- Speaker #0
Et si les plus grands défis des entreprises de demain n'étaient pas technologiques, mais juridiques ? On le sait, la technologie avance vite, parfois plus vite que le droit. Le numérique n'est plus seulement un terrain d'innovation technologique, il génère en permanence de nouvelles problématiques juridiques, toujours plus nombreuses et complexes, que les juristes doivent suivre et décrypter au quotidien. Qui est responsable lorsqu'une intelligence artificielle se trompe ? Comment assurer une juste rémunération des auteurs d'une œuvre lorsque l'IA s'entraîne sur des millions de contenus, parfois sans autorisation ? À partir de quel moment une mécanique de jeu devient-elle une technique de manipulation ? Et comment construire un monde numérique véritablement accessible à tous ? Je suis Angeline Doudoux, journaliste chez Lefebvre Dalloz, et je vous propose de partir à la rencontre de celles et ceux qui décryptent ces mutations et accompagne les entreprises face à ces enjeux d'ampleur. Bienvenue dans Business et Innovation Technologique, le droit des affaires à l'ère du numérique. Bonjour à toutes et à tous, aujourd'hui je suis en compagnie de Xavier Pican, associé au sein du cabinet Osborne Clarke. Bonjour Xavier.
- Speaker #1
Bonjour Madame.
- Speaker #0
Aujourd'hui, on va évoquer ensemble le Cyber Resilience Act, qu'on appellera dans notre échange le CRA. Alors, première question pour vous Xavier, est-ce que vous pouvez nous expliquer en quelques mots ce qu'est le CRA, donc le Cyber Resilience Act.
- Speaker #1
Tout à fait. En fait, le CRA a été adopté en octobre 2024. C'est un texte à portée réglementaire immédiate et qui impose pour la première fois en Europe des exigences harmonisées en cybersécurité. On avait déjà eu des contraintes autour de la cybersécurité au titre du RGPD, mais là, on a un texte spécifique avec un champ d'application très large.
- Speaker #0
Alors justement, vous parlez de RGPD. On compare souvent ce texte, le Cyber Resilience Act, au RGPD.
- Speaker #1
Absolument et je trouve que d'ailleurs c'est une bonne comparaison, c'est une comparaison intéressante parce que de manière philosophique les deux textes finalement ils sont issus de la même génération. Le RGPD a créé finalement l'obligation pour les entreprises de faire ce qu'on appelle des auto-évaluations de leurs produits, de leurs technologies, de leurs logiciels et de leurs partenaires pour voir s'ils étaient conformes au texte. Là on est exactement dans la même logique, simplement le RGPD protège les données personnelles alors que le CRA protège les produits. et l'utilisation des produits et leur conformité à un niveau de sécurité. Donc c'est très très important quand on sait qu'aujourd'hui, il y a des millions et des millions de produits sur le marché qui sont déversés tous les jours. Évidemment, cette sécurité est lourdement imposée et c'est ce texte qui va régler ça.
- Speaker #0
Alors vous le disiez, le règlement européen sur la cyber-résilience a été adopté le 23 octobre 2024 et est entré en vigueur le 10 décembre de la même année. Il ne sera pleinement applicable qu'à partir de décembre 2027 et de ce fait, beaucoup d'entreprises... pensent avoir encore du temps, mais en réalité, c'est maintenant qu'elles doivent se préparer.
- Speaker #1
Absolument, et c'est toujours un petit peu le drame, entre guillemets, avec les textes de ce type-là. C'est là aussi une logique qu'on connaît dans d'autres textes comme l'IAAC, que probablement vous connaissez. En fait, il y a des vagues temporelles de conformité. Donc effectivement, le CRA s'applique en trois vagues. La première vague est déjà passée, c'était le 11 juin 2026, donc c'est très récent. Donc là, les États membres peuvent notifier les organismes chargés d'évaluer la conformité des produits. C'est visible notamment pour les fabricants de produits. La deuxième vague arrive le 11 septembre 2026, dans quelques semaines. Les obligations sont beaucoup plus fortes, puisqu'il y a une obligation de notification des vulnérabilités. Ce qui est là aussi, encore une fois, ce petit rappel au RGPD. Quand on a un problème, on notifie l'autorité de contrôle. Et enfin, le 11 décembre 2027, c'est la troisième vague. C'est l'ensemble du texte du règlement du CRA qui va s'appliquer avec toutes les catégories, et notamment le renforcement des produits à sécurité particulière. Donc on est bien au milieu finalement d'un texte qui est en train de s'appliquer, c'est pour ça que les entreprises commencent à s'y mettre, mais il faut qu'elles commencent à s'y mettre réellement, parce que finalement, 2027, c'est demain matin.
