Le Cyber Resilience Act (UE 2024/2847) entre progressivement en vigueur entre 2025 et décembre 2027. À cette date, tout produit comportant des éléments numériques (PCDE) mis sur le marché européen devra respecter les exigences essentielles de cybersécurité. Pour une entreprise qui achète ces produits — particulièrement si elle est elle-même soumise à NIS2 ou DORA — la clause de manquement substantiel (material breach) dans le contrat fournisseur devient un point juridique critique. Cet article fournit un modèle 2026 et liste les erreurs à éviter.
Pourquoi cette clause est centrale en 2026
Trois forces convergent :
- CRA Art. 13 rend les fabricants responsables de fournir des mises à jour de sécurité gratuites pendant 5 ans minimum, et de notifier les vulnérabilités exploitées en moins de 24 h à l'ENISA et aux CSIRT nationaux.
- NIS2 Art. 21 impose la maîtrise de la chaîne d'approvisionnement comme mesure de gestion des risques de l'entité essentielle/importante.
- DORA Art. 28-30 exige des clauses contractuelles obligatoires pour les fournisseurs ICT critiques, dont la résiliation pour manquement.
Sans clause material breach claire, vous êtes coincé entre votre régulateur (qui demande de gérer le risque fournisseur) et votre fournisseur (qui n'a aucun motif explicite de résiliation). La clause est l'outil légal qui vous donne du pouvoir.
Définir le manquement substantiel
Un material breach est un manquement suffisamment grave pour permettre la résiliation immédiate du contrat sans préavis. Pour un produit numérique, on identifie 6 catégories :
1. Vulnérabilité critique non corrigée
Le fournisseur n'a pas livré de patch de sécurité dans les délais contractuels (typiquement 30 jours pour CVSS ≥ 7, 7 jours pour CVSS ≥ 9 + exploit public).
2. Notification d'incident manquée
Le fournisseur n'a pas notifié dans les 24 h une vulnérabilité activement exploitée le concernant (Art. 14 CRA).
3. Arrêt anticipé du support sécurité
Le fournisseur cesse de fournir des mises à jour avant les 5 ans contractuels minimums du CRA.
4. SBOM incomplète ou non livrée
Le fournisseur ne fournit pas une Software Bill of Materials au format CycloneDX ou SPDX, à jour à chaque release. Voir notre guide SBOM CycloneDX.
5. Conformité CE manquante ou retirée
Le marquage CE attestant de la conformité CRA est absent au moment de la livraison ou retiré après vente.
6. Atteinte aux exigences de sécurité essentielles
Découverte de backdoors, de mots de passe par défaut non modifiables, de chiffrement absent ou cassé, de transmission de données personnelles non chiffrée — cf annexe I du CRA.
Modèle de clause material breach (français + anglais)
⚠️ Avertissement : modèle indicatif. Faire valider par un juriste avant tout contrat. Adaptable selon le secteur et la criticité du produit.
Article X — Manquement substantiel et résiliation
X.1 Constituent un « manquement substantiel » au sens du présent contrat :
a) la non-livraison d'un correctif de sécurité ouvrant à exploitation publique
(Proof of Concept publié, exploit en sandbox, ou bulletin CISA KEV) dans
un délai de [7 / 14 / 30] jours après la disponibilité d'un fix amont
(selon le score CVSS) ;
b) la non-notification d'une vulnérabilité activement exploitée concernant
le produit livré, dans les 24 heures suivant sa découverte par le
Fournisseur, conformément à l'article 14 du règlement (UE) 2024/2847
(Cyber Resilience Act) ;
c) l'arrêt unilatéral des mises à jour de sécurité avant l'échéance de
cinq (5) ans visée à l'article 13 du règlement précité, ou à l'échéance
contractuelle si supérieure ;
d) la livraison d'une version sans Software Bill of Materials (SBOM)
conforme au format CycloneDX 1.5 ou supérieur, ou SPDX 2.3 ou supérieur,
avec hashs SHA-256 des composants ;
e) le retrait, le défaut ou la suspension du marquage CE / déclaration UE
de conformité au règlement précité ;
f) toute non-conformité substantielle aux exigences essentielles listées
à l'annexe I dudit règlement, constatée par un test indépendant ou un
organisme notifié.
X.2 En cas de manquement substantiel, le Client peut résilier le présent
contrat de plein droit, sans préavis ni indemnité, après mise en
demeure restée infructueuse pendant [15] jours calendaires (sauf cas
visés en X.1.a et X.1.b où la résiliation est immédiate).
X.3 Le Fournisseur s'engage à coopérer pendant la phase de transition de
[3 / 6] mois, en fournissant l'export des données client, la SBOM
complète, et l'accès au code source en escrow le cas échéant.
7 erreurs à éviter
1. Définir « material » de façon vague
« Tout manquement grave » est inutilisable. Listez explicitement les déclencheurs (CVSS, délais, livrables manquants).
2. Oublier le lien NIS2/DORA
Si vous êtes entité NIS2 essentielle ou DORA, votre manquement à signaler à votre régulateur peut découler du manquement de votre fournisseur. La clause doit prévoir une notification miroir du fournisseur dans les délais qui vous permettent de respecter vos obligations.
3. Délais incompatibles avec la chaîne
Si votre régulateur exige 24 h de notification (NIS2) et que votre fournisseur a 72 h dans le contrat, mathématiquement vous allez manquer.
4. Pas de droit d'audit
Sans droit d'audit (Art. 30 DORA pour les entités financières), vous ne pourrez pas vérifier les engagements pris.
5. Pas de stratégie de sortie
La clause de résiliation est inutile sans plan de sortie : récupération des données, support transition, escrow code source. Voir DORA Art. 28(7)(j).
6. Pas de mécanisme financier
Pénalité forfaitaire ou limitation de responsabilité doit être adaptée à la criticité du produit. Une clause sans dent ne dissuade personne.
7. Oublier le périmètre territorial
Le CRA s'applique à tout produit mis sur le marché européen, quel que soit le pays du fournisseur. La clause doit explicitement viser le règlement UE, pas un équivalent local.
Vue d'ensemble dans votre programme conformité
La clause material breach est une brique parmi les 8 clauses obligatoires que nous documentons dans CRA : 8 clauses contractuelles. Elle s'articule avec :
- La cartographie fournisseurs (CMDB)
- L'analyse de criticité (CIF DORA / risque NIS2)
- Le suivi SBOM continu
- Le plan de sortie
Démarrer un essai gratuit ResiPlan — bibliothèque de clauses CRA prête à l'emploi.