Article 26 Orientations

Il convient que la Commission fournisse des orientations afin d’aider les opérateurs économiques, en particulier les microentreprises et les petites et moyennes entreprises, à appliquer le présent règlement. Ces orientations devraient couvrir, entre autres, le champ d’application du présent règlement, en particulier la notion de «traitement de données à distance» et ses implications pour les développeurs de logiciels libres et ouverts, l’application des critères employés pour définir la période d’assistance pour les produits comportant des éléments numériques, l’interaction entre le présent règlement et d’autres actes législatifs de l’Union ainsi que la notion de modification substantielle.

Afin de garantir que les produits comportant des éléments numériques, lorsqu’ils sont mis sur le marché, ne présentent pas de risques de cybersécurité pour les personnes et les organisations, il convient de fixer des exigences essentielles de cybersécurité pour ces produits. Ces exigences, y compris celles qui ont trait à la gestion des vulnérabilités, s’appliquent à chaque produit comportant des éléments numériques lors de sa mise sur le marché, qu’il ait été fabriqué individuellement ou produit en série. Par exemple, pour un type de produit, chaque produit comportant des éléments numériques devrait, lors de sa mise sur le marché, avoir reçu individuellement tous les correctifs et mises à jour de sécurité qui existent pour remédier aux problèmes de sécurité pertinents. Lorsque des produits comportant des éléments numériques sont modifiés ultérieurement, par des moyens physiques ou numériques, d’une manière qui n’est pas prévue par le fabricant dans l’évaluation initiale des risques et qui peut impliquer qu’ils ne satisfont plus aux exigences essentielles de cybersécurité pertinentes, la modification devrait être considérée comme substantielle. Par exemple, les réparations pourraient être assimilées à des opérations d’entretien pour autant qu’elles ne modifient pas un produit comportant des éléments numériques déjà mis sur le marché d’une manière qui soit susceptible d’en compromettre la conformité aux exigences applicables ou de modifier l’utilisation prévue pour laquelle le produit a été évalué.

Comme c’est le cas pour les réparations ou modifications physiques, un produit comportant des éléments numériques devrait être considéré comme substantiellement modifié par une modification logicielle lorsque la mise à jour du logiciel modifie l’utilisation prévue de ce produit et que ces modifications n’ont pas été prévues par le fabricant dans l’évaluation initiale des risques, ou lorsque la nature du danger a changé ou que le niveau de risque de cybersécurité a augmenté en raison de la mise à jour du logiciel, et que la version mise à jour est mise à disposition sur le marché. Une mise à jour de sécurité destinée à réduire le niveau de risque de cybersécurité d’un produit comportant des éléments numériques qui ne modifie pas l’utilisation prévue de ce produit n’est pas considérée comme une modification substantielle. Il s’agit généralement des situations où une mise à jour de sécurité ne comporte que des ajustements mineurs du code source. Ce pourrait être le cas, par exemple, d’une mise à jour de sécurité qui remédie à une vulnérabilité connue, y compris en modifiant les fonctions ou les performances d’un produit comportant des éléments numériques dans le seul but de réduire le niveau de risque de cybersécurité. De même, une mise à jour mineure de fonctionnalités, telle qu’une amélioration visuelle ou l’ajout de nouveaux pictogrammes ou de nouvelles langues ou d’un nouvel ensemble de pictogrammes à l’interface utilisateur, ne devrait pas, en règle générale, être considérée comme une modification substantielle. À l’inverse, une mise à jour de caractéristiques qui modifie les fonctions initialement prévues d’un produit comportant des éléments numériques, son type ou ses performances et qui remplit les critères susmentionnés devrait être considérée comme une modification substantielle, étant donné que l’ajout de nouvelles caractéristiques accroît généralement la surface d’attaque et, partant, les risques de cybersécurité. Ce peut être le cas, par exemple, lorsque l’ajout d’un nouvel élément de saisie à une application nécessite que le fabricant procède à une validation adéquate de la saisie. Le fait qu’une mise à jour de caractéristiques soit apportée de façon indépendante ou qu’elle soit combinée à une mise à jour de sécurité n’est pas pertinent pour déterminer si elle constitue une modification substantielle. La Commission devrait publier des orientations sur la manière de déterminer ce qui constitue une modification substantielle.