- Speaker #0
Et quels produits sont visés par le CRA ?
- Speaker #1
Alors là aussi, c'est une question très intéressante parce que le périmètre de ce règlement est très large. Il vise tous les produits comportant des éléments numériques. Vous imaginez la portée de ce texte. En gros, un produit qui se connecte, qui intègre des technologies qui se connectent, qui intègre des puces, qui intègre des logiciels, tous ces types de produits seront concernés. donc en fait Là aussi, c'est une exigence qu'on fait porter aux entreprises de vérifier ce qu'elles ont, ce qu'elles produisent, et si ce qu'elles produisent rentre dans le champ d'application de ce texte. C'est probablement le gros du premier travail à faire pour les organisations qui nous écoutent.
- Speaker #0
Si je suis un fabricant, comment est-ce que je peux savoir que mon produit entre dans le champ du CRA ?
- Speaker #1
Là, on peut se poser quatre questions. Est-ce que mon produit comporte des éléments numériques ? Vous avez compris que probablement la réponse sera souvent oui, surtout en 2026. Se connecte-t-il à un réseau ou à un autre appareil ? Quand on parle par exemple à tous les objets connectés, aujourd'hui on est dans un monde, on est entouré d'objets connectés, donc là aussi on peut imaginer que la réponse sera souvent oui. Est-ce qu'il est exclu par une réglementation sectorielle spécifique ? Typiquement, ce qu'on appelle les medical devices ont une réglementation particulière, donc ils ne sont pas couverts par ce texte. Donc là pour le coup c'est une réglementation à part. Idem pour l'automobile et la défense, qui ont des réglementations sectorielles, qui traite... des sujets de cybersécurité pour ces technologies précises ? Et enfin, est-ce qu'on est en présence d'un service cloud pur, c'est-à-dire des gens qui font de l'hébergement, ce qu'on appelle les hyperscalaires comme Amazon, Google ? Donc si on répond oui aux deux premières et non aux deux dernières, on est très probablement dans le champ d'application du CERA. Et objectivement, quand on regarde après la liste des produits qui sont concernés, beaucoup d'entreprises, utilisatrices ou fabricantes, sont concernées par ce texte.
- Speaker #0
Vous évoquez les medical devices ? Nous avons fait un podcast justement avec deux de vos collaborateurs du cabinet Osborne-Clark sur IA et données de santé. Pour nos auditeurs que ça intéresse, je mettrai le lien dans la description. Revenons-en au CRA. Est-ce que tous les produits sont traités de la même façon ou est-ce qu'il y a des niveaux d'exigence différents ?
- Speaker #1
Alors le règlement a fixé quatre catégories. La première catégorie, ce sont les produits standards qui couvrent la majorité des produits du marché. Sur ces produits-là, finalement, on demandera aux acteurs concernés de faire l'auto-évaluation de ces produits-là pour voir s'ils sont conformes ou pas. Après, il y a des catégories et des produits, la deuxième catégorie est plus importante. Ils sont dans deux sous-classes, ce qu'on appelle la classe 1 et la classe 2, pour lesquelles le recours à un organisme de classification est requis, et même obligatoire. On pense par exemple au système de marquage CE. Enfin, il y a les produits critiques. Et là, on vise spécifiquement les produits qui sont liés au risque cyber. Pourquoi ? Parce qu'on vise les systèmes d'exploitation de serveurs, les équipements de chiffrage, les hyperviseurs. Donc là, on est vraiment dans cette catégorie, dans la cible de préoccupation des directeurs informatiques qui doivent évaluer leur système, leur infrastructure IT, pour vérifier si, un, ils ont des fournisseurs qui sont conformes à cette réglementation et eux, si, par la même, ils produisent. des résultats conformes. Donc ça, c'est vraiment important parce qu'on peut imaginer que 10% des produits les plus risqués feront l'objet d'une évaluation renforcée. Donc ça veut dire qu'il faut vraiment se poser ces questions et en fait, fondamentalement, les textes réglementaires, vous le savez, ils ont toujours pour objectif de mettre un petit peu plus de pression là où on traite des éléments sensibles. Et les éléments de sensibilité, c'est bien le risque cyber qu'il faut limiter. Il y a une explosion des cas de cybersécurité. Et moi, pour en connaître très régulièrement au cabinet et pour en gérer beaucoup pour nos clients, en général, les problématiques viennent des prestateurs informatiques qui sont en lien avec l'infrastructure. Donc l'infrastructure des organisations, des entreprises publiques et privées, c'est vraiment le nerf de la guerre. Et c'est ce que essaye de viser ce texte-là.
