Évaluation de conformité CRA : procédures et organismes notifies

L’évaluation de conformité est le mécanisme central du Cyber Résilience Act (règlement (UE) 2024/2847). C’est elle qui déterminé si un produit comportant des éléments numériques peut légitimement porter le marquage CE et être commercialise sur le marché européen. Mais tous les produits ne sont pas soumis au même niveau d’exigence. Le CRA établit trois parcours d’évaluation distincts, dont la rigueur est proportionnée au niveau de risque du produit. Pour les fabricants, comprendre quel parcours s’applique à leurs produits – et quelles ressources il mobilise – est un préalable indispensable à toute stratégie de mise en conformité.

I. Les trois parcours d’évaluation de conformité

Le CRA structuré l’évaluation de conformité autour de modules issus de la décision 768/2008/CE, qui constitue le cadre de référence du nouveau cadre législatif européen. Le choix du module applicable dépend directement de la classification du produit : produit par défaut, produit important de classe I, produit important de classe II ou produit critique.

A. Module A : l’auto-évaluation pour les produits par défaut

La grande majorité des produits comportant des éléments numériques – estimée a environ 90 % du marché – relève de la catégorie “par défaut”. Pour ces produits, le fabricant peut conduire lui-même l’évaluation de conformité selon le module A (contrôle interne de la production), défini à l’annexe VIII, partie I du règlement.

Le module A impose au fabricant de :

1. réaliser une évaluation des risques de cybersécurité couvrant l’ensemble du cycle de vie du produit ;
2. vérifier la conformité aux exigences essentielles de l’annexe I (sécurité par défaut, gestion des vulnérabilités, protection des données, etc.) ;
3. constituer la documentation technique prévue à l’annexe VII ;
4. rédiger la déclaration UE de conformité ;
5. apposer le marquage CE sur le produit.

Aucun organisme tiers n’intervient. Mais l’auto-évaluation n’est pas un exercice formel : le fabricant assumé l’entière responsabilité de ses conclusions. En cas de contrôle par une autorité de surveillance du marché, il devra produire la documentation technique démontrant la rigueur de sa démarche.

B. Produits importants de classe I : module A sous conditions ou évaluation tierce

Les produits importants de classe I – gestionnaires de mots de passe, navigateurs web, clients VPN, routeurs et modems domestiques, systèmes domotiques, jouets connectés – sont soumis à un régime intermédiaire. Le fabricant dispose de deux voies :

• Module A avec normes harmonisees : si des normes harmonisees couvrent l’intégralité des exigences essentielles applicables au produit, le fabricant peut recourir à l’auto-évaluation. La conformité à la norme harmonisee fait naître une présomption de conformité au règlement.
• Modules B+C avec organisme notifie : en l’absence de normes harmonisees couvrant l’ensemble des exigences, ou si le fabricant choisit de ne pas les appliquer, l’évaluation doit être réalisée par un organisme notifie. Celui-ci procédé à un examen UE de type (module B), suivi d’une vérification de la conformité au type sur la base du contrôle interne de la production (module C).

Ce mécanisme a double detente place les normes harmonisees au coeur de la stratégie de conformité des fabricants de produits de classe I. Leur disponibilité conditionné directement le niveau de contrainte – et de coût – de l’évaluation.

C. Classe II et produits critiques : évaluation tierce obligatoire

Pour les produits importants de classe II (pare-feu industriels, systèmes de détection d’intrusion, hyperviseurs, microprocesseurs sécurisés, systèmes d’exploitation) et les produits critiques (cartes a puce, dispositifs de création de signature électronique qualifiée, passerelles de compteurs intelligents), l’intervention d’un organisme notifie est obligatoire, sans exception.

Le fabricant doit choisir entre deux procédures :

• Modules H : assurance qualité complète. L’organisme notifie évalué et approuvé le système de gestion de la qualité du fabricant, puis surveille son application.
• Modules B+C : examen UE de type suivi du contrôle interne de la production, comme pour la classe I sans normes harmonisees.

Pour les produits critiques, le CRA prévoit en outre la possibilité d’imposer une certification européenne de cybersécurité au titre du règlement (UE) 2019/881 (Cybersecurity Act), si un schéma européen de certification applicable existe.

Tableau récapitulatif des parcours d’évaluation

Classe de produit	Module applicable	Organisme notifie requis	Condition
Produit par défaut	Module A (auto-évaluation)	Non	–
Important - Classe I	Module A	Non	Si normes harmonisees couvrent toutes les exigences
Important - Classe I	Modules B+C	Oui	En l’absence de normes harmonisees complètes
Important - Classe II	Modules H ou B+C	Oui	Obligatoire dans tous les cas
Produit critique	Modules H ou B+C	Oui	Obligatoire ; certification EU possible en complément

II. Les normes harmonisees : un rouage essentiel

Les normes harmonisees au sens du CRA sont des normes techniques européennes (normes EN) élaborées par les organismes de normalisation européens – le CEN, le CENELEC et l’ETSI – sur mandat de la Commission européenne. Leur publication au Journal officiel de l’Union européenne leur confère un statut juridique particulier : tout fabricant qui applique intégralement une norme harmonisee bénéficie d’une présomption de conformité aux exigences essentielles couvertes par cette norme.

Pour les produits de classe I, cette présomption est déterminante : elle permet de rester dans le cadre du module A, sans recourir à un organisme notifie. À l’inverse, si les normes ne sont pas encore publiées ou ne couvrent pas l’ensemble des exigences, la seule option reste l’évaluation tierce.

