Les sanctions CRA peuvent atteindre 15 000 000 EUR ou 2,5 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu pour les entreprises. Le règlement sur la cyberrésilience donne aux autorités de surveillance du marché deux leviers : les amendes administratives et les mesures sur les produits, comme la mise en conformité, le retrait, le rappel ou la restriction de mise à disposition.
Cette page explique ce que ces pouvoirs impliquent en pratique et quelles preuves un opérateur économique doit pouvoir produire avant qu'une autorité les demande.
Résumé
- Le CRA prévoit trois niveaux d'amende. Le niveau le plus élevé vise les exigences essentielles de cybersécurité de l'annexe I et les obligations du fabricant aux articles 13 et 14.
- Le plafond fixe en EUR n'est pas toujours la limite. Pour les entreprises, le pourcentage du chiffre d'affaires s'applique s'il est plus élevé.
- Les amendes ne sont qu'un outil. Les autorités peuvent aussi imposer des mesures correctives, un retrait, un rappel ou des restrictions de disponibilité.
- La surveillance commence par les preuves. Documentation technique, déclaration UE de conformité, SBOM, registres de traitement des vulnérabilités et période d'assistance doivent être cohérents.
- La taille compte, sans exonération générale. Micro-entreprises, PME et start-ups doivent être prises en compte lors du calcul de l'amende.
Les quatre repères d'application : niveau maximal d'amende, date de signalement Article 14, application complète et mesures produit.
Quels sont les niveaux de sanction CRA ?
Le règlement fixe les plafonds européens des amendes administratives. Les États membres précisent les règles nationales, mais les sanctions doivent rester effectives, proportionnées et dissuasives.
| Niveau | Manquement déclencheur | Amende administrative maximale |
|---|---|---|
| Niveau 1 | Non-respect de l'annexe I ou des obligations du fabricant aux articles 13 et 14 | 15 000 000 EUR ou 2,5 % du chiffre d'affaires annuel mondial, le plus élevé étant retenu |
| Niveau 2 | Non-respect d'obligations listées d'opérateurs économiques, de conformité, d'organismes notifiés et de surveillance du marché, notamment articles 18 à 23, 28, 30 à 33, 39, 41, 47, 49 et 53 | 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial, le plus élevé étant retenu |
| Niveau 3 | Informations incorrectes, incomplètes ou trompeuses transmises à un organisme notifié ou à une autorité de surveillance du marché | 5 000 000 EUR ou 1 % du chiffre d'affaires annuel mondial, le plus élevé étant retenu |
Le premier niveau concerne la substance même de la sécurité produit : évaluation des risques, traitement des vulnérabilités, mises à jour de sécurité, documentation technique, déclaration UE de conformité, marquage CE, période d'assistance et signalements Article 14.
Quels manquements comptent le plus ?
Le CRA fixe des tranches juridiques. En pratique, l'exposition la plus forte vient des défaillances qui touchent la cybersécurité du produit, la sincérité de la déclaration de conformité ou la capacité de l'autorité à évaluer le risque.
| Situation | Pourquoi c'est important | Zone probable |
|---|---|---|
| Produit mis sur le marché sans respecter l'annexe I | La promesse de sécurité est fausse dès le départ | Niveau 1 |
| Pas de traitement effectif des vulnérabilités pendant l'assistance | L'annexe I partie II et l'article 13 ne fonctionnent pas | Niveau 1 |
| Absence de signalement d'une vulnérabilité activement exploitée ou d'un incident grave | Le signalement s'applique avant le régime complet | Niveau 1 |
| Mauvaise voie de conformité pour un produit important ou critique | La déclaration UE repose sur une évaluation incorrecte | Niveau 1 ou 2 |
| Déclaration UE, marquage CE ou coordonnées opérateur manquants | Les preuves d'accès au marché sont défectueuses | Niveau 2 |
| Information trompeuse à l'autorité ou à l'organisme notifié | L'autorité ne peut pas se fier aux éléments reçus | Niveau 3, et parfois plus |
La bonne lecture des niveaux n'est pas "quelle amende allons-nous recevoir ?", mais "quelles preuves pouvons-nous produire ?". Une déclaration signée sans dossier technique, SBOM, registres de vulnérabilités et justification de la voie de conformité reste fragile.
Comment l'amende est fixée
Le montant n'est pas un simple calcul de pourcentage. L'autorité doit tenir compte de la nature, de la gravité, de la durée et des conséquences du manquement, des sanctions déjà imposées pour des infractions similaires et de la taille de l'opérateur.
| Facteur | Lecture pratique |
|---|---|
| Nature, gravité, durée et conséquences | Une lacune documentaire courte n'a pas le même poids qu'un produit vendu avec une faiblesse exploitable. |
| Sanctions antérieures pour des manquements similaires | La répétition dans plusieurs États membres peut aggraver la situation. |
| Taille et part de marché | Micro-entreprises, PME et start-ups doivent être prises en compte. |
Cela ne supprime pas l'obligation. Un petit fabricant doit toujours disposer d'une voie de conformité, d'une documentation technique, d'un processus de vulnérabilités et d'une capacité de signalement Article 14.
