Source: OJ L 2024/2847, 20.11.2024Current language: FR
- Cyber resilience for products with digital elements
Basic legislative acts
- CRA regulation
Article 64 Sanctions
Les États membres déterminent le régime des sanctions applicables aux violations du présent règlement et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Ces sanctions doivent être effectives, proportionnées et dissuasives. Les États membres informent la Commission, sans retard, du régime ainsi déterminé et des mesures ainsi prises, de même que, sans retard, de toute modification apportée ultérieurement à ce régime ou à ces mesures.
Le non-respect des exigences de cybersécurité énoncées à l’annexe I et avec les obligations énoncées aux articles 13 et 14 fait l’objet d’une amende administrative pouvant aller jusqu’à 15 000 000 EUR ou, si l’auteur de l’infraction est une entreprise, jusqu’à 2,5 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.
Le non-respect des obligations établies aux articles 18 à 23, à l’article 28, à l’article 30, paragraphes 1 à 4, à l’article 31, paragraphes 1 à 4, à l’article 32, paragraphes 1, 2 et 3, à l’article 33, paragraphe 5, et aux articles 39, 41, 47, 49 et 53 fait l’objet d’une amende administrative pouvant aller jusqu’à 10 000 000 EUR ou, si l’auteur de l’infraction est une entreprise, jusqu’à 2 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.
La fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifiés et aux autorités de surveillance du marché en réponse à une demande fait l’objet d’une amende administrative pouvant aller jusqu’à 5 000 000 EUR ou, si l’auteur de l’infraction est une entreprise, jusqu’à 1 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.
Pour décider du montant de l’amende administrative dans chaque cas d’espèce, toutes les caractéristiques propres à chaque cas sont prises en considération et il est dûment tenu compte des éléments suivants:
la nature, la gravité et la durée de l’infraction et de ses conséquences;
la question de savoir si des amendes administratives ont déjà été imposées par les mêmes ou d’autres autorités de surveillance du marché au même opérateur économique pour une infraction similaire;
la taille, en particulier en ce qui concerne les microentreprises, les petites et moyennes entreprises, y compris les jeunes entreprises, et la part de marché de l’opérateur économique qui commet l’infraction.
Les autorités de surveillance du marché qui appliquent des amendes administratives communiquent ces informations aux autorités de surveillance du marché des autres États membres au moyen du système d’information et de communication visé à l’article 34 du règlement (UE) 2019/1020.
Chaque État membre établit les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire.
En fonction du système juridique des États membres, les règles relatives aux amendes administratives peuvent être appliquées de telle sorte que les amendes sont imposées par les juridictions nationales compétentes ou d’autres organismes, en fonction des compétences établies au niveau national dans ces États membres. L’application de ces règles dans ces États membres a un effet équivalent.
Des amendes administratives peuvent être imposées, en fonction des circonstances propres à chaque cas, en plus de toute autre mesure corrective ou restrictive appliquée par les autorités de surveillance du marché pour la même infraction.
Par dérogation aux paragraphes 3 à 9, les amendes administratives visées auxdits paragraphes ne s’appliquent pas:
aux fabricants considérés comme des microentreprises ou des petites entreprises en cas de non-respect du délai visé à l’article 14, paragraphe 2, point a), ou à l’article 14, paragraphe 4, point a);
à toute violation du présent règlement par les intendants de logiciels ouverts.
Relevant recitals
Considérant 120 Administrative fines
Afin de garantir une application efficace des obligations prévues par le présent règlement, chaque autorité de surveillance du marché devrait avoir le pouvoir d’imposer ou de demander l’imposition d’amendes administratives. Il convient donc d’établir des niveaux maximaux pour les amendes administratives à prévoir dans la législation nationale en cas de non-respect des obligations prévues par le présent règlement. Pour décider du montant de l’amende administrative dans chaque cas d’espèce, toutes les caractéristiques propres à chaque cas devraient être prises en considération et, au minimum, celles explicitement établies dans le présent règlement, y compris la question de savoir si le fabricant est une microentreprise ou une petite ou moyenne entreprise, y compris une jeune pousse, et si des amendes administratives ont déjà été imposées par la même ou par d’autres autorités de surveillance du marché au même opérateur économique pour une infraction similaire. De telles caractéristiques seraient susceptibles d’être soit aggravantes, dans des situations où l’infraction commise par le même opérateur économique persiste sur le territoire d’autres États membres que celui où une amende administrative a déjà été infligée, soit atténuantes, en veillant à ce que toute autre amende administrative envisagée par une autre autorité de surveillance du marché pour le même opérateur économique ou le même type d’infraction tienne déjà compte, avec d’autres caractéristiques spécifiques pertinentes, d’une sanction imposée dans d’autres États membres et de son montant. Dans tous ces cas, l’amende administrative cumulative que les autorités de surveillance du marché de plusieurs États membres pourraient infliger au même opérateur économique pour le même type d’infraction devrait être conforme au principe de proportionnalité. Étant donné qu’une amende administrative ne peut être infligée à une microentreprise ou une petite entreprise pour non-respect du délai de vingt-quatre heures fixé pour notifier une alerte précoce de vulnérabilités activement exploitées ou d’incidents graves ayant des répercussions sur la sécurité du produit comportant des éléments numériques, ni à un intendant de logiciels ouverts pour quelque infraction au présent règlement que ce soit, et compte tenu du principe qui prévoit que les sanctions soient efficaces, proportionnées et dissuasives, il convient que les États membres n’imposent auxdites entités aucun autre type de sanction de nature pécuniaire.
Considérant 121 Administrative fines for natural persons
Lorsque des amendes administratives sont imposées à une personne qui n’est pas une entreprise, l’autorité compétente devrait tenir compte, lorsqu’elle examine le montant approprié pour l’amende, du niveau général des revenus dans l’État membre ainsi que de la situation économique de la personne en cause. Il devrait appartenir aux États membres de déterminer si et dans quelle mesure les autorités publiques devraient faire l’objet d’amendes administratives.
Considérant 122 Revenues from penalties
Il convient que les États membres, compte tenu de leurs situations nationales, examinent la possibilité d’utiliser les recettes générées par les sanctions prévues par le présent règlement, ou leur équivalent financier, pour soutenir les politiques de cybersécurité et améliorer le niveau de cybersécurité dans l’Union, notamment en augmentant le nombre de professionnels qualifiés dans le domaine de la cybersécurité, en renforçant les capacités des microentreprises et des petites et moyennes entreprises et en améliorant la sensibilisation du public aux cybermenaces.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.