Menu principal
Un bouleversement réglementaire majeur
Le Cyber Resilience Act (CRA ou règlement UE 2024/2847), est entré en vigueur le 10 décembre 2024. Ses principales obligations s’appliqueront à partir du 11 décembre 2027, à l’exception notable des obligations de signalement des vulnérabilités activement exploitées qui entreront en vigueur dès le 11 septembre 2026.
Alors que la plupart des réglementations en matière de sécurité relevaient jusqu’ici de standards volontaires ou de directives sectorielles, le CRA instaure un véritable régime de responsabilité réglementaire, assorti de sanctions administratives élevées. Les directions juridiques et achats devront donc revoir en profondeur leurs contrats pour anticiper ces nouvelles obligations, redéfinir les responsabilités et ajuster les garanties offertes ou exigées.
Définition extensive des produits visés pour un champs d’application à l’ensemble de la chaîne numérique
Le CRA s’applique aux « produits comportant des éléments numériques » mis sur le marché ou mis en service dans l’Union européenne. Cette formulation volontairement extensive couvre non seulement les équipements connectés grand public, mais également les logiciels professionnels, les solutions cloud, les systèmes embarqués ou encore les produits critiques pour les infrastructures industrielles.
Les logiciels fournis uniquement en tant que service (SaaS) sont, sauf exception, exclus du champ d’application, ces derniers étant encadrés par la directive NIS 2. Sont également exclus les secteurs disposant déjà d’une législation spécifique en matière de cybersécurité : dispositifs médicaux, aviation civile, véhicules terrestres et produits de défense.
Responsabilisation de toute la chaîne d’approvisionnement
Le CRA s’applique à trois catégories d’acteurs. Tout d’abord, le fabricant, c’est-à-dire l’opérateur qui développe ou fait développer le produit et qui le commercialise sous son nom. Vient ensuite l’importateur, établi dans l’Union européenne, qui met sur le marché un produit provenant d’un fabricant situé hors UE. Enfin, le distributeur désigne tout acteur de la chaîne d’approvisionnement, distinct du fabricant et de l’importateur, qui met à disposition sur le marché de l’Union un produit comportant des éléments numériques sans en modifier les caractéristiques.
Point d’attention crucial pour les praticiens : un importateur ou un distributeur est requalifié de fabricant lorsqu’il commercialise le produit sous son propre nom ou sa propre marque, ou lorsqu’il apporte une modification substantielle à un produit déjà sur le marché. Cette requalification entraîne l’application de l’intégralité des obligations pesant sur les fabricants.
Ces qualifications sont importantes car le CRA introduit un régime de sanctions pouvant aller jusqu’à 15 millions d’euros ou 2,5% du chiffre d’affaires mondial en cas de non-conformité. En particulier, les manquements aux obligations de sécurité, la mise sur le marché d’un produit non conforme ou la communication défaillante d’une vulnérabilité exposent le fabricant à ces sanctions.
La recherche d’un équilibre lors des négociations contractuelles deviendra plus difficile. En effet, les fournisseurs chercheront à limiter leur responsabilité contractuelle et se protéger face au risque réglementaire. Les clients chercheront au contraire obtenir à des garanties de conformité explicites et opposables. Au cœur de ces intérêts divergents, se trouvera évidemment la clause de plafonnement des responsabilités. La clause de l’assurance, notamment l’assurance produit, connaîtra un regain de popularité.
En pratique, il est fort à parier que les contrats informatiques intègreront des clauses de garanties de conformité au CRA, analogues à celles déjà prévues en matière de protection des données personnelles ou en propriété intellectuelle.
Nouvelles obligations essentielles
Le règlement impose treize exigences essentielles de cybersécurité portant sur la conception des produits. Le fabricant doit garantir que les produits sont conçus pour être exempts de vulnérabilités connues, disposer de configurations sécurisées par défaut, protéger la confidentialité et l’intégrité des données, limiter les surfaces d’attaque, et fournir des journaux de sécurité. Les contrats de développement logiciel et d’intégration doivent désormais intégrer des obligations contractuelles spécifiques relatives au respect des exigences de l’annexe I du CRA.
Parmi ces obligations contractuelles spécifiques, il y a notamment la clause de durée de support et de fin de vie. Le contrat doit préciser explicitement la période pendant laquelle le fabricant s’engage à fournir des mises à jour de sécurité. Cette durée doit être cohérente avec la durée de vie attendue du produit.
Il y a également la clause relative à la gestion des vulnérabilités. Le fournisseur doit instaurer un processus documenté de détection, traitement et communication des failles de sécurité. Cela impose une révision des SLA, notamment en matière de délais de correction.
Le fabricant doit également fournir des informations claires sur les caractéristiques de sécurité du produit, les coordonnées de contact pour signaler des vulnérabilités, la période de support attendue, et les instructions de configuration sécurisée.
La liste est encore longue et dresser une liste à la Prévert de toutes les nouvelles exigences serait fastidieux. Pour résumer, il faut surtout de noter que les éditeurs devront adapter leur documentation technique, leurs politiques de sécurité et leurs processus internes de vulnérabilité management, tandis que les entreprises clientes devront pouvoir auditer ou vérifier la conformité du produit au moment de l’achat.
Une nouvelle obligation de notification des incidents
Le CRA impose la notification à l’ENISA de toute vulnérabilité activement exploitée ou de tout incident de sécurité grave dans un délai extrêmement court (24 heures). Cette obligation réglementaire s’ajoute aux notifications prévues par d’autres textes, notamment NIS 2 ou le RGPD.
Contractuellement, il sera nécessaire de clarifier l’articulation entre la notification réglementaire et la notification (contractuelle) au client, les engagements de coopérations et d’investigation et la répartition des responsabilités en cas de manquement aux délais de notification.
Les fournisseurs devront également prévoir, en interne, des mécanismes de coordination entre leurs équipes techniques, juridiques et conformité.
Conclusion
Le CRA constitue une petite révolution pour les contrats informatiques. Son approche globale, couvrant l’ensemble du cycle de vie des produits numériques et responsabilisant tous les acteurs de la chaîne d’approvisionnement, entraine une refonte des pratiques contractuelles.
Les directions juridiques doivent dès à présent adapter leurs modèles contractuels, en intégrant systématiquement les exigences du CRA dans les clauses de conformité, de garantie, de responsabilité et de maintenance. L’enjeu est double : assurer la protection juridique des entreprises clientes face aux risques cyber, et limiter l’exposition des fabricants et prestataires aux sanctions administratives et aux contentieux contractuels.
Les principales obligations s’appliqueront à compter du 11 décembre 2027, mais certaines entreront en vigueur dès le 11 septembre 2026. La période transitoire doit être mise à profit pour auditer les portefeuilles de contrats existants, former les équipes juridiques aux spécificités du CRA, et développer de nouveaux modèles contractuels intégrant ces exigences.
Face à un règlement d’une telle ampleur, la collaboration entre juristes, experts en cybersécurité et opérationnels devient indispensable. Le CRA transforme la cybersécurité en enjeu contractuel majeur : il appartient aux praticiens du droit d’en faire un levier de sécurisation et non une source de contentieux.