CRA : la surveillance de marché vue depuis l'ANFR

L'ANFR n'est pas la DGCCRF. Cette distinction, évidente pour les spécialistes, peu connue des directions générales, structure l'ensemble du risque légal pour les produits radio connectés. Pour la directive RED, c'est l'ANFR. Pour le CRA, c'est l'ANFR. Comprendre comment l'ANFR travaille, ce qu'elle cherche dans un dossier CRA, et comment l'application du CRA va se structurer dans les années qui viennent, c'est l'objet de cet article, écrit depuis l'intérieur d'un fabricant qui a construit son plan de conformité sous ce regard.

L'ANFR : l'autorité de référence pour les produits radio et le CRA

La France a désigné l'ANFR (Agence nationale des fréquences) comme autorité de surveillance du marché pour la directive RED (2014/53/UE). Pour le CRA, le projet de loi DDADUE, dont l'adoption est en cours, lui confie les pouvoirs d'enquête à compter du 11 juin 2026 et les pouvoirs de sanction à compter du 11 décembre 2027. Cette concentration des deux réglementations sur la même autorité est logique : un fabricant de systèmes d'alarme radio ou d'équipements IoT qui doit être conforme à la RED et au CRA a affaire au même interlocuteur pour les deux.

La DGCCRF dispose d'une compétence générale sur la sécurité des produits, mais elle n'a pas de mandat CRA. Elle ne lance pas d'enquête sectorielle sur la conformité CRA des équipements radio. Si un inspecteur DGCCRF découvre au passage une infraction RED lors d'un contrôle portant sur un autre sujet, il est légalement habilité à la relever, mais ce cas de figure reste marginal et pour l'instant ce n'est pas prévu pour le CRA. Pour les fabricants de produits radio connectés, l'interlocuteur de contrôle est l'ANFR.

Le ratio de ressources est frappant : l'ANFR dispose d'environ 4 à 5 inspecteurs au niveau national pour ces contrôles. Selon son rapport d'activité 2024, environ 300 contrôles liés à la directive RED ont été réalisés sur l'année, l'équivalent en volume de trois agents DGCCRF (à titre de comparaison, chaque agent DGCCRF réalise en moyenne 100 contrôles par an). Sur les 95 produits envoyés en essais laboratoire, l'essentiel concernait des téléphones testés pour l'exposition aux radiofréquences (DAS). Ces chiffres couvrent 2024, soit une année avant l'entrée en vigueur des exigences cybersécurité RED (août 2025), l'absence de tests cyber dans ce bilan est donc attendue.

La question ouverte est de savoir si le volume progressera significativement à mesure que le cyber RED devient contrôlable et que le CRA approche. C'est une contrainte structurelle, pas une critique de l'ANFR. Avec ces ressources, l'enforcement ne peut pas être systématique. Il sera sélectif, et inévitablement organisé autour de cas exemplaires: les premiers fabricants dont les manquements seront détectés seront mis en avant publiquement, avec des sanctions lourdes et une publication forcée.

Ce qui déclenche un contrôle ANFR

Le mode de déclenchement d'un contrôle ANFR CRA diffère sensiblement de celui de la DGCCRF. La DGCCRF travaille sur un modèle de surveillance sectorielle récurrente, calibrée sur le chiffre d'affaires des opérateurs (CPMM), ou des enquêtes sectorielles. L'ANFR dispose d'un modèle similaire pour RED, mais le CRA crée un canal de déclenchement inédit.

L'Article 14 comme déclencheur direct. Quand un fabricant notifie à l'ENISA et à l'ANSSI une vulnérabilité activement exploitée dans l'un de ses produits, cette notification est visible par l'ANFR. C'est la première fois qu'une réglementation produit crée un canal de signalement obligatoire qui rend le fabricant visible à l'autorité de contrôle par l'acte même de conformité. Ce n'est pas un problème en soi: le fabricant qui notifie remplit son obligation. Mais cette visibilité peut déclencher un contrôle sur le dossier technique, les mesures de remédiation, et le respect des délais.

