Checklist CRA distributeur : 5 étapes de vérification

Checklist d'accueil, 6 scénarios chaîne d'approvisionnement, matrice de transition de rôle et guide douane : ce que les distributeurs CRA font concrètement.

Équipe CRA Evidence Publié 22 janvier 2026 Mis à jour 23 mai 2026
Checklist CRA distributeur : 5 étapes de vérification
Dans cet article

Cette page est le compagnon de quai de réception du guide du cluster distributeur CRA. Le guide du cluster couvre le cadre réglementaire : qui est distributeur, quel est l'ensemble des obligations, comment fonctionnent les demandes des autorités. Ce blog est ce que le bureau de réception, l'équipe entrepôt et les commerciaux utilisent concrètement : une carte de référence rapide, une checklist d'accueil imprimable, les scénarios de chaîne d'approvisionnement que les distributeurs rencontrent réellement, et les actes précis qui vous font basculer de distributeur à fabricant sans que vous le remarquiez.

Résumé

  • Contrôle d'accueil basé sur la présence. Vérifiez le marquage CE, l'identification du fabricant et de l'importateur, les informations utilisateur dans la bonne langue, la date de fin de période de support et l'accessibilité de la déclaration UE de conformité avant chaque vente. La checklist pré-mise à disposition complète se trouve sur la page du cluster.
  • Le produit doit arriver dans le même état de conformité qu'il a quitté le fabricant. Les mises à jour de firmware, le réemballage, les modifications de configuration ou le rebranding pendant le stockage ou le transport vous font passer de distributeur à fabricant via le mécanisme de rebranding.
  • Un contrôle qui échoue suspend la mise à disposition. L'entreposage douanier ou le retour au fournisseur restent des options disponibles. La vente aux utilisateurs finaux n'en est pas une. Les étapes d'escalade figurent dans la section when verification fails du cluster.
  • Les manquements du distributeur relèvent du palier intermédiaire de sanctions, jusqu'à 10 millions EUR ou 2 % du chiffre d'affaires annuel mondial.

Vérification rapide à l'accueil

À imprimer et garder au bureau de réception pour des décisions d'acceptation rapides.

+-------------------------------------------------+
|       VÉRIFICATION RAPIDE CRA DISTRIBUTEUR      |
|                                                 |
|  ✓ Marquage CE visible et correct ?             |
|  ✓ Nom/adresse du fabricant sur le produit ?    |
|  ✓ Instructions dans la bonne langue ?          |
|  ✓ Pas de défauts évidents ou d'altération ?    |
|  ✓ Pas d'avis de rappel pour ce produit ?       |
|                                                 |
|  TOUT OUI → OK pour vendre                      |
|  UN NON   → ARRÊTER, documenter, notifier       |
|  JAMAIS : Modifier le firmware, rebrander       |
+-------------------------------------------------+

Checklist de réception complète

À utiliser lors de la réception de produits des fournisseurs. À imprimer, compléter par expédition, classer avec le journal de réception.

CHECKLIST DE RÉCEPTION DISTRIBUTEUR

Produit : _______________________________________
Fournisseur : ___________________________________
Date de réception : _____________________________
Lot : ___________________________________________
SKU : ___________________________________________
Quantité : ______________________________________

VÉRIFICATION VISUELLE :
[ ] Marquage CE présent sur le produit ou l'emballage
[ ] Marquage CE correctement formaté (proportions, taille)
[ ] Nom et adresse du fabricant visibles
[ ] Nom et adresse de l'importateur visibles (si origine non-UE)
[ ] Emballage intact (pas de preuve d'altération)

VÉRIFICATION DOCUMENTATION :
[ ] Instructions utilisateur présentes
[ ] Instructions dans la ou les langues requises
[ ] Informations de sécurité incluses
[ ] Référence ou document de déclaration UE de conformité présent
[ ] L'URL de la déclaration UE de conformité renvoie bien vers le document complet
[ ] Date de fin de période de support visible (mois et année)

VÉRIFICATION DU STATUT DE CONFORMITÉ :
[ ] Pas d'avis de rappel actif pour ce produit
[ ] Pas de communications du fabricant concernant des problèmes
[ ] Pas d'avertissements réglementaires sur ce produit
[ ] Le fournisseur n'a pas signalé de préoccupations

EXIGENCES DE STOCKAGE :
[ ] Conditions de stockage adaptées au type de produit
[ ] Scellés inviolables intacts
[ ] Aucune modification requise avant vente

DÉCISION :
[ ] ACCEPTER - Tous les contrôles réussis
[ ] EN ATTENTE - Problèmes identifiés (préciser ci-dessous)
[ ] REJETER - Non conforme (documenter et notifier le fournisseur)

Problèmes identifiés :
________________________________________________
________________________________________________

Vérifié par : ___________________________________
Date : _________________________________________

Maintenir le produit inchangé lors du stockage et du transport

Le contrôle à l'accueil n'est que la moitié du travail. Les distributeurs doivent maintenir le produit dans le même état de conformité depuis la réception jusqu'à la livraison. Tout acte qui modifie le produit après que le fabricant l'a mis sur le marché peut faire basculer le rôle de distributeur vers le statut de fabricant.

