Les sanctions CRA peuvent atteindre 15 000 000 € ou 2,5 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu pour les entreprises. Le Règlement (UE) 2024/2847 donne aux autorités de surveillance du marché deux types de leviers : les amendes administratives et les mesures sur les produits telles que l'action corrective, le retrait, le rappel ou la restriction de mise à disposition.
Cette page explique ce que ces pouvoirs impliquent en pratique et quelles preuves un opérateur économique doit pouvoir produire avant qu'une autorité ne les demande.
Synthèse
- Le CRA prévoit trois niveaux d'amende. Le niveau le plus élevé vise les exigences essentielles de cybersécurité et les obligations centrales du fabricant.
- Le plafond fixe en euros n'est pas toujours la limite. Pour les entreprises, le pourcentage du chiffre d'affaires s'applique lorsqu'il est plus élevé que le montant fixe.
- Les amendes ne sont qu'un outil d'application. Les autorités peuvent imposer une action corrective, un retrait, un rappel ou des restrictions de mise à disposition sur le marché.
- La surveillance du marché commence par les preuves. Documentation technique, déclaration UE de conformité, preuves SBOM, registres de traitement des vulnérabilités et registres de période d'assistance sont ce que les autorités peuvent utiliser pour tester votre revendication de conformité.
- La taille de l'opérateur compte, mais elle n'est pas un blanc-seing. Les autorités doivent tenir compte de la taille, y compris des micro-entreprises, PME et start-ups, lorsqu'elles fixent les amendes.
Les quatre points d'ancrage de l'application : l'amende maximale, la date de début anticipée du signalement, la date d'application complète et les mesures produit que les autorités de surveillance du marché peuvent utiliser.
Quelles amendes administratives peuvent s'appliquer ?
Le règlement fixe les plafonds européens des amendes administratives. Les États membres établissent les règles détaillées en matière de sanctions, mais ces règles doivent rester dans le cadre du CRA et les sanctions doivent être effectives, proportionnées et dissuasives.
| Catégorie de manquement | Ce qui la déclenche | Amende administrative maximale |
|---|---|---|
| Obligations centrales de sécurité produit | Exigences essentielles de cybersécurité et obligations centrales du fabricant, notamment gestion des vulnérabilités, mises à jour de sécurité, preuve de la période de support et signalement obligatoire | 15 000 000 € ou, pour les entreprises, 2,5 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu |
| Accès au marché et conformité | Vérifications des importateurs et distributeurs, marquage CE, déclarations, évaluation de la conformité, coopération avec les organismes notifiés et obligations de surveillance du marché | 10 000 000 € ou, pour les entreprises, 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu |
| Informations trompeuses | Fourniture d'informations inexactes, incomplètes ou trompeuses aux organismes notifiés ou aux autorités de surveillance du marché | 5 000 000 € ou, pour les entreprises, 1 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu |
L'amende maximale est celle que la plupart des fabricants doivent comprendre en premier. Elle couvre la substance de la sécurité produit et les obligations opérationnelles du fabricant : évaluation des risques de cybersécurité, traitement des vulnérabilités, mises à jour de sécurité, divulgation de la période d'assistance et signalement des incidents graves ou des vulnérabilités activement exploitées. La documentation technique, la déclaration UE de conformité et le marquage CE relèvent quant à eux de la tranche intermédiaire (accès au marché et conformité).
Quels manquements comptent le plus ?
