Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/Cyber Resilience Act/Marquage CE et cybersécurité : les nouvelles exigences du Cy...
Cyber Resilience Act

Marquage CE et cybersécurité : les nouvelles exigences du Cyber Résilience Act

Le CRA intègre la cybersécurité dans les exigences du marquage CE. Procédures d'évaluation de conformité, déclaration UE et obligations des fabricants.

Par Thiébaut DevergrannePublie le 2 mars 2026Mis a jour le 2 mars 20269 min de lecture
Sommaire
  1. I. Le marquage CE intègre désormais la cybersécurité
  2. II. Les procédures d’évaluation de conformité
  3. III. La déclaration UE de conformité
  4. IV. La documentation technique
  5. V. Le rôle des organismes notifies
  6. VI. Non-conformité : quelles conséquences ?
  7. VII. Recommandations pratiques

Le marquage CE, symbole bien connu de conformité aux normes européennes, s’étend désormais à la cybersécurité. Avec le Cyber Résilience Act (règlement (UE) 2024/2847), tout produit comportant des éléments numériques devra satisfaire à des exigences essentielles de cybersécurité avant de pouvoir porter le marquage CE – et donc d’être commercialise sur le marché européen. Pour les product managers et les CTO, ce changement impose une refonte des processus de mise sur le marché.

I. Le marquage CE intègre désormais la cybersécurité

Jusqu’au CRA, le marquage CE couvrait la sécurité physique, la compatibilité electromagnetique, ou encore la conformité environnementale des produits, selon les directives applicables. Un routeur Wi-Fi devait satisfaire aux exigences de la directive RED (2014/53/UE), un jouet connecté a celles de la directive Jouets. Mais aucune de ces réglementations n’imposait de véritable évaluation de la sécurité logicielle ou de la resistance aux cyberattaques.

Le CRA comble cette lacune. L’article 28 du règlement dispose que le marquage CE appose sur un produit comportant des éléments numériques atteste désormais de la conformité aux exigences essentielles de cybersécurité définies à l’annexe I. Concrètement, le marquage CE signifie désormais que :

  • le produit a été conçu selon les principes de sécurité par défaut et des la conception ;
  • il ne contient pas de vulnérabilité exploitable connue au moment de la mise sur le marché ;
  • les mécanismes d’authentification, de chiffrement et de mise à jour sont conformes ;
  • le fabricant a mis en place un processus de gestion des vulnérabilités pour toute la durée de vie du produit.

Autrement dit, le marquage CE devient un certificat de cybersécurité de facto pour tout produit numérique vendu en Europe. Un produit qui ne répond pas à ces exigences ne pourra tout simplement pas être commercialise.

II. Les procédures d’évaluation de conformité

Le CRA ne traité pas tous les produits de la même manière. La procédure d’évaluation de conformité varie en fonction de la classification du produit, selon qu’il est considéré comme un produit par défaut, un produit important ou un produit critique.

A. Produits par défaut : l’auto-évaluation (module A)

La grande majorité des produits numériques – logiciels de bureautique, jeux vidéo, disques durs, applications grand public – relèvent de la catégorie “par défaut”. Pour ces produits, le fabricant peut réaliser lui-même l’évaluation de conformité selon le module A (contrôle interne de la production) défini à l’annexe VIII du règlement.

En pratique, l’auto-évaluation implique que le fabricant :

  1. évalué les risques de cybersécurité lies au produit ;
  2. verifie la conformité du produit aux exigences essentielles de l’annexe I ;
  3. constitue la documentation technique requise ;
  4. rédigé la déclaration UE de conformité ;
  5. appose le marquage CE.

Cette procédure n’implique aucune intervention d’un organisme tiers. Mais elle n’est pas pour autant une formalité : le fabricant engagé pleinement sa responsabilité. En cas de contrôle par une autorité de surveillance du marché, il devra démontrer, documentation technique à l’appui, que son auto-évaluation a été menée de manière rigoureuse et que le produit satisfait effectivement aux exigences.

