Le CRA s'applique-t-il à mon produit ? / Bibliothèque open source
L'open source et le CRA : quand les mainteneurs sont exemptés
Les logiciels libres développés ou fournis hors de toute activité commerciale sont exclus — le texte final du CRA protège explicitement les mainteneurs amateurs et communautaires. La frontière est comportementale, pas liée à la licence : monétisez la fourniture et vous pouvez basculer dans le champ.
Ce que cela signifie concrètement pour vous
- ▸Sans risque : dons, contributions rémunérées à un projet que vous ne monétisez pas, projets communautaires portés par une fondation (les « stewards » ont un régime allégé).
- ▸Risqué : double licence, support ou hébergement payants du logiciel, open core avec fonctions payantes, sponsorware — cela ressemble à une fourniture commerciale.
- ▸Les entreprises qui intègrent votre bibliothèque dans leurs produits portent les obligations pour leurs produits — et vous demanderont SBOM, contact sécurité et SLA de correction. La pression de l'écosystème arrive quel que soit votre statut juridique.
- ▸Si vous vendez en plus un produit bâti sur votre propre open source, le produit est dans le champ même si la bibliothèque seule ne l'est pas.
Le piège dans lequel tombent la plupart des équipes
Croire l'exemption permanente. Le jour où vous lancez des fonctions « Pro » ou un hébergement cloud payant, votre horloge de conformité démarre — rattraper SBOM et processus de divulgation sous pression est bien plus douloureux que de les bâtir tranquillement maintenant.
Les échéances
2026-09-11
Début des obligations de notification : les vulnérabilités activement exploitées et les incidents graves doivent être signalés sous 24 h / 72 h via la plateforme unique de l'ENISA.
2027-12-11
Application intégrale : exigences essentielles, documentation technique, déclaration UE de conformité et marquage CE deviennent obligatoires pour vendre dans l'UE.
Où en est votre produit, concrètement ?
Le Risk Check gratuit (en anglais) vous donne en 3 minutes votre verdict, la classe de risque, un score de préparation et une liste d'actions priorisée. Sans inscription.
Ou laissez CRAdar s'en charger en continu — soyez prévenu au lancement :
Autres types de produits
Guide éditorial sur le règlement (UE) 2024/2847 — ceci n'est pas un conseil juridique.