Article 13 Obligations incombant aux fabricants

Les logiciels et données qui sont partagés de manière ouverte, auxquels les utilisateurs peuvent librement accéder et qu’ils peuvent librement utiliser, modifier et redistribuer, dans une version modifiée ou non, peuvent contribuer à la recherche et à l’innovation sur le marché. Pour favoriser le développement et le déploiement de logiciels libres et ouverts, en particulier par les microentreprises et les petites et moyennes entreprises, y compris les jeunes pousses, par les personnes physiques, par les organisations à but non lucratif et par les instituts de recherche universitaires, l’application du présent règlement aux produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts fournis pour être distribués ou utilisés dans le cadre d’une activité commerciale devrait tenir compte de la nature des différents modèles de développement de logiciels distribués et développés sous licences logicielles libres et ouvertes.

On entend par «logiciel libre et ouvert» un logiciel dont le code source est partagé de manière ouverte et dont la licence prévoit tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable. Les logiciels libres et ouverts sont développés, entretenus et distribués de façon ouverte, y compris par l’intermédiaire de plates-formes en ligne. En ce qui concerne les opérateurs économiques auxquels s’applique le présent règlement, seuls les logiciels libres et ouverts mis à disposition sur le marché, donc fournis pour être distribués ou utilisés dans le cadre d’une activité commerciale, devraient relever du champ d’application du présent règlement. Les seules circonstances dans lesquelles le produit comportant des éléments numériques a été développé ou la manière dont le développement a été financé ne devraient donc pas être prises en considération au moment de déterminer si l’activité en question est de nature commerciale ou non. Plus précisément, aux fins du présent règlement et en ce qui concerne les opérateurs économiques auxquels il s’applique, afin de garantir la distinction claire entre les phases de développement et de fourniture, la fourniture de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts qui ne sont pas monétisés par leur fabricant ne devrait pas être considérée comme une activité commerciale. En outre, la fourniture de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts, destinés à être intégrés par d’autres fabricants à leurs propres produits comportant des éléments numériques, ne devrait être considérée comme une mise à disposition sur le marché que si le composant est monétisé par son fabricant d’origine. Par exemple, le simple fait qu’un fabricant verse un soutien financier à un logiciel libre comportant des éléments numériques ou qu’il contribue au développement d’un tel produit ne devrait pas en soi suffire à déterminer que cette activité est de nature commerciale. En outre, les mises à jour régulières de ce logiciel ne devraient pas permettre à elles seules de conclure qu’un produit comportant des éléments numériques est fourni dans le cadre d’une activité commerciale. Enfin, aux fins du présent règlement, le développement par des organisations à but non lucratif de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts ne devrait pas être considéré comme une activité commerciale, pour autant que l’organisation concernée soit constituée de telle façon que tous les bénéfices sont utilisés pour atteindre des objectifs non lucratifs. Le présent règlement ne s’applique pas aux personnes physiques ou morales qui contribuent, sous forme de code source, à des produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts ne relevant pas de leur responsabilité.

Étant donné l’importance que revêtent, en matière de cybersécurité, de nombreux produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts qui sont publiés mais ne sont pas mis à disposition sur le marché au sens du présent règlement, les personnes morales qui apportent un soutien prolongé au développement de tels produits destinés à des activités commerciales et qui jouent un rôle de premier plan en veillant à la viabilité de ces produits (intendants de logiciels ouverts) devraient être soumises à un régime réglementaire allégé et sur mesure. Figurent parmi les intendants de logiciels ouverts certaines fondations et les entités qui développent et publient des logiciels libres et ouverts dans un cadre commercial, y compris les entités à but non lucratif. Le régime réglementaire devrait tenir compte de leur nature particulière et de leur compatibilité avec le type d’obligations qui leur incombent. Ce régime ne devrait concerner que les produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts et dont la finalité est commerciale, par exemple ceux qui sont destinés à être intégrés à des services commerciaux ou à des produits comportant des éléments numériques monétisés. Aux fins de ce régime réglementaire, l’intention d’intégration à des produits comportant des éléments numériques monétisés couvre les cas où le fabricant qui intègre un composant dans ses propres produits comportant des éléments numériques contribue régulièrement au développement de ce composant ou apporte une assistance financière régulière afin d’assurer la pérennité d’un logiciel. Le fait d’apporter un soutien prolongé au développement d’un produit comportant des éléments numériques comprend, sans s’y limiter, l’hébergement et la gestion de plates-formes collaboratives de développement de logiciels, l’hébergement de code source ou d’un logiciel, l’administration ou la gestion de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts ainsi que le pilotage du développement de ces produits. Étant donné que le régime réglementaire allégé et sur mesure n’impose pas aux intendants de logiciels ouverts les mêmes obligations que celles qui incombent aux fabricants en vertu du présent règlement, les intendants de logiciels ouverts ne devraient pas être autorisés à apposer le marquage CE aux produits comportant des éléments numériques dont ils soutiennent le développement.

