Points clés.
Le CRA a des conséquences importantes pour les produits comportant des éléments numériques (PEN).
Les PEN ne peuvent plus simplement être mis sur le marché « en l’état ». En vertu du CRA, ces derniers doivent désormais satisfaire à des exigences essentielles minimales en matière de cybersécurité. Les fabricants, importateurs et distributeurs seront tenus de garantir la sécurité, la maintenance et le support du PEN avant et après sa mise sur le marché. Chaque acteur doit analyser l’impact du CRA sur lui-même et sur ses contrats.
Les contrats en amont (avec les fournisseurs) et les contrats en aval (avec les clients) doivent être révisés.
Les contrats avec les fournisseurs et les clients doivent idéalement contenir des dispositions spécifiques concernant les droits d’audit, les obligations de notification, les obligations de coopération, les obligations d’information, les clauses de responsabilité, ainsi que les garanties de correctifs et de mises à jour.
Les processus de sélection des fournisseurs doivent également être révisés.
Si vous tenez compte de la conformité au CRA dès le processus de sélection d’un fournisseur, vous évitez des négociations fastidieuses avec un fournisseur qui n’a jamais été conforme au CRA. Ou pire : vous évitez de découvrir que le fournisseur n’est pas conforme au CRA après la signature du contrat.
Des contrats back-to-back sont nécessaires pour une répartition correcte des risques.
Il est important que les clauses des contrats fournisseurs et des contrats clients soient alignées dans l’ensemble de la chaîne. Cela évite qu’un distributeur, par exemple, assume certaines responsabilités qu’il n’est pas censé porter, mais qui incombent à son fournisseur ou à son client.
N’attendez pas pour mettre en œuvre le CRA !
Les obligations du CRA entrent en vigueur progressivement entre décembre 2024 et décembre 2027. Pour rester conforme et éviter les risques opérationnels et juridiques, il est essentiel de commencer dès maintenant à analyser l’impact du CRA sur votre organisation et à rédiger ou réviser vos contrats.
Qu’est-ce que le CRA et quel est son impact sur vos contrats ?
Là où la directive NIS2 porte sur la cybersécurité au niveau organisationnel, le Cyber Resilience Act (CRA) porte sur la cybersécurité au niveau des produits.
Pour rehausser le niveau de cybersécurité des produits comportant des éléments numériques (PEN), le CRA interdit la mise sur le marché de PEN « en l’état », c’est-à-dire sans qu’ils satisfassent aux exigences essentielles de cybersécurité.
Le CRA est-il entièrement nouveau pour vous ? Ou ne savez-vous pas encore ce qu’est un PEN ? Lisez d’abord notre blog précédent : Le Cyber Resilience Act (CRA) en 10 questions et réponses.
Ce blog se concentre sur l’impact du CRA sur vos contrats en tant que fabricant, importateur ou distributeur. En pratique, la conformité au CRA est une question multidisciplinaire. Outre l’aspect technique, l’aspect juridique ne doit pas être négligé.
Les obligations du CRA ont en effet des conséquences importantes pour les contrats de l’ensemble de la chaîne. Les organisations devront revoir tant leurs contrats avec les fournisseurs (en amont) que leurs contrats avec les clients (en aval), pour vérifier leur conformité au CRA. Cela est pertinent non seulement pour les contrats, mais aussi pour d’autres documents juridiques tels que les conditions d’achat, les conditions de vente et les accords de niveau de service (SLA).
Nous distinguons ci-dessous les conséquences pour :
- Les contrats en amont (avec les fournisseurs)
- Les contrats en aval (avec les clients)
Quelles sont en bref les obligations du CRA pour les fabricants, importateurs et distributeurs de PEN ?
Pour comprendre l’impact du CRA sur les contrats, nous devons d’abord avoir une idée claire des obligations du CRA.
Le CRA prévoit diverses obligations pour garantir que les PEN sont conçus, développés et produits conformément aux exigences essentielles de cybersécurité du CRA.
Le CRA impose donc aux fabricants, lorsqu’ils intègrent dans leur PEN des composants achetés auprès de tiers (tels que des unités centrales de traitement, des cartes graphiques ou des bibliothèques logicielles), d’effectuer une « due diligence ». Si le fabricant découvre une vulnérabilité, il est tenu d’en informer le tiers qui fabrique ou maintient le composant, de traiter et de corriger la vulnérabilité et, le cas échéant, de fournir à ce tiers le correctif de sécurité appliqué.