- Speaker #0
Et justement, dans une entreprise, qui va porter concrètement ce projet ? Est-ce que c'est la direction juridique ? Est-ce que ce sont les équipes informatiques ?
- Speaker #1
Alors les entreprises ont pris de bonnes habitudes depuis le RGPD, c'est qu'elles ont pris l'habitude de travailler ensemble. En fait, l'intérêt de ce genre de texte, le côté bénéfique, il y a plein de côtés négatifs, c'est très lourd, il faut démontrer une certaine agilité, mais les entreprises se sont organisées. Elles ont créé notamment ce qu'on appelle les fonctions de data ou les DPO. La direction juridique s'est renforcée sur ces sujets-là. La direction informatique a appris aussi à travailler. avec le DPO de manière plus constante et plus régulière, en fait, je dirais qu'il faut juste continuer ça. Il faut continuer à faire pareil. Il faut le renforcer. Il faut que les directions juridiques intègrent les subtilités de ce texte et le partagent avec leurs interlocuteurs internes pour être plus performants. En fait, il n'y a pas le choix. Et je pense que c'est déjà suffisamment compliqué de mettre en place une gouvernance. Quand elle existe, il faut s'appuyer sur cette gouvernance. C'est comme ça qu'on est efficace.
- Speaker #0
Revenons-en au texte, si vous le voulez bien. Concrètement, je suppose qu'il y a des grandes obligations qui sont imposées par le CRA.
- Speaker #1
Absolument, il y a trois grandes obligations. On pourrait dire trois grandes familles d'obligations. La première qui n'est pas totalement nouvelle, c'est le Security by Design. Là aussi, cette thématique était largement effleurée par le RGPD. Là, elle est complètement intégrée. Donc la sécurité doit faire partie intégrante du développement d'un nouveau produit, dès l'origine et dès sa conception. C'est super important parce que si on prend en considération la sécurité dès lors qu'on crée un produit, on a quand même plus de chances d'avoir moins de problèmes de sécurité dans son déploiement. La deuxième famille d'obligations, c'est la fin du « on vend et on oublie » . Finalement, c'est un concept un peu de garantie technologique. Les fabricants qui fabriquent ces dix produits doivent surveiller les vulnérabilités. Ils ne doivent pas surveiller les vulnérabilités le lendemain de la vente, ils doivent le surveiller pendant au moins cinq ans. Ça aussi, c'est relativement considérable comme révolution, parce que ça veut dire qu'il va falloir... regarder la documentation, l'évolution de ce produit. Ça veut dire qu'il faut concevoir un produit qui va durer, donc il y a une forme de durabilité, ce qui est quand même très intéressant aussi pour des raisons écologiques, notamment. Donc c'est-à-dire que la sécurité, c'est pas simplement pour que ça fonctionne bien, c'est aussi pour que le produit soit plus durable. Et enfin, la troisième famille d'obligations qui est très importante, c'est la notification des dites vulnérabilités. Pour le coup, dès qu'un produit... présente une petite moyenne ou grande vulnérabilité, il y a cette obligation de notifier. L'obligation de notifier, elle a deux objectifs. Évidemment, c'est de pouvoir corriger au plus vite, mais c'est aussi de donner l'information pour que ça ne se reproduise pas. Ce qui est intéressant dans ce type de texte, c'est que les notions de sécurité et de durabilité vont aussi avec une forme de caractère éthique et de transparence. Et là aussi, on est tout à fait dans la logique des règlements récents de l'Union européenne. C'est RGPD, mais l'IA acte à exactement cette logique d'éthique. Donc voilà, on voit quand même que d'un point de vue réglementaire, on est quand même toujours un petit peu dans la même famille.