L'inverse est plus grave. Quand une faille dans un produit est rendue publique, par un chercheur en sécurité, un CERT national, ou un incident médiatisé, et qu'aucune notification n'a été déposée, l'ANFR peut demander pourquoi. Ce scénario, faille publique sans notification Article 14 préalable, sera le principal déclencheur des premières procédures formelles CRA. Le défaut de notification ne reste pas un oubli administratif : il transforme un incident technique en constat d'intention.

Les alertes EUVD et la coordination européenne. La base EUVD (European Vulnerability Database) agrège les CVE et peut être croisée avec les produits commercialisés dans l'UE. Une vulnérabilité publiée avec un identifiant produit permet à l'ANFR d'identifier des fabricants concernés et d'initier un contrôle. L'Article 52 du CRA établit des mécanismes de coordination entre autorités de surveillance du marché européennes : une investigation ouverte par une MSA allemande ou néerlandaise sur un produit peut entraîner un suivi par l'ANFR pour le même produit commercialisé en France.

Les balayages sectoriels. L'ANFR réalise déjà des enquêtes ciblées sur des catégories de produits pour la RED. La même logique s'appliquera au CRA : des catégories à risque, jouets, passerelles IoT, routeurs, équipements de sécurité domestique connectés, seront vraisemblablement ciblées en priorité.

Les anciens employés mécontents. Ce vecteur n'est pas propre à la DGCCRF. Un ex-salarié qui sait quels produits ont des dossiers techniques lacunaires, quelles vulnérabilités ont été identifiées en interne sans être notifiées, peut porter ces informations à la connaissance de l'ANFR. Dans le contexte d'un plan social ou d'un départ conflictuel, ce risque est concret et systématiquement sous-estimé.

L'évaluation de maturité CRA

Avant d'examiner un seul document, l'inspecteur évalue si l'entreprise comprend ses obligations CRA. C'est un test non écrit, mais il structure l'ensemble du contrôle. Pour le CRA, les marqueurs de maturité ont une dimension spécifique. L'inspecteur cherche à savoir si l'entreprise :

• A documenté sa décision de classification (standard, Classe I, Classe II) et peut la justifier ;
• A sélectionné et documenté le module d'évaluation de la conformité cohérent avec cette classification ;
• A publié une politique CVD accessible publiquement avant la mise sur le marché ;
• Est enregistrée sur la plateforme de signalement unique ENISA ;
• Dispose d'une procédure interne de traitement des vulnérabilités et d'une chaîne de notification Article 14 opérationnelle ;
• Est en mesure de présenter un SBOM sur demande.

Une entreprise qui répond à ces questions avec assurance, même si certains éléments documentaires sont encore en cours de finalisation, est dans une position fondamentalement différente d'une entreprise qui découvre ces questions pour la première fois. Le CRA est encore récent ; les premiers contrôles incluront une composante pédagogique. Mais cette tolérance s'érodera rapidement à mesure que le délai de conformité complète de décembre 2027 approchera.

Le dossier technique CRA : ce que l'ANFR examine

Le dossier technique CRA (Annexe VII) a une structure différente d'un dossier CE classique. L'ANFR l'examinera dans un ordre précis.

La déclaration UE de conformité est le point d'entrée. La classe produit est-elle indiquée ? Le module d'évaluation est-il cohérent avec la classe ? Les normes citées sont-elles pertinentes ? Point délicat : les normes harmonisées CRA ne sont pas encore disponibles. L'EN 40000-1-2/3/4 et l'EN 304 632 par exemple sont en cours d'élaboration mais pas encore harmonisées au sens du règlement. Une déclaration de conformité qui s'appuie sur ces normes comme si elles l'étaient, ou qui cite des normes manifestement inadaptées au périmètre CRA, sera un signal d'alerte immédiat.

L'évaluation des risques (Annexe I) est la pièce centrale du dossier. Elle doit être spécifique au produit, pas générique. Une évaluation produite une fois pour la gamme entière, non déclinée par produit, ne satisfait pas à l'exigence du règlement. Elle doit couvrir le modèle de menace propre à ce produit : ses interfaces de connexion, le contexte de déploiement (résidentiel, professionnel, industriel), la population d'utilisateurs. Ce défaut sera l'une des causes de non-conformité les plus fréquentes dans les premières années d'enforcement CRA.

