Directive EU RED : impact majeur sur l’IoT et les revendeurs

  • Temps de lecture : 15 minutes

Introduction à l’EU RED

Directive européenne clé pour la sécurité des équipements connectés, l’EU RED redéfinit les obligations des fabricants et revendeurs IoT pour un marché numérique plus sûr et harmonisé.

Comprendre la Radio Equipment Directive (EU RED)

La Radio Equipment Directive (2014/53/UE), ou EU RED, encadre la mise sur le marché européen des équipements radio — une catégorie désormais très large incluant les objets connectés (IoT), les routeurs, montres intelligentes, caméras, téléphones, systèmes domotiques, et bien plus.

Initialement centrée sur la sécurité électrique et électromagnétique, la directive a évolué pour intégrer un volet cybersécurité majeur. Cette extension répond à la montée en puissance des cyberattaques exploitant les failles des objets connectés, souvent mal sécurisés ou dépourvus de mécanismes de mise à jour.

Pourquoi cette directive est-elle cruciale aujourd’hui ?

Avec plusieurs milliards d’objets connectés en circulation dans l’Union européenne, l’EU RED est devenue un levier stratégique de souveraineté numérique.
Elle vise à :

  • Garantir la sécurité des utilisateurs face aux risques d’exploitation à distance.
  • Assurer une interopérabilité technique entre produits européens.
  • Responsabiliser la chaîne de distribution : fabricants, importateurs, revendeurs.
  • Réduire les risques systémiques liés à l’usage massif d’appareils connectés non conformes.

L’application de ces nouvelles exigences, renforcées par des actes délégués publiés par la Commission européenne, marque une transition vers un écosystème numérique plus fiable et contrôlé.

Vers une nouvelle ère de conformité technologique

Les entreprises impliquées dans la conception ou la commercialisation de produits connectés doivent désormais anticiper des audits techniques et une documentation beaucoup plus rigoureuse.
Les normes harmonisées (EN, ETSI, ISO/IEC) deviennent incontournables, tout comme la traçabilité complète des composants logiciels et firmwares utilisés.

L’objectif n’est plus seulement la conformité réglementaire, mais la protection proactive des utilisateurs et des infrastructures numériques.

L’enjeu pour les PME et startups technologiques

Pour de nombreuses structures innovantes — notamment les startups IoT ou intégrateurs systèmes —, ces obligations peuvent sembler complexes. Pourtant, elles représentent aussi une opportunité stratégique :
mettre en avant des produits fiables, durables et éthiques, capables d’inspirer confiance sur un marché où la sécurité devient un critère d’achat déterminant.

Objectifs de la nouvelle version

La révision de la directive EU RED vise à renforcer la sécurité, l’interopérabilité et la transparence des équipements radio, notamment ceux intégrant des fonctions connectées ou intelligentes.

Une directive adaptée à l’ère des objets connectés

L’Union européenne a identifié un problème majeur : la prolifération d’objets connectés vulnérables, souvent conçus sans cadre de sécurité clair.
La nouvelle version de l’EU RED vient combler ce vide.
Elle ne se limite plus à la conformité technique des signaux radio — elle impose désormais des exigences numériques destinées à :

  • protéger les utilisateurs contre l’accès non autorisé à leurs données,
  • prévenir l’utilisation malveillante des équipements IoT,
  • assurer la mise à jour logicielle sécurisée,
  • favoriser une plus grande interopérabilité entre systèmes.

En d’autres termes, elle transforme une directive « technique » en socle réglementaire de cybersécurité pour les appareils connectés.

Trois grands axes stratégiques

Les objectifs de l’EU RED révisée se structurent autour de trois piliers clés :

  1. Sécurité et protection des données
    Chaque appareil connecté doit garantir que les données personnelles et les communications soient protégées contre tout accès non autorisé.
  2. Résilience face aux cybermenaces
    Les produits doivent intégrer des mécanismes de protection contre les attaques logicielles, l’injection de code malveillant et les détournements de protocole.
  3. Interopérabilité et durabilité
    L’Union européenne favorise une standardisation accrue des protocoles et interfaces pour éviter la fragmentation technologique et encourager une économie circulaire du numérique.

