Le Cyber Resilience Act (CRA), entré en vigueur en 2024, instaure un cadre de sanctions parmi les plus structurés du droit européen de la cybersécurité. Pour les fabricants et distributeurs de produits comportant des éléments numériques, le message est clair : les manquements aux exigences de cybersécurité exposent désormais à des amendes pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial. Ce régime de sanctions, largement inspiré de celui du RGPD, mérite une analyse détaillée tant il conditionne la stratégie de conformité des entreprises concernées.

Un système de sanctions à trois niveaux

Le CRA établit une architecture de sanctions graduée en trois paliers, chacun correspondant à la gravité des manquements constatés.

Premier palier : 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial

Le niveau de sanction le plus élevé vise les violations des exigences essentielles de cybersécurité définies à l’annexe I du règlement, ainsi que les obligations relatives aux procédures d’évaluation de la conformité. Concrètement, un fabricant qui mettrait sur le marché un produit ne respectant pas les exigences fondamentales de sécurité – gestion des vulnérabilités, protection contre les accès non autorisés, confidentialité des données traitées – s’expose à ce plafond maximal. Le montant retenu est le plus élevé entre les 15 millions d’euros et les 2,5 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

Deuxième palier : 10 millions d’euros ou 2 % du chiffre d’affaires mondial

Ce niveau intermédiaire s’applique aux manquements aux autres obligations imposées par le règlement aux opérateurs économiques. Il couvre notamment les obligations de documentation technique, la mise à disposition d’informations aux utilisateurs, les obligations de notification des vulnérabilités activement exploitées, ainsi que les exigences de coopération avec les autorités de surveillance du marché. Un fabricant qui omettrait de notifier une vulnérabilité activement exploitée à l’ENISA dans les délais prescrits, ou qui ne fournirait pas la documentation technique requise, relèverait de ce palier.

Troisième palier : 5 millions d’euros ou 1 % du chiffre d’affaires mondial

Le niveau le plus bas concerne la fourniture d’informations inexactes, incomplètes ou trompeuses aux autorités de surveillance du marché ou aux organismes notifiés. Ce palier sanctionne les déclarations de conformité erronées, les réponses inexactes aux demandes d’information des autorités, ou encore la présentation de résultats d’évaluation falsifiés. Si le montant peut paraître moindre en comparaison des deux premiers niveaux, il reste considérable et vise à garantir l’intégrité du système d’évaluation de la conformité.

Les autorités compétentes : un réseau de surveillance du marché

Contrairement au RGPD qui repose sur des autorités de protection des données, le CRA s’appuie sur les autorités nationales de surveillance du marché déjà existantes dans chaque État membre. En France, cette compétence devrait revenir à l’ANSSI (Agence nationale de la sécurité des systèmes d’information) en coordination avec d’autres autorités sectorielles.

Ces autorités disposent de pouvoirs étendus qui vont bien au-delà de la seule amende administrative :

• Retrait du marché : l’autorité peut ordonner le retrait d’un produit non conforme, une mesure dont l’impact économique dépasse souvent celui de l’amende elle-même.
• Rappel de produits : dans les cas les plus graves, un rappel auprès des utilisateurs finaux peut être imposé, avec les coûts logistiques et réputationnels que cela implique.
• Restriction ou interdiction de mise à disposition : l’autorité peut empêcher la commercialisation du produit tant que la conformité n’est pas rétablie.
• Injonction de mise en conformité : obligation de corriger les vulnérabilités identifiées dans des délais contraints.

Le règlement prévoit par ailleurs un mécanisme de coordination au niveau européen, avec la possibilité pour la Commission de prendre des mesures correctives lorsqu’un risque de cybersécurité concerne plusieurs États membres simultanément.

Critères de détermination des sanctions

Les autorités de surveillance ne disposent pas d’un pouvoir discrétionnaire absolu. Le CRA établit une liste de critères que les autorités doivent prendre en compte pour déterminer le montant de la sanction :

• La gravité et la durée de l’infraction : un manquement ponctuel sera traité différemment d’une violation systémique maintenue sur plusieurs années.
• La nature et l’ampleur du préjudice : le nombre d’utilisateurs affectés, la sensibilité des données ou des systèmes compromis pèsent dans l’évaluation.
• Le caractère intentionnel ou négligent de l’infraction : la mauvaise foi aggrave la sanction.
• Les mesures prises pour atténuer le préjudice : la réactivité du fabricant dans la correction des vulnérabilités est prise en compte.
• Le degré de coopération avec les autorités : un élément qui pèse significativement, comme c’est déjà le cas dans la pratique des sanctions RGPD.
• Les infractions antérieures : la récidive constitue logiquement un facteur aggravant.
• Les avantages financiers tirés de l’infraction : les économies réalisées en évitant les investissements de sécurité nécessaires sont prises en considération.

