Newsletters

Le Cyber Resilience Act, le RGPD de la cybersécurité ?

A la manière du RGPD avec les données à caractère personnel, le Cyber Resilience Act impose aux fabricants, développeurs et revendeurs de produits connectés des obligations d'évaluation et d'information dans le domaine de la sécurité informatique. Bien que leur champ d'application soit différent, pour Pauline Mendiela, consultante au cabinet Finegan, ces deux textes poursuivent le même objectif : mieux protéger les données des consommateurs particuliers comme professionnels. 

Alice Vitard
RGPD
Mohamed Hassan
RGPD

"Les deux textes se rejoignent : ils créent de la confiance entre l'utilisateur final et la personne qui commercialise le produit ou le service ; et in fine ils permettent de mieux protéger les données personnelles", a déclaré Pauline Mendiela, consultante senior et déléguée à la protection des données du cabinet de conseil Finegan, comparant le Règlement général sur la protection des données (RGPD) et le Cyber Resilience Act (CRA). Tandis que le premier porte sur la protection des données à caractère personnel, le second vise à protéger les consommateurs et les entreprises des objets connectés non sécurisés grâce à de nouvelles normes de mise sur le marché unique. 

Les fabricants doivent se préparer

Le Cyber Resilience Act a fait l'objet d'un accord début décembre 2023 entre le Parlement européen et le Conseil. Cet accord doit désormais être approuvé de manière formelle avant que le règlement soit applicable dans tous les Etats membres. A compter de son entrée en vigueur, les fabricants, les importateurs et les distributeurs de produits matériels et logiciels disposeront de 36 mois pour s'y conformer. Pour les obligations de signalements des incidents et des vulnérabilités, le délai de mise en conformité est de 21 mois. Les acteurs concernés doivent donc se préparer. 

"Le CRA s'applique à tous les produits comportant des éléments numériques, logiciels ou composants", détaille Pauline Mendiela à L'Usine Digitale. Jusqu'ici, il n'existait pas de régime général obligeant les fabricants à s'assurer que leurs produits sont robustes en matière de sécurité informatique. "Chaque secteur précisait ses exigences sur certains aspects", ajoute-t-elle. Or, l'explosion des objets connectés est une aubaine pour les cyberattaquants pour voler des données, "une porte d'entrée à une cyberattaque", avait expliqué Thierry Breton, lors de la présentation du texte en septembre 2022. Les objets connectés devraient être "75 milliards d'ici à 2025 au cas mot", avait indiqué le commissaire européen au marché intérieur.

Le security by design

Dans les détails, le futur règlement impose une série de "nouvelles obligations tout au long du cycle de vie du produit", note la consultante. Ces obligations concernent la robustesse du produit, les informations fournies aux utilisateurs lors de l'achat mais également lors de l'utilisation du produit en question. Elle fournit quelques exemples : "les développeurs devront mettre à disposition les patchs de sécurité, faire un service après-vente plus précis, avertir les utilisateurs que tel produit est plus à risque de cyberattaque...". A la manière du RGPD, le CRA impose donc de nombreuses obligations d'informations aux consommateurs, explique-t-elle. 

Les exigences sont plus ou moins fortes en fonction du produit mis sur le marché : "10% des produits les plus risqués feront l'objet d'une analyse plus poussée par rapport au reste du marché". L'idée du législateur européen : protéger les consommateurs sans bloquer le marché. La liste des produits jugés les plus "risqués" – disponible en annexe du règlement – "n'est pas encore complètement finalisée". Globalement, on y retrouve "les produits de cybersécurités : les logiciels (firewall, VPN, gestionnaire de mot de passe...) et les infrastructures (microprocesseur, routeurs...)". Ils devront faire l'objet d'une "évaluation spécifique" avant de pouvoir être mis sur le marché européen. 

Pas de changement majeur pour les produits grand public

En réalité, ce sont surtout les produits vendus en BtoB qui vont être les plus affectés par le CRA car la plupart entrent dans les 10% des produits les plus réglementés, juge Pauline Mendiela. "Pour le BtoC, cela ne va pas changer grand chose, estime-t-elle. De toute façon, très peu d'utilisateurs sont méfiants envers les produits connectés qu'ils utilisent au quotidien."

Mais les choses sont peut-être en train de changer : seuls 36% des consommateurs se déclarent satisfaits de la protection de leur vie privée offerte par les objets connectés, d'après une étude publiée par le Capgemini Research Institute en janvier 2024. Cependant, ce n'est pas parce qu'ils se disent inquiets qu'ils n'achètent pas les produits en question. Fait intéressant à noter : c'est dans le secteur de la santé que les consommateurs ont le plus peur que les entreprises puissent avoir accès à leurs données (56% des personnes interrogées). 

Une amende jusqu'à 15 millions d'euros

Comme pour le RGPD, pour s'appliquer pleinement, le CRA devrait être adopté et appliqué par les entreprises. En cas de non respect, elles s'exposent à une amende pouvant aller jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial. C'est donc moins que le RGPD qui prévoit une sanction pécuniaire pouvant s'élever jusqu'à 20 millions d'euros ou dans le cas d'une entreprise jusqu'à 4% du chiffre d'affaires annuel mondial.

À lire aussi

Les plus lus : Data protection
  1. Digital Omnibus : Faut-il craindre la réforme qui bouscule le RGPD, l'encadrement de l'IA et la cybersécurité ?
  2. Google Cloud va fournir une infrastructure "air-gapped" à l'OTAN pour plusieurs millions de dollars
  3. Cyberattaque : Colis Privé signale un accès non autorisé à ses systèmes ayant exposé des données clients
  4. A l'Urssaf, le service Pajemploi victime d'un vol de données concernant "jusqu'à 1,2 million de salariés"
  5. Cloud de confiance : Bleu passe le jalon J1 pour la qualification SecNumCloud 3.2
  6. Soutenus par l'État chinois, des pirates ont pris le contrôle de Claude Code pour mener une opération de cyberespionnage orchestrée par l'IA
Newsletter L'Usine Digitale
Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.
Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes…
Cherche talents numériques
Emploi numérique
Consultant en Recrutement (H/F) - Rouen
Harry Hope - 16/04/2026 - CDI - Rouen
Expert en gestion des sites et sols pollués H/F
EGIS - 16/04/2026 - CDI - Bordeaux, Nouvelle-Aquitaine, France
Tous les postes disponibles
Les webinars
Tout voir
Tech
Projets tech et carrière : découvrez le quotidien de deux experts chez Accenture
31 mars 2026 - 12h00
45 min
102 inscrit(s)
Contenu proposé par ACCENTURE
Voir le replay
Tech
[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités
18 novembre 2025 - 10h00
45 min
188 inscrit(s)
Contenu proposé par Salesforce
Voir le replay
Marketing
Performance et IA : les nouvelles priorités digitales du secteur des médias
5 juin 2025 - 09h00
45 min
402 inscrit(s)
Contenu proposé par Salesforce
Voir le replay