Un cadre aligné avec la stratégie européenne de cybersécurité

L’EU RED s’inscrit dans un écosystème réglementaire plus large, en cohérence avec :

  • le Cyber Resilience Act (CRA),
  • la directive NIS2,
  • et le Digital Product Passport (DPP),
    tous visant à construire une Europe numérique sûre et souveraine.

L’idée est simple : chaque appareil connecté à un réseau doit être sécurisé par conception (security by design) et par défaut (security by default).

Vers une responsabilisation globale des acteurs du numérique

Ce texte ne s’adresse pas uniquement aux fabricants : il engage toute la chaîne de valeur numérique.
Les intégrateurs, importateurs, plateformes de vente en ligne et revendeurs doivent s’assurer que leurs produits respectent les nouvelles exigences, sous peine de sanctions.

C’est une évolution culturelle : la conformité devient une responsabilité partagée, au service de la confiance numérique.

Périmètre d’application

L’EU RED s’applique à une large gamme d’équipements radio et connectés, incluant la majorité des appareils IoT. Comprendre ce périmètre est essentiel pour anticiper les obligations de conformité.

Quels équipements sont concernés par la directive EU RED ?

La directive 2014/53/UE couvre tous les dispositifs émettant ou recevant des ondes radio à des fins de communication ou de détection.
Cela englobe une très large variété de produits du quotidien et d’équipements professionnels :

  • Objets connectés domestiques : enceintes Bluetooth, assistants vocaux, caméras de sécurité, serrures intelligentes, thermostats connectés, etc.
  • Équipements informatiques et mobiles : smartphones, tablettes, routeurs, ordinateurs portables, modems, dongles USB.
  • Dispositifs professionnels : capteurs industriels IoT, passerelles de communication, équipements de télémétrie, outils connectés, systèmes d’accès, etc.
  • Solutions dans le domaine de la santé : montres connectées de suivi médical, dispositifs de mesure à distance, balances intelligentes.
  • Objets connectés embarqués : systèmes GPS, véhicules connectés, solutions de mobilité urbaine, drones.

L’IoT, principal champ d’impact

L’Internet des Objets constitue le cœur des préoccupations du législateur.
Ces dispositifs, souvent produits à faible coût, intègrent des logiciels ou firmwares vulnérables, rarement mis à jour, exposant ainsi les utilisateurs à de multiples risques :
intrusion, vol de données, détournement de fonctions, participation à des botnets, etc.

L’EU RED impose désormais que tous les produits connectés à Internet soient conçus pour résister à ces menaces, en intégrant dès la conception :

  • un système de mise à jour sécurisé,
  • un contrôle d’accès robuste,
  • et une documentation technique détaillant les mécanismes de protection mis en œuvre.

Des exceptions limitées mais encadrées

Certains équipements sont exclus du périmètre de la directive, notamment :

  • les produits utilisés exclusivement pour la recherche, la défense ou la sécurité nationale,
  • les équipements déjà régis par d’autres directives européennes (ex. : dispositifs médicaux, matériels aéronautiques),
  • les matériels analogiques sans connectivité ni logiciel embarqué.

Toutefois, ces cas restent rares : dans les faits, toute technologie intégrant une communication sans fil est soumise à l’EU RED.

Un impact transversal sur toute la filière

Cette extension du périmètre a un effet domino sur :

  • les développeurs de logiciels embarqués,
  • les intégrateurs IoT,
  • les plateformes cloud gérant les données collectées,
  • et les revendeurs qui distribuent ces équipements dans l’UE.

Chaque maillon de la chaîne doit être capable de prouver la conformité réglementaire du produit qu’il conçoit, héberge ou vend.

Cybersécurité et exigences techniques

La révision de la directive EU RED introduit un tournant : la cybersécurité devient une obligation réglementaire. Les fabricants d’équipements radio doivent désormais garantir la protection des données et la résilience de leurs produits.

La cybersécurité, nouveau pilier de conformité

Jusqu’à présent, la conformité des équipements radio reposait principalement sur la sécurité physique, électrique et électromagnétique.
Mais face à l’explosion des cyberattaques exploitant des objets connectés non protégés, l’Union européenne a introduit de nouvelles exigences de cybersécurité, effectives à partir de 2025.

Ces obligations concernent tous les équipements capables de :

  • se connecter à Internet directement ou via un autre appareil,
  • communiquer entre eux par signal radio,
  • traiter ou stocker des données personnelles.

