by HMI admin6255
on septembre 16, 2025

Directive RED : Cybersécurité et protection des données des équipements radioélectriques

Depuis le 1er août 2025, tous les équipements radioélectriques et leurs logiciels associés doivent se conformer à de nouvelles exigences en matière de cybersécurité et de protection des données personnelles.

Cette évolution réglementaire, portée par la directive RED (2014/53/UE) et le règlement délégué (UE) 2022/30, impose aux fabricants, importateurs et distributeurs de revoir leurs pratiques afin de garantir la sécurité et la conformité de leurs produits

Contexte et enjeux

La directive RED a été adoptée afin d’harmoniser les exigences techniques et sécuritaires des équipements radioélectriques sur le marché européen. Elle couvre notamment :

  • le respect des exigences essentielles en matière de cybersécurité,
  • la protection des données personnelles,
  • la prévention de la fraude et des usages malveillants.

Ces obligations s’inscrivent dans un cadre réglementaire plus large, incluant le RGPD, et reflètent la volonté européenne de renforcer la sécurité des produits connectés et de l’IoT.

Produits concernés

La directive RED s’applique à tous les équipements radioélectriques capables de communiquer, directement ou indirectement, via Internet. Elle concerne notamment :

  • les serrures connectées pour portes,
  • les capteurs IoT industriels et domestiques,
  • les appareils Bluetooth, Wi-Fi et autres technologies de radiocommunication.

Une analyse spécifique du produit est souvent nécessaire pour déterminer si un équipement est considéré comme « connecté » au sens de la directive.

Nouvelles obligations depuis le 1er août 2025

Principes généraux

Les fabricants devront intégrer les concepts suivants dès la conception :

  • Secure by design : sécurité intégrée dès la conception,
  • Réalisation d’analyses de risques complètes,
  • Documentation exhaustive des mesures de sécurité mises en œuvre,
  • Respect des normes harmonisées publiées au Journal officiel de l’Union européenne.

Normes harmonisées à connaître

Les principales normes applicables sont :

  • EN 18031-1:2024 : exigences de sécurité communes pour les équipements radio connectés à Internet,
  • EN 18031-2:2024 : équipements traitant des données personnelles, jouets et dispositifs portables,
  • EN 18031-3:2024 : équipements traitant de monnaie virtuelle ou de valeur monétaire.

Il est important de noter que la conformité à une norme harmonisée ne garantit pas automatiquement la conformité à la directive RED. Une lecture conjointe des normes et des textes réglementaires est nécessaire.

Exigences concrètes en matière de cybersécurité et de protection des données

Pour les produits grand public

  • Authentification forte et suppression des comptes par défaut,
  • Protection contre les attaques de type « brute force »,
  • Sécurisation des données personnelles (logs, localisation, identifiants),
  • Mises à jour sécurisées (intégrité vérifiée, source authentifiée).

Exemple : serrure connectée

Pour les produits professionnels

  • Sécurisation dès la conception (protection contre intrusions et injections),
  • Logiciel embarqué sécurisé,
  • Respect des exigences réseau et des normes harmonisées,
  • Conformité avec le RGPD pour les données collectées.

Exemple : capteur IoT industriel

Évaluation et preuve de conformité

Le fabricant doit procéder à une évaluation de conformité avant la mise sur le marché :

  • Auto-évaluation interne : possible si toutes les conditions sont respectées,
  • Examen UE de type : réalisé par un organisme notifié indépendant,
  • Conformité sur la base de l’assurance complète.

La documentation technique et la déclaration de conformité CE sont obligatoires pour chaque produit.

Obligations selon le rôle dans la chaîne

  • Fabricants : conception sécurisée, documentation technique, déclaration CE,
  • Importateurs : vérification de la conformité avant la mise sur le marché,
  • Distributeurs : contrôle du marquage CE et retrait des produits non conformes.

Risques en cas de non-conformité

  • Retrait immédiat des produits du marché,
  • Sanctions administratives et pénales,
  • Responsabilité civile et contractuelle,
  • Impact commercial et réputationnel.

Bonnes pratiques pour les fabricants

  • Collaboration avec des laboratoires certifiés,
  • Tenue d’un dossier technique complet,
  • Formation des équipes internes,
  • Veille réglementaire et mise à jour régulière,
  • Intégration de la cybersécurité dès la conception.

Conclusion

La directive RED renforce les exigences en matière de cybersécurité et de protection des données personnelles pour tous les équipements radio depuis le 1er août 2025.

Anticiper dès aujourd’hui permet de sécuriser les produits, de se conformer à la réglementation européenne et de préserver la confiance des clients.

BYCYB accompagne les fabricants d’équipements électriques, électroniques et médicaux afin de sécuriser leurs produits tout en respectant les exigences réglementaires.

Categories:

News

Tags:

No Tag

Comments are closed