Article 3 Définitions

En ce qui concerne les microentreprises et les petites et moyennes entreprises, les dispositions de l’annexe de la recommandation 2003/361/CE devraient être appliquées dans leur intégralité pour déterminer la catégorie dont relève une entreprise. Par conséquent, lors du calcul des effectifs et des seuils financiers définissant les catégories d’entreprises, les dispositions de l’article 6 de l’annexe de la recommandation 2003/361/CE relatives à la détermination des données de l’entreprise eu égard à certains types d’entreprises, telles que les entreprises partenaires ou liées, devraient également s’appliquer.

Le présent règlement vise à garantir un niveau élevé de cybersécurité des produits comportant des éléments numériques et de leurs solutions intégrées de traitement de données à distance. Ces solutions de traitement de données à distance devraient être définies comme le traitement de données à distance pour lequel le logiciel est conçu et développé par le fabricant du produit comportant des éléments numériques concerné ou au nom de celui-ci, et dont l’absence empêcherait le produit d’exécuter l’une de ses fonctions. Grâce à cette approche, les produits concernés sont sécurisés dans leur intégralité et de façon adéquate par leur fabricant, que les données soient traitées ou stockées localement, sur l’appareil de l’utilisateur, ou à distance, par le fabricant. Cependant, le traitement ou le stockage des données à distance ne relèvent du champ d’application du présent règlement que s’ils sont nécessaires à l’exécution des fonctions d’un produit comportant des éléments numériques. Le traitement ou le stockage à distance comprend les cas où une application mobile a besoin d’accéder à une interface de programmation d’application ou à une base de données fournie par l’intermédiaire d’un service développé par le fabricant. Dans cette situation, le service constitue une solution de traitement de données à distance et relève donc du champ d’application du présent règlement. Par conséquent, les exigences relatives aux solutions de traitement de données à distance qui relèvent du champ d’application du présent règlement ne comportent pas de mesures techniques, opérationnelles ou organisationnelles visant à gérer les risques qui pèsent sur la sécurité des réseaux et systèmes d’information d’un fabricant dans leur ensemble.

Les solutions en nuage ne constituent des solutions de traitement de données à distance au sens du présent règlement que si elles répondent à la définition énoncée dans ce dernier. Par exemple, les fonctionnalités en nuage fournies par un fabricant d’appareils domestiques intelligents qui permettent aux utilisateurs de contrôler l’appareil à distance relèvent du champ d’application du présent règlement. À l’inverse, les sites internet qui ne supportent pas la fonctionnalité d’un produit comportant des éléments numériques ou les services en nuage qui ne sont pas conçus et développés sous la responsabilité du fabricant d’un produit comportant des éléments numériques ne relèvent pas du champ d’application du présent règlement. La directive (UE) 2022/2555 s’applique aux services d’informatique en nuage et aux modèles de services en nuage, tels que les logiciels service (SaaS), les plates-formes services (PaaS) et les infrastructures services (IaaS). Les entités qui fournissent des services d’informatique en nuage dans l’Union et qui répondent à la définition des moyennes entreprises énoncée à l’article 2 de l’annexe à la recommandation 2003/361/CE, ou qui dépassent les plafonds applicables aux moyennes entreprises prévus au paragraphe 1 dudit article, relèvent du champ d’application de cette directive.

