CCTVplanner.io
    Conformité15 min de lecture

    Logiciels d'origine russe dans les projets de vidéosurveillance de l'UE (2026) : Examen de la conformité, des sanctions et des marchés publics

    Cet article propose une analyse factuelle axée sur les marchés publics à destination des concepteurs, intégrateurs et autorités contractantes de l'UE en matière de vidéosurveillance. En 2026, une question cruciale demeure : comment les règles d'origine, de sanctions et de résidence des données s'appliquent-elles aux logiciels de conception de systèmes de vidéosurveillance ? Ce document résume le cadre juridique accessible au public. Il ne constitue pas un avis juridique ; toute décision concrète en matière de marchés publics doit être validée par un avocat spécialisé.

    Important : ceci est un compte rendu factuel, et non un avis juridique

    Les sanctions, les contrôles à l'exportation et les règles des marchés publics évoluent fréquemment et leur interprétation varie selon les États membres de l'UE. Les informations contenues dans cet article ne constituent en aucun cas un avis juridique applicable à une transaction particulière. Pour obtenir des décisions contraignantes, veuillez consulter un avocat spécialisé en droit des marchés publics dans la juridiction concernée. Les références aux normes, réglementations et jurisprudences publiques sont exactes, à notre connaissance, en date de mai 2026.

    Table des matieres

    Pourquoi cette question est importante dans le cadre des marchés publics de l'UE en 2026

    Depuis 2022, l'UE a adopté plusieurs séries de sanctions successives visant la Russie, parallèlement à une évolution des règles de passation des marchés publics dans les États membres. L'impact cumulatif sur l'acquisition de logiciels a été considérable : les autorités contractantes qui ne s'enquéraient pas auparavant de l'origine des logiciels exigent désormais systématiquement la déclaration de cette origine dès la phase de qualification, et les offres ne pouvant justifier d'une origine non soumise à sanctions sont généralement écartées avant l'analyse commerciale.

    Les logiciels de conception de systèmes de vidéosurveillance présentent un risque particulier, car les éléments qu'ils produisent (plans d'étage, emplacement des caméras, topologie du réseau, BOM ) sont sensibles tant du point de vue de la sécurité que de l'exploitation. Même lorsqu'un instrument de sanctions ne vise pas explicitement un outil de planification de vidéosurveillance spécifique, les autorités contractantes ont tendance à adopter une approche de précaution, notamment dans les secteurs de la défense, de l'administration publique, des infrastructures critiques et des grands projets de santé ou de transport.

    Cet article est l'explicatif que nous aurions souhaité trouver lorsque nos clients intégrateurs ont commencé à nous interroger sur l'origine des logiciels dans leurs réponses aux appels d'offres. Il est descriptif, non prescriptif ; son objectif est de présenter le cadre de référence en termes simples afin qu'un concepteur de systèmes de vidéosurveillance puisse poser les bonnes questions à son conseiller en achats, plutôt que de se substituer à cette discussion.

    Le cadre actuel des sanctions de l'UE — résumé de haut niveau

    Les mesures restrictives de l'UE à l'encontre de la Russie sont mises en œuvre par le biais de règlements du Conseil publiés au Journal officiel de l'Union européenne et actualisés par des amendements successifs. Ce cadre repose sur trois grands axes relatifs aux marchés publics de logiciels.

    Trois piliers pertinents pour le logiciel

    • Contrôles à l'exportation. Des restrictions sur la fourniture de biens, de services, de technologies et de logiciels spécifiques à la Russie, avec un accent sectoriel sur les biens à double usage, la défense et certaines catégories industrielles.
    • Sanctions financières. Gel des avoirs et interdiction de mettre des fonds ou des ressources économiques à la disposition des personnes et entités inscrites sur la liste. Le critère de « propriété et de contrôle » est déterminé au cas par cas et s’applique même lorsqu’un fournisseur n’est pas lui-même inscrit sur la liste, mais qu’il est détenu ou contrôlé par une entité inscrite.
    • Filtres des marchés publics. Les dispositions du règlement (UE) 833/2014 du Conseil (tel que modifié) qui interdisent l’attribution de marchés publics à certaines personnes et entités russes ont été transposées et complétées de différentes manières par le droit des marchés publics des États membres.

