Le CRA s'applique-t-il à mon produit ? / App Android
Le Cyber Resilience Act s'applique-t-il aux apps Android ?
Oui. Une app Android distribuée aux utilisateurs de l'UE via Google Play, F-Droid, le sideloading ou le téléchargement direct d'APK est un produit comportant des éléments numériques. L'« activité commerciale » s'interprète largement : publicité, achats intégrés, monétisation des données ou couplage avec un service payant suffisent.
Ce que cela signifie concrètement pour vous
- ▸Dépendances Gradle, bibliothèques natives (.so) et SDK tiers embarqués (analytics, publicité, crash reporting) vont dans la SBOM — les SDK publicitaires sont précisément là où les auditeurs s'attendent à trouver des vulnérabilités.
- ▸Qui distribue hors de Google Play (APK sur son site) porte aussi les obligations du canal de distribution : mises à jour signées, intégrité du téléchargement.
- ▸Les règles de Google Play (niveau d'API cible, formulaire Data Safety) n'ont aucun rapport avec les exigences essentielles du CRA et ne les satisfont pas.
- ▸Classe par défaut : auto-évaluation et marquage CE auto-délivré autorisés — pas d'organisme notifié.
Le piège dans lequel tombent la plupart des équipes
Oublier les SDK tiers embarqués dans la SBOM. Un SDK publicitaire obsolète avec une CVE connue est exactement ce que l'annexe I partie II oblige à corriger « sans retard ».
Les échéances
2026-09-11
Début des obligations de notification : les vulnérabilités activement exploitées et les incidents graves doivent être signalés sous 24 h / 72 h via la plateforme unique de l'ENISA.
2027-12-11
Application intégrale : exigences essentielles, documentation technique, déclaration UE de conformité et marquage CE deviennent obligatoires pour vendre dans l'UE.
Où en est votre produit, concrètement ?
Le Risk Check gratuit (en anglais) vous donne en 3 minutes votre verdict, la classe de risque, un score de préparation et une liste d'actions priorisée. Sans inscription.
Ou laissez CRAdar s'en charger en continu — soyez prévenu au lancement :
Autres types de produits
Guide éditorial sur le règlement (UE) 2024/2847 — ceci n'est pas un conseil juridique.