Compte tenu de la nature itérative du développement de logiciels, un fabricant ayant successivement mis sur le marché plusieurs versions d’un logiciel en raison d’une modification substantielle apportée à ce dernier ne devrait être en mesure de fournir des mises à jour de sécurité pendant la période d’assistance que pour la dernière version du logiciel qu’il a mise sur le marché. Il ne devrait être en mesure de procéder ainsi que si les utilisateurs des versions précédentes concernées du logiciel ont accès gratuitement à la dernière version mise sur le marché et qu’ils n’ont pas à s’acquitter de coûts supplémentaires pour adapter l’environnement matériel ou logiciel dans lequel ils exploitent le produit. Tel pourrait être le cas par exemple, si la mise à jour d’un système d’exploitation de bureau ne nécessite pas de matériel nouveau tel qu’un processeur plus rapide ou de plus grandes capacités de mémoire. Toutefois, pendant la période d’assistance, le fabricant devrait continuer de respecter d’autres exigences relatives à la gestion des vulnérabilités, comme le fait de disposer d’une politique de divulgation coordonnée des vulnérabilités ou d’appliquer des mesures visant à faciliter le partage d’informations relatives à de possibles vulnérabilités pour toutes les versions suivantes du logiciel mis sur le marché qui ont été modifiées de façon substantielle. Il convient que le fabricant ne soit en mesure de fournir des mises à jour mineures de sécurité ou de fonctionnalité qui ne constituent pas une modification substantielle que pour la dernière version ou sous-version d’un logiciel qui n’a pas été modifiée de façon substantielle. Dans le même temps, lorsqu’un produit matériel tel qu’un téléphone intelligent n’est pas compatible avec la version la plus récente du système d’exploitation avec lequel il avait initialement été livré, il convient que le fabricant continue d’apporter des mises à jour de sécurité pendant la période d’assistance, au moins pour la dernière version du système d’exploitation compatible avec ce produit matériel.

Conformément à la notion généralement établie de modification substantielle pour les produits régis par la législation d’harmonisation de l’Union, lorsque se produit une modification substantielle de nature à affecter la conformité d’un produit comportant des éléments numériques au présent règlement ou lorsque l’utilisation prévue de ce produit change, il convient de vérifier la conformité du produit comportant des éléments numériques et, le cas échéant, de le soumettre à une nouvelle évaluation de la conformité. Le cas échéant, si le fabricant a recours à une évaluation de la conformité faisant intervenir un tiers, une modification susceptible d’entraîner une modification substantielle devrait être notifiée à ce dernier.

Lorsqu’un produit comportant des éléments numériques fait l’objet d’une «remise à neuf», d’un «entretien» et d’une «réparation», au sens de l’article 2, points 18), 19) et 20), du règlement (UE) 2024/1781 du Parlement européen et du Conseil(¹⁹)Règlement (UE) 2024/1781 du Parlement européen et du Conseil du 13 juin 2024 établissant un cadre pour la fixation d’exigences en matière d’écoconception pour des produits durables, modifiant la directive (UE) 2020/1828 et le règlement (UE) 2023/1542 et abrogeant la directive 2009/125/CE (JO L, 2024/1781, 28.6.2024, ELI: http://data.europa.eu/eli/reg/2024/1781/oj)., cela n’entraîne pas nécessairement une modification substantielle du produit, par exemple si l’utilisation et les fonctionnalités prévues ne sont pas modifiées et que le niveau de risque demeure inchangé. Toutefois, la mise à niveau d’un produit comportant des éléments numériques par le fabricant pourrait entraîner des modifications dans la conception et le développement de ce produit et donc avoir une incidence sur son utilisation prévue et sa conformité aux exigences énoncées dans le présent règlement.

Par «produits importants comportant des éléments numériques visés dans le présent règlement», on devrait entendre les produits possédant les fonctionnalités essentielles d’une catégorie de produits importants comportant des éléments numériques recensée dans le présent règlement. Par exemple, le présent règlement établit des catégories de produit importants comportant des éléments numériques qui sont définis par leur fonctionnalité de base comme pare-feu ou des systèmes de détection ou de prévention des intrusions de classe II. Par conséquent, les pare-feu et systèmes de détection ou de prévention des intrusions sont soumis à une évaluation de conformité obligatoire par un tiers. Ce n’est pas le cas pour d’autres produits comportant des éléments numériques qui ne sont pas catégorisés comme des produits importants comportant des éléments numériques mais qui peuvent intégrer des pare-feu ou des systèmes de détection ou de prévention des intrusions. La Commission devrait adopter un acte d’exécution pour préciser la description technique des catégories de produits importants comportant des éléments numériques qui relèvent des classes I et II, telles qu’elles figurent dans le présent règlement.

