Quand le régulateur avoue son propre cafouillage
La nouvelle est savoureuse dans son cynisme bureaucratique. Ce mercredi 3 mars 2026, la Commission européenne a lancé une consultation publique jusqu'au 31 mars. L'objet ? Un projet de « guide d'orientation » pour aider les entreprises à appliquer le Cyber Resilience Act (CRA). Autrement dit, les architectes du labyrinthe proposent une lampe torche — payée par vos impôts — pour s'y retrouver.
Le CRA, cette usine à gaz réglementaire présentée comme le bouclier numérique de l'Europe, est tellement abscons que ses propres promoteurs doivent maintenant rédiger un mode d'emploi de 200 pages. Le communiqué ose parler de « clarifier les obligations », un euphémisme magistral pour « nous avons écrit des règles illisibles ».
Les PME, cobayes d'une régulation conçue pour les géants
Le guide prétend se focaliser sur les micro-entreprises et PME. C'est là que le rire jaunit. Le CRA a été taillé sur mesure pour les Microsoft, SAP et Siemens du Vieux Continent, avec leurs armées de juristes et de compliance officers. Maintenant qu'on réalise que l'artisan qui code une app ou le startup qui bidouille un objet connecté n'a ni les moyens ni les compétences pour décrypter le jargon bruxellois, on sort le sparadrap.
La manœuvre est classique : d'abord, on légifère sous la pression des lobbys et des headlines anxiogènes (« La cyberguerre ! Les ransomwares ! »). Ensuite, on découvre que la réalité économique — 99% des entreprises européennes sont des PME — n'a pas été invitée à la table des négociations. Alors on pond un guide. Prochaine étape : des formations certifiantes, payantes, dispensées par des cabinets d'avocats qui ont participé à l'écriture du règlement. Le cercle vertueux de la rente réglementaire.
Une consultation pour la forme, une complexité pour l'éternité
La Commission « cherche des retours ». C'est mignon. Entre le 3 et le 31 mars, les acteurs concernés peuvent aller déposer leurs commentaires sur un portail web aussi engageant qu'une déclaration d'impôts. On parie que les réponses viendront majoritairement des grands groupes tech et des fédérations industrielles, les seuls à avoir les ressources pour décortiquer le document. La voix du petit indépendant ? Elle se noiera dans le bruit, comme d'habitude.
Pendant ce temps, l'horloge tourne. Le CRA entre en vigueur progressivement, avec ses obligations pharaoniques : évaluation des risques, déclaration des vulnérabilités, documentation technique, conformité tout au long du cycle de vie. Des montagnes de paperasse numérique qui, sous couvert de sécurité, vont tuer dans l'œuf l'innovation légère, augmenter les coûts de production, et finalement renforcer la position des acteurs établis — souvent américains ou chinois — qui peuvent se payer la compliance.
Conclusion : l'Europe régule d'abord, réfléchit après
L'épisode est un concentré de la méthode Bruxelloise. Étape 1 : légiférer dans l'urgence, avec des objectifs politiques (« l'Europe souveraine du numérique ! ») qui prennent le pas sur la faisabilité économique. Étape 2 : constater les dégâts collatéraux sur le tissu productif réel. Étape 3 : lancer une consultation pour un guide palliatif, créant ainsi une nouvelle couche de métarèglement. Le serpent se mord la queue, les consultants en régulation se frottent les mains, et les PME trinquent.
Le vrai sujet n'est pas ce guide. C'est l'incroyable complexité normative que l'Europe impose à ses entrepreneurs, tout en pleurant son retard dans l'innovation. On veut des champions tech, mais on leur attache les pieds avec des lourdeurs administratives kafkaïennes. Le Cyber Resilience Act en est le dernier exemple en date, et son « guide d'application » n'est que l'aveu élégant de son échec conceptuel.