Le règlement sur la cyber résilience a été adopté par le Conseil de l’Union européenne


Le règlement sur la cyber résilience a été adopté par le Conseil de l’Union européenne
Le règlement relatif aux exigences de cybersécurité applicables aux produits comportant des éléments numériques, dit « règlement sur la cyber-résilience » (ou CRA pour Cyber Resilience Act), a été voté par le Conseil le 10 octobre 2024. Ce texte va venir renforcer et rendre plus cohérent le cadre législatif en matière de cybersécurité, afin de protéger les utilisateurs de produits numériques dans l’Union.

Le Conseil de l’Union européenne a adopté le 10 octobre 2024 la proposition de règlement relative aux exigences de cybersécurité applicables aux produits comportant des éléments numériques (« règlement sur la cyber résilience »), un des piliers de la stratégie de l’Union européenne en matière de cybersécurité.

Dans son analyse d’impact publiée conjointement avec la proposition de règlement, la Commission européenne avait insisté à la fois sur la grande vulnérabilité des produits numériques (hardware et software) et sur le défaut de connaissance et d’information des consommateurs qui conduisait ces derniers à choisir des produits à la sécurité insuffisante. Un standard de sécurité uniforme à l’échelle de l’Union apparaissait dès lors nécessaire pour ces objets.

L’objet du règlement est que la sécurité des produits comportant des éléments numériques, c’est-à-dire tous les produits qui sont directement ou indirectement connectés à un autre dispositif ou à un réseau (objets connectés tels que caméras, téléviseurs, jouets, produits de l’internet des objets (IoT)…) soit assurée.

Les nouvelles exigences de sécurité s’appliqueront tout au long de la chaîne d’approvisionnement et du cycle de vie des produits (conception, développement, production, mise à disposition sur le marché) et concerneront tous les intervenants économiques.

En cas de non-respect de ces nouveaux critères de sécurité, les sanctions pourront atteindre jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires total de l’entité concernée. Les produits jugés non conformes ou présentant un risque pourront faire l’objet de restrictions allant jusqu’au retrait du marché.

L’adoption par le Conseil constitue une étape supplémentaire dans le processus de mise en place du règlement. Après sa signature, le nouveau règlement sera publié au Journal officiel de l’Union européenne dans les prochaines semaines, et entrera en vigueur vingt jours après cette publication. Il s’appliquera trois ans après son entrée en vigueur, certaines dispositions devant s’appliquer plus tôt.

Source commentée : Cons. UE, communiqué, 10 oct. 2024

Arthur Du Mesnil
Rédacteur en chef - Revue Lamy Droit de l'immatériel