- Speaker #0
Alors justement, les obligations de notification des incidents, qu'est-ce que c'est concrètement et à partir de quand ?
- Speaker #1
Alors c'est là où finalement il faut s'organiser un petit peu et essayer de mettre en place finalement une capacité de réponse, puisque c'est bien la deuxième vague du CRA qui va imposer dès le 11 septembre cette obligation de notification. Dès lors qu'un fabricant a connaissance d'une vulnérabilité, ou d'un incident de sécurité sur son produit, il devra notifier sur une plateforme européenne de l'ENISA. Et cette plateforme va redistribuer l'information. Là aussi, c'est une pratique très connue du partage d'informations entre les autorités de contrôle. Et en France, l'information sera partagée à l'ANSI.
- Speaker #0
Et combien de temps est-ce qu'il dispose pour faire ce signalement ?
- Speaker #1
Alors là, il y a trois catégories de signalement, si on peut s'exprimer comme si. Il y a 24 heures pour une alerte précoce. C'est-à-dire, en gros, on a un doute, on voit que le produit a des dysfonctionnements, donc on préfère alerter très en amont. Il y a 72 heures pour une notification de vulnérabilité complète. Vous voyez que là aussi, on est quand même dans des délais très, on va dire, ambitieux. C'est aussi la logique du RGPD, c'est de signaler très vite quand il y a un problème. Donc ça veut dire aussi que ça impose aux organisations de s'organiser très vite et d'être capables d'avoir des équipes organisées pour corriger et trouver des systèmes de remédiation. Et enfin, 14 jours après la mise à disposition d'un correctif pour le rapport final. Donc en fait, on est quand même encadré dans des délais. On verra dans la mise en œuvre parce que c'est toujours pareil. C'est-à-dire que les textes donnent des délais souvent très contraints et très difficiles à tenir. La réalité, elle est souvent tout autre. Et c'est quand même très rare, quel que soit le niveau de vulnérabilité ou pour une faille de sécurité, quelle qu'elle soit, qu'en 14 jours, on ait 100% de la réponse de pourquoi c'est arrivé. Est-ce que c'est dû à un événement extérieur ? Est-ce que c'est un composant ? Est-ce que c'est une erreur humaine ? Ça, on peut mettre souvent plus de 14 jours. Mais je pense que là aussi, la pression est mise sur les fabricants pour que, dès la conception, ces concepts de remédiation soient pensés. C'est-à-dire qu'en fait, comme on va vous contrôler et comme on veut être certain de minimiser le risque, on vous donne des délais très courts. Les procédures, finalement, de remédiation doivent être très précises. et doit être prévue par les organisations très en amont. Et vous voyez qu'en septembre 2026, c'est quand même demain matin. Pour cela, les entreprises doivent s'organiser et notamment doivent mettre en place ce qu'on appelle des SBOM, c'est-à-dire des Software Bill of Materials. C'est-à-dire en fait l'inventaire précis et exhaustif de tous les composants logiciels du produit. Aujourd'hui, il n'est pas certain que tous les fabricants aient mis en place ce type de documentation. Donc j'invite vraiment les entreprises à accélérer ce type de documentation. ce type de processus parce que le jour où il y a un problème, le jour où il y a un défaut, et le jour aussi où il y aura des contrôles, il faudra démontrer que ce type de documentation a été mis en place en temps et en heure. Il y a une vertu à ça, c'est que déjà, un, il faut le faire, deux, ça permet de vérifier un petit peu l'état de ces produits, l'état de ces contraintes, et en plus, c'est requis finalement par cette réglementation. Donc, je dirais qu'il y a plein de raisons pour le faire.
