Publications

Cybersécurité des objets connectés : nouvelles obligations en vigueur depuis août 2025

Publié le 7 août 2025

cybersécurité objets connectés obligations 2025

Depuis le 1er août 2025, les fabricants d’équipements radioélectriques connectés à Internet doivent se conformer à de nouvelles obligations en matière de cybersécurité et de protection des données personnelles. Ces exigences découlent du Règlement (UE) 2022/30, qui vient compléter la Directive RED (2014/53/UE).

Ce texte marque une étape majeure dans la stratégie européenne de sécurisation des technologies connectées, en cohérence avec le RGPD, le Cyber Resilience Act et l’AI Act.

Quels objets sont concernés par le nouveau régime ?

Sont visés par cette réglementation :

Les équipements radioélectriques connectés à Internet (ex. objets IoT, montres connectées, équipements domotiques)
Les dispositifs communicants échangés via réseaux mobiles, Wi-Fi ou Bluetooth
Les produits destinés aux enfants ou à des usages critiques (santé, sécurité, etc.)

Les exigences obligatoires à respecter

Le règlement impose désormais aux fabricants et distributeurs de nouveaux standards de sécurité :

1. Sécurité dès la conception (secure by design)

Les équipements doivent intégrer des mécanismes de sécurité intégrés dès leur phase de développement. Objectif : éviter toute faille exploitable dès la mise sur le marché.

2. Analyse de risques technique et juridique

Les acteurs doivent procéder à une évaluation des risques liés à l’usage de leur produit, en tenant compte des enjeux cybersécurité et RGPD.

3. Protection des données personnelles

Les produits doivent respecter les principes du RGPD : minimisation des données, transparence, sécurité, gestion des droits des utilisateurs.

4. Documentation technique démontrant la conformité

Une documentation conforme aux normes harmonisées EN 18031 est exigée pour prouver la conformité du produit.

5. Procédure d’évaluation de conformité adaptée

Les fabricants doivent choisir une procédure de type CE adaptée au niveau de risque : auto-certification ou examen UE de type par un organisme notifié.

Attention : conformité aux normes ≠ conformité automatique

La conformité à une norme harmonisée ne garantit pas automatiquement la conformité réglementaire. Il est essentiel d’analyser finement :

Le périmètre d’application de la norme
Le niveau de criticité du produit
La catégorie de données traitées (notamment les données sensibles ou les données d’enfants)

Quels sont les risques en cas de non-conformité ?

Les sanctions peuvent être sévères :

Retrait ou suspension du produit du marché européen
Sanctions administratives prononcées par les autorités nationales
Engagement de la responsabilité civile ou contractuelle des fabricants

Une brique essentielle dans la stratégie européenne de cybersécurité

Cette nouvelle étape s’inscrit dans un mouvement plus large de régulation des technologies connectées, aux côtés :

Du RGPD, pour la protection des données personnelles
Du Cyber Resilience Act, pour les exigences de sécurité informatique des produits numériques
De l’AI Act, pour les systèmes d’intelligence artificielle (découvrir nos services)

Vers un marché numérique plus sûr et plus exigeant

L’entrée en vigueur du règlement (UE) 2022/30 marque une évolution importante dans la gouvernance de la cybersécurité des objets connectés en Europe. En imposant des obligations claires dès la conception des produits, l’Union européenne renforce la sécurité des utilisateurs tout en responsabilisant les acteurs industriels.

Cette nouvelle étape s’inscrit dans une logique de convergence réglementaire : les exigences en matière de cybersécurité ne peuvent plus être dissociées de celles relatives à la protection des données personnelles. Les fabricants, importateurs et distributeurs doivent désormais intégrer ces deux dimensions dans leur stratégie produit.

Alors que le nombre d’objets connectés continue de croître, ces exigences visent à bâtir un écosystème numérique plus résilient, plus transparent et plus respectueux des droits fondamentaux.