Le CRA s'applique-t-il à mon produit ? / App iOS
Le Cyber Resilience Act s'applique-t-il aux apps iOS ?
Oui. Les applications mobiles sont explicitement citées par la Commission européenne parmi les produits comportant des éléments numériques. Si votre app iOS est disponible pour des utilisateurs de l'UE sur l'App Store dans le cadre d'une activité commerciale — payante, freemium, financée par la publicité ou compagnon d'un service payant —, vous êtes « fabricant » au sens du règlement (UE) 2024/2847.
Ce que cela signifie concrètement pour vous
- ▸La revue de l'App Store ne vous couvre pas : les obligations du CRA pèsent sur le développeur (fabricant), pas sur le distributeur. Apple, en tant que distributeur, vous demandera de plus en plus des preuves de conformité — pas l'inverse.
- ▸Votre SBOM doit couvrir les dépendances SwiftPM/CocoaPods et les frameworks embarqués — au minimum les dépendances de premier niveau, au format CycloneDX ou SPDX.
- ▸Les bêtas TestFlight pour des testeurs européens peuvent déjà constituer une mise à disposition sur le marché : la conformité commence au premier vecteur de distribution UE, pas à la version 1.0.
- ▸La période de support attendue (en règle générale 5 ans minimum) s'applique par produit, pas par version — définissez une politique de fin de vie pour les anciennes versions.
Le piège dans lequel tombent la plupart des équipes
Croire qu'« Apple s'occupe de la sécurité ». Le marquage CE, le dossier technique, la déclaration UE de conformité et les obligations de notification à l'ENISA sont à vous seul.
Les échéances
2026-09-11
Début des obligations de notification : les vulnérabilités activement exploitées et les incidents graves doivent être signalés sous 24 h / 72 h via la plateforme unique de l'ENISA.
2027-12-11
Application intégrale : exigences essentielles, documentation technique, déclaration UE de conformité et marquage CE deviennent obligatoires pour vendre dans l'UE.
Où en est votre produit, concrètement ?
Le Risk Check gratuit (en anglais) vous donne en 3 minutes votre verdict, la classe de risque, un score de préparation et une liste d'actions priorisée. Sans inscription.
Ou laissez CRAdar s'en charger en continu — soyez prévenu au lancement :
Autres types de produits
Guide éditorial sur le règlement (UE) 2024/2847 — ceci n'est pas un conseil juridique.