Le CRA s'applique à tout produit comportant des éléments numériques qui se connecte, directement ou indirectement, à un dispositif ou un réseau et qui parvient sur le marché de l'Union. Si ce test est satisfait et que vous n'êtes pas exclu par l'article 2, votre question suivante est de savoir quel rôle vous jouez au titre de l'article 3 : fabricant, importateur, distributeur, mandataire ou administrateur de logiciel libre. Cette page est la machine de tri à exécuter avant de vous engager dans un article approfondi.
Résumé
- Le test du champ d'application tient en une phrase (article 2, paragraphe 1). Il repose sur une « connexion logique ou physique de données, directe ou indirecte, à un dispositif ou un réseau », ce qui est plus large que ce que la plupart des équipes supposent.
- L'article 2 exclut cinq familles de produits. Dispositifs médicaux, véhicules à moteur, aviation civile, équipements marins, et produits développés ou modifiés exclusivement pour la sécurité nationale, la défense, ou le traitement d'informations classifiées.
- Trois rôles d'opérateurs économiques font l'essentiel du travail. Fabricant (articles 13 et 14), importateur (article 19), distributeur (article 20).
- Attention au piège du fabricant réputé (article 22). Modifiez substantiellement un produit après sa mise sur le marché, et vous devenez le fabricant pour la partie affectée ou pour le produit entier.
- Les administrateurs de logiciel libre relèvent d'un régime allégé (article 24). Une politique de cybersécurité documentée et un devoir de coopération, sans la pleine charge du fabricant.
- Plusieurs rôles cumulés vont au plus strict. Lorsque vous correspondez à plus d'une définition, c'est l'ensemble d'obligations le plus lourd qui s'applique.
Quatre points d'ancrage qui décident si le CRA s'applique à vous et avec quelle intensité : le test du champ d'application, les exclusions, l'axe des rôles et le piège de l'auteur de modification.
Le filtre du champ d'application : votre produit est-il couvert ?
L'article 2, paragraphe 1 définit le champ d'application du CRA en une seule phrase :
« Le présent règlement s'applique aux produits comportant des éléments numériques mis à disposition sur le marché, dont la finalité prévue ou l'utilisation raisonnablement prévisible inclut une connexion logique ou physique de données, directe ou indirecte, à un dispositif ou un réseau. »
L'expression la plus lourde de conséquences est « connexion logique ou physique de données, directe ou indirecte ». L'article 3 définit ce que recouvre chaque composante. La traduction en langage clair :
| Type de connexion | Sens en langage clair | Exemple concret |
|---|---|---|
| Logique (article 3, point 8) | Une voie de données virtuelle implémentée par une interface logicielle. | Un appel REST API entre un microservice et un backend ; un sujet MQTT entre un dispositif IoT et un broker. |
| Physique (article 3, point 9) | Une connexion par interfaces électriques, optiques ou mécaniques, fils ou ondes radio. | Un câble Ethernet ; un appairage Bluetooth ; un bus industriel RS-485. |
| Indirecte (article 3, point 10) | Une connexion qui passe par un système plus large lui-même directement connectable. | Un capteur qui ne dialogue qu'avec un hub local, où le hub lui-même atteint internet. Le capteur est dans le champ via le hub. |
En pratique, la clause de connexion indirecte est la prise la plus large. Un capteur qui ne dialogue qu'avec un hub local est dans le champ si le hub lui-même est connectable. Un accessoire médical qui s'appaire à un téléphone par Bluetooth est dans le champ via le téléphone. Un PLC d'usine qui n'atteint internet qu'au travers d'une passerelle industrielle est dans le champ via la passerelle. Les fabricants industriels et IoT qui supposent que « pas de Wi-Fi signifie pas de CRA » manquent cette clause et manquent le règlement entièrement.
Un « produit comportant des éléments numériques » est ensuite défini à l'article 3, point 1 comme un produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément. Les composants autonomes expédiés sur le marché entrent également dans le champ.
Exclusions de l'article 2
L'article 2, paragraphes 2 à 8 énumère ce qui est exclu du CRA :
| Ce qui est exclu | Source |
|---|---|
| Dispositifs médicaux et dispositifs médicaux de diagnostic in vitro | Règlement (UE) 2017/745 (MDR), règlement (UE) 2017/746 (IVDR) |
| Véhicules à moteur | Règlement (UE) 2019/2144 |
| Produits de l'aviation civile | Règlement (UE) 2018/1139 |
| Équipements marins | Directive 2014/90/UE |
| Pièces de rechange remplaçant des composants identiques fabriqués selon les mêmes spécifications | Article 2, paragraphe 6 |
| Produits développés ou modifiés exclusivement pour la sécurité nationale ou la défense | Article 2, paragraphe 7 |
| Informations dont la divulgation serait contraire aux intérêts essentiels en matière de sécurité d'un État membre | Article 2, paragraphe 8 |
L'article 2, paragraphe 5 autorise en outre la Commission à limiter ou à exclure l'application du CRA lorsqu'un autre acte de l'Union couvre déjà les mêmes risques à un niveau de protection équivalent ou supérieur.