Afin de garantir la sécurité des produits comportant des éléments numériques après leur mise sur le marché, les fabricants doivent déterminer une période d’assistance qui doit correspondre à la durée d’utilisation prévue du produit comportant des éléments numériques. Pour déterminer la période d’assistance, le fabricant devrait notamment tenir compte des attentes raisonnables de l’utilisateur, de la nature du produit, ainsi que du droit de l’Union applicable à la durée de vie des produits comportant des éléments numériques. Les fabricants devraient également être en mesure de prendre en compte d’autres facteurs pertinents. Les critères doivent être appliqués de manière à garantir la proportionnalité de la durée de la période d’assistance. Sur demande, un fabricant doit fournir aux autorités de surveillance du marché les informations prises en compte pour déterminer la durée de la période d’assistance d’un produit comportant des éléments numériques.

La période d’assistance pendant laquelle le fabricant garantit le traitement efficace des vulnérabilités ne doit pas être inférieure à cinq ans, sauf si la durée de vie du produit comportant des éléments numériques est inférieure à cinq ans, auquel cas le fabricant doit assurer le traitement des vulnérabilités pendant ladite durée. Dans les cas des produits comportant des éléments numériques dont on peut raisonnablement s’attendre à ce qu’ils soient utilisés pendant plus de cinq ans, comme c’est souvent le cas pour les composants matériels tels que les cartes mères ou les microprocesseurs, les dispositifs de réseau tels que les routeurs, les modems ou les commutateurs, ainsi que les logiciels tels que les systèmes d’exploitation ou les outils d’édition vidéo, les fabricants devraient en conséquence prévoir des périodes d’assistance plus longues. En particulier, les produits comportant des éléments numériques destinés à être utilisés dans des environnements industriels, tels que les systèmes de contrôle industriels, sont souvent utilisés pendant des périodes beaucoup plus longues. Un fabricant ne devrait pouvoir définir une période d’assistance inférieure à cinq ans que si cela est justifié par la nature du produit comportant des éléments numériques concerné et s’il est prévu que ce produit soit utilisé pendant moins de cinq ans, auquel cas la période d’assistance devrait correspondre à la durée d’utilisation prévue. Par exemple, la durée de vie d’une application de recherche des contacts destinée à être utilisée pendant une pandémie pourrait être limitée à la durée de la pandémie. En outre, certaines applications logicielles ne peuvent par nature être mises à disposition que sous la forme d’un abonnement, en particulier lorsque l’application devient indisponible pour l’utilisateur et n’est donc plus utilisable à l’expiration de l’abonnement.

Lorsque les produits comportant des éléments numériques arrivent au terme de leur période d’assistance, afin de garantir que les vulnérabilités peuvent être traitées après la fin de la période d’assistance, les fabricants devraient envisager de divulguer le code source de ces produits comportant des éléments numériques soit à d’autres entreprises qui s’engagent à étendre la fourniture de services de traitement des vulnérabilités, soit au public. Lorsque les fabricants communiquent le code source à d’autres entreprises, ils doivent pouvoir protéger la propriété du produit comportant des éléments numériques et empêcher la diffusion du code source au public, par exemple au moyen d’accords contractuels.

Afin de garantir que les fabricants de l’Union déterminent des périodes d’assistance similaires pour des produits comparables comportant des éléments numériques, l’ADCO devrait publier des statistiques sur les périodes d’assistance moyennes déterminées par les fabricants pour des catégories de produits comportant des éléments numériques et publier des orientations indiquant les périodes d’assistance appropriées pour ces catégories. En outre, afin de garantir une approche harmonisée dans l’ensemble du marché intérieur, la Commission devrait pouvoir adopter des actes délégués pour spécifier des périodes d’assistance minimales pour des catégories de produits spécifiques lorsque les données fournies par les autorités de surveillance du marché semblent indiquer que les périodes d’assistance déterminées par les fabricants ne sont pas systématiquement conformes aux critères de détermination des périodes d’assistance établis dans le présent règlement ou que les fabricants de différents États membres déterminent de manière injustifiée des périodes d’assistance différentes.