Quelles sont les sanctions prévues par le Cyber Resilience Act (CRA) ?

Alexis Hirschhorn· CEO, Acuna16 juillet 2026

Réponse directe

Les manquements aux exigences essentielles ou aux obligations des fabricants exposent à des amendes pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial total, selon le montant le plus élevé. Des plafonds inférieurs s'appliquent aux autres infractions et aux informations incorrectes fournies. Les gestionnaires de logiciels open source sont exemptés des sanctions administratives au titre de l'article 64.

Key Facts

  • Palier supérieur : 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial total — manquements aux exigences essentielles (annexe I) ou aux obligations des art. 13 et 14 (art. 64).
  • Palier intermédiaire : 10 millions d'euros ou 2 % — autres obligations non couvertes par le palier supérieur.
  • Palier inférieur : 5 millions d'euros ou 1 % — informations incorrectes, incomplètes ou trompeuses fournies aux autorités.
  • Le « chiffre d'affaires annuel mondial total » peut inclure le chiffre d'affaires du groupe-mère.
  • Contrôle par les autorités nationales de surveillance du marché (Règlement (UE) 2019/1020).
  • Les gestionnaires de logiciels open source sont exemptés des sanctions administratives (art. 64(10)).
  • Les micro et petites entreprises sont exemptées d'amendes en cas de manquement au délai d'alerte précoce de 24 heures ; toutes les autres obligations restent applicables.

Le RCR prévoit une structure de sanctions à plusieurs niveaux (art. 64), le plafond étant déterminé par le chiffre d'affaires ou un montant fixe, selon le montant le plus élevé : | Infraction | Plafond d'amende | |---|---| | Manquement aux exigences essentielles (annexe I) ou aux obligations des art. 13 et 14 | 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial total | | Manquement aux autres obligations | 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total | | Fourniture d'informations incorrectes, incomplètes ou trompeuses | 5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial total | La base « chiffre d'affaires annuel mondial total » signifie que l'amende d'une filiale peut être calculée sur le chiffre d'affaires du groupe-mère. Deux exemptions s'appliquent : les gestionnaires de logiciels open source sont explicitement exemptés des sanctions administratives au titre de l'article 64(10) ; et les micro et petites entreprises sont exemptées d'amendes en cas de manquement au délai d'alerte précoce de 24 heures, bien que toutes les obligations substantielles restent applicables.

Et maintenant

Découvrez comment Acuna automatise ça

Quelles sont les sanctions prévues par le Cyber Resilience Act (CRA) ? | Acuna GRC Answers | Acuna