un fabricant de maison connectée permettant aux utilisateurs de contrôler le dispositif à distance.
L'API backend de notre application mobile est-elle dans le champ du CRA ?
Oui, si le fabricant de l'application conçoit et développe le backend et que l'application en a besoin pour fonctionner. Une application mobile nécessitant l'accès à une API ou une base de données fournie par le service du fabricant fait entrer ce service dans le champ du CRA comme solution de traitement de données à distance.
Le firmware intégré dans notre propre matériel compte-t-il comme composant séparé ?
Non, sauf si vous mettez également le firmware sur le marché séparément. Un firmware intégré dans un produit matériel que vous vendez fait partie de ce produit, et non un composant autonome. Si vous vendez aussi le firmware seul, par exemple comme package de mise à jour, SDK OEM ou téléchargement autonome, la version vendue séparément peut être indépendamment dans le champ.
Une application mobile téléchargeable est-elle un produit comportant des éléments numériques ?
Oui, lorsqu'elle est fournie dans le cadre d'une activité commerciale. Une application mobile distribuée via une boutique d'applications ou en téléchargement est un produit logiciel mis à disposition sur le marché. Les applications commerciales payantes et gratuites sont toutes deux dans le champ. Le fait qu'une boutique d'applications distribue l'application ne transfère pas la responsabilité CRA à la boutique; le fabricant est l'entité qui commercialise l'application sous son propre nom ou sa propre marque. Le produit doit également satisfaire au test de connexion, ce que la plupart des applications font par leur utilisation prévue d'un réseau ou d'une API de dispositif.