Conformité

CRA : combien coûte vraiment la non-conformité pour une PME éditrice en 2027 ?

Marquage CE refusé, amendes jusqu'à 2,5% du CA mondial, retrait du marché EU. Chiffrage réaliste pour une PME éditrice de 50 personnes, ligne par ligne.

Aroua Biri

Quand je parle CRA à un dirigeant de PME éditrice, la première réaction c'est "oui on sait, on s'y mettra en 2027". La deuxième, quand je sors la calculatrice, c'est silencieuse.

Voici un chiffrage que j'ai construit avec deux clients en T1 2026. PME française de ~50 personnes, ~12 M€ de CA, produit SaaS B2B distribué dans l'UE. Le cas n'est pas extrême, c'est même très moyen.

L'objectif : faire l'arbitrage budgétaire en connaissance de cause. Pas pour faire peur, pour décider.

Rappel rapide des échéances

Le Cyber Resilience Act est adopté depuis 2024. Trois jalons à retenir :

  • 11 septembre 2026 : obligations de notification d'incident et de vulnérabilité (article 14).
  • 11 décembre 2027 : entrée en application complète. Tout produit avec composants numériques mis sur le marché EU doit être marqué CE selon les exigences du CRA.

Pour une PME éditrice SaaS distribuée en EU : à partir de décembre 2027, sans conformité documentée, votre produit ne peut plus être mis sur le marché EU. C'est aussi simple que ça.

Scénario : PME éditrice, 50 personnes, 12 M€ CA, 35% du CA en EU hors France

Coût 1 — Amende régulatoire directe

Le CRA prévoit des sanctions échelonnées (article 64) :

  • Jusqu'à 15 M€ ou 2,5% du CA mondial (le plus élevé) pour les manquements les plus graves (non-conformité des exigences essentielles).
  • Jusqu'à 10 M€ ou 2% pour la violation des obligations du fabricant.
  • Jusqu'à 5 M€ ou 1% pour fourniture d'informations inexactes.

Pour notre PME à 12 M€ : 2,5% = 300 k€ d'amende plafond. Pas la mort. Mais c'est l'arbre qui cache la forêt.

Coût 2 — Retrait ou rappel produit

Bien plus impactant. L'autorité de surveillance peut ordonner le retrait du marché. Conséquences pour notre PME :

  • 35% du CA = ~4,2 M€ de chiffre d'affaires annuel en jeu sur la zone EU hors France.
  • Délai de remise en conformité estimé : 6 à 12 mois selon le périmètre.
  • Pertes nettes (en supposant qu'on ne perd pas tous les clients) : 2 à 4 M€ sur l'exercice.

C'est ce coût-là qui compte. L'amende est un détail.

Coût 3 — Perte de clients enterprise EU

Les directions achats des grands comptes EU vont systématiquement demander la déclaration de conformité CRA. Sans elle :

  • Pas de nouveau contrat enterprise EU (vous sortez des short-lists).
  • Risque de non-renouvellement sur les comptes existants à l'échéance.

Pour notre PME, 60% du CA vient de clients EU > 250 personnes. Hypothèse prudente : 20% de churn anticipé = 1,4 M€ de revenus récurrents en risque.

Coût 4 — Responsabilité civile et NIS2 par ricochet

Vos clients sont soumis à NIS2. Si votre logiciel cause un incident qui rentre dans leur périmètre NIS2, ils vont se retourner contre vous. Le CRA renforce cette exposition : vous êtes considéré comme "fabricant" responsable, pas comme simple éditeur SaaS.

Difficile à chiffrer à l'avance. Sur les dossiers post-incident en 2025, on voyait des règlements amiables entre 200 k€ et 800 k€ pour des dommages indirects. Avec le CRA et NIS2 stabilisés en 2027, ce sera plus.

Coût 5 — Décote en levée de fonds ou cession

Un investisseur ou un acquéreur fait sa due diligence en 2027 sur une boîte non-conforme CRA. Au mieux : décote de valorisation (10 à 30% sur ce que je vois). Au pire : deal qui ne se fait pas.

Pour une PME qui vise une série B ou une cession à 5 ans, ce coût opportunité peut dépasser tous les autres réunis.

Total coût attendu en cas de non-conformité

Sur un scénario médian :

  • Amende régulatoire : 300 k€ (cap).
  • Perte CA EU année 1 : 2,5 M€ (estimation médiane).
  • Churn client enterprise : 1,4 M€ ARR récurrent.
  • Responsabilité civile / dommages : 400 k€.
  • Décote valorisation : non chiffrée mais potentiellement plurimillionsiconne.