- Speaker #0
Alors, si je comprends bien, le SBOM, c'est un peu la carte d'identité logicielle d'un produit.
- Speaker #1
C'est exactement ça. C'est la compréhension totale et exhaustive de comment fonctionne un produit. Je vais vous donner un exemple. Si vous avez une montre connectée, c'est du hardware et plein de logiciels et plein d'applicatifs. Tout ce hardware et ces applicatifs communiquent entre eux. Dans ce hardware, il y a des couches logicielles. Il y a du logiciel qui a été développé en interne. Il y a des logiciels qu'on a pu accueillir à l'extérieur. Il y a des logiciels qui peuvent parfois être développés en open source. Il y a des technologies d'IA. Et tout ça, en fait, on le fait, on le sait, on le développe, mais est-ce qu'on le documente de manière exhaustive ? Ce n'est pas évident. Est-ce qu'on l'a listé ? Ce n'est pas évident. Donc, en fait, le fait de faire ce SBOM, ça permet aussi de revérifier non seulement son niveau d'exposition juridique, mais ça permet de cartographier ses actifs, en fait. Donc, en fait, intuitivement, il y a même une vertu un peu patrimoniale. On sait ce qu'on a dans son armoire, on sait si l'armoire est bien rangée et on sait ce qui a de la valeur. Et donc, c'est fondamental pour une entreprise. Il n'y a pas qu'un enjeu réglementaire, il y a un enjeu de patrimonialisation de ses actifs aussi.
- Speaker #0
Et quels sont les impacts sur les contrats avec les fournisseurs et les partenaires ?
- Speaker #1
Il faut revisiter ces contrats. C'est toujours un peu la même logique. C'est la logique pour l'IA Act, pour le RGPD, pour le Data Act. Il y a des contraintes nouvelles. Il faut revoir ces contrats, les contrats avec ses fournisseurs notamment, les contrats avec ses partenaires. Donc là, on a bien compris qu'il y avait le sujet de ce listing. de finalement j'ai quoi dans mon moteur comme fonctionnalité. Donc ça, ça me paraît être un élément contractuel important à détailler qui sera attendu. Donc ça, il faut le faire et il faut le faire assez vite. Il y a tout ce sujet de la sécurité et de l'obligation de notification. Comme on est dans des délais contraints dans lesquels il faudra réagir vite s'il y a un problème de vulnérabilité, il faut forcément inscrire dans ces contrats le niveau d'attente sur la réaction en ce cas de vulnérabilité. Donc ça veut dire l'audit. Là, du diligence technique, les clauses de responsabilité probablement un peu revues. Et un dernier point important, c'est des dispositions sur la fin de vie du produit. Parce que vous avez compris qu'avant, on doit surveiller finalement pendant 5 ans le produit. Il y a cette mécanique de durabilité. Mais ça veut dire aussi que quand on est acheteur de produit, on a envie de savoir quand est-ce que l'obligation de 5 ans s'arrête. Est-ce que certains fabricants vont aller au-delà de 5 ans ? Est-ce qu'ils vont nous offrir finalement cette surveillance un peu plus lointaine ? Donc là, on voit... qu'on n'a pas encore tout à fait beaucoup de recul. Ce qui est certain, c'est que là aussi, ce qui est intéressant, c'est qu'on va avoir des nouvelles négociations contractuelles passionnantes. Ça, c'est certain.
- Speaker #0
Oui, alors en tant que praticien, je suppose que ça signifie, vous le voyez tous les jours, que beaucoup de contrats seront négociés.
- Speaker #1
Ils seront renégociés et ils seront renégociés évidemment avec des contraintes de prix fortes parce qu'il est certain aussi, il ne faut pas se voler la face, que quand on met des obligations un peu supérieures sur des fabricants de produits, concernés par ce texte, notamment les vulnérabilités et la sécurité, ils vont avoir tendance à potentiellement augmenter les prix. Il faut savoir en plus qu'aujourd'hui, depuis 6 à 9 mois, il y a une explosion des prix des composants. Si vous regardez bien la presse et le prix notamment des ordinateurs portables, des téléphones, des composants informatiques, c'est une explosion qui est liée aux conflits internationaux. Ce n'est pas forcément la très bonne période quand on est acheteur. C'est-à-dire qu'en fait, il va y avoir cette... Cet arbitrage entre la qualité des produits, le prix de cette qualité et la capacité des organisations à acheter des produits de qualité. Donc ça c'est quand même aussi un des enjeux, c'est que c'est une réglementation qui est nécessaire, qui pousse à la qualité. Simplement il faut être capable de payer cette qualité. Et ça c'est pas toujours évident pour tout le monde.