B. Produits importants de classe I : normes harmonisees ou évaluation tierce

Les produits importants de classe I – gestionnaires de mots de passe, clients VPN, routeurs domestiques, systèmes domotiques, jouets connectés a internet – sont soumis à un régime intermédiaire. Le fabricant dispose de deux options :

  • S’appuyer sur des normes harmonisees : si des normes harmonisees couvrent l’intégralité des exigences essentielles applicables, le fabricant peut recourir à l’auto-évaluation (module A). La conformité à la norme harmonisee créé une présomption de conformité au règlement.
  • Recourir à un organisme notifie : en l’absence de normes harmonisees couvrant l’ensemble des exigences, ou si le fabricant choisit de ne pas les appliquer, il doit faire évaluer la conformité de son produit par un organisme notifie (évaluation de type UE – module B, combinee à la conformité au type sur la base du contrôle interne de la production – module C).

Ce point est stratégiquement important. À la date de rédaction de cet article, le processus d’élaboration des normes harmonisees par les organismes de normalisation européens (CEN, CENELEC, ETSI) est en cours mais loin d’être achevé. Tant que ces normes ne sont pas publiées au Journal officiel, les fabricants de produits de classe I devront potentiellement recourir à des organismes notifies – ce qui aura un impact direct sur les coûts et les délais de mise sur le marché.

C. Produits importants de classe II et produits critiques : évaluation tierce obligatoire

Pour les produits de classe II (pare-feu industriels, systèmes de détection d’intrusion, hyperviseurs, microprocesseurs sécurisés, systèmes d’exploitation) et les produits critiques (cartes a puce, dispositifs de création de signature électronique qualifiée, passerelles de compteurs intelligents), l’évaluation par un organisme notifie est obligatoire, quelle que soit l’existence de normes harmonisees.

Le fabricant doit faire réaliser un examen UE de type (module B), suivi d’une vérification de la conformité de la production (module C). Pour les produits critiques, le CRA prévoit également la possibilité d’imposer une certification européenne de cybersécurité au titre du règlement (UE) 2019/881 (Cybersecurity Act).

III. La déclaration UE de conformité

La déclaration UE de conformité est le document par lequel le fabricant atteste formellement que son produit satisfait aux exigences essentielles du CRA. Son contenu est prescrit par l’annexe V du règlement et doit inclure, au minimum :

  • l’identification du fabricant (nom, adressé, coordonnées) ;
  • l’identification du produit (désignation, type, version, numéro de lot ou de série) ;
  • la mention que la déclaration est établie sous la seule responsabilité du fabricant ;
  • la référence aux exigences essentielles auxquelles le produit est conforme ;
  • les références aux normes harmonisees ou spécifications techniques appliquées ;
  • le cas échéant, l’identification de l’organisme notifie ayant realise l’évaluation ;
  • la date et la signature du fabricant.

Cette déclaration doit être tenue à disposition des autorités de surveillance du marché pendant au moins dix ans après la mise sur le marché du produit. Le fabricant doit également la fournir ou la rendre accessible à l’acquéreur.

IV. La documentation technique

La documentation technique est le dossier probant qui sous-tend le marquage CE. L’annexe VII du CRA en définit le contenu. Elle doit permettre aux autorités de vérifier la conformité du produit et inclut notamment :

  • une description complète du produit et de ses fonctionnalités ;
  • la conception et la fabrication du produit, y compris l’architecture logicielle ;
  • l’évaluation des risques de cybersécurité réalisée par le fabricant ;
  • les mesures prises pour satisfaire aux exigences essentielles de l’annexe I ;
  • le SBOM (Software Bill of Materials) ;
  • les rapports d’essais et les résultats des évaluations de conformité ;
  • la politique de gestion des vulnérabilités et les procédures de mise à jour.

