L’evaluation de conformite est le mecanisme central du Cyber Resilience Act (reglement (UE) 2024/2847). C’est elle qui determine si un produit comportant des elements numeriques peut legitimement porter le marquage CE et etre commercialise sur le marche europeen. Mais tous les produits ne sont pas soumis au meme niveau d’exigence. Le CRA etablit trois parcours d’evaluation distincts, dont la rigueur est proportionnee au niveau de risque du produit. Pour les fabricants, comprendre quel parcours s’applique a leurs produits – et quelles ressources il mobilise – est un prealable indispensable a toute strategie de mise en conformite.

I. Les trois parcours d’evaluation de conformite

Le CRA structure l’evaluation de conformite autour de modules issus de la decision 768/2008/CE, qui constitue le cadre de reference du nouveau cadre legislatif europeen. Le choix du module applicable depend directement de la classification du produit : produit par defaut, produit important de classe I, produit important de classe II ou produit critique.

A. Module A : l’auto-evaluation pour les produits par defaut

La grande majorite des produits comportant des elements numeriques – estimee a environ 90 % du marche – releve de la categorie “par defaut”. Pour ces produits, le fabricant peut conduire lui-meme l’evaluation de conformite selon le module A (controle interne de la production), defini a l’annexe VIII, partie I du reglement.

Le module A impose au fabricant de :

1. realiser une evaluation des risques de cybersecurite couvrant l’ensemble du cycle de vie du produit ;
2. verifier la conformite aux exigences essentielles de l’annexe I (securite par defaut, gestion des vulnerabilites, protection des donnees, etc.) ;
3. constituer la documentation technique prevue a l’annexe VII ;
4. rediger la declaration UE de conformite ;
5. apposer le marquage CE sur le produit.

Aucun organisme tiers n’intervient. Mais l’auto-evaluation n’est pas un exercice formel : le fabricant assume l’entiere responsabilite de ses conclusions. En cas de controle par une autorite de surveillance du marche, il devra produire la documentation technique demontrant la rigueur de sa demarche.

B. Produits importants de classe I : module A sous conditions ou evaluation tierce

Les produits importants de classe I – gestionnaires de mots de passe, navigateurs web, clients VPN, routeurs et modems domestiques, systemes domotiques, jouets connectes – sont soumis a un regime intermediaire. Le fabricant dispose de deux voies :

• Module A avec normes harmonisees : si des normes harmonisees couvrent l’integralite des exigences essentielles applicables au produit, le fabricant peut recourir a l’auto-evaluation. La conformite a la norme harmonisee fait naitre une presomption de conformite au reglement.
• Modules B+C avec organisme notifie : en l’absence de normes harmonisees couvrant l’ensemble des exigences, ou si le fabricant choisit de ne pas les appliquer, l’evaluation doit etre realisee par un organisme notifie. Celui-ci procede a un examen UE de type (module B), suivi d’une verification de la conformite au type sur la base du controle interne de la production (module C).

Ce mecanisme a double detente place les normes harmonisees au coeur de la strategie de conformite des fabricants de produits de classe I. Leur disponibilite conditionne directement le niveau de contrainte – et de cout – de l’evaluation.

C. Classe II et produits critiques : evaluation tierce obligatoire

Pour les produits importants de classe II (pare-feu industriels, systemes de detection d’intrusion, hyperviseurs, microprocesseurs securises, systemes d’exploitation) et les produits critiques (cartes a puce, dispositifs de creation de signature electronique qualifiee, passerelles de compteurs intelligents), l’intervention d’un organisme notifie est obligatoire, sans exception.

Le fabricant doit choisir entre deux procedures :

• Modules H : assurance qualite complete. L’organisme notifie evalue et approuve le systeme de gestion de la qualite du fabricant, puis surveille son application.
• Modules B+C : examen UE de type suivi du controle interne de la production, comme pour la classe I sans normes harmonisees.

Pour les produits critiques, le CRA prevoit en outre la possibilite d’imposer une certification europeenne de cybersecurite au titre du reglement (UE) 2019/881 (Cybersecurity Act), si un schema europeen de certification applicable existe.

Tableau recapitulatif des parcours d’evaluation

Classe de produit	Module applicable	Organisme notifie requis	Condition
Produit par defaut	Module A (auto-evaluation)	Non	–
Important - Classe I	Module A	Non	Si normes harmonisees couvrent toutes les exigences
Important - Classe I	Modules B+C	Oui	En l’absence de normes harmonisees completes
Important - Classe II	Modules H ou B+C	Oui	Obligatoire dans tous les cas
Produit critique	Modules H ou B+C	Oui	Obligatoire ; certification EU possible en complement

II. Les normes harmonisees : un rouage essentiel

Les normes harmonisees au sens du CRA sont des normes techniques europeennes (normes EN) elaborees par les organismes de normalisation europeens – le CEN, le CENELEC et l’ETSI – sur mandat de la Commission europeenne. Leur publication au Journal officiel de l’Union europeenne leur confere un statut juridique particulier : tout fabricant qui applique integralement une norme harmonisee beneficie d’une presomption de conformite aux exigences essentielles couvertes par cette norme.

Pour les produits de classe I, cette presomption est determinante : elle permet de rester dans le cadre du module A, sans recourir a un organisme notifie. A l’inverse, si les normes ne sont pas encore publiees ou ne couvrent pas l’ensemble des exigences, la seule option reste l’evaluation tierce.

