En mars 2026, le régulateur portugais ANACOM a infligé une amende de 95 625 euros à Fnac Portugal et ordonné la confiscation de 17 appareils radio au profit de l'État. Le constat ressemble à une liste de contrôle de conformité qui a mal tourné : quatre modèles sans marquage CE, cinq sans identification de type, de lot ou de numéro de série, sept vendus sans manuel d'instructions en portugais, et dix modèles pour lesquels Fnac n'a pas pu produire de déclaration de conformité UE valide lorsque l'ANACOM l'a demandée. De l'autre côté de la frontière, en Allemagne, la campagne de surveillance du marché 2025 de la Bundesnetzagentur a repéré 7,7 millions d'appareils non conformes, contre 5,3 millions en 2024, et sa coopération douanière a bloqué plus de 359 000 articles à la frontière après avoir constaté que 89 % des envois signalés étaient non conformes.

Ces chiffres d'application donnent la mesure d'un calendrier réglementaire plus chargé que d'habitude. L'acte délégué relatif à la cybersécurité de la directive équipements radioélectriques est pleinement applicable depuis moins d'un an, l'échéance majeure du Cyber Resilience Act arrive le 11 septembre 2026, et une refonte des exemptions au plomb du RoHS est devenue applicable le 1er juillet 2026, quelques semaines seulement avant la publication de cet article. Aucun de ces régimes n'est optionnel : ils viennent s'ajouter au marquage CE dont tout appareil radio, télécom ou électrique a déjà besoin pour circuler dans l'UE, au Royaume-Uni et en Suisse.

Pour une équipe conformité qui gère des références sur ces trois marchés à la fois, 2026 est l'année où trois horloges distinctes convergent sur une même ligne de produits.

Quels régulateurs assurent réellement la conformité des équipements radio et électriques en Europe ?

Aucune agence unique de l'UE ne surveille les équipements radio et électriques : chaque État membre gère sa propre autorité de surveillance du marché sur la base des mêmes règles harmonisées. En France, l'Agence Nationale des Frequences (ANFR) inspecte les détaillants et les annonces en ligne dans le cadre du Code des postes et des communications electroniques, et peut délivrer une mise en demeure avant d'escalader vers une amende administrative, actuellement plafonnée à 7 500 euros pour une personne morale et 15 000 euros en cas de manquements concurrents. En Allemagne, la Bundesnetzagentur assure la fonction équivalente pour la directive équipements radioélectriques (2014/53/UE) et la directive CEM (2014/30/UE), en contrôlant à la fois les annonces en ligne et la vente physique. L'ANACOM au Portugal, comme le montre le dossier Fnac, suit la même logique d'escalade : identifier la non-conformité, exiger une action corrective, et sanctionner uniquement si l'opérateur ne se met pas en conformité.

Hors de l'UE, l'Office for Product Safety and Standards britannique supervise les Radio Equipment Regulations 2017, tandis que l'OFCOM suisse administre l'ordonnance sur les installations de télécommunication (OIT) et l'ordonnance sur la compatibilité électromagnétique (OCEM). Comme chaque autorité agit sur la base d'une loi nationale qui transpose (ou reflète) les mêmes directives de l'UE, une seule référence non conforme peut déclencher des enquêtes parallèles dans plusieurs pays à la fois, exactement le type de schéma transfrontalier qu'il est facile de manquer sans une surveillance pays par pays. La surveillance réglementaire d'Obsidian suit l'ANFR, la Bundesnetzagentur, l'ANACOM, l'OPSS et l'OFCOM comme des sources tier-0 distinctes plutôt qu'un flux "UE" unique, car leurs seuils et procédures d'application ne sont pas identiques.

Qu'est-ce qui déclenche réellement une amende, et quelle ampleur peut-elle atteindre ?

Le dossier Fnac Portugal illustre le schéma qui revient dans les mesures d'application de ce secteur : absence de marquage CE, absence d'identification produit et absence de documentation en langue portugaise, combinées à une absence d'action une fois l'entreprise notifiée. La décision de l'ANACOM précise explicitement que dans quatre cas, le distributeur n'a pas pris de mesures correctives après en avoir été prié. En France, le plafond est plus bas en valeur absolue, 7 500 euros pour une entreprise au titre de l'article L.43 II bis du CPCE, mais la méthode de l'ANFR est identique : une demande de correction de premier niveau pour les manquements mineurs, une mise en demeure formelle avec retrait du marché pour les manquements répétés ou graves, et ce n'est qu'ensuite qu'intervient une amende administrative ou un renvoi pénal au procureur de la République, la mise sur le marché français d'un appareil radio non conforme étant elle-même classée comme contravention pénale de cinquième classe.