    Outre le cadre européen, des États membres comme l'Allemagne, la France, la Pologne, les pays nordiques et les pays baltes ont introduit leurs propres réglementations en matière de marchés publics, assorties de critères plus stricts. De ce fait, un même fournisseur peut être agréé dans une juridiction de l'UE et écarté dans une autre, même en l'absence de toute mention explicite dans le texte. Les services d'achats ont donc tendance à privilégier la réglementation la plus stricte de l'État membre concerné comme référence interne.

    Côté américain : décrets présidentiels relatifs NDAA §889 et à l’ICTS

    Du côté américain, deux instruments sont régulièrement cités, même par les responsables des achats de l'UE, comme références informelles. L'article 889 NDAA (loi d'autorisation de la défense nationale John S. McCain pour l'exercice 2019) interdit aux agences fédérales et aux entreprises sous contrat avec le gouvernement fédéral d'acheter ou d'utiliser des équipements de télécommunications et de vidéosurveillance auprès de certains fabricants chinois nommément désignés. Les décrets relatifs aux technologies et services de l'information et de la communication (TIC), principalement le décret 13873 et ses successeurs, confèrent au département du Commerce des États-Unis de larges pouvoirs pour examiner les transactions impliquant des adversaires étrangers.

    Aucun de ces instruments ne s'applique de plein droit à un marché public européen classique. Ils sont cependant fréquemment utilisés comme modèles de clauses contractuelles. Une autorité contractante de l'UE, dans le cadre d'un appel d'offres relatif à la vidéosurveillance en 2026, exigera généralement du fournisseur qu'il déclare que ses logiciels, son hébergement et son personnel ne seraient pas exclus en vertu de règles équivalentes à celles de l'article 889, même lorsque ce dernier est sans rapport avec le contrat. Les fournisseurs qui ne peuvent pas faire cette déclaration sont désavantagés sur le plan concurrentiel, indépendamment de la légalité de leur offre.

    Impact direct des achats sur les logiciels de conception de vidéosurveillance

    Les catégories ci-dessous sont les quatre dans lesquelles nous constatons que les questions relatives à l'origine des logiciels se posent le plus fréquemment dans les projets de vidéosurveillance de l'UE en 2026.

    Appels d'offres du secteur public

    Les appels d'offres publics dans les secteurs de la défense, de la santé et de l'éducation incluent de plus en plus de clauses explicites relatives à l'origine des logiciels. Le déclencheur est généralement l'une des dispositions de filtrage des marchés publics mentionnées précédemment, appliquée par transposition nationale. Même lorsque le seuil légal est discutable, en pratique, les offres ne pouvant justifier d'une origine acceptable sont éliminées dès la phase de qualification. Les concepteurs répondant aux appels d'offres du secteur public en 2026 doivent s'attendre à devoir déclarer explicitement l'origine de chaque logiciel utilisé dans le processus de conception, et non plus seulement celle du matériel de surveillance lui-même.

    Contrats d'infrastructures critiques

    Les marchés publics d'énergie, de transport, de services bancaires et de distribution d'eau sont régis par la directive NIS2 (directive (UE) 2022/2555) et des règles sectorielles complémentaires. Bien que la directive NIS2 soit fondée sur les risques plutôt que sur l'origine, les évaluations des risques qui en résultent identifient généralement l'origine de la chaîne d'approvisionnement comme un facteur pertinent, et les opérateurs de services essentiels l'ont intégrée à leurs procédures d'achat. Le niveau d'exigence en matière de justificatifs d'origine des logiciels est sensiblement plus élevé pour les projets d'infrastructures critiques que pour les marchés publics commerciaux classiques.

