Le Règlement sur la cyberrésilience s'applique-t-il au SaaS ?

Alexis Hirschhorn· CEO, Acuna16 juillet 2026

Réponse directe

Le logiciel en tant que service (SaaS) autonome et l'infrastructure cloud générique ne relèvent pas du Règlement sur la cyberrésilience en tant que tels. Le cloud est visé uniquement lorsqu'il s'agit d'une solution de traitement des données à distance dont un produit connecté a besoin pour remplir une fonction essentielle ; ce composant est alors traité comme faisant partie du produit.

Key Facts

  • Le SaaS autonome et le cloud pur (IaaS/PaaS) sont hors champ en tant que tels.
  • Le cloud est visé uniquement en tant que solution de traitement des données à distance (RDPS) intégrée au produit (art. 3, par. 2).
  • L'ébauche d'orientation de la Commission de mars 2026 a clarifié cette frontière.
  • Test RDPS en trois critères : traitement à distance · le produit en dépend pour une fonction essentielle · développé par ou pour le fabricant.
  • Le cloud tiers sur lequel vous vous contentez d'exécuter votre solution est une dépendance externe, pas votre périmètre produit au sens du RCR.

En soi, le SaaS autonome n'est pas un « produit comportant des éléments numériques » au sens du RCR, et l'infrastructure cloud tierce générique sur laquelle vous vous appuyez est traitée comme une dépendance externe plutôt que comme partie de votre produit (art. 2, 3). Le cloud entre dans le champ d'application uniquement lorsqu'il s'agit d'une solution de traitement des données à distance : un logiciel conçu par le fabricant, à distance, dont l'absence empêcherait le produit connecté d'assurer une fonction essentielle (art. 3, par. 2). Le critère est la dépendance fonctionnelle, et non le simple fait d'« utiliser le cloud ». Un hub domotique qui ne fonctionne pas sans le backend du fabricant intègre ce backend dans le périmètre ; une application web hébergée sur la plateforme d'un tiers ne devient pas soumise au RCR du seul fait d'y tourner. L'ébauche d'orientation de la Commission européenne de mars 2026 a confirmé cette frontière.

Et maintenant

Découvrez comment Acuna automatise ça

Le Règlement sur la cyberrésilience s'applique-t-il au SaaS ? | Acuna GRC Answers | Acuna