Bien que la date limite pour se conformer aux obligations principales soit fixée au 11 décembre 2027, ce délai laisse aux fabricants de dispositifs connectés le temps de s’adapter. Proposée il y a un peu plus de deux ans, cette loi vise à protéger les consommateurs face à la prolifération d’objets connectés tels que les montres intelligentes, les jouets connectés ou encore les appareils électroménagers pilotés via des applications.

Un contexte de risques croissants

Le développement des objets connectés a amplifié les risques de piratage, alimentant régulièrement les gros titres avec des cas inquiétants, comme des caméras pour bébés piratées ou des jouets pour enfants vulnérables. Le CRA a donc pour ambition de recentrer la responsabilité sur les fabricants, en garantissant que leurs produits répondent à des normes de sécurité strictes pour accéder au marché européen.

Des obligations tout au long du cycle de vie des produits

La loi impose des exigences de cybersécurité à toutes les étapes de vie des produits concernés : conception, développement, exploitation et même après leur mise sur le marché. Les distributeurs et les revendeurs devront également s’assurer que les produits qu’ils commercialisent respectent ces règles.

Quels produits sont concernés ?

Le CRA s’applique aux objets connectés au sens large, c’est-à-dire ceux qui se connectent directement ou indirectement à un autre appareil ou réseau. Certains produits, déjà régis par d'autres législations européennes comme les dispositifs médicaux ou les voitures, en sont toutefois exclus.

Un label pour guider les consommateurs

Les produits conformes à la loi afficheront le marquage CE, permettant aux consommateurs de repérer facilement les dispositifs répondant aux normes de cybersécurité. Ce label devient ainsi un gage de confiance pour des achats sécurisés.

Sanctions dissuasives en cas de non-conformité

Les entreprises qui ne respectent pas les exigences de la CRA s’exposent à des sanctions sévères : jusqu’à 2,5 % de leur chiffre d’affaires annuel mondial ou 15 millions d’euros pour des manquements graves. Les infractions moins critiques peuvent entraîner des amendes allant jusqu’à 2 % (10 millions d’euros), tandis que le non-respect des demandes des régulateurs risque de coûter 1 % (5 millions d’euros).

Un pas décisif vers une cybersécurité renforcée

Avec le Cyber Resilience Act, l’Union européenne veut instaurer une véritable culture de la cybersécurité, en transférant une partie de la responsabilité aux fabricants et en protégeant mieux les utilisateurs finaux. Une avancée qui pourrait servir de modèle à d’autres régions du monde.

Professionnels du digital, gardez un œil sur cette réglementation : elle redéfinit les règles du jeu pour l’accès au marché européen.