    Audits de conformité des entreprises privées

    Les grandes entreprises dotées de leurs propres cadres de référence en matière d'ESG, de chaîne d'approvisionnement ou de cyber-risques auditent régulièrement leurs fournisseurs et sous-traitants. Même en l'absence d'appel d'offres spécifique, un intégrateur utilisant un logiciel dont l'origine ne peut être vérifiée risque d'être exclu de la liste des fournisseurs privilégiés lors d'un audit annuel. Cette dynamique s'est sensiblement accélérée en 2024 et 2025 et se poursuit en 2026.

    Engagements d'intégrateurs transfrontaliers

    Les intégrateurs opérant à la fois dans des juridictions de l'UE et hors UE sont confrontés à une complexité accrue due aux différences de normes en matière de marchés publics. Un outil acceptable pour un projet commercial privé dans une juridiction peut ne pas être accepté pour un projet public dans une autre juridiction. De nombreux intégrateurs ont rationalisé cette situation en standardisant l'utilisation d'outils d'origine européenne pour tous leurs projets, simplifiant ainsi leur réponse à tout appel d'offres futur, quel que soit le pays où il est lancé.

    Comment les acheteurs vérifient l'origine des logiciels

    Un agent d'approvisionnement chargé de vérifier l'origine d'un produit dispose d'une panoplie d'outils assez standard. Aucune de ces vérifications ne prouve à elle seule l'origine ; elles permettent de reconstituer un tableau recoupé à partir d'informations publiques.

    • Enregistrement WHOIS sur le domaine du fournisseur — pays du registraire, organisation du titulaire, ASN du serveur de noms.
    • Divulgation par le fournisseur du nom de l'entité juridique, du pays d'enregistrement et du numéro d'identification fiscale — généralement exigée lors de la qualification.
    • Examen du fournisseur d'hébergement — la région cloud où l'infrastructure SaaS est physiquement exécutée, attestée par une attestation ou un contrat d'hébergement tiers.
    • Documents publics déposés auprès des sociétés — registres des bénéficiaires effectifs, structure de la société mère et toute référence croisée à une liste de sanctions.
    • Attestation de la chaîne d'approvisionnement — une déclaration écrite du fournisseur décrivant où le logiciel est conçu, hébergé et pris en charge, et nommant les sous-traitants éventuels.

    Pour les marchés publics à haut risque (défense, infrastructures critiques), l'évaluation peut s'étendre à la traçabilité du code source, aux tests de sécurité réalisés par un tiers et à un avis juridique indépendant. Le coût marginal de cette évaluation approfondie est non négligeable et les autorités contractantes ne la commandent généralement que lorsque la valeur ou la sensibilité du contrat le justifie.

    GDPR et transfert vers un pays tiers

    Les articles 44 à 49 GDPR régissent les transferts de données personnelles vers des pays situés en dehors de l'Espace économique européen. En principe, un tel transfert est interdit, sauf si l'une des garanties prévues s'applique : une décision d'adéquation de la Commission européenne, un mécanisme de transfert approuvé tel que les clauses contractuelles types assorties de mesures complémentaires appropriées, ou une dérogation pour des situations spécifiques.

    Dans l'arrêt Schrems II (affaire C-311/18, 2020), la Cour de justice de l'Union européenne a clairement établi que les clauses contractuelles types doivent être complétées par une analyse d'impact relative aux transferts de données. Cette analyse doit tenir compte de la législation du pays de destination et de son niveau de protection. La Russie ne figure pas sur la liste d'adéquation de la Commission européenne, et l'interprétation dominante est qu'il est difficile d'assurer une protection « essentiellement équivalente » pour les transferts vers la Russie, compte tenu du contexte juridique russe. Concrètement, tout outil de conception de systèmes de vidéosurveillance qui transmet des données personnelles à des serveurs situés en Russie, ou à des entités relevant de la juridiction russe, est soumis à une obligation d'analyse d'impact relative aux transferts de données significative, contrairement aux outils hébergés dans l'UE.