Le CRA n’impose pas seulement des obligations aux fabricants, mais aussi aux importateurs et distributeurs de PEN. Ceux-ci doivent notamment vérifier que les PEN qu’ils mettent sur le marché :
- satisfont aux exigences essentielles de cybersécurité du CRA
- sont accompagnés de la documentation technique requise
- portent le marquage CE et les déclarations de conformité
- sont accompagnés de mises à jour de sécurité et de procédures relatives aux vulnérabilités
Si l’importateur ou le distributeur sait (ou devrait savoir) qu’un PEN n’est pas conforme au CRA, il ne doit pas mettre le produit sur le marché ni poursuivre sa distribution.
Conséquences pour les contrats en amont (avec les fournisseurs).
Le CRA crée pour les fabricants, importateurs et distributeurs un besoin clair d’obtenir des garanties contractuelles de leurs fournisseurs, car la coopération de ces fournisseurs est nécessaire pour pouvoir respecter leurs propres obligations au titre du CRA.
Nous listons ci-dessous quelques exemples de clauses que ces acteurs devraient inclure dans leurs contrats avec les fournisseurs :
Droits d’audit et obligations d’information
Pour les fabricants, il est important qu’ils effectuent une due diligence appropriée et obtiennent en temps utile les informations (techniques) nécessaires (et les éventuelles mises à jour) lors de l’achat de composants auprès de tiers. Cela est nécessaire pour respecter leurs propres obligations au titre du CRA, telles que :
- l’établissement du Software Bill of Materials (SBOM),
- la fourniture d’informations et d’instructions aux utilisateurs,
- la réponse aux questions des autorités de surveillance,
- l’obtention de l’évaluation de conformité.
Pour les importateurs et distributeurs, il est également important qu’ils reçoivent de leurs fournisseurs les informations (techniques) nécessaires (et les éventuelles modifications de ces informations), ou qu’ils puissent les vérifier. Cela est nécessaire pour respecter leurs propres obligations au titre du CRA, telles que :
- la fourniture d’informations à la demande des autorités compétentes,
- la fourniture d’informations à leurs clients (p. ex. concernant les mises à jour du PEN),
- la vérification que les PEN satisfont aux exigences essentielles de cybersécurité,
- la vérification que toutes les mentions requises sont présentes sur le PEN, ou
- l’obtention de la documentation requise pour mettre des PEN sur le marché.
Obligations de coopération
Il est conseillé de prévoir contractuellement que le fournisseur doit prendre les mesures correctives nécessaires, telles que la fourniture de correctifs, le retrait du marché des PEN non conformes, leur rappel ou l’arrêt de leur distribution.
Obligations de notification des vulnérabilités et des incidents
Les fabricants sont tenus de signaler à leur fournisseur toute vulnérabilité découverte dans des composants achetés auprès de tiers, et d’y remédier sans délai. Pour les importateurs et distributeurs, il peut être utile d’imposer au fabricant d’analyser les vulnérabilités et incidents connus et de développer des correctifs ou mises à jour, qui devront ensuite être mis à disposition immédiatement et gratuitement (éventuellement assortis des niveaux de service appropriés).
Notification en cas de cessation d’activités ou de support
Il est important d’inclure une clause obligeant le fournisseur à informer le fabricant en temps utile de toute cessation d’activités envisagée ou de tout arrêt du support, de la production ou de la disponibilité d’un composant essentiel au fonctionnement ou à la sécurité, afin que le fabricant puisse respecter ses obligations en matière de support produit, de mises à jour de sécurité et de notifications aux utilisateurs et aux autorités, et afin que les importateurs et distributeurs puissent informer les autorités et les utilisateurs concernés en temps utile.
En cas de cessation d’activités ou de fin du support, de la production ou de la disponibilité, il peut également être conseillé de prévoir des arrangements relatifs à l’accès au code source, au firmware et à la documentation technique, éventuellement dans le cadre d’un accord d’entiercement. Vous pouvez également convenir que le fournisseur doit proposer des alternatives valables ou des composants de remplacement, ou qu’il doit accompagner la migration ou la refonte du PEN. Cela peut être lié à des niveaux de service et à des sanctions.
Garanties de correctifs et de mises à jour
Pour les fabricants, importateurs et distributeurs, il est important d’inclure des dispositions obligeant leur fournisseur, pendant la période de support du PEN, à signaler sans délai les vulnérabilités, à les analyser et à développer des correctifs ou mises à jour qui devront ensuite être mis à disposition immédiatement et gratuitement. Cela peut être lié à des niveaux de service et à des sanctions.