Au vu des objectifs en matière de cybersécurité que fixe le présent règlement et afin d’améliorer l’appréciation de la situation qu’ont les États membres concernant la dépendance de l’Union à l’égard des composants logiciels, en particulier les composants potentiellement libres et ouverts, un groupe de coopération administrative (ADCO) spécifique, institué par le présent règlement, devrait pouvoir décider d’enclencher conjointement une évaluation des dépendances de l’Union. Il convient que les autorités de surveillance du marché puissent exiger des fabricants de produits comportant des éléments numériques appartenant aux catégories déterminées par l’ADCO qu’ils présentent la nomenclature des logiciels qu’ils ont établie en vertu du présent règlement. Afin de préserver la confidentialité des nomenclatures des logiciels, les autorités de surveillance du marché devraient transmettre à l’ADCO les informations pertinentes relatives aux dépendances de façon agrégée et anonymisée.

Lorsqu’il intègre des composants obtenus auprès de tiers à des produits comportant des éléments numériques au cours de la phase de conception et de développement, le fabricant devrait, pour que les produits soient conçus, développés et produits conformément aux exigences essentielles de cybersécurité énoncées dans le présent règlement, faire preuve de diligence raisonnable concernant ces composants, y compris les composants logiciels libres et ouverts qui n’ont pas été mis à disposition sur le marché. Le niveau approprié de diligence raisonnable dépend de la nature et du niveau du risque de cybersécurité associé à un composant donné et devrait, à cette fin, tenir compte d’une ou de plusieurs des mesures suivantes: vérifier, le cas échéant, que le fabricant d’un composant a démontré se conformer au présent règlement, y compris en s’assurant que le composant porte déjà le marquage CE; vérifier qu’un composant fait régulièrement l’objet de mises à jour de sécurité, par exemple en consultant l’historique de ses mises à jour de sécurité; vérifier qu’un composant est exempt des vulnérabilités enregistrées dans la base de données européenne des vulnérabilités créée en vertu de l’article 12, paragraphe 2, de la directive (UE) 2022/2555 ou dans d’autres bases de données publiques; réaliser des essais de sécurité supplémentaires. Les obligations en matière de gestion des vulnérabilités énoncées dans le présent règlement, que le fabricant doit respecter lors de la mise sur le marché d’un produit comportant des éléments numériques puis pendant la période d’assistance, s’appliquent aux produits comportant des éléments numériques dans leur entièreté, y compris à tous les composants intégrés. Lorsque, dans l’exercice de sa diligence raisonnable, le fabricant du produit comportant des éléments numériques décèle une vulnérabilité dans un composant, y compris un composant libre et ouvert, il devrait en informer la personne ou l’entité qui fabrique le composant ou en assure l’entretien, s’attaquer et remédier à la vulnérabilité et, le cas échéant, fournir à la personne ou à l’entité le correctif de sécurité appliqué.