    Pour les projets de vidéosurveillance, cela est crucial car les outils de conception manipulent des données personnelles plus fréquemment qu'on ne le pense : métadonnées du projet, informations du site du client final, adresses e-mail des comptes, contenu des tickets d'assistance. Un acheteur soucieux du respect GDPR exigera la garantie qu'aucune de ces données ne quitte l'UE/EEE d'une manière susceptible de déclencher un contrôle au titre du chapitre V.

    Pourquoi CCTVplanner existe-t-il ? — Hébergé et développé par l’UE

    CCTVplanner est exploité par DEFENSAR, société enregistrée en Pologne. Son interface utilisateur est hébergée en Pologne, tandis que son infrastructure serveur repose sur un cloud situé dans l'UE. C'est ce que signifie le slogan « 100 % conçu et hébergé dans l'UE » : l'entité juridique, l'ingénierie et l'hébergement sont entièrement réalisés au sein de l'Union européenne, et l'architecture par défaut ne fait appel à aucun sous-traitant situé dans un pays tiers.

    Pour les équipes d'approvisionnement, cela se traduit par une réponse concise et claire aux questions de transparence sur l'origine des données, décrites précédemment. Aucun sous-traitant russe, chinois ou américain n'intervient dans le flux de données. L'analyse d'impact relative aux transferts de données (AIDT) n'est pas requise au titre du chapitre V GDPR car les données ne quittent pas l'UE. Aucun élément de disqualification équivalent à l'article 889 n'est présent dans la chaîne d'approvisionnement. Approuvée par les intégrateurs du monde entier, l'architecture « UE par défaut » est l'élément le plus souvent évoqué dans les discussions sur les achats en 2026.

    La position de l'UE en un paragraphe

    • L'entité opérationnelle DEFENSAR est enregistrée et résidente fiscale en Pologne.
    • Interface utilisateur hébergée en Pologne ; serveur sur le cloud de la région UE (eu-ouest).
    • L'architecture par défaut ne prévoit aucun sous-traitant de données de pays tiers.
    • Conforme GDPR par défaut — aucune évaluation d'impact relative aux transferts n'est requise pour les acheteurs de l'UE.

    La réalité du « passage de JVSG »

    En 2026, une question pratique que nous entendons souvent de la part des intégrateurs est la suivante : « Nous sommes satisfaits de notre outil de conception de vidéosurveillance actuel, mais l’équipe des achats a identifié la divulgation de l’origine du logiciel comme un risque. Comment se déroule la transition ? » La réponse est principalement technique : exporter le plan d’étage au format DXF, l’importer dans CCTVplanner, remplacer les caméras à partir d’un catalogue de plus de 23 025 modèles, respecter les seuils DORI, refaire le câblage et exporter le document PDF multipage. Nous avons rédigé un guide détaillé, étape par étape, dans le guide de migration accessible ci-dessous. Aucune de ces étapes n’est particulièrement difficile. Le plus difficile est généralement de prendre la décision de changer, et non de changer en soi.

    Pour les changements liés aux achats, nous recommandons de documenter la transition par écrit : l’événement déclencheur, les alternatives évaluées, l’outil de remplacement choisi et la date de retrait de l’outil existant du flux de travail. Les juristes d’entreprise et les auditeurs ESG valorisent les décisions documentées, et un journal de transition écrit est un document courant dans les dossiers de vérification préalable.

    Clause de non-responsabilité finale

    Cet article présente une analyse factuelle fondée sur les normes, réglementations et jurisprudences publiques en vigueur en mai 2026. Il ne constitue pas un avis juridique et ne saurait se substituer aux conseils d'un avocat spécialisé en droit des marchés publics dans votre juridiction. Les sanctions, les contrôles à l'exportation et les règles relatives aux marchés publics évoluent fréquemment et leur interprétation varie d'un État membre de l'UE à l'autre. Toute décision concrète en matière de marchés publics doit être validée par un avocat connaissant bien l'autorité contractante, le secteur et la juridiction concernés.