Stockage :

  • Les produits ne sont pas modifiés pendant le stockage. Aucune mise à jour de firmware poussée par l'équipe informatique du distributeur. Aucun ajustement de configuration « préventif ».
  • Les conditions environnementales ne compromettent pas les fonctions de sécurité. Les scellés inviolables restent intacts.
  • Le remplacement de batteries lors d'un stockage prolongé est risqué. Le remplacement à l'identique peut rester dans le cadre de l'exception pièces de rechange, mais une chimie de batterie différente ou une modification de firmware fait basculer le produit dans le territoire de la modification substantielle.

Transport :

  • Les produits arrivent chez les clients dans le même état de conformité qu'à la réception. L'étiquette d'expédition est celle du distributeur, le produit à l'intérieur ne l'est pas.
  • L'intégrité de l'emballage est maintenue. Un carton extérieur endommagé qui expose le produit en cours de route est mis en quarantaine pour re-vérification, pas réemballé silencieusement.
  • Le transport transfrontalier entre États membres de l'UE ne modifie pas l'état de conformité. Le produit a déjà été mis sur le marché de l'Union, et vous le rendez disponible dans un deuxième État membre.

Exemple pratique. Si vous stockez des appareils IoT dans un entrepôt, vous ne pouvez pas « utilement » mettre à jour leur firmware avant expédition. Une modification de firmware par le distributeur est une modification substantielle et déclenche le basculement vers les obligations de fabricant via le mécanisme de rebranding. Laissez les clients mettre à jour leurs propres appareils, ou faites passer les mises à jour par le fabricant d'origine.

Scénarios distributeurs réels

Le guide du cluster couvre le cadre. Ce sont les situations de chaîne d'approvisionnement que les distributeurs rencontrent réellement, et les réponses ne sont pas toujours évidentes à la lecture du cadre.

Vente à la commission sans contact physique avec le stock

Vous prenez des commandes, le fabricant non-UE ou une autre entité UE expédie directement au client final. Êtes-vous le distributeur ?

Le déclencheur juridique est la « mise à disposition sur le marché de l'Union », pas la possession physique. Si vous prenez la propriété des marchandises, facturez le client, et que la relation d'approvisionnement juridique passe par votre entreprise, vous êtes le distributeur, peu importe qui gère le colis. Le contrôle d'accueil basé sur la présence vous s'applique quand même. Vous avez besoin d'un accord documenté avec le fournisseur en amont garantissant que le marquage CE, la déclaration UE de conformité, les informations utilisateur et l'identification de l'importateur seront en place avant que l'expédition quitte leur entrepôt.

Si la relation est une pure mise en relation (vous mettez en contact acheteur et vendeur, vous ne prenez jamais la propriété, le contrat d'approvisionnement est directement entre l'acheteur et l'entité en amont, vous ne facturez pas les marchandises), vous êtes généralement hors du régime distributeur. La frontière est factuelle. Lisez la structure du contrat, pas la propriété de l'entrepôt.

Opérateur de marketplace et prestation de type Amazon FBA

Deux tests de frontière différents :

Vous opérez la marketplace. Si votre plateforme se contente de mettre en relation acheteurs et vendeurs tiers sans jamais prendre la propriété, vous n'êtes généralement pas distributeur au sens du CRA, en ligne avec le cadre UE plus large sur les intermédiaires en ligne. Si votre plateforme prend la propriété (vous achetez le stock auprès des fournisseurs, listez et exécutez les commandes contre votre propre inventaire), vous êtes distributeur.

Vous vendez sur la marketplace d'autrui. Si vous êtes un vendeur tiers utilisant Amazon FBA, la prestation de fulfilment de Cdiscount ou un service équivalent, c'est vous le distributeur. Le prestataire de fulfilment est un service logistique, pas le distributeur. Votre checklist d'accueil, votre obligation de refus, votre circuit de signalement des vulnérabilités.

Distribution exclusivement B2B

Le CRA s'applique aux « produits comportant des éléments numériques mis sur le marché de l'Union » sans distinguer B2B et B2C dans son champ d'application. Les obligations du distributeur sont les mêmes : contrôle d'accueil, obligation de refus, circuit de signalement des vulnérabilités, coopération avec la surveillance du marché.