Le CRA ne classe pas chaque situation de fait possible. Il fixe des tranches juridiques. En pratique, l'exposition la plus sérieuse vient des défaillances qui touchent à la substance de la cybersécurité du produit, à la sincérité de la déclaration de conformité ou à la capacité des autorités à évaluer le risque.
| Situation | Pourquoi cela compte | Zone juridique probable |
|---|---|---|
| Produit mis sur le marché de l'UE sans respecter les exigences essentielles de l'Annexe I | La revendication de sécurité produit est fausse à la source | Amende maximale |
| Absence de processus effectif de traitement des vulnérabilités pendant la période d'assistance | Le traitement des vulnérabilités ne fonctionne pas pendant la période d'assistance | Amende maximale |
| Défaut de signalement d'un incident grave ou d'une vulnérabilité activement exploitée lorsque le signalement obligatoire s'applique | L'obligation de signalement démarre avant le régime complet | Amende maximale |
| Mauvaise voie de conformité pour un produit important ou critique | La déclaration de conformité repose sur une voie d'évaluation incorrecte | Amende maximale ou intermédiaire, selon l'obligation enfreinte |
| Déclaration UE de conformité, marquage CE ou coordonnées opérateur manquants ou invalides | La documentation d'accès au marché est défectueuse | Amende intermédiaire |
| Information trompeuse à un organisme notifié ou à une autorité de surveillance du marché | Les autorités ne peuvent pas se fier aux informations fournies | Amende pour information trompeuse, et potentiellement aggravé en cas d'autres manquements |
La meilleure lecture des niveaux n'est pas « quelle amende allons-nous recevoir ? » mais « quelles preuves devons-nous pouvoir produire ? ». Une déclaration de conformité signée sans dossier technique, preuves SBOM, registres de traitement des vulnérabilités et justification de la voie de conformité reste une position fragile face à l'application.
Comment les autorités fixent le montant de l'amende
Le montant de l'amende n'est pas qu'un calcul mécanique en pourcentage. Lorsqu'elles fixent le montant, les autorités doivent tenir compte du manquement, de l'existence d'amendes similaires précédentes contre l'opérateur, et de la taille de l'opérateur.
| Facteur | Lecture pratique |
|---|---|
| Nature, gravité et durée du manquement et de ses conséquences | Une lacune documentaire de courte durée n'est pas équivalente à un produit livré comportant une faiblesse de conception exploitable. |
| Amendes déjà imposées au même opérateur économique pour des manquements similaires | Une conduite répétée dans plusieurs États membres peut aggraver l'issue. |
| Taille de l'opérateur économique et part de marché | Les micro-entreprises, PME et start-ups doivent être prises en compte lorsque les amendes sont fixées. |
Cela ne signifie pas que les petits opérateurs peuvent ignorer la loi. Cela signifie que la sanction doit être proportionnée. Un petit fabricant doit toujours disposer d'une véritable voie de conformité, d'une documentation technique, d'un processus de traitement des vulnérabilités et d'une capacité de signalement là où les obligations s'appliquent.
Pouvoirs de surveillance du marché au-delà des amendes
Les amendes ne sont pas le seul risque. L'application du CRA s'inscrit dans le cadre de surveillance du marché de l'UE, notamment le Règlement (UE) 2019/1020. Le CRA précise ensuite la procédure nationale applicable aux produits comportant des éléments numériques qui présentent un risque de cybersécurité significatif.
Si une autorité évalue un produit et constate une non-conformité, elle peut exiger de l'opérateur économique concerné qu'il prenne les mesures correctives appropriées, mette le produit en conformité, le retire du marché ou le rappelle dans un délai raisonnable. Si l'opérateur ne prend pas les mesures correctives adéquates, les autorités peuvent restreindre ou interdire la mise à disposition sur le marché.
| Mesure | Conséquence opérationnelle |
|---|---|
| Action corrective | Corriger la non-conformité, mettre à jour la documentation, remédier aux vulnérabilités, actualiser les instructions ou modifier le produit avant la poursuite de la vente. |
| Retrait | Cesser la mise à disposition du produit sur le marché. Cela affecte généralement les stocks invendus et les canaux de distribution. |
| Rappel | Récupérer ou corriger les produits déjà fournis aux utilisateurs lorsque le risque le justifie. |
| Restriction ou interdiction | Limiter ou bloquer la disponibilité du produit sur le marché national, avec d'éventuelles conséquences à l'échelle de l'UE par voie de coordination. |
La conformité formelle n'est pas un bouclier. Un produit peut satisfaire à la documentation et présenter malgré tout un risque de cybersécurité significatif, auquel cas les autorités peuvent exiger des mesures supplémentaires pour traiter le risque au titre de l'Article 57. Les papiers formels ne suffisent pas si le produit reste risqué.