À la date de rédaction de cet article (mars 2026), le processus d’élaboration de ces normes est en cours. La Commission a délivré les mandats de normalisation, mais les travaux techniques au sein du CEN/CENELEC et de l’ETSI prennent du temps. L’échéance du 11 décembre 2027 – date d’applicabilité générale du CRA – exercé une pression réelle sur ce calendrier. Les fabricants de produits de classe I doivent suivre attentivement l’avancement de ces travaux, car l’absence de normes harmonisees à cette date les contraindrait à la procédure d’évaluation tierce.

III. Les organismes notifies : désignation et rôle

Les organismes notifies sont les évaluateurs tiers désignés par les États membres et notifies à la Commission européenne. Leur régime est détaillé au chapitre IV du CRA (articles 38 à 51).

Pour être désigné, un organisme doit satisfaire à des exigences strictes :

• indépendance vis-à-vis des fabricants et des produits évalués ;
• compétence technique démontrée en matière de cybersécurité et d’évaluation de produits numériques ;
• moyens humains et matériels adéquats pour mener les évaluations dans des délais raisonnables ;
• assurance responsabilité civile proportionnée à l’activité.

Les autorités nationales responsables de la désignation (en France, le COFRAC pour l’accréditation) évaluent les candidats et notifient les organismes retenus à la Commission. La base de données NANDO repertoriera l’ensemble des organismes notifies au titre du CRA.

Les obligations relatives aux organismes notifies sont applicables à compter du 11 juin 2026, soit 18 mois avant l’applicabilité générale du règlement. Ce decalage vise à permettre la constitution d’un réseau d’évaluateurs opérationnel avant que les fabricants ne soient tenus de soumettre leurs produits.

IV. Coûts et délais de l’évaluation tierce

L’évaluation par un organisme notifie représente un investissement significatif. Si les coûts exacts dépendent du produit, de sa complexité et de l’organisme choisi, les estimations disponibles permettent de situer les ordres de grandeur :

• Examen UE de type (module B) : entre 15 000 et 50 000 euros pour un produit de complexité moyenne, davantage pour des systèmes d’exploitation ou des hyperviseurs. Ce montant couvre l’analyse de la documentation technique, les tests de pénétration et de conformité, et la rédaction du certificat d’examen.
• Assurance qualité complète (module H) : les coûts initiaux d’audit du système qualité sont comparables, auxquels s’ajouté un coût de surveillance annuelle (audits périodiques).
• Délais : comptez entre 3 et 9 mois pour un cycle complet d’évaluation, selon la disponibilité de l’organisme notifie et la maturité de la documentation technique présentée. Dans les premiers mois d’application du CRA, les délais pourraient être plus longs en raison du nombre limite d’organismes opérationnels.

Ces paramètres doivent être intégrés dans la feuille de route produit. Un fabricant de produits de classe II qui attend fin 2027 pour engager la procédure d’évaluation s’expose à un retard de mise sur le marché.

V. Documentation technique et déclaration UE de conformité

A. La documentation technique

Quel que soit le parcours d’évaluation, le fabricant doit constituer une documentation technique conforme à l’annexe VII du CRA. Cette documentation est le socle probant de la conformité. Elle inclut :

• la description complète du produit, de son architecture matérielle et logicielle ;
• l’évaluation des risques de cybersécurité ;
• les mesures techniques et organisationnelles appliquées pour satisfaire aux exigences essentielles ;
• le SBOM (Software Bill of Materials) identifiant les composants logiciels ;
• les résultats des tests et évaluations réalisés ;
• la politique de gestion des vulnérabilités.

La documentation doit être constituée avant la mise sur le marché et maintenue à jour tout au long de la période de support du produit. Sa durée de conservation est de dix ans minimum.

B. La déclaration UE de conformité

La déclaration UE de conformité (annexe V) est le document par lequel le fabricant atteste formellement que son produit satisfait aux exigences du CRA. Elle doit mentionner : l’identification du fabricant et du produit, les exigences essentielles couvertes, les normes harmonisees ou spécifications techniques appliquées, l’identification de l’organisme notifie le cas échéant, et la signature du responsable. Elle doit être tenue à disposition des autorités pendant dix ans.

VI. Surveillance du marché et obligations post-commercialisation

L’évaluation de conformité ne s’arrêté pas à la mise sur le marché. Le CRA impose des obligations continues :

• signalement des vulnérabilités activement exploitées au CSIRT compétent (CERT-FR en France et ENISA) dans un délai de 24 heures, applicable dès le 11 septembre 2026 ;
• fourniture de mises à jour de sécurité pendant toute la durée de support du produit (minimum 5 ans sauf justification) ;
• coopération avec les autorités de surveillance du marché : en France, l’autorité désignée pourra exiger la production de la documentation technique, ordonner des mesures correctives, ou imposer le retrait de produits non conformes.

Les autorités disposent également du pouvoir de conduire des évaluations de conformité par echantillonnage. Un produit déjà sur le marché peut donc faire l’objet d’un contrôle à tout moment.

Les fabricants qui ne respectent pas les procédures d’évaluation de conformité s’exposent à des sanctions pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial. L’apposition indue du marquage CE constitue une infraction distincte, passible d’amendes allant jusqu’à 5 millions d’euros ou 1 % du chiffre d’affaires mondial.

L’évaluation de conformité au titre du CRA n’est donc pas un simple exercice documentaire. C’est un processus structuré, dont la complexité et le coût varient considérablement selon la classe du produit. Pour les fabricants, la priorité est d’identifier des maintenant le parcours applicable à chacun de leurs produits et de dimensionner les ressources nécessaires – en particulier si l’évaluation tierce est requise.