Le message est clair : un appareil connecté doit être sûr par conception et par défaut.

Exigence 1 : Protection des données et de la vie privée

Les produits doivent être conçus pour empêcher :

  • l’accès non autorisé aux données personnelles,
  • l’interception de communications,
  • la modification du comportement du produit par un tiers.

Les fabricants doivent mettre en place :

  • un chiffrement fort des communications et du stockage local,
  • une authentification sécurisée des utilisateurs,
  • et un système garantissant la confidentialité dès la conception (privacy by design).

Exigence 2 : Résilience face aux cybermenaces

L’appareil doit être protégé contre toute altération logicielle, injection de code ou manipulation à distance.
Cela implique :

  • la signature numérique du firmware,
  • la validation cryptographique avant exécution,
  • et la mise en place d’un journal d’événements pour la traçabilité des incidents.

De plus, les mises à jour logicielles doivent pouvoir être déployées de manière sécurisée et vérifiable tout au long du cycle de vie du produit.

Exigence 3 : Intégrité et mise à jour logicielle

Les produits connectés doivent disposer :

  • d’un mécanisme de mise à jour automatique ou manuelle avec vérification d’intégrité,
  • d’une politique de support définie dans la documentation technique,
  • et d’une communication transparente vers les utilisateurs finaux sur les correctifs de sécurité disponibles.

Cette exigence rapproche la réglementation européenne des standards déjà en vigueur dans le secteur industriel et automobile.

Une conformité technique mais aussi documentaire

Les entreprises doivent désormais documenter :

  • la liste des composants logiciels utilisés,
  • les versions des firmwares et leurs signatures,
  • les tests de pénétration et validations effectuées avant commercialisation,
  • la chaîne de responsabilité (fabricant, intégrateur, distributeur).

L’absence de cette documentation peut suffire à invalider la conformité du produit.

Responsabilité des revendeurs et importateurs

La directive EU RED élargit la responsabilité au-delà du fabricant : les importateurs, distributeurs et revendeurs deviennent des acteurs pleinement engagés dans la conformité et la sécurité des produits connectés qu’ils mettent sur le marché européen.

Une responsabilité désormais partagée

Jusqu’à présent, la charge de la conformité pesait essentiellement sur le fabricant.
Désormais, la directive impose une responsabilité conjointe à l’ensemble de la chaîne de distribution :

  • Fabricant : conception et conformité du produit.
  • Importateur : vérification et documentation technique avant mise sur le marché.
  • Distributeur / Revendeur : obligation de contrôle et d’information auprès du client final.

Cette évolution vise à fermer les failles de conformité qui permettaient à certains produits non conformes d’entrer sur le marché via des canaux parallèles, notamment les places de marché en ligne.

Les obligations des revendeurs et importateurs

Concrètement, tout acteur commercialisant un produit soumis à l’EU RED doit :

  1. Vérifier la conformité CE
    • S’assurer que le produit porte le marquage CE correct.
    • Disposer d’une déclaration UE de conformité fournie par le fabricant.
    • Conserver et présenter cette documentation en cas de contrôle.
  2. Garantir la traçabilité
    • Identifier le fabricant et l’importateur sur le produit ou son emballage.
    • Tenir à disposition les informations nécessaires pendant au moins 10 ans.
    • Être en mesure de fournir l’origine et la destination de chaque lot mis sur le marché.
  3. Préserver la conformité en cas de reconditionnement ou revente
    • Toute modification du produit, de l’emballage ou du manuel engage la responsabilité du revendeur.
    • Il doit alors vérifier que les conditions initiales de conformité sont maintenues.
  4. Informer les autorités compétentes
    • En cas de produit non conforme ou présentant un risque, le revendeur a l’obligation d’en informer les autorités nationales et d’engager un rappel ou retrait préventif.

Les marketplaces également concernées

Les plateformes telles qu’Amazon, Cdiscount ou eBay, lorsqu’elles opèrent en tant qu’intermédiaires techniques, peuvent être considérées comme importateurs de fait si elles gèrent la logistique ou la mise à disposition des produits dans l’UE.
Elles doivent donc :

  • s’assurer que les produits listés disposent des documents CE,
  • coopérer avec les autorités en cas de non-conformité,
  • et bloquer la vente d’équipements ne respectant pas la directive.

