DDADUE article 32 : l'ANFR en passe d'être désignée autorité CRA en droit français À la une
ANFR CRA Conformité Contrôle de marché DDADUE

DDADUE article 32 : l'ANFR en passe d'être désignée autorité CRA en droit français

Le projet de loi DDADUE, adopté par le Sénat sous procédure accélérée, désigne formellement l'ANFR comme autorité de surveillance du marché pour le CRA en droit français. L'article 32 insère un I quinquies dans l'article L.43 du CPCE, fixe la séquence mise en demeure → amende, et codifie les trois niveaux de sanction du CRA (jusqu'à 15 M€ ou 2,5 % du CA mondial). Deux points méritent l'attention particulière des fabricants : le secret des affaires n'est pas opposable à l'ANFR dans le cadre des investigations CRA, et l'entrée en vigueur est fractionnée, mission ANFR le 11 septembre 2026, régime de sanctions le 11 décembre 2027.

 1 mai 2026  6 min
Le DA RED cyber est abrogé : la CRA prend le relais au 11 décembre 2027 À la une
CRA Conformité CE Cybersécurité Directive RED EN 18031

Le DA RED cyber est abrogé : la CRA prend le relais au 11 décembre 2027

Le règlement délégué (UE) 2026/339, publié au Journal officiel le 29 avril 2026, abroge le règlement délégué (UE) 2022/30 avec effet au 11 décembre 2027. Cette date est celle de l'entrée en application complète du CRA. La double-obligation cyber n'aura pas lieu : les fabricants d'équipements radio qui ont engagé leur conformité EN 18031 depuis août 2025 sont couverts jusqu'à cette date, et le CRA prend le relais exclusivement. Ce que l'abrogation règle, ce qu'elle ne règle pas, et comment séquencer la transition.

 1 mai 2026  6 min
CRA : la surveillance de marché vue depuis l'ANFR À la une
ANFR Article 14 CRA Conformité CE Contrôle de marché Due diligence

CRA : la surveillance de marché vue depuis l'ANFR

Pour les fabricants de produits radio connectés, l'autorité qui compte pour la directive RED et pour le CRA, c'est l'ANFR, pas la DGCCRF. Ces deux réglementations partagent le même corps d'inspecteurs et une logique de mise en application qui a ses caractéristiques propres : environ 300 contrôles RED par an, 4 à 5 inspecteurs au niveau national, et un nouveau canal d'investigation inédit, l'Article 14, qui rend visible tout fabricant qui notifie une vulnérabilité. Ce que l'ANFR cherche dans un dossier CRA, comment un contrôle se déclenche, et pourquoi les sanctions CRA changent structurellement le calcul de risque dans une due diligence.

 30 avr. 2026  12 min
DGCCRF et conformité CE : la méthode de l'inspecteur
Conformité CE DGCCRF Directive Machines Dossier technique Surveillance du marché

DGCCRF et conformité CE : la méthode de l'inspecteur

Un contrôle DGCCRF ne commence pas par le dossier technique : il commence par les éléments visibles du produit sur le linéaire. La méthode de l'entonnoir, l'évaluation de maturité de l'entreprise, la grille de lecture des rapports d'essai et la séquence des suites administratives constituent un cadre que le fabricant ne peut pas reconstituer depuis le texte réglementaire. Cet article décrit ce cadre depuis l'habilitation jusqu'à la publication forcée, pour les réglementations CE dans le périmètre DGCCRF : DBT, CEM, Directive Machines et Règlement 2023/1230, Jouets, EPI, CPR, ATEX, RoHS, DEEE et RSGP.

