Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/Cyber Resilience Act/CRA et AI Act : double conformité produits IA
Cyber Resilience Act

CRA et AI Act : double conformité produits IA

CRA et AI Act : comment gérer la double conformité pour les produits intégrant de l'intelligence artificielle.

Par Thiébaut DevergrannePublie le 9 fevrier 2026Mis a jour le 9 fevrier 20269 min de lecture
Sommaire
  1. Le champ de recouvrement entre CRA et AI Act
  2. Les exigences du CRA pour les produits IA
  3. Les exigences du AI Act pour les produits CRA
  4. Construire une approche intégrée de conformité
  5. Le calendrier de la double conformité
  6. L’articulation avec les autres réglementations
  7. FAQ

Les produits numériques intégrant des composants d’intelligence artificielle se trouvent à la croisée de deux réglementations européennes majeures : le Cyber Résilience Act (CRA) et le AI Act. Un objet connecté équipe d’un système d’IA, un logiciel de cybersécurité utilisant du machine learning, ou un dispositif médical connecté fonctionnant avec un algorithme d’aidé au diagnostic sont autant d’exemples de produits soumis simultanément aux exigences de ces deux textes.

Cette double conformité impose aux fabricants de naviguer entre deux cadres réglementaires qui, bien que complémentaires, reposent sur des logiques, des procédures et des calendriers distincts. Le défi est considérable : il ne s’agit pas simplement d’additionner deux ensembles d’obligations, mais de les articuler de manière cohérente et efficiente.

Le champ de recouvrement entre CRA et AI Act

Les produits concernés par la double conformité

La double conformité CRA et AI Act s’applique à tout produit qui constitue un produit comportant des éléments numériques au sens du CRA et qui intègre un système d’IA au sens du AI Act.

Concrètement, les catégories de produits les plus fréquemment concernées incluent les systèmes de surveillance et de détection d’intrusion utilisant du machine learning, les dispositifs IoT équipes d’assistants vocaux ou de systèmes de reconnaissance, les logiciels de cybersécurité intégrant de l’IA (détection de menaces, analyse comportementale), les véhicules connectés équipes de systèmes d’aidé à la conduite, les dispositifs médicaux connectés avec aidé au diagnostic par IA, et les robots industriels et collaboratifs équipes de systèmes de vision par ordinateur.

L’articulation prévue par les textes

Le législateur européen a anticipé cette situation de double conformité. Le considérant 10 du CRA precise que le règlement est sans préjudice du AI Act. L’article 8 du AI Act prévoit quant à lui des mécanismes d’articulation avec la législation d’harmonisation de l’Union (dont le CRA fait partie).

Le principe général est le suivant : pour les systèmes d’IA a haut risque intégrés dans des produits soumis à la législation d’harmonisation de l’Union, la conformité au AI Act est évaluée dans le cadre de la procédure d’évaluation de conformité de la législation sectorielle (en l’occurrence le CRA), si ce produit fait l’objet d’une évaluation de conformité par un organisme notifie.

Les exigences du CRA pour les produits IA

Les exigences essentielles de cybersécurité

Le CRA impose des exigences de cybersécurité qui s’appliquent intégralement aux produits IA : sécurité des la conception, protection contre les accès non autorisés, protection des données, mises à jour de sécurité, gestion des vulnérabilités, et configuration sécurisée par défaut.

Pour les produits IA, ces exigences ont des implications spécifiques. La sécurité des la conception doit intégrer la protection du modèle d’IA contre les attaques adversariales (empoisonnement des données, evasion, extraction de modèle). La protection des données couvre les données d’entraînement, les données d’inférence et les paramètres du modèle. La gestion des vulnérabilités doit inclure les vulnérabilités spécifiques aux systèmes d’IA.

La documentation technique CRA pour les produits IA

La documentation technique CRA doit couvrir les aspects spécifiques à l’IA : description de l’architecture du modèle d’IA (type d’algorithme, données d’entraînement, métriques de performance), évaluation des risques de cybersécurité spécifiques à l’IA (attaques adversariales, biais, dérives), le SBOM incluant les frameworks d’IA utilisés (TensorFlow, PyTorch, etc.), et les résultats des tests de sécurité couvrant les vecteurs d’attaque spécifiques à l’IA.

Les exigences du AI Act pour les produits CRA

La classification du composant IA

Le composant IA du produit doit être classifié selon la classification des risques du AI Act. Si le système d’IA est a haut risque (annexe III du AI Act), les obligations complètes du titre III s’appliquent : système de gestion des risques, gouvernance des données, documentation technique AI Act, journalisation, transparence, supervision humaine, exactitude et robustesse.

La documentation technique AI Act

Le AI Act impose sa propre documentation technique (annexe IV), couvrant la description du système d’IA, les données d’entraînement, les performances, les mesures de gestion des risques IA, et les instructions d’utilisation. Cette documentation est en partie redondante avec la documentation technique CRA pour les aspects lies à l’IA.

Construire une approche intégrée de conformité

Le référentiel commun

L’approche la plus efficace consiste à construire un référentiel de conformité unique intégrant les exigences des deux réglementations. Ce référentiel doit identifier les exigences communes (sécurité, gestion des risques, documentation, transparence), les exigences spécifiques au CRA (gestion des vulnérabilités produit, marquage CE cyber, SBOM), les exigences spécifiques au AI Act (gouvernance des données, supervision humaine, exactitude, AIPD), et les points d’articulation entre les deux cadres.

La documentation technique intégrée

La documentation technique peut être structurée en un dossier unique couvrant les deux réglementations :

Partie commune : description du produit, architecture globale, composants, interfaces.