Pour le niveau de cybersécurité de votre produit (par défaut, important Classe I, important Classe II ou critique), voir classification des produits CRA et évaluation de la conformité CRA.
L'axe des rôles : quel opérateur économique êtes-vous ?
L'article 3 définit quatre rôles pertinents pour les opérateurs qui mettent des produits sur le marché de l'Union.
Vous êtes fabricant (article 3, point 13) si vous développez ou faites concevoir et fabriquer un produit comportant des éléments numériques et le commercialisez sous votre propre nom ou marque, à titre onéreux ou gratuit. Les fabricants portent l'ensemble complet d'obligations au titre de l'article 13 : conception fondée sur le risque, gestion des vulnérabilités au titre de l'annexe I partie II, documentation technique au titre de l'annexe VII, déclaration UE de conformité, marquage CE, et signalement à l'article 14 des incidents graves et des vulnérabilités activement exploitées. Vendre sous votre propre marque un produit conçu et fabriqué par un OEM fait toujours de vous le fabricant. Voir obligations du fabricant CRA.
Vous êtes importateur (article 3, point 16) si vous êtes établi dans l'Union et mettez sur le marché de l'Union un produit comportant des éléments numériques qui porte le nom ou la marque d'une personne établie hors de l'Union. L'article 19 impose à l'importateur de vérifier, avant la mise sur le marché, que le fabricant a réalisé l'évaluation de la conformité, établi la documentation technique, apposé le marquage CE et fourni la déclaration UE de conformité ainsi que les informations utilisateur requises. Les importateurs doivent conserver la documentation pendant dix ans et coopérer avec les autorités de surveillance du marché. Voir obligations de l'importateur CRA.
Vous êtes distributeur (article 3, point 17) si vous êtes dans la chaîne d'approvisionnement, autre que le fabricant ou l'importateur, et que vous mettez un produit à disposition sur le marché de l'Union sans en affecter les propriétés. L'article 20 impose au distributeur de vérifier, avant la mise à disposition du produit, que le marquage CE est apposé, que la déclaration UE de conformité est disponible et que le fabricant a fourni les informations et instructions requises. Voir obligations du distributeur CRA.
Vous êtes mandataire (article 3, point 15) si vous êtes établi dans l'Union et disposez d'un mandat écrit d'un fabricant non européen pour agir en son nom. Un fabricant non européen qui met des produits sur le marché de l'Union doit désigner un mandataire au titre de l'article 18 ; le mandataire est le point de contact basé dans l'UE pour les autorités de surveillance du marché. Voir mandataire CRA.
Le piège du fabricant réputé : article 22
L'article 22, paragraphe 1 crée un rôle de « fabricant réputé » : toute personne autre que le fabricant, l'importateur ou le distributeur qui procède à une modification substantielle d'un produit puis met le produit modifié à disposition sur le marché est traitée comme le fabricant pour ce produit, avec l'ensemble complet des obligations des articles 13 et 14 attaché.
L'article 22, paragraphe 2 fixe la portée de ces obligations. Si la modification n'affecte qu'une partie du produit, les devoirs du fabricant réputé couvrent cette partie. Si la modification a un impact sur la cybersécurité du produit dans son ensemble, ils couvrent le produit entier.
Une « modification substantielle » est définie à l'article 3, point 30 comme un changement effectué après la mise sur le marché du produit qui soit affecte la conformité du produit aux exigences essentielles de cybersécurité de l'annexe I partie I, soit modifie la finalité prévue pour laquelle le produit a été initialement évalué. Deux schémas la déclenchent en pratique : reflasher ou reconditionner un dispositif tiers avec un firmware personnalisé, et intégrer un produit tiers dans un système d'une manière qui change sa finalité prévue. Dans les deux cas, l'auteur de la modification hérite des obligations des articles 13 et 14 pour la partie affectée, ou pour le produit entier si la cybersécurité est touchée dans son ensemble.
Le marquage sous votre propre nom n'est pas l'article 22 ; c'est la définition du fabricant à l'article 3, point 13. Si vous vendez un produit tiers sous votre propre marque, vous êtes le fabricant dès le départ, et non un fabricant réputé.
Administrateurs de logiciel libre : article 24
Un administrateur de logiciel libre (article 3, point 14) est une personne morale, autre qu'un fabricant, dont la finalité est de soutenir de manière systématique le développement de produits open source spécifiques destinés à des activités commerciales et d'en assurer la viabilité. En pratique, les administrateurs sont typiquement des fondations ou des entités juridiques à but non lucratif qui soutiennent un projet en amont en lui-même, et non des sociétés qui livrent du logiciel libre à l'intérieur de leurs propres produits.
Les devoirs sont plus étroits que le régime du fabricant mais restent concrets :
- Documenter une politique de cybersécurité (article 24, paragraphe 1) qui favorise un développement sécurisé du projet et une gestion efficace des vulnérabilités par ses développeurs, encourage le signalement volontaire des vulnérabilités au titre de l'article 15, et soutient le partage d'informations au sein de la communauté open source.
- Coopérer avec les autorités de surveillance du marché (article 24, paragraphe 2) sur demande motivée, y compris en fournissant la documentation de la politique de cybersécurité.