A la date de redaction de cet article (mars 2026), le processus d’elaboration de ces normes est en cours. La Commission a delivre les mandats de normalisation, mais les travaux techniques au sein du CEN/CENELEC et de l’ETSI prennent du temps. L’echeance du 11 decembre 2027 – date d’applicabilite generale du CRA – exerce une pression reelle sur ce calendrier. Les fabricants de produits de classe I doivent suivre attentivement l’avancement de ces travaux, car l’absence de normes harmonisees a cette date les contraindrait a la procedure d’evaluation tierce.

III. Les organismes notifies : designation et role

Les organismes notifies sont les evaluateurs tiers designes par les Etats membres et notifies a la Commission europeenne. Leur regime est detaille au chapitre IV du CRA (articles 38 a 51).

Pour etre designe, un organisme doit satisfaire a des exigences strictes :

• independance vis-a-vis des fabricants et des produits evalues ;
• competence technique demontree en matiere de cybersecurite et d’evaluation de produits numeriques ;
• moyens humains et materiels adequats pour mener les evaluations dans des delais raisonnables ;
• assurance responsabilite civile proportionnee a l’activite.

Les autorites nationales responsables de la designation (en France, le COFRAC pour l’accreditation) evaluent les candidats et notifient les organismes retenus a la Commission. La base de donnees NANDO repertoriera l’ensemble des organismes notifies au titre du CRA.

Les obligations relatives aux organismes notifies sont applicables a compter du 11 juin 2026, soit 18 mois avant l’applicabilite generale du reglement. Ce decalage vise a permettre la constitution d’un reseau d’evaluateurs operationnel avant que les fabricants ne soient tenus de soumettre leurs produits.

IV. Couts et delais de l’evaluation tierce

L’evaluation par un organisme notifie represente un investissement significatif. Si les couts exacts dependent du produit, de sa complexite et de l’organisme choisi, les estimations disponibles permettent de situer les ordres de grandeur :

• Examen UE de type (module B) : entre 15 000 et 50 000 euros pour un produit de complexite moyenne, davantage pour des systemes d’exploitation ou des hyperviseurs. Ce montant couvre l’analyse de la documentation technique, les tests de penetration et de conformite, et la redaction du certificat d’examen.
• Assurance qualite complete (module H) : les couts initiaux d’audit du systeme qualite sont comparables, auxquels s’ajoute un cout de surveillance annuelle (audits periodiques).
• Delais : comptez entre 3 et 9 mois pour un cycle complet d’evaluation, selon la disponibilite de l’organisme notifie et la maturite de la documentation technique presentee. Dans les premiers mois d’application du CRA, les delais pourraient etre plus longs en raison du nombre limite d’organismes operationnels.

Ces parametres doivent etre integres dans la feuille de route produit. Un fabricant de produits de classe II qui attend fin 2027 pour engager la procedure d’evaluation s’expose a un retard de mise sur le marche.

V. Documentation technique et declaration UE de conformite

A. La documentation technique

Quel que soit le parcours d’evaluation, le fabricant doit constituer une documentation technique conforme a l’annexe VII du CRA. Cette documentation est le socle probant de la conformite. Elle inclut :

• la description complete du produit, de son architecture materielle et logicielle ;
• l’evaluation des risques de cybersecurite ;
• les mesures techniques et organisationnelles appliquees pour satisfaire aux exigences essentielles ;
• le SBOM (Software Bill of Materials) identifiant les composants logiciels ;
• les resultats des tests et evaluations realises ;
• la politique de gestion des vulnerabilites.

La documentation doit etre constituee avant la mise sur le marche et maintenue a jour tout au long de la periode de support du produit. Sa duree de conservation est de dix ans minimum.

B. La declaration UE de conformite

La declaration UE de conformite (annexe V) est le document par lequel le fabricant atteste formellement que son produit satisfait aux exigences du CRA. Elle doit mentionner : l’identification du fabricant et du produit, les exigences essentielles couvertes, les normes harmonisees ou specifications techniques appliquees, l’identification de l’organisme notifie le cas echeant, et la signature du responsable. Elle doit etre tenue a disposition des autorites pendant dix ans.

VI. Surveillance du marche et obligations post-commercialisation

L’evaluation de conformite ne s’arrete pas a la mise sur le marche. Le CRA impose des obligations continues :

• signalement des vulnerabilites activement exploitees au CSIRT competent (CERT-FR en France et ENISA) dans un delai de 24 heures, applicable des le 11 septembre 2026 ;
• fourniture de mises a jour de securite pendant toute la duree de support du produit (minimum 5 ans sauf justification) ;
• cooperation avec les autorites de surveillance du marche : en France, l’autorite designee pourra exiger la production de la documentation technique, ordonner des mesures correctives, ou imposer le retrait de produits non conformes.

Les autorites disposent egalement du pouvoir de conduire des evaluations de conformite par echantillonnage. Un produit deja sur le marche peut donc faire l’objet d’un controle a tout moment.

Les fabricants qui ne respectent pas les procedures d’evaluation de conformite s’exposent a des sanctions pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial. L’apposition indue du marquage CE constitue une infraction distincte, passible d’amendes allant jusqu’a 5 millions d’euros ou 1 % du chiffre d’affaires mondial.

L’evaluation de conformite au titre du CRA n’est donc pas un simple exercice documentaire. C’est un processus structure, dont la complexite et le cout varient considerablement selon la classe du produit. Pour les fabricants, la priorite est d’identifier des maintenant le parcours applicable a chacun de leurs produits et de dimensionner les ressources necessaires – en particulier si l’evaluation tierce est requise.