- Speaker #0
Alors Xavier, nous arrivons bientôt à la fin de notre entretien et j'aimerais vous interroger sur les sanctions, qui est quand même un point important pour les auditeurs qui nous écoutent. Quels sont les risques à ne pas se mettre en conformité ?
- Speaker #1
Alors c'est vrai que c'est toujours délicat de parler de mauvaises nouvelles, mais il faut quand même le dire, là aussi dans une logique connue, c'est-à-dire que le CRA prévoit jusqu'à 15 millions d'euros, 2,5% du chiffre d'affaires annuel mondial pour des infractions aux exigences essentielles, et jusqu'à 5 millions d'euros ou 1% du chiffre d'affaires pour les infractions procédurales. C'est, on va dire, dans les eaux, un cran en dessous des sanctions qui sont prévues au RGPD. Mais il faut noter quand même une chose, c'est que les sanctions... au titre du CRA ne sont pas exclusives des sanctions qui pourraient être dues au titre du RGPD. Et si on prend la situation classique d'une faille de sécurité qui conduit à une sanction de la CNIL et qui pourrait conduire à une sanction sur la base du CRA, on pourrait se retrouver dans une situation où une entreprise subit un double mécanisme de sanction. Donc c'est vraiment pas neutre. Et ça aussi, ça va avoir des conséquences sur la manière dont les entreprises vont s'organiser, sur leur gestion du risque. Et fatalement sur les contrats, parce qu'on ne négocie pas un contrat pareil quand on sait qu'on a un double régime de sanctions possibles in fine.
- Speaker #0
Effectivement, les montants sont très importants, mais je suppose que les conséquences ne s'arrêtent pas là.
- Speaker #1
Tout à fait. Et comme souvent pour l'entreprise, au-delà du choc que représente la sanction financière d'une autorité de contrôle, il y a des risques qui vont bien au-delà de l'amende. Il y a le retrait du produit, le retrait du marché, ce qui est quand même... pas neutre quand on a des produits grand public par exemple. Il y a les interdictions de commercialisation et il y a les mécanismes de publication de sanctions. Et là aussi nos clients et les industries sont très conscients de l'effet dévastateur en termes de réputation d'une sanction d'une autorité, quelle qu'elle soit. Si la société est cotée il va falloir mettre en place une communication financière particulière. Si la société n'est pas cotée mais que ça se sait il faut rassurer ses clients. Vous pouvez perdre une... toute ou partie de vos clients très rapidement sur la base de cette réputation. Il ne faut pas oublier que quand même derrière la sécurité, derrière la gestion des données personnelles, en l'occurrence, il y a un sujet de confiance. Et le lien de confiance d'un consommateur, d'un client, il est assez volatile quand même. Et donc cette volatilité, elle peut être mise complètement à plat par une décision de sanction et une publication.
- Speaker #0
On l'a dit, vous accompagnez des entreprises sur ces sujets bien sûr. Et si un directeur juridique qui nous écoute aujourd'hui et qui n'a encore... rien d'entrepris, ça doit arriver. Quelle est la toute première action qu'il doit lancer dès à présent ?