On entend par «logiciel libre et ouvert» un logiciel dont le code source est partagé de manière ouverte et dont la licence prévoit tous les droits pour qu’il soit librement accessible, utilisable, modifiable et redistribuable. Les logiciels libres et ouverts sont développés, entretenus et distribués de façon ouverte, y compris par l’intermédiaire de plates-formes en ligne. En ce qui concerne les opérateurs économiques auxquels s’applique le présent règlement, seuls les logiciels libres et ouverts mis à disposition sur le marché, donc fournis pour être distribués ou utilisés dans le cadre d’une activité commerciale, devraient relever du champ d’application du présent règlement. Les seules circonstances dans lesquelles le produit comportant des éléments numériques a été développé ou la manière dont le développement a été financé ne devraient donc pas être prises en considération au moment de déterminer si l’activité en question est de nature commerciale ou non. Plus précisément, aux fins du présent règlement et en ce qui concerne les opérateurs économiques auxquels il s’applique, afin de garantir la distinction claire entre les phases de développement et de fourniture, la fourniture de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts qui ne sont pas monétisés par leur fabricant ne devrait pas être considérée comme une activité commerciale. En outre, la fourniture de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts, destinés à être intégrés par d’autres fabricants à leurs propres produits comportant des éléments numériques, ne devrait être considérée comme une mise à disposition sur le marché que si le composant est monétisé par son fabricant d’origine. Par exemple, le simple fait qu’un fabricant verse un soutien financier à un logiciel libre comportant des éléments numériques ou qu’il contribue au développement d’un tel produit ne devrait pas en soi suffire à déterminer que cette activité est de nature commerciale. En outre, les mises à jour régulières de ce logiciel ne devraient pas permettre à elles seules de conclure qu’un produit comportant des éléments numériques est fourni dans le cadre d’une activité commerciale. Enfin, aux fins du présent règlement, le développement par des organisations à but non lucratif de produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts ne devrait pas être considéré comme une activité commerciale, pour autant que l’organisation concernée soit constituée de telle façon que tous les bénéfices sont utilisés pour atteindre des objectifs non lucratifs. Le présent règlement ne s’applique pas aux personnes physiques ou morales qui contribuent, sous forme de code source, à des produits comportant des éléments numériques qui répondent aux critères de logiciels libres et ouverts ne relevant pas de leur responsabilité.

Comme c’est le cas pour les réparations ou modifications physiques, un produit comportant des éléments numériques devrait être considéré comme substantiellement modifié par une modification logicielle lorsque la mise à jour du logiciel modifie l’utilisation prévue de ce produit et que ces modifications n’ont pas été prévues par le fabricant dans l’évaluation initiale des risques, ou lorsque la nature du danger a changé ou que le niveau de risque de cybersécurité a augmenté en raison de la mise à jour du logiciel, et que la version mise à jour est mise à disposition sur le marché. Une mise à jour de sécurité destinée à réduire le niveau de risque de cybersécurité d’un produit comportant des éléments numériques qui ne modifie pas l’utilisation prévue de ce produit n’est pas considérée comme une modification substantielle. Il s’agit généralement des situations où une mise à jour de sécurité ne comporte que des ajustements mineurs du code source. Ce pourrait être le cas, par exemple, d’une mise à jour de sécurité qui remédie à une vulnérabilité connue, y compris en modifiant les fonctions ou les performances d’un produit comportant des éléments numériques dans le seul but de réduire le niveau de risque de cybersécurité. De même, une mise à jour mineure de fonctionnalités, telle qu’une amélioration visuelle ou l’ajout de nouveaux pictogrammes ou de nouvelles langues ou d’un nouvel ensemble de pictogrammes à l’interface utilisateur, ne devrait pas, en règle générale, être considérée comme une modification substantielle. À l’inverse, une mise à jour de caractéristiques qui modifie les fonctions initialement prévues d’un produit comportant des éléments numériques, son type ou ses performances et qui remplit les critères susmentionnés devrait être considérée comme une modification substantielle, étant donné que l’ajout de nouvelles caractéristiques accroît généralement la surface d’attaque et, partant, les risques de cybersécurité. Ce peut être le cas, par exemple, lorsque l’ajout d’un nouvel élément de saisie à une application nécessite que le fabricant procède à une validation adéquate de la saisie. Le fait qu’une mise à jour de caractéristiques soit apportée de façon indépendante ou qu’elle soit combinée à une mise à jour de sécurité n’est pas pertinent pour déterminer si elle constitue une modification substantielle. La Commission devrait publier des orientations sur la manière de déterminer ce qui constitue une modification substantielle.