Software Bill of Materials (SBOM)
Le fabricant doit convenir contractuellement que les fournisseurs fournissent une liste détaillée de tous les composants (y compris les composants open source). Si un fournisseur s’y refuse, le fabricant ne pourra pas respecter ses propres obligations au titre du CRA.
Responsabilité et garantie
Le fabricant doit pouvoir tenir le fournisseur responsable ou l’appeler en garantie en cas d’amendes ou de dommages si le composant ne satisfait pas aux exigences CRA convenues ou si le fournisseur omet de fournir des mises à jour. Les importateurs et distributeurs doivent également pouvoir tenir leur fournisseur responsable ou l’appeler en garantie s’il ne respecte pas le CRA. Les régimes ou limitations de responsabilité existants devront éventuellement être révisés.
Résiliation
La possibilité de résilier les contrats existants devra peut-être aussi être révisée, clarifiée ou étendue dans le contexte du CRA, par exemple si une partie ne fournit pas (dans les délais) un correctif ou si ce correctif s’avère insuffisant pour remédier à la vulnérabilité. L’inclusion de dispositions de sortie ou de migration peut également être utile pour assurer la continuité du PEN pendant sa période de support.
Niveaux de service et Service Level Agreement (SLA)
De manière générale, il peut être utile de convenir de niveaux de service ou d’un SLA distinct.
Conséquences pour les contrats en aval (avec les clients ou revendeurs).
Outre les risques en amont, les acteurs mentionnés doivent également tenir compte de leurs obligations en aval envers les clients. Il peut s’agir par exemple d’utilisateurs finaux, d’importateurs ou de distributeurs.
Nous listons ci-dessous quelques exemples de clauses à prendre en compte dans les conditions générales (de vente), les contrats de licence, les conditions d’utilisation ou autres documents juridiques conclus avec les clients.
Période de support
Le fabricant doit indiquer la durée de vie prévue ou une période fixe pendant laquelle il fournira des mises à jour de sécurité.
Limitation de responsabilité
Le fabricant ne peut plus simplement exclure toute responsabilité en matière de cybersécurité. Étant donné que le CRA fixe des exigences essentielles légales en matière de cybersécurité, un tribunal pourrait être plus prompt à requalifier ou à examiner plus attentivement les clauses « en l’état ». Les régimes ou limitations de responsabilité existants devront éventuellement être révisés.
Obligations de mise à jour
Le fournisseur peut obliger les clients à installer les mises à jour dans un délai déterminé. Si les clients refusent d’installer les mises à jour ou ne le font pas dans les délais, le fournisseur peut limiter sa responsabilité pour les incidents qui auraient pu être évités grâce à cette mise à jour. Le contrat peut également préciser comment les mises à jour seront fournies.
Informations et instructions pour l’utilisateur
Le CRA exige que les PEN soient accompagnés d’informations et d’instructions claires pour l’utilisateur, notamment sur l’utilisation sécurisée du PEN, ses fonctionnalités de sécurité et la manière d’installer les mises à jour de sécurité. Cette obligation incombe en premier lieu au fabricant. Les importateurs et distributeurs doivent veiller à ce que ces informations soient présentes lorsqu’ils mettent le PEN sur le marché ou poursuivent sa distribution. Dans les contrats avec les clients, il peut donc être conseillé de faire référence à ces informations et instructions d’utilisation, afin que le client confirme les avoir lues et comprises, ou du moins qu’il soit clair où il peut les trouver et les consulter.
Obligations de notification des vulnérabilités et des incidents
Il est important que les vulnérabilités et les incidents soient signalés au fabricant, car celui-ci a ses propres obligations de notification et doit prendre des mesures correctives. Cette obligation de notification doit également être prévue contractuellement.
Obligations de coopération
Dans certains cas, un incident peut nécessiter une coopération entre le fournisseur et le client. Les contrats peuvent donc prévoir des arrangements et des procédures pour la coopération dans l’investigation d’un incident et la communication de certaines informations à son sujet.
Faut-il examiner l’ensemble des contrats (contrats back-to-back) ?
Oui, chaque contrat doit être examiné dans le contexte de l’ensemble des contrats de la chaîne, car un contrat a des conséquences sur un autre. Ceux-ci doivent être alignés pour former un ensemble cohérent d’obligations, afin d’éviter toute lacune contractuelle.
|
Faut-il faire une distinction entre les contrats types et les contrats existants ?