L'expérience allemande montre que le problème d'échelle est structurel et non accidentel : la Bundesnetzagentur a contrôlé près de 2 100 types d'équipements en 2025 et a tout de même trouvé 1 266 types non conformes vendus en ligne uniquement. Une campagne de tests distincte financée par l'UE (JACOP 2025), menée par la DG GROW de la Commission européenne, a testé 173 produits électroniques pour leurs substances dangereuses et leur documentation CE : 91 d'entre eux, soit 53 %, ont échoué sur les limites de substances du RoHS ou sur un marquage CE manquant ou illisible. Pour un responsable conformité, la leçon porte moins sur le montant d'une amende isolée que sur le taux de base : environ la moitié des produits électroniques de consommation testés échouent sur une partie de cette liste de contrôle, ce qui fait de la revue du marquage et de la documentation une activité de conformité au rendement bien plus élevé qu'une simple formalité administrative.

L'acte délégué de cybersécurité de la RED est-il toujours en vigueur, et jusqu'à quand ?

Oui, et il a déjà des effets concrets aujourd'hui. Le règlement délégué (UE) 2022/30 de la Commission, qui active les exigences essentielles de cybersécurité de la directive équipements radioélectriques au titre de l'article 3(3), points d), e) et f), est applicable depuis le 1er août 2025 aux équipements radioélectriques connectés à internet, aux équipements destinés à la petite enfance, aux jouets et objets connectés, ainsi qu'aux équipements traitant de la valeur monétaire. La décision d'exécution (UE) 2025/138, publiée le 30 janvier 2025, a répertorié les normes harmonisées EN 18031-1, -2 et -3:2024 avec des restrictions attachées : un produit qui permet à un utilisateur de ne pas définir de mot de passe, par exemple, perd la présomption de conformité sur cette clause et nécessite l'intervention d'un organisme notifié au lieu d'une auto-déclaration.

Ce régime a désormais une date d'expiration inscrite. La Commission européenne a adopté le règlement délégué (UE) 2026/339 le 16 février 2026, qui abroge le règlement (UE) 2022/30 à compter du 11 décembre 2027, date exacte à laquelle le Cyber Resilience Act atteint sa pleine application. Tout fabricant qui met sur le marché de l'UE un équipement radioélectrique connecté à internet entre aujourd'hui et cette date relève du régime de cybersécurité de la RED ; à partir du 11 décembre 2027, ce même produit relèvera du CRA. Déterminer quel acte délégué régit une référence donnée à une date donnée est précisément le type de question à laquelle le compagnon IA d'Obsidian peut répondre en s'appuyant directement sur le texte réglementaire, plutôt qu'une note de conformité qui devient obsolète dès la publication d'un nouvel acte délégué.

Que doit réellement couvrir l'échéance de septembre 2026 du Cyber Resilience Act ?

L'article 14 du Cyber Resilience Act, règlement (UE) 2024/2847, devient applicable le 11 septembre 2026, soit plus d'un an avant que les principales obligations d'évaluation de la conformité du CRA n'entrent en vigueur le 11 décembre 2027. À partir de cette date, tout fabricant d'un produit comportant des éléments numériques vendu dans l'UE, quel que soit son lieu d'implantation, doit signaler les vulnérabilités activement exploitées et les incidents graves selon un calendrier échelonné : une alerte précoce dans les 24 heures suivant la prise de connaissance, une notification plus complète dans les 72 heures, et un rapport final dans les 14 jours pour les vulnérabilités ou dans le mois pour les incidents. Les signalements sont déposés une seule fois via la plateforme unique de signalement (SRP) de l'ENISA, qui achemine ensuite la notification vers le CSIRT national compétent et vers tout autre CSIRT d'un État membre où le produit est disponible.

La transposition française ajoute une subtilité juridictionnelle qu'il convient de suivre directement : le projet de loi DDADUE désigne l'ANFR comme autorité française de surveillance du marché pour le CRA, cette mission prenant effet le 11 septembre 2026, soit la même date que l'obligation de l'article 14, tandis que le régime de sanctions associé, des amendes pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial, ne s'active que le 11 décembre 2027, en même temps que la pleine application du CRA. La SRP elle-même n'est pas encore opérationnelle : l'ENISA a confirmé qu'elle le sera d'ici le 11 septembre 2026, sans API au lancement, ce qui signifie que la première vague de signalements obligatoires dans ce secteur se fera manuellement via un portail web.