Une vigilance renforcée sur les produits IoT

Pour les objets connectés, ces obligations prennent une dimension critique :
le revendeur doit s’assurer que les mises à jour de sécurité sont disponibles et que la durée de support logiciel annoncée est bien documentée.

Vendre un produit connecté non conforme revient à exposer sa responsabilité juridique et financière en cas de faille de sécurité exploitée par un tiers.

Synergie avec le Cyber Resilience Act

L’EU RED et le Cyber Resilience Act (CRA) s’inscrivent dans une même logique : imposer des normes de cybersécurité cohérentes à tous les niveaux du cycle de vie des produits numériques, de la conception à la distribution.

Deux textes complémentaires dans la stratégie numérique européenne

L’Union européenne a compris qu’une simple directive sur les équipements radio ne suffisait pas à sécuriser l’ensemble de l’écosystème numérique.
C’est pourquoi le Cyber Resilience Act, adopté en parallèle, vient étendre et compléter la portée de l’EU RED.

Directive EU REDCyber Resilience Act (CRA)
Cible les équipements radio et connectésCible tous les produits matériels et logiciels numériques
Garantit la sécurité des communicationsGarantit la résilience logicielle globale
Implique fabricants, importateurs, revendeursImplique tous les acteurs du cycle de vie numérique
S’appuie sur le marquage CE et les normes harmoniséesIntroduit des niveaux de risque et des audits de conformité
Entrée en vigueur progressive à partir de 2025Application complète prévue entre 2026 et 2027

Ces deux textes forment les piliers du futur cadre réglementaire européen de cybersécurité, aux côtés de la directive NIS2 (sécurité des réseaux et services essentiels).

L’objectif : une cohérence réglementaire de bout en bout

L’EU RED traite la sécurité des produits radio lors de leur conception et mise sur le marché, tandis que le CRA prend le relais sur :

  • la gestion du cycle de vie logiciel,
  • les mises à jour de sécurité,
  • la déclaration obligatoire des vulnérabilités aux autorités compétentes,
  • et la communication transparente des incidents auprès des utilisateurs.

Cette cohérence vise à éliminer les zones grises : un produit ne peut plus être conforme au moment de la vente et devenir vulnérable six mois plus tard faute de suivi logiciel.

Un renforcement des obligations pour les fabricants IoT

Pour les entreprises développant ou distribuant des objets connectés, cette synergie impose :

  • une analyse de risques produit dès la conception,
  • une documentation de sécurité complète (firmwares, API, dépendances, bibliothèques tierces),
  • et une chaîne de traçabilité logicielle garantissant la transparence sur les composants utilisés.

Les fabricants devront également notifier toute faille critique détectée après la mise sur le marché — une mesure inspirée du secteur de la santé et de l’automobile.

L’impact sur les revendeurs et intégrateurs

Les distributeurs et intégrateurs devront veiller à commercialiser uniquement des produits :

  • certifiés conformes aux deux textes,
  • disposant d’un plan de mise à jour officiel,
  • et présentant une documentation technique claire pour l’utilisateur final.

À terme, cela se traduira par une augmentation du niveau global de sécurité des écosystèmes IoT et par la création d’un label de confiance numérique européen.

Une opportunité stratégique pour les entreprises responsables

Cette convergence réglementaire représente aussi une opportunité de différenciation :
les entreprises capables de démontrer leur conformité aux deux cadres (EU RED + CRA) bénéficieront d’un accès privilégié au marché européen et d’un avantage concurrentiel majeur.

En anticipant dès aujourd’hui ces exigences, il devient possible de réduire les coûts futurs de mise en conformité et de renforcer la crédibilité des produits.

Impacts concrets sur les produits IoT

L’application combinée de l’EU RED et du Cyber Resilience Act bouleverse la conception et la commercialisation des produits IoT. Sécurité, traçabilité, mises à jour et documentation deviennent des critères de conformité incontournables.