La documentation technique doit être rédigée avant la mise sur le marché et maintenue à jour pendant toute la durée de vie du produit. Elle doit être conservée pendant au moins dix ans et mise à disposition des autorités de surveillance du marché sur demande.

V. Le rôle des organismes notifies

Les organismes notifies sont les évaluateurs tiers charges de vérifier la conformité des produits de classe I (en l’absence de normes harmonisees), de classe II et des produits critiques. Ils sont désignés par les États membres et notifies à la Commission européenne.

Pour être désigné, un organisme doit démontrer son indépendance, sa compétence technique en matière de cybersécurité, et sa conformité aux exigences du chapitre IV du règlement. Les obligations relatives aux organismes notifies s’appliquent à compter du 11 juin 2026.

En pratique, la montée en puissance du réseau d’organismes notifies sera un facteur déterminant. Si le nombre d’organismes compétents est insuffisant, les délais d’évaluation pourraient s’allonger significativement – un risque que les fabricants de produits de classe II doivent anticiper des maintenant dans leur feuille de route produit.

VI. Non-conformité : quelles conséquences ?

Un produit qui ne satisfait pas aux exigences du CRA ne peut pas porter le marquage CE et ne peut donc pas être mis sur le marché européen. Mais les conséquences vont au-delà de l’interdiction de commercialisation.

Les autorités de surveillance du marché disposent de pouvoirs étendus :

  • Demander le retrait ou le rappel de produits non conformes déjà sur le marché ;
  • Imposer des mesures correctives dans un délai déterminé ;
  • Infliger des amendes administratives pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial pour les manquements les plus gravés (non-respect des exigences essentielles ou des obligations de gestion des vulnérabilités).

Par ailleurs, l’apposition indue du marquage CE – c’est-à-dire le fait d’apposer le marquage sur un produit qui ne respecte pas les exigences – constitue une infraction spécifique, sanctionnable par des amendes pouvant aller jusqu’à 5 millions d’euros ou 1 % du chiffre d’affaires mondial.

VII. Recommandations pratiques

Pour les responsables produit et les CTO, plusieurs actions s’imposent des maintenant :

  1. Cartographier vos produits selon la classification du CRA (par défaut, classe I, classe II, critique). Cela déterminé votre procédure d’évaluation.
  2. Anticiper les normes harmonisees : suivre les travaux du CEN, CENELEC et de l’ETSI. Si vous fabriquez des produits de classe I, votre stratégie de conformité dependra directement de la disponibilité de ces normes.
  3. Constituer la documentation technique des la phase de conception. Retroactivement documenter un produit déjà en production est infiniment plus coûteux.
  4. Intégrer la gestion des vulnérabilités dans votre cycle de développement (CI/CD, SBOM automatisé, politique de divulgation coordonnée).
  5. Identifier les organismes notifies compétents si vous fabriquez des produits de classe II ou critiques. Les capacités d’évaluation seront probablement limitées dans les premiers mois.
  6. Mettre à jour vos contrats fournisseurs : si vous integrez des composants tiers, vous devez obtenir les garanties de conformité nécessaires de vos fournisseurs.

Le calendrier est serre. Les obligations de signalement des vulnérabilités s’appliquent dès le 11 septembre 2026, et l’ensemble des exigences sera pleinement applicable au 11 décembre 2027. Le marquage CE avec composante cybersécurité n’est plus une perspective lointaine – c’est un chantier a lancer maintenant.

Articles lies

Cyber Resilience Act

Signalement des vulnérabilités : les obligations du Cyber Résilience Act

21 mars 2026 · 11 min
Cyber Resilience Act

Support sécurité des produits numériques : les obligations de mises à jour du CRA

16 mars 2026 · 9 min
Cyber Resilience Act

SBOM : l'obligation de nomenclature logicielle imposée par le CRA

12 mars 2026 · 10 min