Qu'est-ce qui peut déclencher l'attention de l'application ?
Le CRA ne publie pas de liste fixe de déclencheurs. La surveillance du marché peut être proactive ou réactive. Voici les situations les plus susceptibles de placer un produit dans le radar d'une autorité :
| Déclencheur | Ce que l'autorité demandera vraisemblablement |
|---|---|
| Vulnérabilité activement exploitée ou incident grave | Preuves de signalement, triage des vulnérabilités, versions concernées, communications clients, calendrier de remédiation. |
| Plainte d'un concurrent, d'un client ou d'un chercheur | Dossier technique, registres de traitement des vulnérabilités, preuves d'évaluation de la conformité et raisonnement de sécurité produit. |
| Échantillonnage ou campagne sectorielle | Déclaration UE de conformité, informations utilisateur, marquage CE, preuves SBOM et preuves de tests. |
| Préoccupation d'un importateur ou d'un distributeur | Identité du fabricant, coordonnées de l'importateur, déclaration de conformité, informations sur la période d'assistance et registres de traçabilité. |
| Revendications publiques incohérentes | Preuves que le marketing, les déclarations sur la période d'assistance, les engagements de mises à jour de sécurité et le dossier technique concordent. |
Le risque d'application est le plus élevé là où l'entreprise ne peut pas expliquer pourquoi le produit relève du champ, quel rôle elle joue, quelle voie de conformité elle a utilisée, quelles preuves étayent la déclaration de conformité et comment les vulnérabilités sont traitées pendant la période d'assistance.
À quoi peut ressembler une demande d'autorité
Une demande de surveillance du marché est généralement un problème de preuves avant d'être un problème contentieux. La requête précise dépend de l'État membre, du produit et du risque, mais un dossier prêt pour le CRA doit rendre ces éléments accessibles :
| Domaine de preuve | Exemples |
|---|---|
| Identité et périmètre du produit | Modèle, version, finalité prévue, versions logiciel ou firmware, solution de traitement de données à distance, classe produit. |
| Revendication de conformité | Déclaration UE de conformité, normes appliquées, module d'évaluation de la conformité, certificat d'organisme notifié le cas échéant. |
| Documentation technique | Dossier technique de l'Annexe VII, évaluation des risques de cybersécurité, architecture, tests, contrôles de production. |
| Preuves SBOM | SBOM à jour, périmètre des composants, méthode de génération, processus de mise à jour, traitement des SBOM fournisseurs. |
| Traitement des vulnérabilités | Politique CVD, contact sécurité, registres de triage, registres de remédiation, processus de mise à jour de sécurité. |
| Signalement obligatoire | Journaux de décision sur les incidents graves et les vulnérabilités activement exploitées, registres de signalement ENISA ou CSIRT le cas échéant. |
| Période d'assistance | Période d'assistance divulguée, date de fin de support, disponibilité des mises à jour, registres de notification clients. |
Le test pratique est simple : si une autorité demande le dossier aujourd'hui, l'équipe peut-elle produire des preuves cohérentes sans avoir à les reconstituer de mémoire ?