- Speaker #1
Alors la première action, c'est inventorier, cartographier l'ensemble des produits qui rentrent dans le périmètre de ce texte. Ça c'est la première des actions. Et déterminer le niveau de criticité aussi des produits qui rentrent dans ce texte. On a vu qu'il était probable que, comme le périmètre de ce texte est très large, il est probable que beaucoup de produits rentrent dans le texte, mais du coup... probablement que tous les produits n'ont pas le même niveau de risque. Donc ça, c'est la première chose à faire, c'est regarder ces produits, les classer et classer le risque. Assez rapidement, il faut éditer ses contrats, parce qu'en fonction du produit et du contrat, on n'a pas exactement non plus le même niveau d'urgence et le même niveau de risque. Il faut revisiter sa gouvernance, probablement d'ici septembre, pour se préparer à peut-être notifier. revoir le processus de notification. On a mis en place un processus, par exemple, de notification dans le cas d'une cyberattaque sur la base du RGPD. Peut-être qu'il faut la faire évoluer, cette politique. Il faut faire rentrer le CRA ou en tout cas, si ce n'est pas le faire rentrer de manière totale, il faut le considérer ou faire une nouvelle politique. Et enfin, d'ici 2027, il faut finaliser ces évaluations de conformité si on a besoin de se faire valider par une autorité et établir ce fameux BOM, ce Softer Bill of Materials, qui va être finalement Bon. La documentation des produits qui devra évoluer à travers le temps, qu'il faudra revisiter très régulièrement, tous les six mois, tous les ans, puisque c'est sur cette base que vont se situer les obligations de surveillance et de vulnérabilité pendant cinq ans. Donc c'est vraiment important. Et je dirais qu'une fois qu'on a cartographié ces produits, il ne faut pas trop tarder pour entrer dans ce listing et l'exhaustivité de ce listing, parce qu'encore une fois, je le redis, il n'y a pas qu'un intérêt réglementaire, il y a vraiment l'intérêt de... qualité des produits, de qualité des produits pour ses clients et donc de confiance. Donc je pense que ce n'est pas que des ennuis réglementaires, c'est aussi une capacité à vendre des produits de très bonne qualité pour avoir un lien plus durable avec ses clients.
- Speaker #0
Alors pour conclure Xavier, quel message souhaitez-vous faire passer aux entreprises ?
- Speaker #1
Alors un message positif parce que comme le RGPD il y a quelques années, Il y a toujours un moment un petit peu douloureux pour mettre les choses en place, mais in fine, quand on regarde les choses dans son rétroviseur RGPD, ça se passe bien. Les entreprises ont un niveau de maturité de leur fonctionnement, de la connaissance de l'entreprise, de la connaissance des produits, de leurs produits très supérieurs à il y a quelques années. Avec le CRA, c'est pareil. Et en plus, elles ne partent pas de zéro, parce qu'elles sont déjà organisées, elles ont déjà des procédés, déjà une gouvernance. Donc finalement, le fait de revoir sa gouvernance, le fait de revoir ses processus qualité, le fait de revoir ses produits, Et le fait de s'organiser, ça n'est que du positif. On a tous conscience que le choc réglementaire, il est conséquent, il est lourd, mais in fine, je suis certain que c'est pour des meilleurs produits et c'est une vraie opportunité pour ceux qui se préparent sérieusement en plus. C'est une vraie opportunité marché, une vraie opportunité de différenciation. Les entreprises les mieux préparées seront plus performantes, pas simplement pour leurs produits, mais aussi pour leurs salariés, tout simplement. Pour les entreprises et pour les directions juridiques, Ces textes aussi présentent beaucoup d'opportunités. Ça leur permet de rentrer précisément et profondément dans les processus de création des produits, dans les processus d'infrastructures informatiques, de comprendre comment leur entreprise est organisée et comment elle délivre des produits. Donc c'est très positif. La fonction juridique a beaucoup évolué, elle continuera à évoluer, et je trouve ça passionnant pour les organisations de s'entourer de juristes. pour gérer ce type de risque. En fait, les juristes aujourd'hui, ils ont une vision 360 qu'ils n'avaient pas avant. Cette vision 360, je ne dis pas que c'est grâce au texte, il ne faut quand même pas exagérer, mais en tout cas, ces textes donnent cette opportunité-là de rentrer sur un peu plus que du droit, sur une vision très stratégique, très gestion de projet, très accompagnateur du développement des produits et des services et des salariés de l'entreprise. Et ça, là aussi, je trouve que c'est absolument positif.
- Speaker #0
Merci beaucoup, Xavier Pican.
- Speaker #1
Un très grand merci.