Immédiatement après la période transitoire pour l’application du présent règlement, le fabricant d’un produit comportant des éléments numériques qui intègre un ou plusieurs composants obtenus auprès de tiers qui relèvent également du présent règlement pourrait ne pas être en mesure de vérifier, dans le cadre de son obligation de diligence raisonnable, que les fabricants de ces composants ont démontré qu’ils se conforment au présent règlement en s’assurant, par exemple, que le composant porte déjà le marquage CE. Cette situation pourrait se présenter lorsque des composants ont été intégrés avant que le présent règlement ne s’applique à leur fabricant. Dans ce cas, un fabricant qui intègre de tels composants devrait faire preuve de diligence raisonnable par d’autres moyens.

Compte tenu de la nature itérative du développement de logiciels, un fabricant ayant successivement mis sur le marché plusieurs versions d’un logiciel en raison d’une modification substantielle apportée à ce dernier ne devrait être en mesure de fournir des mises à jour de sécurité pendant la période d’assistance que pour la dernière version du logiciel qu’il a mise sur le marché. Il ne devrait être en mesure de procéder ainsi que si les utilisateurs des versions précédentes concernées du logiciel ont accès gratuitement à la dernière version mise sur le marché et qu’ils n’ont pas à s’acquitter de coûts supplémentaires pour adapter l’environnement matériel ou logiciel dans lequel ils exploitent le produit. Tel pourrait être le cas par exemple, si la mise à jour d’un système d’exploitation de bureau ne nécessite pas de matériel nouveau tel qu’un processeur plus rapide ou de plus grandes capacités de mémoire. Toutefois, pendant la période d’assistance, le fabricant devrait continuer de respecter d’autres exigences relatives à la gestion des vulnérabilités, comme le fait de disposer d’une politique de divulgation coordonnée des vulnérabilités ou d’appliquer des mesures visant à faciliter le partage d’informations relatives à de possibles vulnérabilités pour toutes les versions suivantes du logiciel mis sur le marché qui ont été modifiées de façon substantielle. Il convient que le fabricant ne soit en mesure de fournir des mises à jour mineures de sécurité ou de fonctionnalité qui ne constituent pas une modification substantielle que pour la dernière version ou sous-version d’un logiciel qui n’a pas été modifiée de façon substantielle. Dans le même temps, lorsqu’un produit matériel tel qu’un téléphone intelligent n’est pas compatible avec la version la plus récente du système d’exploitation avec lequel il avait initialement été livré, il convient que le fabricant continue d’apporter des mises à jour de sécurité pendant la période d’assistance, au moins pour la dernière version du système d’exploitation compatible avec ce produit matériel.

Afin de garantir la sécurité des produits comportant des éléments numériques au moment de leur mise sur le marché et pendant la période d’utilisation prévue du produit comportant des éléments numériques, il est nécessaire de définir des exigences essentielles de cybersécurité relatives à la gestion de la vulnérabilité et des exigences essentielles de cybersécurité concernant les propriétés des produits comportant des éléments numériques. Les fabricants devraient se conformer à toutes les exigences essentielles de cybersécurité relatives à la gestion des vulnérabilités tout au long de la période d’assistance, mais ils devraient en outre déterminer les autres exigences essentielles liées aux propriétés du produit pertinentes pour le type de produit comportant des éléments numériques concerné. À cette fin, les fabricants devraient entreprendre une évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques afin de recenser les risques pertinents et les exigences essentielles de cybersécurité pertinentes, de mettre à disposition leurs produits comportant des éléments numériques sans vulnérabilité exploitable connue susceptible d’avoir des répercussions sur la sécurité de ces produits et d’appliquer de manière appropriée des normes harmonisées, des spécifications communes ou des normes européennes ou internationales appropriées.