Surveillance du marché au-delà des amendes
L'application du CRA s'inscrit dans le cadre de surveillance du marché de l'Union, notamment le règlement (UE) 2019/1020. Le CRA ajoute le mécanisme propre aux produits comportant des éléments numériques qui présentent un risque de cybersécurité significatif.
Si une autorité constate une non-conformité, elle peut exiger une action corrective, la mise en conformité, le retrait ou le rappel du produit dans un délai raisonnable. Si l'opérateur n'agit pas correctement, l'autorité peut restreindre ou interdire la mise à disposition.
| Mesure | Conséquence opérationnelle |
|---|---|
| Action corrective | Corriger la non-conformité, mettre à jour le dossier, remédier à une vulnérabilité ou modifier le produit. |
| Retrait | Arrêter la mise à disposition du produit sur le marché, souvent pour les stocks et les canaux de distribution. |
| Rappel | Récupérer ou corriger des produits déjà fournis aux utilisateurs lorsque le risque l'exige. |
| Restriction ou interdiction | Limiter ou bloquer la disponibilité nationale, avec une possible coordination européenne. |
L'article 57 compte aussi : un produit peut être formellement conforme et présenter malgré tout un risque de cybersécurité significatif. Les papiers ne suffisent pas si le produit reste risqué.
Ce qui peut déclencher l'attention
La surveillance peut être proactive ou réactive. Les déclencheurs les plus probables sont les suivants :
| Déclencheur | Ce que l'autorité demandera probablement |
|---|---|
| Vulnérabilité activement exploitée ou incident grave | Éléments Article 14, triage, versions concernées, communications clients, calendrier de remédiation. |
| Plainte d'un client, concurrent ou chercheur | Dossier technique, registres de vulnérabilités, preuves de conformité et raisonnement sécurité. |
| Échantillonnage ou campagne sectorielle | Déclaration UE, informations utilisateur, marquage CE, SBOM et preuves de test. |
| Alerte importateur ou distributeur | Identité fabricant, informations importateur, déclaration, assistance et traçabilité. |
| Revendications publiques incohérentes | Alignement entre marketing, support, mises à jour et dossier technique. |
Le risque augmente lorsque l'entreprise ne peut pas expliquer pourquoi le CRA s'applique, quel rôle elle joue, quelle voie de conformité elle a suivie et comment elle traite les vulnérabilités pendant la période d'assistance.
Ce qu'il faut garder prêt
Une demande de surveillance du marché est d'abord un problème de preuves. Un dossier CRA prêt doit rendre ces éléments accessibles :
| Domaine | Exemples |
|---|---|
| Identité et périmètre du produit | Modèle, version, finalité prévue, versions logiciel ou firmware, traitement distant, classe produit. |
| Déclaration de conformité | Déclaration UE, normes appliquées, module de conformité, certificat d'organisme notifié si nécessaire. |
| Documentation technique | Dossier annexe VII, évaluation des risques, architecture, tests, contrôles de production. |
| SBOM | SBOM à jour, périmètre composants, méthode de génération, processus de mise à jour, SBOM fournisseurs. |
| Traitement des vulnérabilités | Politique CVD, contact sécurité, triage, remédiation, mises à jour. |
| Signalement Article 14 | Journaux de décision, signalements ENISA et CSIRT lorsque pertinents. |
| Période d'assistance | Durée publiée, date de fin de support, disponibilité des mises à jour, notifications clients. |
Le test pratique est simple : si l'autorité demande le dossier aujourd'hui, votre équipe peut-elle produire une preuve cohérente sans la reconstruire de mémoire ?
PME, micro et petits fabricants, stewards open source
Les petits opérateurs ont des nuances importantes, pas une exemption générale.
Micro-entreprises, PME et start-ups. La taille doit être prise en compte pour le montant de l'amende. Elle joue sur la proportionnalité, pas sur l'existence de l'obligation.
Micro et petits fabricants. L'article 64(10)(a) exonère les fabricants qui sont micro-entreprises ou petites entreprises des amendes administratives liées au dépassement des alertes précoces de 24 heures des articles 14(2)(a) et 14(4)(a). Cette exonération est étroite. Elle ne couvre pas l'obligation de signalement dans son ensemble ni les autres obligations CRA.
Stewards de logiciel libre. L'article 64(10)(b) les exonère des amendes prévues aux paragraphes 3 à 9. Le régime reste réel : l'article 24 demande une politique de cybersécurité et une coopération avec les autorités sur demande motivée. Une entreprise qui livre du logiciel open source dans son propre produit commercial est généralement fabricant de ce produit, pas steward.
Questions fréquentes
Quelle est l'amende maximale du CRA ?
Le niveau maximal est de 15 000 000 EUR ou, pour une entreprise, 2,5 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Il vise l'annexe I et les obligations des articles 13 et 14.
L'application peut-elle commencer avant le 11 décembre 2027 ?
Oui, pour les signalements Article 14. Le régime complet s'applique à partir du 11 décembre 2027, mais les signalements de vulnérabilités activement exploitées et d'incidents graves s'appliquent dès le 11 septembre 2026, y compris pour les produits déjà sur le marché.
Un avertissement est-il toujours garanti avant une amende ?
Non. La surveillance du marché commence souvent par des demandes d'information, une évaluation et des mesures correctives, mais le CRA ne garantit pas un avertissement avant chaque amende ou mesure produit.