Ce qu'il faut tenir prêt avant qu'une demande n'arrive
Utilisez cette liste de contrôle avant la première échéance d'application :
| Domaine | État de préparation |
|---|---|
| Périmètre et rôle | Vous savez expliquer pourquoi le CRA s'applique, quel rôle de l'Article 3 vous jouez et si une exclusion de l'Article 2 s'applique. |
| Classification du produit | Vous savez si le produit relève de la catégorie par défaut, important Classe I, important Classe II ou critique. |
| Voie de conformité | Vous pouvez justifier le module A, B+C, H ou une autre voie autorisée. |
| Dossier technique | Les preuves de l'Annexe VII existent, sont versionnées et correspondent au produit vendu. |
| Déclaration et marquage CE | La DoC est signée, exacte et alignée sur le dossier de preuves. |
| SBOM | Le SBOM est généré, maintenu et lié aux versions livrées. |
| Traitement des vulnérabilités | Réception, triage, remédiation, divulgation et livraison de mises à jour sont opérationnels. |
| Signalement | La prise de décision et l'escalade sont prêtes avant le 11 septembre 2026. |
| Communications | Les communications clients, distributeurs, importateurs et autorités sont documentées. |
PME, micro et petits fabricants, et gestionnaires open source
Les opérateurs de plus petite taille bénéficient de nuances importantes, mais pas d'une exemption de conformité au CRA.
Micro-entreprises, PME et start-ups. Lorsqu'elles fixent les amendes, les autorités doivent tenir compte de la taille de l'opérateur, y compris du fait qu'il s'agit d'une micro-entreprise, d'une PME ou d'une start-up. Cela joue sur la proportionnalité, pas sur l'existence de l'obligation sous-jacente.
Micro et petits fabricants. Un allègement étroit existe pour deux délais d'alerte précoce de 24 heures manqués. Il ne supprime pas l'obligation de signalement complète, les rapports finaux ni les autres obligations CRA.
Gestionnaires de logiciels open source. Les gestionnaires sont exclus de la plupart des amendes administratives, mais leur régime reste réel : ils doivent disposer d'une politique de cybersécurité et coopérer avec les autorités de surveillance du marché sur demande motivée. Une entreprise en aval qui livre des logiciels open source dans son propre produit commercial est généralement fabricant pour ce produit, et non gestionnaire.
Questions fréquentes
Quelle est l'amende maximale du CRA ?
Le palier d'amende le plus élevé du CRA est de 15 000 000 € ou, pour les entreprises, 2,5 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Ce niveau couvre le non-respect des exigences essentielles de cybersécurité et des obligations centrales du fabricant.
L'application du CRA peut-elle commencer avant le 11 décembre 2027 ?
Oui, pour le signalement des incidents graves. Le régime complet du CRA s'applique à compter du 11 décembre 2027, mais les obligations de signalement des vulnérabilités activement exploitées et des incidents graves s'appliquent à compter du 11 septembre 2026. Les produits déjà sur le marché sont également couverts par cette obligation de signalement à compter de cette date.
Un avertissement est-il garanti avant une amende ?
Non. La surveillance du marché commence souvent par des demandes d'information, une évaluation et des mesures d'action corrective, mais le CRA ne garantit pas un avertissement avant chaque amende ou mesure produit. La réponse de l'autorité dépend du risque, du manquement, de la coopération de l'opérateur et des règles nationales en matière de sanctions.
Une autorité peut-elle ordonner un rappel sans qu'aucune amende ait été imposée ?
Oui. Les mesures produit et les amendes administratives sont des outils distincts. Lorsque les conditions sont réunies, les autorités de surveillance du marché peuvent exiger une action corrective, un retrait, un rappel ou des restrictions de mise à disposition pour traiter un risque de cybersécurité significatif. Un rappel relève de la maîtrise du risque, pas seulement de la sanction.
Les petites entreprises bénéficient-elles d'une exemption des sanctions CRA ?
Pas de manière générale. La taille de l'opérateur est un facteur de proportionnalité lorsque les amendes sont fixées. Le CRA accorde aussi aux micro et petits fabricants un allègement étroit pour deux délais d'alerte précoce de 24 heures spécifiques, et les gestionnaires de logiciels open source sont exclus de la plupart des amendes administratives. Cela ne supprime pas le reste des obligations CRA.