La procédure de gestion des vulnérabilités (Annexe I Partie II). L'ANFR vérifiera qu'une procédure opérationnelle est en place, pas seulement documentée. Les indicateurs concrets : une politique CVD publiée et accessible publiquement (référencée dans le fichier security.txt du site web du fabricant) ; une procédure interne de traitement des signalements ; des enregistrements de notifications Article 14 pour les produits déjà en service après septembre 2026.

Le SBOM. Accessible sur demande de l'autorité selon l'Article 13(14). L'ANFR le demandera. Un SBOM absent ou incomplet signale que le délai de 24 heures de l'Article 14 n'est pas opérationnellement tenable pour ce fabricant, ce que l'ANFR interprétera comme une défaillance systémique, pas documentaire.

Les rapports d'essai. Même grille de lecture qu'un dossier CE classique : les bonnes clauses ont-elles été testées ? Les clauses déclarées non applicables sont-elles justifiées de façon crédible ? Le laboratoire était-il accrédité spécifiquement pour ces essais ? La version de norme testée est-elle cohérente avec la date de mise sur le marché ?

Le cas le plus difficile : la vulnérabilité sans correctif possible

Le scénario le plus redoutable pour un fabricant devant l'ANFR n'est pas une documentation incomplète. C'est celui-ci : une vulnérabilité est découverte dans un produit, et la réponse du fabricant est que la mémoire disponible sur le microcontrôleur ne permet pas d'embarquer le correctif nécessaire.

Cette réponse — « on ne peut pas patcher parce que le hardware ne le permet pas » — est totalement inacceptable du point de vue réglementaire. La seule réponse recevable est de changer le microcontrôleur, ce qui implique une révision matérielle et potentiellement un rappel produit. Ce n'est pas ce que l'autorité de contrôle vous donnera comme orientation au moment du contrôle: c'est simplement le seul chemin légalement disponible.

C'est tout l'enjeu du secure by design tel que le CRA l'entend : la capacité à corriger des vulnérabilités futures doit être inscrite dans la conception matérielle avant même que ces vulnérabilités soient connues. Un microcontrôleur sous-dimensionné en mémoire flash, choisi pour des raisons de coût à la conception, est une bombe à retardement réglementaire. L'argument économique qui a justifié ce choix en 2020 ne sera pas recevable en 2027 devant l'ANFR.

Ce que l'ANFR cherchera en priorité dans une situation post-vulnérabilité : non pas démontrer que le produit initial était imparfait, la réglementation ne demande pas la perfection, mais vérifier qu'une procédure de remédiation existe, qu'elle est opérationnelle, et que le fabricant est capable de fournir des correctifs dans les délais. C'est là que se concentrera l'attention, pas sur l'évaluation de conformité initiale. Sauf si celle-ci est particulièrement lacunaire.

L'escalade procédurale ANFR

Pour l'ANFR, directive RED aujourd'hui ; CRA : pouvoirs d'enquête à compter du 11 juin 2026, sanctions à compter du 11 décembre 2027 (sous réserve de l'adoption du projet de loi DDADUE) :

