
Deux réglementations européennes entrent en application entre 2026 et 2028 et redessinent les obligations des entreprises qui conçoivent, vendent ou utilisent des produits numériques. Le Cyber Resilience Act (CRA) et l’AI Act imposent des contraintes techniques et organisationnelles précises. Mesurer leur portée respective permet de comprendre quels postes budgétaires et quels processus internes seront touchés en priorité dans l’univers de l’informatique.
Cyber Resilience Act et AI Act : calendrier et sanctions comparés
Les deux textes ne ciblent pas les mêmes acteurs, n’entrent pas en vigueur aux mêmes dates et ne prévoient pas les mêmes plafonds de sanctions. Le tableau ci-dessous synthétise les écarts.
A découvrir également : Découvrez les dernières actualités et conseils pour réussir dans l'entrepreneuriat
| Critère | Cyber Resilience Act (CRA) | AI Act |
|---|---|---|
| Première échéance contraignante | 11 septembre 2026 | 2 août 2025 (interdictions), puis 2 août 2026 (obligations de culture IA) |
| Pleine application | 11 décembre 2027 | 2 août 2027 (systèmes à haut risque) |
| Périmètre | Tout produit comportant des éléments numériques vendu dans l’UE | Systèmes d’IA mis sur le marché ou utilisés dans l’UE |
| Sanction maximale | 15 M€ ou 2,5 % du CA mondial | 35 M€ ou 7 % du CA mondial (pratiques interdites) |
| Obligation documentaire clé | SBOM (Software Bill of Materials) | Registre de transparence, évaluation de conformité |
Le CRA frappe d’abord les éditeurs de logiciels et les fabricants de matériel connecté. L’AI Act, lui, concerne toute entreprise qui déploie un système d’IA, y compris en interne. En revanche, les deux textes partagent une logique commune : documenter, tracer, mettre à jour.
Plusieurs analyses sectorielles publiées sur la rubrique informatique de The Web Brains détaillent les implications concrètes de ces réglementations pour les équipes IT françaises.
A voir aussi : Découvrez les dernières tendances et innovations high-tech du moment

SBOM et marquage CE numérique : ce que le CRA change pour les développeurs
À partir de septembre 2026, tout fabricant de produit numérique vendu dans l’UE devra déclarer en moins de 24 heures toute vulnérabilité activement exploitée ou tout incident grave de sécurité. Ce délai de notification, calqué sur celui du RGPD pour les violations de données, impose une refonte des processus de veille et de réponse aux incidents.
La contrainte la plus structurante reste le SBOM. Ce document exhaustif liste toutes les dépendances logicielles d’un produit, y compris les bibliothèques open source. Maintenir un SBOM à jour suppose trois changements concrets dans les pratiques de développement :
- Intégrer un outil d’analyse de composition logicielle (SCA) dans la chaîne CI/CD pour détecter automatiquement les dépendances obsolètes ou vulnérables
- Formaliser une politique de gestion des mises à jour de sécurité gratuites sur toute la durée de support du produit, un engagement que le fabricant devra documenter avant la mise sur le marché
- Préparer le dossier technique nécessaire au marquage CE cybersécurité, qui deviendra obligatoire au 11 décembre 2027 pour tous les produits comportant des éléments numériques
Pour les PME éditrices de logiciels, le coût de mise en conformité porte moins sur l’outillage (des solutions SCA open source existent) que sur le temps humain : documenter, tester les restaurations, formaliser les procédures de notification.
AI Act et obligation de culture IA en entreprise : au-delà de la conformité technique
L’AI Act ne se limite pas à classer les systèmes d’IA par niveau de risque. Dès août 2025, les pratiques d’IA jugées inacceptables (notation sociale, manipulation subliminale) sont interdites. L’échéance suivante, août 2026, impose une obligation de « culture IA » à toute organisation déployant ou développant un système d’IA.
Cette obligation de formation touche un spectre large. Elle ne vise pas uniquement les data scientists ou les ingénieurs machine learning. Les équipes métier qui utilisent un outil de scoring, de tri automatique de candidatures ou de recommandation client sont aussi concernées.
Le texte demande que les personnes impliquées dans le fonctionnement ou la supervision d’un système d’IA disposent d’un niveau suffisant de compréhension technique. Concrètement, cela signifie bâtir des programmes de formation adaptés à chaque profil, documenter les compétences acquises et pouvoir le prouver en cas de contrôle.
À l’inverse du CRA, qui cible les fabricants, l’AI Act responsabilise aussi les utilisateurs professionnels de systèmes d’IA à haut risque. Une entreprise qui achète un logiciel de recrutement assisté par IA doit vérifier que ce logiciel est conforme, mais elle doit aussi former ses recruteurs à son fonctionnement et à ses limites.

Cybersécurité et cloud : arbitrages budgétaires pour les entreprises françaises
L’accumulation de ces obligations réglementaires pèse sur les budgets informatiques. Les postes les plus touchés se répartissent entre trois catégories :
- La sécurité applicative (audit de code, SCA, tests de pénétration), tirée par les exigences du CRA et par le durcissement général des attaques sur les chaînes d’approvisionnement logiciel
- La formation et la gouvernance IA, portées par l’AI Act, qui nécessitent des ressources humaines dédiées plutôt que des investissements technologiques lourds
- L’infrastructure cloud et la gestion des données, où le choix du fournisseur (cloud souverain ou hyperscaler américain) conditionne à la fois la conformité au RGPD et la capacité à répondre aux exigences de traçabilité du CRA
Le marché français du cloud connaît un repositionnement. Plusieurs fournisseurs proposent des offres labellisées SecNumCloud, qualifiées par l’ANSSI. Pour les entreprises qui manipulent des données sensibles, le choix d’un cloud qualifié devient un critère de conformité réglementaire et plus seulement un argument commercial.
Les arbitrages ne sont pas uniquement financiers. Recruter un profil capable de piloter la conformité CRA et AI Act simultanément reste difficile. Les compétences en cybersécurité, en gouvernance de données et en réglementation numérique se chevauchent, mais les formations qui couvrent ces trois domaines restent rares sur le marché français.
L’écart entre les deux réglementations se mesure aussi en termes de maturité des entreprises. La plupart des organisations disposent déjà d’une politique de sécurité informatique, même minimale. La gouvernance IA, elle, part souvent de zéro dans les PME et ETI. C’est sur ce volet que l’effort d’adaptation sera le plus visible d’ici 2027.