Lorsque certaines exigences essentielles de cybersécurité ne sont pas applicables à un produit comportant des éléments numériques, le fabricant doit faire figurer une justification claire dans l’évaluation des risques de cybersécurité figurant dans la documentation technique. Cela pourrait être le cas lorsqu’une exigence essentielle de cybersécurité est incompatible avec la nature d’un produit comportant des éléments numériques. Par exemple, la destination d’un produit comportant des éléments numériques peut exiger du fabricant qu’il respecte des normes d’interopérabilité largement reconnues, même si ses dispositifs de sécurité ne sont plus considérés comme étant à la pointe de la technologie. De même, d’autres législations de l’Union exigent des fabricants qu’ils appliquent des exigences spécifiques en matière d’interopérabilité. Lorsqu’une exigence essentielle de cybersécurité ne s’applique pas à un produit comportant des éléments numériques, mais que le fabricant a détecté des risques de cybersécurité en rapport avec ladite exigence essentielle de cybersécurité, il doit prendre des mesures pour faire face à ces risques par d’autres moyens, par exemple en limitant la destination du produit à des environnements de confiance ou en informant les utilisateurs de ces risques.

Afin de garantir la sécurité des produits comportant des éléments numériques après leur mise sur le marché, les fabricants doivent déterminer une période d’assistance qui doit correspondre à la durée d’utilisation prévue du produit comportant des éléments numériques. Pour déterminer la période d’assistance, le fabricant devrait notamment tenir compte des attentes raisonnables de l’utilisateur, de la nature du produit, ainsi que du droit de l’Union applicable à la durée de vie des produits comportant des éléments numériques. Les fabricants devraient également être en mesure de prendre en compte d’autres facteurs pertinents. Les critères doivent être appliqués de manière à garantir la proportionnalité de la durée de la période d’assistance. Sur demande, un fabricant doit fournir aux autorités de surveillance du marché les informations prises en compte pour déterminer la durée de la période d’assistance d’un produit comportant des éléments numériques.

La période d’assistance pendant laquelle le fabricant garantit le traitement efficace des vulnérabilités ne doit pas être inférieure à cinq ans, sauf si la durée de vie du produit comportant des éléments numériques est inférieure à cinq ans, auquel cas le fabricant doit assurer le traitement des vulnérabilités pendant ladite durée. Dans les cas des produits comportant des éléments numériques dont on peut raisonnablement s’attendre à ce qu’ils soient utilisés pendant plus de cinq ans, comme c’est souvent le cas pour les composants matériels tels que les cartes mères ou les microprocesseurs, les dispositifs de réseau tels que les routeurs, les modems ou les commutateurs, ainsi que les logiciels tels que les systèmes d’exploitation ou les outils d’édition vidéo, les fabricants devraient en conséquence prévoir des périodes d’assistance plus longues. En particulier, les produits comportant des éléments numériques destinés à être utilisés dans des environnements industriels, tels que les systèmes de contrôle industriels, sont souvent utilisés pendant des périodes beaucoup plus longues. Un fabricant ne devrait pouvoir définir une période d’assistance inférieure à cinq ans que si cela est justifié par la nature du produit comportant des éléments numériques concerné et s’il est prévu que ce produit soit utilisé pendant moins de cinq ans, auquel cas la période d’assistance devrait correspondre à la durée d’utilisation prévue. Par exemple, la durée de vie d’une application de recherche des contacts destinée à être utilisée pendant une pandémie pourrait être limitée à la durée de la pandémie. En outre, certaines applications logicielles ne peuvent par nature être mises à disposition que sous la forme d’un abonnement, en particulier lorsque l’application devient indisponible pour l’utilisateur et n’est donc plus utilisable à l’expiration de l’abonnement.

Lorsque les produits comportant des éléments numériques arrivent au terme de leur période d’assistance, afin de garantir que les vulnérabilités peuvent être traitées après la fin de la période d’assistance, les fabricants devraient envisager de divulguer le code source de ces produits comportant des éléments numériques soit à d’autres entreprises qui s’engagent à étendre la fourniture de services de traitement des vulnérabilités, soit au public. Lorsque les fabricants communiquent le code source à d’autres entreprises, ils doivent pouvoir protéger la propriété du produit comportant des éléments numériques et empêcher la diffusion du code source au public, par exemple au moyen d’accords contractuels.