• Mise en demeure — après procédure contradictoire, l'ANFR met en demeure le responsable de se conformer dans un délai qu'elle fixe. C'est le préalable obligatoire à toute sanction financière, et une preuve formelle que le problème est connu. Une mise en demeure établit l'intentionnalité pour toute non-conformité persistante ;
• Amende administrative — deux régimes radicalement différents selon la réglementation : plafond de 7 500 € pour la directive RED (sans pouvoir dissuasif réel pour une entreprise). Pour les manquements CRA à partir de décembre 2027, trois niveaux : jusqu'à 15 M€ ou 2,5 % du CA mondial pour les manquements aux exigences essentielles (Annexe I) et aux obligations des fabricants (art. 13-14 du CRA) ; jusqu'à 10 M€ ou 2 % du CA pour les manquements aux obligations de processus (gestion des vulnérabilités, notification, documentation, coopération avec les autorités) ; jusqu'à 5 M€ ou 1 % du CA pour les informations inexactes ou trompeuses transmises aux autorités ou aux organismes notifiés ;
• Saisine de la juridiction civile — l'ANFR peut saisir le juge civil pour ordonner sous astreinte toute mesure mettant fin au manquement ;
• Retrait ou rappel du produit — par décision de l'autorité sur la base de l'Article L34-9 II 9° du CPCE (pour les équipements radioélectriques), et par les mesures de restriction et de rappel prévues à l'Article 54 du CRA. C'est la mesure aux conséquences opérationnelles les plus immédiates ;
• Secret des affaires, spécificité CRA : dans le cadre des contrôles CRA, le secret des affaires n'est pas opposable à l'ANFR ni aux services de l'État compétents (futur art. L43 I quinquies al. 2 CPCE, art. 32 projet de loi DDADUE). Cette règle ne s'applique pas aux contrôles RED classiques ;
• Publication forcée — les décisions peuvent être publiées aux frais du contrevenant. Les conséquences réputationnelles sont souvent plus sévères que le montant de l'amende elle-même.

Un point critique sur l'après-contrôle : un contrôle qui se termine sans incident apparent n'est pas terminé. L'examen à froid du dossier technique se fait au bureau de l'inspecteur, après la visite. Des demandes de documents supplémentaires peuvent suivre, ainsi que des prélèvements de produits envoyés en laboratoire. La première priorité après le départ de l'inspecteur est une évaluation interne des risques : quelles non-conformités sont connues des équipes R&D sur le produit contrôlé ? Si une non-conformité est identifiée, enclencher sans attendre une procédure de remédiation: le fait que l'entreprise ait déjà pris des mesures correctives avant l'ouverture d'une procédure formelle est systématiquement vu favorablement.

Pour les investisseurs : le CRA change le calcul de la due diligence

Sous la directive RED, le plafond d'amende ANFR était de 7 500 € pour une personne morale, un montant sans pouvoir dissuasif réel, absorbable dans les coûts de mise en conformité. Sous le CRA, le maximum atteint 15 M€ ou 2,5 % du chiffre d'affaires mondial. Ce changement d'ordre de grandeur modifie structurellement le calcul du risque réglementaire dans une due diligence d'acquisition de fabricant de produits connectés.

Il n'existe pas de registre public des contrôles ANFR, même s'il y a un portail open data des résultats de laboratoire. Mais plusieurs indicateurs publics permettent d'évaluer le niveau de maturité CRA d'une cible :

• La politique CVD est-elle publiée sur le site web et référencée dans un fichier security.txt ? (Vérifiable en deux minutes) ;
• Le fabricant est-il enregistré sur la plateforme de signalement unique ENISA ?
• Les produits font-ils l'objet d'une décision de classification documentée ?
• Des notifications Article 14 ont-elles été déposées depuis septembre 2026 ?

La demande documentaire la plus efficace reste l'intégralité des échanges avec des adresses @anfr.fr et @*.gouv.fr, qui remonte les échanges avec l'ANFR comme avec n'importe quelle autre autorité. Mais pour l'ANFR, l'absence de correspondance est moins informative que pour la DGCCRF : avec 4 à 5 inspecteurs nationaux, beaucoup d'entreprises n'ont jamais eu de contact avec l'autorité. L'absence de dossier ANFR ne peut pas être interprétée comme une absence de risque, c'est au contraire l'absence d'information.

La due diligence CRA doit combiner la recherche documentaire classique avec une vérification directe des indicateurs publics (politique CVD, enregistrement ENISA, classification documentée) pour former une évaluation réaliste du niveau de préparation d'une cible.

Thomas Cutuil a exercé comme agent de la DGCCRF de 2013 à 2024, spécialisé en conformité CE: directive Machine, RED, dispositifs médicaux, RoHS, DEEE. Il est depuis 2025 responsable réglementation et certification chez un fabricant de systèmes d'alarme et d'incendie à liaison radio, où il a piloté le plan de conformité CRA incluant la définition du périmètre Article 14 sur un portefeuille multi-générationnel.