Une refonte complète du cycle de conception

Les entreprises ne peuvent plus se contenter d’ajouter une couche de sécurité après développement : la cybersécurité devient un élément structurant du design produit.
Cela implique :

  • Une analyse de risques dès la phase de conception (Secure by Design).
  • L’intégration d’un plan de gestion des vulnérabilités tout au long du cycle de vie.
  • La mise en place d’un processus de mise à jour sécurisé, vérifiable et documenté.
  • La séparation des environnements de développement, test et production pour limiter les fuites de données.

En pratique, un objet connecté doit désormais pouvoir prouver sa conformité technique, logicielle et documentaire avant sa mise sur le marché.

Impacts techniques pour les fabricants

Les constructeurs d’équipements IoT doivent adapter leurs processus industriels :

  1. Refonte des firmwares
    • Signature cryptographique obligatoire.
    • Journalisation des accès et opérations sensibles.
    • Validation d’intégrité avant exécution du code.
  2. Gestion du cycle de vie logiciel
    • Publication et suivi des versions.
    • Disponibilité garantie des correctifs pendant une durée minimale (souvent 5 ans).
    • Communication publique en cas de vulnérabilité découverte.
  3. Certification et tests
    • Tests de pénétration ou audits externes avant mise sur le marché.
    • Documentation complète du périmètre de sécurité.
    • Déclaration de conformité CE incluant les nouveaux critères RED/CRA.

Impacts organisationnels pour les entreprises IoT

Ces exigences techniques entraînent une évolution culturelle dans les entreprises :

  • Collaboration plus étroite entre les équipes développement, sécurité et juridique.
  • Mise en place d’un registre des dépendances logicielles (Software Bill of Materials – SBOM).
  • Nécessité d’un référent conformité capable d’assurer la coordination entre les acteurs internes et les auditeurs externes.

Les coûts initiaux augmentent légèrement (temps d’audit, certification, documentation), mais ils sont compensés par une réduction des risques de rappel, de sanctions et d’atteinte à la réputation.

Impacts pour les intégrateurs et les revendeurs

Les intégrateurs doivent désormais :

  • vérifier la traçabilité complète des composants logiciels utilisés,
  • contrôler la présence de la déclaration CE et de la documentation EU RED,
  • informer les utilisateurs finaux sur la durée de support logiciel et les mises à jour.

Les revendeurs, quant à eux, doivent s’assurer que les produits proposés sur leur catalogue :

  • sont à jour des exigences de cybersécurité,
  • disposent d’un plan de maintenance logicielle,
  • et peuvent fournir une preuve de conformité en cas de contrôle.

Une opportunité d’innovation durable

Ces nouvelles contraintes poussent les acteurs du secteur à adopter une approche plus responsable et pérenne de la conception logicielle.
Les entreprises qui investissent aujourd’hui dans des pratiques de sécurité intégrée créent des produits :

  • plus fiables et interopérables,
  • plus attractifs pour les marchés publics et grands comptes,
  • et plus alignés avec la transition vers un numérique durable et souverain.

Risques, sanctions et contrôles

La non-conformité à la directive EU RED et au Cyber Resilience Act n’est pas une simple formalité administrative. Elle peut entraîner des sanctions lourdes : retraits de produits, amendes, perte d’accès au marché européen et atteinte à la réputation de l’entreprise.

Un dispositif de contrôle renforcé au niveau européen

Les autorités nationales de chaque État membre (en France, l’ANFR et la DGCCRF) disposent désormais de pouvoirs étendus pour :

  • contrôler les produits mis sur le marché,
  • exiger la documentation technique complète,
  • effectuer des tests indépendants en laboratoire,
  • et ordonner le retrait immédiat d’un produit non conforme.

Les contrôles s’appliquent à toutes les étapes :

  • importation,
  • distribution,
  • et revente sur les plateformes en ligne.

Un registre européen de la conformité pourrait à terme centraliser les données des produits audités, facilitant ainsi la traçabilité et la coopération entre États membres.

Les sanctions financières et juridiques

Les sanctions varient selon la gravité des manquements :

  1. Non-respect des obligations de documentation ou d’étiquetage
    → Avertissement et retrait temporaire du marché.
  2. Produit non conforme ou dangereux
    → Retrait immédiat, destruction des stocks, obligation de rappel.
  3. Violation des exigences de cybersécurité (accès non autorisé, absence de correctif)
    → Amendes administratives pouvant atteindre jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial annuel, alignées sur le modèle du RGPD.
  4. Fausses déclarations de conformité CE
    → Responsabilité pénale du fabricant, de l’importateur ou du revendeur.