Oui, il est préférable de faire une distinction entre vos contrats types et vos contrats existants (signés) :
Contrats types : il est préférable de les réviser le plus rapidement possible, afin que les futurs contrats que vous conclurez soient conformes au CRA.
Contrats existants : ceux-ci peuvent être révisés dès maintenant par voie d’avenant, ou lorsque le contrat approche de son terme ou de sa date de renouvellement, selon le type d’accord. Cela nécessite d’avoir une bonne vue d’ensemble de vos contrats existants et de savoir quand ils arrivent à terme ou sont renouvelés. Si vous ne disposez pas de cette vue d’ensemble, il est préférable de la cartographier d’abord.
Quand devez-vous réviser vos contrats ?
En tant que fabricant, il est préférable d’adapter vos contrats avant le 11 septembre 2026, conformément à l’entrée en vigueur progressive du CRA. L’entrée en vigueur progressive du CRA est abordée plus loin.
En tout état de cause, n’attendez pas le dernier moment pour adapter vos contrats. Vous devrez peut-être négocier le contrat avec votre fournisseur ou votre client, ce qui peut prendre du temps. En engageant la conversation suffisamment tôt, vous évitez de devoir négocier sous pression.
Devez-vous également réviser d’autres processus ?
Oui, le CRA n’impacte pas seulement vos contrats (en amont et en aval), mais peut aussi avoir un impact sur d’autres processus, comme le processus de sélection des fournisseurs.
Les négociations avec un fournisseur mature et conforme au CRA se dérouleront toujours plus facilement et plus rapidement qu’avec un fournisseur qui n’a jamais entendu parler du CRA. Les questionnaires fournisseurs existants devront éventuellement aussi être adaptés.
Qu’en est-il des produits déjà sur le marché ?
Pour les produits comportant des éléments numériques qui sont actuellement sur le marché ou qui seront mis sur le marché avant le 11 décembre 2027, les dispositions du CRA ne s’appliqueront qu’à partir du moment où ces PEN feront l’objet d’une modification substantielle.
Cela ne signifie pas pour autant qu’il n’y a pas d’impact contractuel pour ces PEN existants, car il existe une exception à cette règle : l’obligation de notification du fabricant pour certaines vulnérabilités et certains incidents s’applique à tous les PEN, y compris ceux mis sur le marché avant le 11 décembre 2027.
Où le CRA s’applique-t-il et quel est l’impact contractuel ?
Le CRA est un règlement européen et s’applique donc directement dans tous les États membres de l’Union européenne, sans devoir être transposé en droit national (contrairement à la directive NIS2).
Cela n’empêche pas le CRA d’avoir des conséquences sur les contrats conclus avec des parties non européennes, par exemple si votre fournisseur est établi hors d’Europe. Négocier avec, par exemple, un fournisseur américain pour rendre le contrat conforme au CRA devient une question de rapport de force. Il est préférable d’aborder cela de manière stratégique.
À partir de quand le CRA s’applique-t-il ?
Les obligations du CRA s’appliquent progressivement. Voici quelques dates clés de la période transitoire :
- Le 11 décembre 2024, le CRA est entré en vigueur.
- Le 11 juin 2026, les organismes d’évaluation de la conformité (OEC) seront habilités à évaluer la conformité des produits aux exigences du CRA.
- Le 11 septembre 2026, les fabricants de produits connectés seront soumis à des obligations de notification obligatoires pour les vulnérabilités et les incidents. Les fabricants devraient idéalement avoir conclu leurs arrangements contractuels avec leurs fournisseurs et clients avant cette date.
- Le 11 décembre 2027, toutes les dispositions restantes du CRA s’appliqueront enfin, notamment les exigences essentielles de cybersécurité avant la mise sur le marché d’un PEN, la gestion des vulnérabilités tout au long du cycle de vie complet du PEN et la transparence envers les utilisateurs.
Comment CRANIUM peut-il m’aider ?
La mise en œuvre du CRA requiert une approche multidisciplinaire, tant juridique que technique. Au sein du Groupe CRANIUM, nous disposons de toute l’expertise nécessaire en interne pour vous accompagner pleinement.
L’équipe Digital Law de CRANIUM prend en charge les aspects juridiques (p. ex. l’évaluation de l’applicabilité du CRA à votre organisation, la rédaction et la révision de vos contrats, l’assistance juridique pour satisfaire à l’obligation de notification et l’accompagnement dans le cadre de l’application).
Cingulum prend en charge les aspects cybersécurité.