Ce cadre méthodologique est directement inspiré de celui de l’article 83 du RGPD, ce qui n’est pas un hasard : le législateur européen entend créer une cohérence dans l’application des sanctions à travers l’ensemble de la réglementation numérique.

Comparaison des régimes de sanctions : CRA, RGPD et NIS2

Pour mesurer l’ampleur du dispositif, une mise en perspective avec les deux autres grands textes européens s’impose.

Critère	CRA	RGPD	NIS2
Amende maximale (palier 1)	15 M EUR ou 2,5 % CA mondial	20 M EUR ou 4 % CA mondial	10 M EUR ou 2 % CA mondial
Amende maximale (palier 2)	10 M EUR ou 2 % CA mondial	10 M EUR ou 2 % CA mondial	7 M EUR ou 1,4 % CA mondial
Palier 3 (info trompeuse)	5 M EUR ou 1 % CA mondial	–	–
Autorité compétente	Surveillance du marché	Autorité de protection des données (CNIL)	Autorité nationale de cybersécurité (ANSSI)
Retrait / rappel de produit	Oui	Non	Non
Publication de la décision	Oui	Oui	Oui
Cible principale	Fabricants, importateurs, distributeurs de produits numériques	Responsables de traitement, sous-traitants	Entités essentielles et importantes (opérateurs)

On constate que le CRA se situe dans une fourchette intermédiaire entre le RGPD et NIS2 en termes de plafonds d’amendes, mais qu’il dispose d’un levier supplémentaire considérable : le pouvoir de retrait et de rappel des produits. Pour un fabricant de produits connectés, l’obligation de rappeler l’ensemble d’une gamme de produits peut représenter un coût bien supérieur à celui d’une amende de plusieurs millions d’euros.

Les implications pratiques pour les entreprises

Le cumul des régimes de sanctions

Un point crucial que les entreprises doivent intégrer : les sanctions du CRA ne se substituent pas à celles du RGPD ou de NIS2. Elles s’ajoutent. Un même incident – par exemple, une vulnérabilité non corrigée dans un objet connecté entraînant une fuite de données personnelles – peut théoriquement donner lieu à des poursuites au titre du CRA (défaut de gestion des vulnérabilités), du RGPD (défaut de sécurité des données personnelles au sens de l’article 32) et de NIS2 (si l’entreprise est une entité essentielle ou importante). Le règlement prévoit toutefois un mécanisme de coordination pour éviter la double sanction pour les mêmes faits, conformément au principe ne bis in idem.

La pression sur la chaîne d’approvisionnement

Le CRA responsabilise l’ensemble de la chaîne : fabricants, importateurs et distributeurs. Un importateur qui mettrait sur le marché européen un produit d’un fabricant extra-européen non conforme s’expose directement aux sanctions. Cette logique de responsabilisation en cascade va inévitablement modifier les pratiques contractuelles et les exigences de due diligence dans l’ensemble de la filière.

Préparer sa conformité

Face à la multiplicité des obligations issues du CRA, du RGPD et de NIS2, les entreprises ont tout intérêt à adopter une approche intégrée de leur conformité. Des outils comme Legiscope permettent de suivre l’ensemble des obligations réglementaires applicables et d’anticiper les points de contrôle susceptibles de donner lieu à des sanctions. La cartographie des obligations, la documentation technique et le suivi des vulnérabilités constituent les trois piliers d’une stratégie de conformité robuste au CRA.

La période de transition, qui s’étend jusqu’en 2027 pour l’essentiel des obligations, ne doit pas être un prétexte à l’inaction. Les autorités de surveillance du marché se préparent, les organismes notifiés se structurent, et les premières actions de contrôle suivront rapidement l’entrée en application pleine des obligations.

Ce qu’il faut retenir

Le régime de sanctions du Cyber Resilience Act confirme la volonté du législateur européen de faire de la cybersécurité des produits numériques un sujet de conformité de premier rang. Avec des amendes pouvant atteindre 15 millions d’euros, des pouvoirs de retrait et de rappel de produits, et un système de surveillance du marché coordonné au niveau européen, les entreprises qui négligeraient leurs obligations s’exposent à des conséquences financières et opérationnelles majeures. Le CRA ne s’inscrit pas de manière isolée : il s’intègre dans un écosystème réglementaire européen de plus en plus dense – aux côtés du RGPD et de NIS2 – dont la maîtrise globale devient un impératif stratégique pour tout acteur du numérique.