DDADUE article 32 : l'ANFR en passe d'être désignée autorité CRA en droit français

Ce que le CRA laissait ouvert et ce que le DDADUE ferme

Le règlement (UE) 2024/2847 (le Cyber Resilience Act) désigne les autorités de surveillance du marché à l'échelle européenne, mais renvoie aux États membres le soin d'arrêter leur dispositif national : qui est l'autorité compétente, quels sont ses pouvoirs d'enquête spécifiques en droit interne, quelle est la procédure administrative pour prononcer une sanction. En France, cette transposition passe par le projet de loi DDADUE (portant diverses dispositions d'adaptation au droit de l'Union européenne), dont l'article 32 modifie l'article L.43 du Code des postes et des communications électroniques (CPCE).

Le Sénat a adopté ce texte sous procédure accélérée. L'entrée en vigueur est fractionnée par l'article 32 lui-même : le paragraphe I (l'attribution de mission à l'ANFR) entre en vigueur le 11 septembre 2026, date à laquelle l'obligation de notification de l'Article 14 CRA devient applicable. Le paragraphe II (le régime de sanctions administratives) entre en vigueur le 11 décembre 2027, date d'application complète du CRA.

Pour les fabricants qui avaient intégré l'ANFR dans leur analyse de risque dès la publication du CRA, cet article ne contient pas de surprise. Pour ceux qui n'avaient pas encore arrêté quel interlocuteur administratif gérerait leurs dossiers CRA, il apporte une réponse définitive.

La désignation de l'ANFR et la clause de non-opposabilité du secret des affaires

L'article 32 insère un nouveau I quinquies dans l'article L.43 du CPCE. Le premier alinéa est bref et direct : l'ANFR « assure le contrôle du respect du règlement (UE) 2024/2847 ». Le deuxième alinéa est celui qui mérite le plus l'attention des directions juridiques et des équipes conformité.

Il dispose que l'ANFR « peut échanger avec les services de l'État compétents des informations, des documents et des données, dans la stricte mesure nécessaire à l'accomplissement de sa mission, sans que le secret des affaires soit opposable à l'agence ou à ces services de l'État. »

Dans le cadre d'une investigation CRA, un fabricant ne peut pas refuser de communiquer des plans techniques, des rapports d'essais internes, ou des analyses de vulnérabilités au motif qu'ils constituent des informations commercialement sensibles. L'ANFR peut également transmettre ces éléments à l'ANSSI ou à d'autres services de l'État dans les limites de ce qui est nécessaire à sa mission. Ce point est fréquemment sous-estimé dans les plans de conformité : la préparation d'un dossier CRA inclut l'inventaire des documents que l'entreprise serait tenue de produire sur demande.

La procédure de sanction : mise en demeure, contradiction, amende, publication forcée

Le nouveau II ter de l'article L.43 du CPCE décrit la séquence procédurale. Elle se déroule en trois temps.

En premier lieu, la mise en demeure : lorsqu'elle constate un manquement, l'ANFR peut, après procédure contradictoire, mettre en demeure la personne responsable de se conformer dans un délai qu'elle détermine. La mise en demeure est un préalable obligatoire à toute sanction: l'ANFR ne peut pas prononcer une amende sans avoir d'abord mis en demeure.

En deuxième lieu, si la mise en demeure n'est pas suivie d'effet dans le délai imparti, l'ANFR peut prononcer une amende administrative. Avant toute décision, le fabricant est informé par écrit de la sanction envisagée. Il peut accéder aux pièces du dossier, se faire assister par un conseil de son choix, et dispose d'un délai — qui ne peut être inférieur à un mois — pour présenter ses observations écrites et, le cas échéant, orales. Ce délai d'un mois est un plancher légal, plus protecteur que la rédaction du II bis applicable aux équipements radioélectriques, qui renvoyait à un décret le soin de fixer ce délai.

Les trois niveaux de sanction codifiés en droit français

L'article 32 du DDADUE traduit directement les plafonds de l'article 57 du CRA en droit interne. Trois niveaux sont définis :

• Non-respect des exigences essentielles de cybersécurité (Annexe I du CRA) et des obligations des fabricants prévues aux articles 13 et 14 (évaluation de conformité, documentation technique, notification des vulnérabilités et incidents) : amende n'excédant pas 15 millions d'euros ou, pour une entreprise, 2,5 % de son chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu ;
• Non-respect des obligations de processus : gestion des vulnérabilités, notification des incidents, coopération avec les autorités, obligations des importateurs et distributeurs (articles 18 à 23, 28, 30 à 33 paragraphes 1 à 4, 33 paragraphe 5 et 53) : amende n'excédant pas 10 millions d'euros ou 2 % du chiffre d'affaires mondial ;
• Informations inexactes, incomplètes ou trompeuses fournies aux organismes notifiés ou aux autorités de surveillance du marché : amende n'excédant pas 5 millions d'euros ou 1 % du chiffre d'affaires mondial.

Ces plafonds sont identiques à ceux du CRA. La différence avec le régime antérieur applicable aux équipements radioélectriques sous la directive RED est radicale : les plafonds RED s'établissaient à 1 500 € pour une personne physique et 7 500 € pour une personne morale. Ce rapport de 1 à 2 000 entre les deux régimes est un changement structurel dans le calcul du risque réglementaire pour les fabricants de produits radio connectés.

Le texte précise également les règles de cumul : lorsque plusieurs manquements en concours donnent lieu à plusieurs sanctions dont le total excéderait 15 millions d'euros ou 2,5 % du chiffre d'affaires, les amendes s'exécutent cumulativement dans la limite du maximum légal le plus élevé.

Ce qui reste en attente

Deux éléments du dispositif ne sont pas encore finalisés au moment où le DDADUE est adopté par le Sénat.

Un décret en Conseil d'État doit préciser les modalités d'application du II ter. Ce décret couvrira notamment les conditions de recouvrement des amendes (actuellement prévues selon les modalités applicables aux créances étrangères à l'impôt et au domaine) et éventuellement des éléments de procédure complémentaires.

Par ailleurs, les pouvoirs d'enquête spécifiques de l'ANFR pour le CRA (l'accès aux locaux, la demande de documents, la saisie sur autorisation judiciaire) entrent en vigueur à une date distincte fixée par une autre loi d'adaptation (la date retenue dans les travaux parlementaires est le 11 juin 2026). Ces pouvoirs d'enquête sont ceux définis au II de l'article L.43 du CPCE, identiques à ceux utilisés pour les contrôles RED.

Ce que cet article change pour les modèles de risque

Pour les équipes conformité et les conseils qui accompagnent des fabricants de produits radio connectés, l'article 32 du DDADUE met fin à l'incertitude sur l'architecture de contrôle CRA en France. L'ANFR est l'autorité unique. La DGCCRF n'a pas de mandat CRA: un fabricant qui avait intégré la DGCCRF comme autorité CRA potentielle doit corriger cette analyse.

Pour les due diligences d'acquisition, ce texte crée un référentiel de risque précis : les obligations de l'Annexe I et des articles 13 et 14 CRA, si elles ne sont pas respectées, exposent à des sanctions qui, pour une PME avec 50 millions d'euros de chiffre d'affaires mondial, peuvent atteindre 1,25 million d'euros. Pour un groupe industriel avec un milliard d'euros de chiffre d'affaires mondial, le plafond théorique applicable est de 25 millions d'euros. Ces montants sont ceux que l'ANFR peut prononcer par décision administrative, sans procédure judiciaire préalable.

L'article complet sur la méthode de l'ANFR et la logique d'enforcement CRA est disponible ici : CRA : la surveillance de marché vue depuis l'ANFR.