La responsabilité étendue sur la chaîne de valeur

La directive ne se limite pas à sanctionner le fabricant :

  • les importateurs et revendeurs sont également tenus responsables en cas de manquement à leurs obligations de vérification,
  • les intégrateurs peuvent être mis en cause si leurs modifications logicielles ou matérielles compromettent la conformité initiale du produit.

Un produit modifié sans nouvel audit peut être considéré comme non conforme, même si l’original l’était.

Les conséquences réputationnelles et commerciales

Outre les sanctions financières, la perte de confiance des utilisateurs et partenaires commerciaux est souvent la plus lourde.
Un produit rappelé pour non-conformité peut :

  • être banni des marketplaces,
  • nuire à la réputation de marque à long terme,
  • retarder la commercialisation de futures gammes.

Les entreprises qui adoptent une approche proactive de la conformité gagnent non seulement en sécurité juridique, mais aussi en crédibilité commerciale.

Vers une culture du contrôle continu

L’enjeu n’est plus seulement d’être conforme “le jour du lancement”, mais de le rester dans la durée.
Les audits périodiques, la gestion centralisée des vulnérabilités et la documentation actualisée deviennent des pratiques incontournables.

Les fabricants et revendeurs ont tout intérêt à mettre en place un processus interne de vérification continue, aligné sur les exigences de l’EU RED, du CRA et du RGPD.

Accompagnement et conformité

Se mettre en conformité avec l’EU RED et le Cyber Resilience Act ne s’improvise pas. CTO Externe accompagne les entreprises à chaque étape, de l’audit initial à la documentation technique, pour transformer une contrainte réglementaire en atout de fiabilité et de performance.

Comprendre pour agir efficacement

De nombreux fabricants, intégrateurs ou revendeurs sous-estiment encore la complexité de la conformité à l’EU RED.
Les textes européens exigent désormais une traçabilité totale, une documentation complète, et une gestion continue de la cybersécurité — autant de processus souvent absents des organisations non préparées.

CTO Externe intervient pour simplifier cette complexité, en traduisant les exigences réglementaires en actions techniques concrètes et mesurables :

  • audit de conformité et évaluation des risques,
  • mise en place d’un plan de mise en conformité (produit, organisation, documentation),
  • intégration de bonnes pratiques de sécurité by design,
  • formation des équipes sur les enjeux réglementaires.

Une approche sur mesure selon votre rôle dans la chaîne de valeur

Nos accompagnements s’adaptent au positionnement de votre entreprise :

  • Fabricants / éditeurs IoT :
    • Aide à la rédaction de la documentation technique et des rapports d’essais.
    • Structuration du Software Bill of Materials (SBOM).
    • Intégration d’un processus de mise à jour sécurisé.
  • Importateurs / distributeurs :
    • Vérification des déclarations de conformité CE.
    • Audit des chaînes logistiques et des obligations de traçabilité.
    • Assistance dans la communication avec les autorités compétentes.
  • Intégrateurs / prestataires techniques :
    • Vérification des modifications logicielles pour éviter la perte de conformité.
    • Rédaction de procédures internes de validation produit.
    • Mise en conformité documentaire avant livraison client.

Une expertise technique au service de la conformité

Notre approche ne se limite pas à la conformité juridique.
Nous intervenons sur la sécurité des infrastructures, des applications et des flux de données, pour garantir que votre produit respecte les standards européens tout en restant performant et fiable.

Grâce à notre double expertise en cybersécurité et direction technique externalisée, nous vous aidons à :

  • automatiser les tests de sécurité,
  • structurer vos pipelines CI/CD avec des étapes de conformité,
  • mettre en place un suivi continu des vulnérabilités logicielles.

L’objectif : faire de la conformité un pilier stratégique durable et non une contrainte ponctuelle.

Un partenaire de confiance pour anticiper l’avenir

CTO Externe veille activement sur les évolutions des cadres légaux européens (EU RED, CRA, NIS2, RGPD).
Nous adaptons nos recommandations et outils à chaque mise à jour, afin de vous garantir une conformité évolutive et pérenne.

Vous avez un projet,
 des questions ?

Contactez-nous

Articles similaires