Section CRA : évaluation des risques de cybersécurité, conformité aux exigences essentielles de l’annexe I, SBOM, résultats des tests de sécurité, gestion des vulnérabilités.

Section AI Act : description du système d’IA, données d’entraînement et gouvernance des données, métriques de performance, mesures de gestion des risques IA, supervision humaine, transparence.

Section transversale : protection des données personnelles (intersection CRA-RGPD), analyse d’impact sur les droits fondamentaux, conformité au marquage CE.

L’évaluation de conformité unifiée

Le AI Act prévoit que pour les systèmes d’IA a haut risque intégrés dans des produits réglementés, l’évaluation de conformité peut être réalisée dans le cadre de la procédure d’évaluation du produit. Pour un produit soumis au CRA :

  • Si le produit est dans la catégorie par défaut du CRA : auto-évaluation CRA + auto-évaluation AI Act (si le système IA n’est pas a haut risque) ;
  • Si le produit est important (classe II) ou critique sous le CRA : évaluation tierce CRA, qui peut intégrer l’évaluation AI Act ;
  • Si le système IA est a haut risque : l’organisme notifie doit vérifier la conformité aux deux réglementations.

Le système de gestion des risques intègre

Le CRA et le AI Act imposent tous deux un système de gestion des risques. Pour les produits IA, un système de gestion des risques unique peut être mis en place, couvrant simultanément les risques de cybersécurité (CRA) et les risques lies à l’IA (AI Act). Ce système doit identifier et évaluer les risques cyber et IA de manière intégrée, analyser les interactions entre les risques (par exemple : une vulnérabilité cyber exploitée pour empoisonner un modèle IA), définir des mesures d’attenuation couvrant les deux types de risques, et assurer un suivi continu des risques tout au long du cycle de vie.

Le calendrier de la double conformité

Les dates clés

Reglementation Echeance Obligation
AI Act 2 février 2025 Interdictions + maîtrisé IA
CRA 11 septembre 2026 Notification vulnérabilités
AI Act 2 août 2026 Systèmes IA haut risque (annexe III)
CRA 11 décembre 2027 Ensemble des obligations CRA
AI Act 2 août 2027 Systèmes IA haut risque (annexe I)

Les fabricants doivent planifier leur mise en conformité pour respecter les échéances les plus proches en premier, en intégrant progressivement les exigences des deux réglementations.

La stratégie de mise en conformité

La stratégie recommandée est la suivante : cartographier des maintenant les produits concernés par la double conformité, classifier les composants IA selon le AI Act et les produits selon le CRA, constituer les équipes (cybersécurité + IA + juridique + qualité), élaborer le référentiel de conformité intègre, commencer par les obligations déjà applicables (interdictions AI Act, maîtrisé IA) et anticiper les obligations a venir (notification vulnérabilités CRA, systèmes haut risque AI Act).

L’articulation avec les autres réglementations

La double conformité CRA-AI Act peut se combiner avec d’autres réglementations sectorielles selon la nature du produit : le règlement sur les dispositifs médicaux pour les dispositifs connectés intégrant de l’IA, le règlement sur les machines pour les robots industriels, la directive RED pour les équipements radio connectés, et le RGPD pour tout produit traitant des données personnelles.

L’écosystème réglementaire européen, avec le CRA, le AI Act, NIS2, le Data Act et le RGPD, impose une approche de conformité globale et coordonnée, qui dépasse le traitement isolé de chaque réglementation.

FAQ

Tous les produits IA sont-ils soumis au CRA ?

Non. Le CRA s’applique aux produits comportant des éléments numériques mis sur le marché européen. Les systèmes d’IA purement logiciels fonctionnant en mode SaaS (sans composant matériel ni logiciel installé chez l’utilisateur) ne sont généralement pas couverts par le CRA (ils relèvent de NIS2). En revanche, tout produit matériel ou logiciel installé intégrant un composant IA est soumis au CRA. Les systèmes d’IA embarques dans des objets connectés, des logiciels installés ou des composants sont pleinement concernés par la double conformité.

Qui est responsable de la double conformité : le fabricant du produit ou le fournisseur du modèle IA ?

Le fabricant du produit (au sens du CRA) est responsable de la conformité du produit dans son ensemble, y compris les composants IA intégrés. Le fournisseur du système d’IA (au sens du AI Act) reste responsable des obligations spécifiques au AI Act pour le système IA lui-même. En pratique, si un fabricant intègre un modèle d’IA développé par un tiers (par exemple, un modèle OpenAI ou Mistral) dans son produit, il assumé la responsabilité CRA du produit et doit s’assurer que le composant IA satisfait également aux exigences du AI Act, le cas échéant en obtenant les informations nécessaires du fournisseur du modèle.

La double conformité entraîne-t-elle un double marquage CE ?

Non. Le marquage CE est unique et atteste de la conformité du produit à l’ensemble des réglementations applicables. Un produit soumis au CRA et au AI Act porte un seul marquage CE, qui couvre la conformité aux deux textes. La déclaration de conformité, en revanche, doit mentionner les deux règlements et les procédures d’évaluation de conformité suivies pour chacun d’eux.

Articles lies

Cyber Resilience Act

Signalement des vulnérabilités : les obligations du Cyber Résilience Act

21 mars 2026 · 11 min
Cyber Resilience Act

Support sécurité des produits numériques : les obligations de mises à jour du CRA

16 mars 2026 · 9 min
Cyber Resilience Act

SBOM : l'obligation de nomenclature logicielle imposée par le CRA

12 mars 2026 · 10 min