RégimeCe qui s'applique maintenant ou bientôtDate clé
Règlement délégué (UE) 2022/30 de cybersécurité de la REDExigences essentielles obligatoires pour les équipements radioélectriques connectés à internet ; série de normes EN 18031 avec restrictionsApplicable depuis le 1er août 2025 ; abrogé le 11 décembre 2027
Cyber Resilience Act, article 14Signalement des vulnérabilités et incidents sous 24 heures/72 heures/14 jours via la SRP de l'ENISAApplicable à partir du 11 septembre 2026
Cyber Resilience Act, pleine applicationMarquage CE et évaluation de conformité pour la cybersécurité ; régime de sanctions de l'ANFR en France11 décembre 2027
Exemptions au plomb de l'annexe III du RoHS (restructurées)Des sous-entrées plus précises remplacent les exemptions historiques 6(a)/6(b)/6(c)/7(a)/7(c), la plupart expirant en 2026-2027Applicable depuis le 1er juillet 2026
Reconnaissance du marquage CE au Royaume-Uni (Radio Equipment Regulations 2017)Le marquage CE est accepté indéfiniment sur le marché britannique ; le marquage UKCA reste optionnelEn vigueur depuis le 1er octobre 2024

Le RoHS reste-t-il pertinent si un appareil obtient déjà le marquage CE pour la RED et la CEM ?

Oui, et la liste d'exemptions sur laquelle un fabricant s'appuyait l'année dernière n'est peut-être plus la liste en vigueur. Trois directives déléguées de la Commission, (UE) 2025/1802, 2025/2363 et 2025/2364, publiées le 21 novembre 2025 et entrées en vigueur le 11 décembre 2025, ont remplacé les larges exemptions historiques 6(a), 6(b), 6(c), 7(a) et 7(c) de l'annexe III de la directive 2011/65/UE par des sous-entrées plus étroites et spécifiques à chaque application, avec leurs propres dates d'expiration, la plupart se situant entre décembre 2026 et décembre 2027. Les États membres avaient jusqu'au 30 juin 2026 pour transposer ces changements, et les nouvelles entrées sont devenues applicables le 1er juillet 2026. L'exemption 6(a), qui couvre le plomb comme élément d'alliage dans l'acier, l'aluminium et le cuivre, ne sera pas renouvelée du tout et expire le 11 décembre 2026 pour toute catégorie de produits qui en dépendrait encore.

Un fabricant dont la nomenclature cite encore l'ancien code d'exemption sur une déclaration de conformité fait désormais référence à une disposition qui, soit n'existe plus, soit a une date d'expiration ferme. C'est un problème documentaire autant qu'un problème chimique, et il s'ajoute, sans s'y substituer, à l'homologation RED et CEM dont un produit dispose déjà.

Que doit vérifier une équipe conformité avant le prochain audit ?

Commencez par la même liste de contrôle que celle utilisée par l'ANACOM contre Fnac : chaque référence porte-t-elle un marquage CE visible, un identifiant de lot ou de série, et une déclaration de conformité qu'un distributeur peut produire en quelques jours et non en quelques semaines à la demande d'un régulateur. Cartographiez ensuite les produits qui entrent dans le périmètre de l'acte délégué de cybersécurité de la RED, équipements radioélectriques connectés à internet, destinés à la petite enfance, connectés portables, ou traitant de la valeur monétaire, et vérifiez si les restrictions de la norme EN 18031 s'appliquent à l'implémentation, une configuration par défaut sans mot de passe faisant perdre le bénéfice de l'auto-déclaration. Enfin, vérifiez les références de nomenclature RoHS par rapport aux entrées restructurées de l'annexe III avant qu'un ancien code d'exemption n'expire silencieusement.

Obsidian suit l'ANFR, la Bundesnetzagentur, l'ANACOM, l'OPSS, l'OFCOM ainsi que les instruments RED, CEM, RoHS et Cyber Resilience Act de la Commission européenne comme des sources tier-0 liées entre elles, avec des alertes lorsqu'un acte délégué comme le 2026/339 modifie une échéance de conformité ou qu'une nouvelle décision d'exécution restreint le périmètre d'une norme harmonisée. Consultez les offres conçues pour les équipes conformité produit et affaires réglementaires qui suivent des équipements dans plusieurs juridictions européennes, ou connectez le MCP d'Obsidian directement à vos propres outils si votre flux de travail passe déjà par un assistant IA.