 2 mai 2026  12 min
Classer ses produits sous le CRA : guide pratique de l'Annexe III
Annexe III CRA Conformité Cybersécurité Marquage CE

Classer ses produits sous le CRA : guide pratique de l'Annexe III

La classification d'un produit sous le CRA (standard, important Classe I ou Classe II) détermine le module d'évaluation de la conformité, et avec lui la nécessité ou non de recourir à un organisme notifié. Pour un fabricant de PME, la différence représente facilement 15 000 à 50 000 euros et six à douze mois de calendrier. Ce guide offre une lecture pratique de l'Annexe III, intègre le règlement d'exécution (UE) 2025/2392, et traite les cas d'application les plus fréquents pour les fabricants d'alarmes, d'équipements IoT et d'équipements réseaux.

 1 mai 2026  13 min
CRA et directive RED (EN 18031) : cartographie des synergies pour les fabricants d'équipements radio
CRA Conformité Cybersécurité Directive RED EN 18031 EN 304 632

CRA et directive RED (EN 18031) : cartographie des synergies pour les fabricants d'équipements radio

Depuis août 2025, les fabricants d'équipements radio connectés à Internet sont soumis aux exigences cybersécurité de la directive RED (EN 18031-1/2/3). Beaucoup pensent que ce travail couvre l'essentiel de leurs obligations CRA. Ce n'est pas inexact, mais c'est incomplet. Cet article cartographie précisément ce qu'EN 18031 apporte pour le CRA, ce qu'il ne couvre pas, et ce que la question du module d'évaluation de la conformité (qui dépend de l'harmonisation des normes verticales) change opérationnellement pour les fabricants de produits de sécurité domestique connectés.

 1 mai 2026  13 min
SBOM : ce que le CRA exige concrètement et comment s'y préparer
Article 14 CRA Cybersécurité Firmware Gestion des vulnérabilités SBOM

SBOM : ce que le CRA exige concrètement et comment s'y préparer

Le SBOM (Software Bill of Materials) est requis par l'Annexe VII du CRA, mais sa valeur réglementaire dépasse la case à cocher documentaire : sans SBOM à jour et corrélable aux bases de vulnérabilités, le délai de 24 heures de l'Article 14 est intenable. Formats, contenu minimum, défis spécifiques au firmware embarqué, et ce qu'un SBOM viable ressemble pour une PME industrielle qui n'a pas de pipeline CI/CD complet.

 1 mai 2026  12 min
Article 14 CRA : le jalon de septembre 2026 que beaucoup de fabricants n'ont pas vu venir
Article 14 CRA CVD Cybersécurité Gestion des vulnérabilités PSIRT

Article 14 CRA : le jalon de septembre 2026 que beaucoup de fabricants n'ont pas vu venir

Le 11 septembre 2026, les obligations de notification des vulnérabilités activement exploitées (Article 14 du CRA) entrent en application. Elles concernent tous les produits déjà sur le marché, sans clause de grand-père. Pour un fabricant dont le SBOM est incomplet et dont la fonction PSIRT n'existe pas, le délai de 24 heures n'est pas tenable. Ce qui doit être en place, dans quel ordre, et ce qu'une autorité de surveillance du marché cherche dans un dossier de notification.

 1 mai 2026  11 min
CRA : cartographie d'une réglementation inédite
CRA Conformité Cybersécurité EN 304 632 Marquage CE

CRA : cartographie d'une réglementation inédite

Le Règlement (UE) 2024/2847 introduit une logique réglementaire que le secteur de l'électronique connectée n'avait pas connue sous les directives précédentes : une obligation de cybersécurité qui court tout au long du cycle de vie du produit, et non seulement à la mise sur le marché. Cet article en cartographie la structure interne (périmètre, classification, modules d'évaluation et double vitesse des échéances) pour les fabricants qui engagent leur démarche aujourd'hui.

 1 mai 2026  15 min
Tous ANFR Annexe III Article 14 CRA CVD Conformité Conformité CE Contrôle de marché Cybersécurité DDADUE DGCCRF Directive Machines Directive RED Dossier technique Due diligence EN 18031 EN 304 632 Firmware Gestion des vulnérabilités Marquage CE PSIRT SBOM Surveillance du marché