    Aucun propos de cet article ne vise à dénigrer un pays, une entreprise ou une catégorie de fournisseurs. L’objectif est de décrire le cadre des marchés publics tel que les acheteurs le percevront en 2026, afin que les intégrateurs puissent préparer leurs réponses aux appels d’offres et concevoir des processus qui réussissent l’étape de qualification.

    Foire aux questions

    Is software of Russian origin banned from EU public procurement in 2026?

    There is no single blanket EU rule that says "all software of Russian origin is banned". Instead, several layered EU instruments — sanctions regulations, public-procurement rules, sectoral export controls and member-state interpretations — combine to make Russian-origin software difficult or impossible to procure in many specific contexts (defence, public administration, critical infrastructure, financial services). Whether your specific procurement is permitted depends on the contracting authority, the sector and the country. Always consult your in-house counsel or external procurement advisor for a binding determination.

    Does the EU sanctions framework apply to design software, not just hardware?

    Sanctions instruments commonly cover "goods, services, technology and software" — software is treated as a category of its own, separate from physical hardware. Whether a particular CCTV design tool falls inside or outside a specific sanctions instrument is a fact-specific legal question. Public-sector tenders increasingly include explicit "software origin" disclosure requirements, and a vendor unable to evidence non-Russian origin is usually filtered out at the qualification stage regardless of the underlying sanctions analysis.

    How does GDPR interact with Russian-hosted software?

    GDPR Articles 44 to 49 govern personal-data transfers to third countries. Russia is not on the European Commission's list of countries with an adequacy decision, and standard contractual clauses to Russian processors face additional scrutiny under the Schrems II reasoning of the European Court of Justice. In practice this means that any CCTV design tool that transmits personal data — project metadata, account information, customer-site details — to servers in Russia or to entities under Russian jurisdiction faces a meaningful GDPR transfer-impact assessment burden that EU-hosted tools do not.

    What is NDAA §889 and does it apply outside the United States?

    NDAA §889 is a US federal procurement rule that prohibits federal agencies and federal contractors from buying or using telecommunications and video-surveillance equipment from certain named Chinese companies. It is a US instrument with US scope, but it is increasingly cited as a procurement template by EU and UK contracting authorities updating their own rules. Procurement officers in 2026 routinely ask vendors whether their products would qualify under §889 even when §889 itself does not legally apply to the contract.

    What practical due-diligence does a procurement team perform on software origin?

    Standard checks include WHOIS lookups on the vendor domain, verification of the legal entity name and registration country, review of hosting providers (where the SaaS infrastructure physically runs), inspection of public corporate filings, and a request for a written supply-chain attestation from the vendor. For higher-risk procurements (defence, critical infrastructure) the assessment can extend to source-code provenance, third-party penetration testing, and an independent legal opinion. None of this is a substitute for advice from procurement counsel, which is why the recurring recommendation in this article is to consult one.

    Articles associes

    CCTVplanner contre JVSG

    Comparaison côte à côte incluant la posture de résidence des données.

    Passage de JVSG : Guide de migration 2026

    Guide étape par étape pour une transition axée sur les achats.

    Meilleurs logiciels gratuits de conception de systèmes de vidéosurveillance (2026)

    Options gratuites vérifiées quant à leur origine européenne et leur conformité GDPR.

    EN 62676-4 :2025 Mise à jour OODPCVS (2026)

    Mise à jour des normes relatives au langage des marchés publics de l'UE.

    Calculateur DORI

    Calculatrice de navigateur hébergée dans l'UE, aucune installation requise.

    Calculatrice EN 62676-4

    Recommandation de lentilles conforme aux normes, hébergée par l'UE.

    ← Retour au blog

    © 2026 CCTVplanner. © 2026 CCTVplanner. Tous droits reserves.