Le Cyber Resilience Act a une particularité que peu de dirigeants anticipent : il ne s’adresse pas à un seul acteur de la chaîne de valeur. Il s’adresse à tous. Fabricant d’équipements connectés, importateur de matériel asiatique, distributeur spécialisé — chacun porte une responsabilité distincte, des obligations précises, et des risques juridiques réels en cas de manquement. Comprendre où vous vous situez dans cette chaîne est la première décision à prendre.
Le fabricant : la responsabilité la plus lourde
Sans surprise, c’est le fabricant qui porte l’essentiel des obligations du CRA. Est considéré comme fabricant toute personne physique ou morale qui développe ou fait développer un produit comportant des éléments numériques et le commercialise sous son nom ou sa marque — y compris lorsque la fabrication est sous-traitée à un tiers.
Cette précision est importante : faire assembler son produit en Asie tout en le vendant sous sa marque en Europe, c’est être fabricant au sens du CRA. La délocalisation de la production ne délocalise pas la responsabilité.
Les obligations du fabricant couvrent l’intégralité du cycle de vie du produit. Avant la mise sur le marché : concevoir le produit selon les principes de security by design, réaliser une évaluation des risques de cybersécurité, constituer la documentation technique requise, procéder à l’évaluation de conformité (auto-évaluation pour les produits standard, audit par organisme tiers pour les produits critiques), et apposer le marquage CE attestant de la conformité.
Après la mise sur le marché : maintenir une surveillance active des vulnérabilités affectant le produit, développer et distribuer des correctifs de sécurité sans frais supplémentaires pour l’utilisateur pendant toute la durée de support — au minimum cinq ans. Notifier l’ENISA (l’agence européenne de cybersécurité) de toute vulnérabilité activement exploitée ou de tout incident de sécurité significatif dans les 24 heures suivant sa découverte. Et tenir un registre des vulnérabilités identifiées et traitées, accessible sur demande aux autorités.
Prenons l’exemple concret d’un fabricant français de capteurs IoT industriels, 90 salariés, qui vend ses équipements à des clients dans l’agroalimentaire et la chimie. Jusqu’ici, son processus de développement n’intégrait aucun test de sécurité systématique, ses équipements étaient livrés avec des identifiants par défaut identiques sur toute la gamme, et aucune mise à jour firmware n’était prévue au-delà de deux ans après la vente. Le CRA lui impose de revoir intégralement ce modèle : refonte du cycle de développement, constitution d’un processus de patch management, mise en place d’une veille vulnérabilité, et révision de sa politique tarifaire pour absorber cinq ans de support sécurité. Un chantier estimé entre 200 000 et 500 000 euros pour une entreprise de cette taille, selon les cabinets spécialisés.
L’importateur : une responsabilité nouvelle et sous-estimée
L’importateur — toute entreprise qui introduit sur le marché européen un produit fabriqué dans un pays tiers — est le grand oublié des discussions sur le CRA. Et pourtant, sa responsabilité est substantielle.
Le CRA lui impose de vérifier que le fabricant hors UE a bien réalisé les procédures d’évaluation de conformité requises, que la documentation technique est disponible, que le marquage CE est apposé correctement, et que le fabricant dispose d’un processus de gestion des vulnérabilités opérationnel. Si l’importateur a des raisons de penser qu’un produit n’est pas conforme, il ne peut pas le mettre sur le marché — même s’il l’a déjà commandé et payé.
C’est une transformation radicale des relations commerciales avec les fournisseurs asiatiques, en particulier chinois, qui dominent le marché des équipements réseau, des caméras de surveillance, des composants IoT et de nombreux équipements industriels d’entrée de gamme. Ces fournisseurs devront soit se mettre en conformité avec le CRA pour accéder au marché européen, soit voir leurs produits bloqués à la frontière. Les importateurs européens qui ont bâti leur modèle sur le sourcing de matériel non certifié à bas coût vont devoir revoir leur stratégie d’approvisionnement.
En pratique, un importateur spécialisé dans la distribution d’équipements réseau d’origine asiatique devra introduire dans ses contrats fournisseurs des clauses de conformité CRA, exiger la documentation technique, et se doter de la capacité à vérifier — ou faire vérifier — la conformité des produits qu’il importe. Ce qui suppose des compétences nouvelles, ou le recours à des prestataires d’audit spécialisés.
Le distributeur : une obligation de vigilance non négligeable
Le distributeur — qui revend des produits sans les modifier ni les commercialiser sous sa propre marque — bénéficie du régime le plus allégé. Mais allégé ne signifie pas exempt.
Le CRA lui impose une obligation de diligence : vérifier que le produit qu’il distribue porte le marquage CE, que la documentation requise est présente, et que le fabricant ou l’importateur a rempli ses obligations. S’il a des raisons de suspecter qu’un produit n’est pas conforme, il doit en informer le fabricant ou l’importateur et, si nécessaire, retirer le produit de la vente.
Le distributeur qui découvrirait après coup qu’il a commercialisé des produits non conformes en connaissance de cause engage sa responsabilité. L’ignorance volontaire ne sera pas une défense recevable devant les autorités de marché.
Les sanctions : le niveau RGPD
Pour ceux qui douteraient encore du sérieux du dispositif, les sanctions du CRA s’alignent sur celles du RGPD. Les manquements aux exigences essentielles de cybersécurité peuvent être sanctionnés jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial annuel. Les autres violations jusqu’à 10 millions d’euros ou 2 %. Les fausses déclarations aux organismes de surveillance jusqu’à 5 millions.
Ces montants s’appliquent à tous les acteurs de la chaîne — fabricants, importateurs, distributeurs — selon leur niveau de manquement respectif. Et comme pour le RGPD, les autorités européennes ont démontré qu’elles n’hésitent pas à frapper fort pour créer un effet dissuasif.
La question à se poser maintenant
Quelle que soit votre position dans la chaîne de valeur, une question s’impose avant toute autre : avez-vous une cartographie précise des produits que vous fabriquez, importez ou distribuez qui comportent des éléments numériques ? Sans cette liste, impossible d’évaluer votre exposition réelle au CRA, ni de prioriser vos actions.
C’est le point de départ. Et décembre 2027, c’est dans moins de trente mois.
Dans notre prochain article : comment transformer la contrainte CRA en avantage compétitif — et pourquoi le marquage CE cyber va devenir l’argument commercial décisif sur les marchés européens.