Objets connectés : Bruxelles veut éviter les doublons réglementaires
Jamais les législations européennes n'ont été aussi nombreuses en matière de numérique. Problème : certaines d'entre elles se chevauchent, voire se contredisent. C'est ce qu'ont constaté de nombreux fabricants d'objets connectés avec de l'IA intégrée. Selon Roland Atoui, directeur général de Red Alert Labs, laboratoire d'évaluation spécialisé dans la sécurité des objets connectés, ils s'inquiètent de devoir conformer leurs produits à deux règlements à la fois : l'IA Act, qui impose des exigences sur la sécurité de l'IA, et le Cyber resilience act (CRA), qui régule les produits comportant des éléments numériques.
Pour rappel, l'AI Act, qui s'appliquera pleinement en août 2026, impose des exigences de cybersécurité aux fournisseurs comme la mise en œuvre d'une analyse de risques des systèmes d'IA qu'ils mettent sur le marché, le signalement des incidents affectant ces systèmes, etc. De son côté, le CRA, qui commencera à s'appliquer dès l'été 2026, oblige les fournisseurs de produits connectés à évaluer ceux-ci et à reporter les incidents cyber les affectant, mais aussi à les concevoir security by design, avec des mécanismes de confidentialité et d'intégrité des données stockées, etc.
Evaluation et signalements d'incidents : un vrai casse-tête
"Tous les produits connectés vont intégrer de plus en plus l'IA. Qu'il s'agisse, par exemple, des caméras ou des véhicules connectés. Ils sont donc visés par le CRA mais aussi par l'AI Act. Or chacun de ces textes possède ses propres exigences qui se chevauchent", résume Roland Atoui. C'est principalement le cas dans l'évaluation des objets connectés et le signalement des incidents cyber qui les affectent. "L'enchevêtrement des deux textes complexifie les processus pour les fabricants".
Le fabricant d'objets connectés intégrant de l'IA doit en effet réaliser deux évaluations de conformité distinctes de ses produits : une pour vérifier leur conformité à l'AI Act, et une autre pour le CRA. "Il n'est pas prévu qu'un produit conforme à l'un des deux textes soit automatiquement conforme à l'autre. Et pour cause, une analyse de risques pour répondre aux exigences du CRA n'a rien à voir avec une analyse de risques pour l'AI Act. Les exigences du CRA sont relatives à la cybersécurité by design ou au management des vulnérabilités tandis que les exigences de l'AI Act sont surtout relatives à la robustesse, la transparence, la performance, aux droits fondamentaux, etc."
Il existe toutefois une exception pour les produits numériques contenant une IA à haut risque, telle que définie par l'AI Act. Il s'agit des systèmes d'IA qui peuvent provoquer des impacts significatifs sur la sécurité, la santé ou les droits fondamentaux des citoyens : IA pilotant un dispositif médical, assistant les autorités administratives dans leurs décisions, permettant la conduite autonome, etc. Pour ces produits, le CRA prévoit en effet que l'évaluation de conformité prévue dans l'AI Act suffise, indique Alexandra Iteanu, avocate spécialisée dans le droit de la cybersécurité. Pour ces IA à haut risque, l'AI Act prescrit en effet des exigences de sécurité proches de celles du CRA.
En plus de devoir réaliser deux évaluations pour le même produit, les fabricants doivent respecter des procédures de signalement d'incident différentes selon le texte. En cas d'incident cyber affectant l'objet connecté, le CRA oblige son fournisseur à le notifier dans un délai de 24 à 72 heures, à l'autorité nationale compétente ou à l'Agence de l'Union européenne pour la cybersécurité (Enisa). En cas d'incident cyber affectant l'IA, l'AI Act dispose que le fournisseur doit le notifier dans un délai de 15 jours après en avoir eu connaissance, à l'autorité compétente en fonction du secteur concerné (Commission nationale de l'informatique et des libertés, Direction générale du travail, etc.). Si un produit numérique subit un incident cyber qui affecte aussi son IA, alors son fournisseur doit suivre ces deux procédures impliquant des autorités et délais différents.
Vers un guide pour plus de clarté
Alerté par le groupe d'experts du CRA sur cette complexité réglementaire, la commission européenne a lancé, en novembre 2025, des travaux pour élaborer un guide d'interprétation. Celui-ci précisera comment harmoniser les procédures d'évaluation de conformité et de signalement d'incidents pour les produits numériques avec de l'IA embarquée. Il sera élaboré par le groupe d'experts du CRA et le comité de l'IA et devrait être publié durant l'année 2026. Il vise principalement à réduire la complexité et la charge administrative pour les fabricants.
"Il y a une nécessité d'appréhender ces exigences différentes de manière complémentaire afin de ne pas donner plus de travail que nécessaire aux fabricants et aux autorités de surveillance. Si on ne parvient pas à réduire la complexité actuelle, on va probablement se retrouver dans une situation où des produits numériques non conformes circuleront sur le marché, et il sera difficile de les surveiller. Cela est aussi important pour les laboratoires comme Red Alert Labs afin de nous permettre d'accompagner au mieux les fabricants dans les évaluations de conformité. Idéalement, il faudrait qu'on intègre dans notre analyse de risques les standards du CRA avec les exigences de l'AI Act", conclut Roland Atoui.