Mais il faut résister à la tentation du slogan. L’Europe n’exige pas soudain “des objets connectés parfaits”. Elle impose progressivement un cadre plus contraignant, avec des obligations sur la conception, le développement, la maintenance, la gestion des vulnérabilités et, plus largement, le cycle de vie des produits numériques. Le CRA prévoit aussi que les produits conformes portent le marquage CE, avec un contrôle assuré par les autorités nationales de surveillance du marché.
Le Cyber Resilience Act : le texte le plus structurant pour les produits numériques
S’il faut retenir un seul texte pour comprendre le nouveau paysage européen, c’est bien le Cyber Resilience Act. Son périmètre est large : il vise les produits comportant des éléments numériques, matériels comme logiciels. La Commission explique explicitement qu’il couvre aussi bien des objets du quotidien, comme les babyphones ou les montres connectées, que des logiciels, applications et programmes plus classiques. Le cœur du texte est clair : les fabricants devront intégrer des exigences obligatoires de cybersécurité dans la planification, la conception, le développement et la maintenance des produits, tout en gérant les vulnérabilités sur l’ensemble du cycle de vie. (digital-strategy.ec.europa.eu)
Il faut cependant être précis sur le calendrier. Le CRA est déjà en vigueur juridiquement depuis le 10 décembre 2024, mais ce n’est pas la même chose qu’une application immédiate de toutes ses obligations. Les principales obligations commenceront à s’appliquer le 11 décembre 2027. Entre-temps, certaines étapes arrivent plus tôt, notamment les obligations de signalement à partir du 11 septembre 2026. Ce détail compte, parce qu’il évite de raconter au lecteur que le marché est déjà entièrement “mis au carré” alors qu’il est encore dans une phase de transition.
Les nouvelles exigences sous la RED : un autre étage, plus ciblé
Le cadre européen ne repose pas seulement sur le CRA. La Radio Equipment Directive existait déjà, mais la Commission a activé des exigences supplémentaires pour certaines catégories d’équipements radio, avec un angle plus ciblé sur la protection des réseaux, de la vie privée et, dans certains cas, la protection contre la fraude. La Commission explique que ces nouvelles exigences concernent notamment des équipements radio connectés à Internet, ainsi que certaines catégories comme les équipements radio pour l’enfance, certains jouets radio et certains équipements radio portables pour les aspects liés à la protection des données et de la vie privée. (single-market-economy.ec.europa.eu)
Il faut ici rester sobre. La RED et le CRA ne font pas exactement le même travail. La RED ne remplace pas le CRA ; elle ajoute, pour certaines familles d’équipements radio, des exigences ciblées qui touchent à la protection des réseaux, des données personnelles, de la vie privée et de la fraude. La Commission a indiqué, dans ses travaux préparatoires récents, que ces nouvelles règles sous la RED entraient en application le 1er août 2025.
Le Data Act : moins un texte de cybersécurité qu’un texte de pouvoir sur les données
Le Data Act est souvent mal compris dans les discussions sur les objets connectés. Ce n’est pas, à proprement parler, une loi “sécurité produit” comparable au CRA. Sa logique est différente : il vise des règles harmonisées sur l’accès équitable aux données et leur utilisation, notamment pour les données générées par les produits connectés. La Commission explique que le texte donne aux utilisateurs — consommateurs comme entreprises — davantage de contrôle sur les données produites par leurs appareils connectés, comme des voitures, smart TV ou machines industrielles. Le texte est entré en vigueur le 11 janvier 2024 et s’applique depuis le 12 septembre 2025. (digital-strategy.ec.europa.eu)
Pourquoi est-ce important pour ton mini-site ? Parce que le Data Act ne dit pas seulement “les données sont précieuses” : il change aussi le rapport de force entre fabricant, utilisateur et prestataire tiers. La Commission souligne notamment que les objets connectés mis sur le marché de l’UE doivent être conçus pour permettre le partage de données, que les utilisateurs peuvent choisir davantage de services au lieu de dépendre uniquement du fabricant, et qu’ils ont un droit d’accès aux données produites par l’usage de ces objets. Cela ne supprime ni la télémétrie ni la dépendance au cloud, mais cela commence à déplacer la question de la simple collecte vers celle de la maîtrise et de l’accès.
Ce que ces textes changent pour un acheteur
Pour un lecteur normal, le point essentiel est celui-ci : l’Europe demande désormais davantage aux fabricants sur trois plans différents. D’abord, le produit lui-même doit être plus sérieusement conçu et maintenu sur le plan cyber avec le CRA. Ensuite, certaines catégories d’équipements radio connectés doivent respecter des exigences spécifiques liées aux réseaux, à la vie privée et à la fraude via la RED. Enfin, le Data Act pousse vers une meilleure capacité d’accès et d’usage des données générées par les produits connectés.
Mais cela ne remplace pas le jugement critique. Une réglementation plus dure n’efface pas les défauts de conception hérités, n’améliore pas magiquement la documentation, et ne dispense pas de regarder la dépendance au cloud, la durée de support, la qualité des mises à jour ou la possibilité d’un fonctionnement local. En d’autres termes : le cadre réglementaire devient plus intéressant, mais il ne dispense pas d’une vraie grille d’évaluation.
Ce que ces textes ne garantissent pas
Le point qu’il ne faut pas diluer, c’est celui-là : une exigence réglementaire n’est pas une preuve individuelle de sobriété, de transparence ou d’élégance technique. Un produit peut être conforme à des obligations minimales tout en restant très dépendant d’un cloud, difficile à segmenter, médiocrement documenté ou pénible à maintenir. Le CRA, par exemple, élève le niveau d’exigence sur la sécurité et la gestion des vulnérabilités ; il ne promet pas un marché soudainement lisible pour l’utilisateur final. Le Data Act améliore l’accès aux données ; il ne transforme pas automatiquement un objet bavard en objet discret.
C’est aussi pour cela qu’il faut résister aux récits trop simples du type “l’Europe protège enfin les consommateurs” ou “les fabricants vont devoir tout changer tout de suite”. La réalité est plus lente, plus technique, et plus utile que ça : l’Europe commence à imposer des obligations plus sérieuses, mais l’effet concret dépendra du calendrier, de l’application, de la surveillance du marché et de la qualité réelle des produits mis en circulation.