Borne basse : 3-4 M€. Borne haute : 8-10 M€ sur 24 mois.

Coût de la mise en conformité (à comparer)

Pour cette même PME, sur 18 mois de roadmap :

  • Audit initial CRA + scoping : ~25 k€.
  • RSSI externalisé ou hire fractional : ~80-150 k€/an.
  • Outils (SAST, SCA, SBOM gen, vulnerability management) : ~15-30 k€/an.
  • Temps interne (~0.5 à 1 ETP cumulé sur l'année) : ~80 k€.
  • Évaluation de conformité (auto-évaluation pour module standard, organisme notifié sinon) : ~10-50 k€ ponctuel.
  • Documentation technique + processus + program de coordinated vulnerability disclosure : ~30 k€.

Total ordre de grandeur : 250 à 400 k€ sur les 18 mois précédant décembre 2027.

C'est un ordre de grandeur 10 à 30 fois plus faible que le coût attendu de la non-conformité. La décision rationnelle est triviale. Le vrai débat est sur le moment où commencer.

Pourquoi commencer en T2-T3 2026 et pas en T2 2027

Trois raisons concrètes :

Pénurie d'organismes notifiés et de cabinets

Les modules d'évaluation de conformité par organisme notifié vont faire une file d'attente fin 2027. Les cabinets capables de structurer un dossier CRA propre seront saturés. Commencer en avance = choisir, pas subir.

Refactor produit non négociable

Le CRA exige (annexe I) : design secure-by-default, gestion des secrets, mécanisme de mise à jour sécurisée, journalisation, minimisation des données, surface d'attaque réduite. Pour un logiciel qui a 5-10 ans de dette technique, ce n'est pas une checkbox. C'est 6 à 12 mois de travail produit.

Pression commerciale qui monte avant l'échéance

Les premiers grands comptes EU commencent à demander la déclaration CRA dès T3 2026 (clauses anticipatives dans les contrats long-terme). Une PME qui ne peut pas répondre en T3 2026 sort des appels d'offres alors qu'elle aurait pu rester en lice.

Les arbitrages qu'on voit en mission

Le faux confort "on attend les guidelines de la Commission"

Les guidelines précisent. Elles ne changent pas le cap. Attendre 6 mois pour avoir les guidelines = 6 mois de moins pour exécuter sur une roadmap qui prend déjà 18 mois.

La fausse économie de l'auto-évaluation seule

Pour un produit dans une catégorie "non-critique" (la majorité des SaaS B2B), l'auto-évaluation est légalement possible. Mais sans rigueur de processus, elle ne tient pas en cas de contrôle ou de demande client. Faire faire un audit blanc par un externe (~25 k€) sécurise la déclaration.

Le déni du périmètre

"Notre produit n'est pas un produit avec composants numériques au sens du CRA". Le périmètre est très large : presque tout logiciel commercialisé en EU est concerné. Les exclusions sont étroites (open source non commercialisé directement, certains équipements déjà couverts ailleurs). Demander une analyse de scope écrite avant de conclure à l'exclusion.

Le contre-exemple instructif

Une PME éditrice française que j'ai accompagnée à 6 mois de retard sur sa roadmap CRA en début 2026. Pas de SBOM, pas de PSIRT, pas de mécanisme de mise à jour sécurisée structuré. On a budgété 380 k€ sur 14 mois pour rattraper. Le DG a hésité pendant 2 mois en pensant que ça pouvait attendre. Pendant ces 2 mois, un client allemand a inclus une clause CRA anticipative dans son renouvellement à 600 k€/an. Sans la conformité visible en T3 2026, le client a indiqué qu'il regarderait ailleurs.

380 k€ d'investissement vs 600 k€/an de revenu en risque sur un seul compte. L'arbitrage s'est fait en deux semaines après cet email.

Pour la roadmap détaillée, voir CRA roadmap 2026-2027. Pour le SBOM exigé, voir SBOM CRA-compliant. Pour le programme CVD, voir Vulnerability disclosure CRA.

Un sujet connexe chez vous ?

20 minutes pour cadrer ensemble. Aucune offre commerciale envoyée à froid.

Réserver un échange Calendly

À lire aussi

ArticleCra roadmap jalons 2026 2027 ArticleSbom cra compliant generer maintenir ArticleVulnerability disclosure cra programme