Afin de garantir que les fabricants de l’Union déterminent des périodes d’assistance similaires pour des produits comparables comportant des éléments numériques, l’ADCO devrait publier des statistiques sur les périodes d’assistance moyennes déterminées par les fabricants pour des catégories de produits comportant des éléments numériques et publier des orientations indiquant les périodes d’assistance appropriées pour ces catégories. En outre, afin de garantir une approche harmonisée dans l’ensemble du marché intérieur, la Commission devrait pouvoir adopter des actes délégués pour spécifier des périodes d’assistance minimales pour des catégories de produits spécifiques lorsque les données fournies par les autorités de surveillance du marché semblent indiquer que les périodes d’assistance déterminées par les fabricants ne sont pas systématiquement conformes aux critères de détermination des périodes d’assistance établis dans le présent règlement ou que les fabricants de différents États membres déterminent de manière injustifiée des périodes d’assistance différentes.

Les fabricants doivent mettre en place un point de contact unique permettant aux utilisateurs d’entrer facilement en contact avec eux, notamment pour communiquer et recevoir des informations sur les vulnérabilités du produit comportant un élément numérique. Ils doivent faire en sorte que le point de contact unique soit facilement joignable par les utilisateurs et indiquer clairement sa disponibilité, en tenant ces informations à jour. Lorsque les fabricants optent pour des outils automatisés, par exemple des boîtes de dialogue, ils doivent également proposer un numéro de téléphone ou d’autres moyens de contact numériques, tels qu’une adresse électronique ou un formulaire de contact. Le point de contact unique ne doit pas dépendre uniquement d’outils automatisés.

Le règlement (UE) 2019/881 établit un cadre européen de certification volontaire de cybersécurité pour les produits TIC, les processus TIC et les services TIC. Les schémas européens de certification de cybersécurité offrent un cadre commun de confiance pour les utilisateurs des produits comportant des éléments numériques qui entrent dans le champ d’application du présent règlement. Le présent règlement devrait dès lors créer des synergies avec le règlement (UE) 2019/881. Afin de faciliter l’évaluation de la conformité aux exigences prévues par le présent règlement, les produits comportant des éléments numériques qui sont certifiés ou pour lesquels une déclaration de conformité a été délivrée dans le cadre d’un schéma européen de cybersécurité conformément au règlement (UE) 2019/881 qui a été désigné par la Commission dans un acte d’exécution, sont présumés conformes aux exigences essentielles de cybersécurité énoncées dans le présent règlement pour autant que le certificat européen de cybersécurité ou la déclaration de conformité ou des parties de ceux-ci couvrent ces exigences. La nécessité de nouveaux schémas européens de certification de cybersécurité pour les produits comportant des éléments numériques devrait être évaluée à la lumière du présent règlement, y compris lors de l’élaboration du programme de travail glissant de l’Union conformément au règlement (UE) 2019/881. Lorsqu’il est nécessaire d’établir un nouveau schéma régissant les produits comportant des éléments numériques, notamment pour faciliter la mise en conformité avec le présent règlement, la Commission peut demander à l’ENISA d’élaborer des schémas candidats conformément à l’article 48 du règlement (UE) 2019/881. Ces futurs schémas européens de certification de cybersécurité, destinés à couvrir les produits comportant des éléments numériques, devraient tenir compte des exigences essentielles de cybersécurité et des procédures d’évaluation de la conformité énoncées dans le présent règlement et faciliter le respect de celui-ci. Pour les schémas européens de certification de cybersécurité qui entrent en vigueur avant l’entrée en vigueur du présent règlement, des précisions peuvent être nécessaires sur les modalités selon lesquelles la présomption de conformité peut s’appliquer. Il convient d’habiliter, par voie d’actes délégués, la Commission à préciser dans quelles conditions les schémas européens de certification de cybersécurité peuvent être utilisés pour démontrer la conformité aux exigences essentielles de cybersécurité énoncées dans le présent règlement. En outre, afin d’éviter une charge administrative excessive, il ne devrait y avoir aucune obligation pour les fabricants de faire procéder à une évaluation de conformité par un tiers comme le prévoit le présent règlement pour les exigences correspondantes lorsqu’un certificat européen de cybersécurité a été délivré au titre desdits schémas européens de certification de cybersécurité, au moins au niveau substantiel.