Skip to Content

RED DA : la nouvelle obligation européenne de cybersécurité pour les équipements radio

Le 1er août 2025 marque une date clé pour les acteurs de l’Internet des objets (IoT) et de la cybersécurité en Europe : l'application du RED Delegated Act (RED DA), qui complète la directive Radio Equipment Directive (RED 2014/53/UE)

Le 1er août 2025 marque une date clé pour les acteurs de l’Internet des objets (IoT) et de la cybersécurité en Europe. Ce jour-là entre en application le RED Delegated Act (RED DA), qui complète la directive Radio Equipment Directive (RED 2014/53/UE)

Cette évolution réglementaire impose, pour la première fois, des exigences minimales de cybersécurité à une vaste catégorie d’équipements radio.


Trois objecti​fs :

Le RED DA vise à :

  • Protéger les réseaux contre les usages malveillants qui peuvent en dégrader le fonctionnement.
  • Protéger les données personnelles et la vie privée des utilisateurs.
  • Prévenir la fraude, notamment pour les appareils traitant des transactions financières ou de la valeur monétaire.

Ces obligations se traduisent par la mise en place de contrôles techniques normalisés : authentification renforcée, stockage sécurisé des clés, chiffrement des communications, mécanismes de mise à jour fiables, et résilience face aux attaques. Les exigences sont regroupées dans les nouvelles normes EN 18031 (parties 1 à 3) qui servent de référence harmonisée pour démontrer la conformité.


Qui est concerné ?

La réglementation s’applique à tous les équipements radio capables de se connecter à Internet et entrant dans le périmètre de l’article 3(3) de la directive RED. Cela inclut :

  • les objets connectés (IoT grand public et industriel),
  • les wearables (montres, bracelets, capteurs de santé),
  • les smartphones et terminaux communicants,
  • certaines passerelles et modules radio intégrés.

Sont directement responsables : fabricants, importateurs et distributeurs mettant ces produits sur le marché européen. 

Les organisations utilisatrices (banques, collectivités, hôpitaux, industriels) ne sont pas visées par une obligation directe, mais elles ont un intérêt stratégique à exiger la conformité RED DA de leurs fournisseurs.


Comment assurer la conformité ?

Pour un fabricant, la démarche comprend plusieurs étapes :

  1. Classifier le produit : confirmer s’il est concerné par les articles 3(3)(d), (e) ou (f).
  2. Réaliser une analyse de risques en cybersécurité et vie privée.
  3. Implémenter les exigences techniques définies par EN 18031 : sécurisation des accès, mises à jour sûres, chiffrement, résilience réseau, etc.
  4. Établir le dossier technique et la Déclaration UE de Conformité, puis apposer le marquage CE.
  5. Prévoir un plan de gestion des vulnérabilités et de mise à jour post-commercialisation.


Pour les utilisateurs finaux

Banques, villes ou entreprises publiques n’ont pas d’obligation directe, mais acheter un produit non conforme expose à plusieurs risques :

  • cybersécurité affaiblie (accès non autorisés, fuite de données),
  • responsabilité juridique indirecte (RGPD, NIS2, DORA),
  • coûts supplémentaires de sécurisation interne.

À l’inverse, exiger la conformité RED DA dans les appels d’offres assure un socle minimum de sécurité et facilite les audits réglementaires.


Cas particulier des équipements importés

La question se pose notamment pour les passerelles IoT fabriquées en Chine. La législation locale (loi sur le renseignement de 2017) impose aux entreprises de coopérer avec les autorités en cas de demande d’accès aux données. Cette obligation pourrait se traduire par des mécanismes techniques incompatibles avec les exigences européennes de protection contre les accès non autorisés.

Ainsi, si une passerelle contient ou permet un accès direct aux autorités étrangères, elle est défaut non conforme au RED DA et ne devrait pas obtenir le marquage CE. 

Certains fabricants proposent des versions “EU compliant”, mais les acheteurs doivent demander preuves et certifications indépendantes.


Enjeux et recommandations


  • Pour les fabricants : le RED DA est une obligation légale dès août 2025, sous peine d’interdiction de mise sur le marché.


  • Pour les intégrateurs : intégrer la conformité RED DA dans les critères de sélection fournisseurs est essentiel pour sécuriser la chaîne de valeur.


  • Pour les utilisateurs finaux : la conformité RED DA devient un indicateur stratégique de confiance, au même titre que la certification ISO 27001 ou la conformité RGPD.
En résumé, le RED DA place la cybersécurité au même niveau que la sécurité électrique ou radio dans la mise sur le marché des équipements connectés. Pour les décideurs IoT et cybersécurité, il ne s’agit pas seulement d’une obligation réglementaire : c’est une opportunité d’assainir l’écosystème et de renforcer la confiance dans les technologies connectées.


Sources : Commission européenne (RED 2014/53/EU et Delegated Regulation), normes EN 18031 (CEN/CENELEC), BSI, SGS, DEKRA, guides industriels sur la cybersécurité IoT.

Résumé en vidéo

RED DA : la nouvelle obligation européenne de cybersécurité pour les équipements radio
moien@indoorforest.lu September 17, 2025
Share this post
Tags
Réglementation
Comment mesurer la qualité d'air intérieure?
Trois dimensions complémentaires pour un environnement sain