Ce régime ne s'applique pas à la plupart des sociétés qui livrent du logiciel libre à l'intérieur d'un produit commercial. Si vous prenez une bibliothèque open source, l'intégrez dans un produit que vous commercialisez et mettez ce produit sur le marché de l'Union sous votre propre nom, vous êtes fabricant, et non administrateur.
Arbre de décision : identifiez votre voie de conformité
| Si vous... | Vous êtes... | Allez à... |
|---|---|---|
| Concevez ou faites fabriquer un produit comportant des éléments numériques que vous mettez sur le marché de l'Union sous votre nom ou votre marque | Fabricant (articles 13 et 14) | Obligations du fabricant |
| Êtes établi dans l'UE et mettez sur le marché de l'Union un produit qui porte le nom ou la marque d'une personne non européenne | Importateur (article 19) | Obligations de l'importateur |
| Êtes dans la chaîne d'approvisionnement (autre que le fabricant ou l'importateur) et mettez un produit à disposition sur le marché de l'Union sans en affecter les propriétés | Distributeur (article 20) | Obligations du distributeur |
| Procédez à une modification substantielle d'un produit avant de le mettre sur le marché | Fabricant réputé (article 22) | L'ensemble complet des obligations des articles 13 et 14 s'applique pour la partie affectée ou pour le produit entier |
| Êtes un fabricant non européen mettant des produits sur le marché de l'Union | Fabricant (articles 13 et 14) et devez désigner un mandataire (article 18) | Mandataire |
| Êtes une personne morale soutenant de manière systématique un projet open source comme finalité essentielle, et non par distribution commerciale | Administrateur de logiciel libre (articles 3, point 14 et 24) | Régime de l'administrateur de logiciel libre |
Si vous relevez de plus d'un rôle, c'est l'ensemble d'obligations le plus strict qui s'applique. Une société qui développe un produit, le marque et le met sur le marché de l'Union est fabricant indépendamment des sous-traitants qui ont effectué la conception ou la fabrication ; une société qui importe un produit non européen et le modifie substantiellement avant sa mise sur le marché hérite des obligations du fabricant au titre de l'article 22 en plus de son statut d'importateur.
Foire aux questions
Mon produit n'est que sur un réseau local. Le CRA est-il toujours dans le champ ?
Probablement oui. Le test du CRA attrape les connexions indirectes aussi. Un capteur sur un hub local, un périphérique Bluetooth qui s'appaire à un téléphone, un PLC derrière une passerelle industrielle : chacun est dans le champ via le dispositif auquel il se connecte. Le cas étroit où le CRA ne s'applique pas est celui d'un produit sans logiciel, sans firmware et sans aucune voie vers un autre dispositif ou réseau quelconque (articles 2(1) et 3(10)).
J'exploite un service SaaS. Le CRA s'applique-t-il à moi ?
Généralement non. Le SaaS relève de la NIS2, et non du CRA. Le CRA s'applique à un produit logiciel ou matériel mis sur le marché. Un service purement hébergé en cloud ne satisfait pas cette définition. L'exception est une solution de traitement de données à distance fournie par le fabricant : un composant cloud nécessaire au produit pour exécuter ses fonctions est dans le champ en tant que partie de ce produit. Un SaaS qui livre aussi un client installable (une application bureau ou mobile, un SDK, un agent sur site) place la partie installable dans le champ (article 3(1) et (2)).
Nous revendons du matériel non modifié sous notre propre marque. Fabricant ou distributeur ?
Fabricant. Toute personne qui met un produit sur le marché sous son propre nom ou sa marque est le fabricant, indépendamment de qui l'a conçu ou fabriqué. Le marquage d'un produit OEM est le cas d'école : vous héritez de l'ensemble complet des obligations des articles 13 et 14. Ce n'est pas la voie du fabricant réputé ; vous êtes fabricant dès le départ (article 3(13) ; non article 22).
Nous utilisons des bibliothèques open source dans notre produit. Sommes-nous administrateur au titre de l'article 24 ?
Non. Les administrateurs sont typiquement des fondations ou des entités juridiques à but non lucratif qui soutiennent de manière systématique un projet open source comme finalité essentielle. Une société qui prend une bibliothèque open source, l'intègre dans un produit commercial et met ce produit sur le marché de l'Union est fabricant pour ce produit. Le régime allégé vise l'entité qui soutient le projet en amont, non les consommateurs en aval de celui-ci (articles 3(14) et 24 ; obligations du fabricant aux articles 13 et 14).
Une société non européenne vend en direct à des consommateurs européens via notre place de marché. Qui est responsable ?
Cela dépend de la chaîne. Le fabricant non européen doit désigner un mandataire ; à défaut, un importateur établi dans l'UE (l'opérateur qui met le produit sur le marché de l'Union) hérite d'une partie des devoirs. Une place de marché qui se contente d'intermédier et ne met pas elle-même de produits sur le marché n'est généralement pas l'importateur ; si elle possède l'annonce ou exécute la commande depuis un stock dans l'UE, elle bascule en territoire importateur. Vérifiez le flux transactionnel réel avant de trancher (articles 18 et 19).