Le CRA s'applique-t-il à mon produit ? / Logiciel de bureau
Conformité CRA pour les logiciels de bureau (Windows, macOS, Linux)
Un logiciel de bureau téléchargeable, distribué commercialement à des utilisateurs de l'UE, est pleinement dans le champ — c'est l'exemple type du « produit logiciel comportant des éléments numériques ». Cela vaut pour les installeurs classiques, le Microsoft Store / Mac App Store et les logiciels à clé de licence.
Ce que cela signifie concrètement pour vous
- ▸Il vous faut un mécanisme de mise à jour sûr : l'annexe I exige des mises à jour de sécurité sans retard et gratuites, si possible séparées des mises à jour fonctionnelles.
- ▸La signature de code des installeurs et mises à jour devient de facto obligatoire — un canal de mise à jour non signé échoue à l'exigence d'intégrité.
- ▸Les licences perpétuelles portent aussi une période de support : les vulnérabilités doivent être traitées sur la période déclarée (repère : 5 ans), même si le client ne paie plus jamais.
- ▸Les runtimes embarqués (Electron, JRE, .NET) sont des composants : leurs CVE sont vos CVE — dans la SBOM, surveillance continue.
Le piège dans lequel tombent la plupart des équipes
« Vendu une fois, plus jamais touché. » Le CRA attache les obligations à la mise sur le marché, pas à votre modèle de revenus.
Les échéances
2026-09-11
Début des obligations de notification : les vulnérabilités activement exploitées et les incidents graves doivent être signalés sous 24 h / 72 h via la plateforme unique de l'ENISA.
2027-12-11
Application intégrale : exigences essentielles, documentation technique, déclaration UE de conformité et marquage CE deviennent obligatoires pour vendre dans l'UE.
Où en est votre produit, concrètement ?
Le Risk Check gratuit (en anglais) vous donne en 3 minutes votre verdict, la classe de risque, un score de préparation et une liste d'actions priorisée. Sans inscription.
Ou laissez CRAdar s'en charger en continu — soyez prévenu au lancement :
Autres types de produits
Guide éditorial sur le règlement (UE) 2024/2847 — ceci n'est pas un conseil juridique.