Conformément à la notion généralement établie de modification substantielle pour les produits régis par la législation d’harmonisation de l’Union, lorsque se produit une modification substantielle de nature à affecter la conformité d’un produit comportant des éléments numériques au présent règlement ou lorsque l’utilisation prévue de ce produit change, il convient de vérifier la conformité du produit comportant des éléments numériques et, le cas échéant, de le soumettre à une nouvelle évaluation de la conformité. Le cas échéant, si le fabricant a recours à une évaluation de la conformité faisant intervenir un tiers, une modification susceptible d’entraîner une modification substantielle devrait être notifiée à ce dernier.

Lorsqu’un produit comportant des éléments numériques fait l’objet d’une «remise à neuf», d’un «entretien» et d’une «réparation», au sens de l’article 2, points 18), 19) et 20), du règlement (UE) 2024/1781 du Parlement européen et du Conseil(¹⁹)Règlement (UE) 2024/1781 du Parlement européen et du Conseil du 13 juin 2024 établissant un cadre pour la fixation d’exigences en matière d’écoconception pour des produits durables, modifiant la directive (UE) 2020/1828 et le règlement (UE) 2023/1542 et abrogeant la directive 2009/125/CE (JO L, 2024/1781, 28.6.2024, ELI: http://data.europa.eu/eli/reg/2024/1781/oj)., cela n’entraîne pas nécessairement une modification substantielle du produit, par exemple si l’utilisation et les fonctionnalités prévues ne sont pas modifiées et que le niveau de risque demeure inchangé. Toutefois, la mise à niveau d’un produit comportant des éléments numériques par le fabricant pourrait entraîner des modifications dans la conception et le développement de ce produit et donc avoir une incidence sur son utilisation prévue et sa conformité aux exigences énoncées dans le présent règlement.

Dans le cadre des nouveaux modèles commerciaux complexes liés aux ventes en ligne, une entreprise exerçant ses activités en ligne peut fournir toute une série de services. Selon la nature des services fournis en rapport avec un produit donné comportant des éléments numériques, la même entité peut relever de différentes catégories de modèles d’entreprise ou d’opérateurs économiques. Lorsqu’une entité fournit uniquement des services d’intermédiation en ligne pour un produit donné comportant des éléments numériques et n’est qu’un fournisseur d’une place de marché en ligne au sens de l’article 3, point 14), du règlement (UE) 2023/988, elle ne peut être considérée comme l’un des types d’opérateurs économiques définis dans le présent règlement. Lorsque la même entité est un fournisseur d’une place de marché en ligne et agit également comme opérateur économique au sens du présent règlement, pour la vente de produits particuliers comportant des éléments numériques, elle devrait être soumise aux obligations prévues par le présent règlement pour ce type d’opérateur économique. Par exemple, si le fournisseur d’une place de marché en ligne distribue également un produit comportant des éléments numériques, il sera alors considéré, en ce qui concerne la vente de ce produit, comme un distributeur. De même, si l’entité en question vend des produits de sa propre marque qui comportent des éléments numériques, elle serait considérée comme un fabricant et devrait donc se conformer aux exigences applicables aux fabricants. En outre, certaines entités peuvent être considérées comme des prestataires de services d’exécution des commandes au sens de l’article 3, point 11), du règlement (UE) 2019/1020 du Parlement européen et du Conseil(²⁷)Règlement (UE) 2019/1020 du Parlement européen et du Conseil du 20 juin 2019 sur la surveillance du marché et la conformité des produits, et modifiant la directive 2004/42/CE et les règlements (CE) n^o 765/2008 et (UE) n^o 305/2011 (JO L 169 du 25.6.2019, p. 1). si elles proposent de tels services. Ces situations devraient être appréciées au cas par cas. Les places de marché en ligne jouant un rôle de premier plan dans le commerce électronique, elles devraient s’efforcer de coopérer avec les autorités de surveillance du marché des États membres pour contribuer à veiller à ce que les produits comportant des éléments numériques qui sont achetés par leur intermédiaire respectent les exigences de cybersécurité prévues par le présent règlement.