Deux différences pratiques pour le B2B :

  • Langue des informations utilisateur. Le client final est une entreprise en aval qui peut opérer en anglais ou dans une autre langue commerciale. Le plancher légal est la langue facilement compréhensible par les utilisateurs et la surveillance du marché de l'État membre de mise à disposition. Pour les utilisateurs finaux internes d'une multinationale, l'anglais peut être négocié commercialement. Pour les utilisateurs finaux commerciaux qui redéploient le produit dans des contextes destinés aux consommateurs, l'exigence de langue locale reprend ses droits.
  • Sensibilisation aux vulnérabilités. Un distributeur B2B prend connaissance des vulnérabilités via des canaux commerciaux (tickets d'assistance, bulletins fournisseurs) plutôt que par des signalements consommateurs. L'horloge de notification « sans retard injustifié » commence quand même à tourner dès que vous en avez connaissance.

Produits CRA reconditionnés ou d'occasion

Le CRA couvre les produits mis sur le marché de l'Union. Un produit reconditionné remis sur le marché par une nouvelle entité peut ou non constituer une nouvelle mise sur le marché, selon ce qui a été modifié.

La frontière dépend de si le reconditionnement modifie substantiellement le produit. Le nettoyage, le réemballage et le remplacement de composants identiques dans le cadre de l'exception pièces de rechange maintiennent le produit dans le territoire du distributeur. Remplacer une batterie par une chimie différente, re-flasher le firmware, ou restaurer une image logicielle non originale constitue une modification substantielle et fait passer le reconditionneur au statut de fabricant pour le produit modifié.

Règle pratique : si vous revendez une unité achetée auprès d'un fabricant connu dans son état d'origine, vous êtes distributeur. Si vous restaurez des unités après un échange matériel ou une refonte du firmware, obtenez l'interprétation juridique avant de traiter cela comme de la distribution.

Vendeurs de bundles

Vous combinez 2 à 3 produits en un seul SKU.

Bundle sans modification. Chaque produit à l'intérieur du bundle conserve son propre fabricant, son propre marquage CE, sa propre déclaration UE de conformité. Vous êtes le distributeur de chaque produit. L'emballage extérieur du bundle doit permettre d'identifier les produits constitutifs et leurs documents de conformité. Votre checklist d'accueil s'exécute par produit, pas par bundle.

Bundle avec firmware ou configuration personnalisés. Si vous poussez une image firmware personnalisée, modifiez les paramètres de sécurité par défaut, ou préconfigurz les produits pour qu'ils fonctionnent ensemble d'une façon qui change leur destination prévue, c'est une modification substantielle. Vous devenez le fabricant pour le bundle, et les obligations de fabricant s'appliquent à la partie affectée du produit ou, lorsque la modification affecte la cybersécurité du produit dans son ensemble, à l'intégralité du produit.

Branding du bundle. Apposer un autocollant « Distribué par ACME » sur le bundle ne déclenche pas en soi le mécanisme de rebranding. Remplacer les identifiants de marque des fabricants individuels par les vôtres, si. Le piège du cluster sur la suppression de l'étiquette de contact de l'importateur s'applique ici aussi.

Mise à disposition transfrontalière quand une vulnérabilité survient

Vous avez distribué un produit dans six États membres. Une vulnérabilité est signalée et présente un risque cybersécurité significatif. Qui notifiez-vous ?

Notifiez la surveillance du marché dans chaque État membre de mise à disposition, en parallèle, sans retard injustifié. Vous informez également le fabricant de la vulnérabilité sans retard injustifié. Le fabricant gère séparément le circuit de signalement ENISA, ce qui n'est pas du ressort du distributeur.

Préparation pratique : tenez un journal de distribution par produit et par État membre de mise à disposition. Constituez un répertoire de contacts des autorités de surveillance du marché en un clic. Quand une vulnérabilité est signalée sur un produit de votre catalogue, vous ne devez pas chercher l'adresse de signalement de vulnérabilités du BSI pour la première fois à 23h00.

Ce qui vous fait basculer vers le statut de fabricant

Le statut de distributeur est fragile. Plusieurs actes opérationnels mineurs peuvent vous faire franchir la ligne vers les obligations de fabricant sans que vous le remarquiez. Voici la matrice acte par acte.

Acte Reste distributeur Devient fabricant Pourquoi
Apposer un autocollant « Distribué par » avec vos coordonnées Vous identifier comme distributeur est une obligation, pas un acte de marque.
Remplacer la marque du fabricant par la vôtre sur le produit C'est mettre le produit sur le marché sous votre propre nom ou marque.
Pousser une mise à jour firmware émise par le fabricant d'origine Vous transmettez la mise à jour du fabricant. Le produit reste tel que le fabricant l'a mis sur le marché.
Pousser une version firmware personnalisée de votre propre conception Un firmware personnalisé est une modification substantielle.
Traduire le manuel utilisateur dans une langue d'un État membre La conformité linguistique est une obligation de la chaîne d'approvisionnement. La traduction ne modifie pas le produit.
Ajouter un profil de configuration à toutes les unités avant vente selon le cas selon le cas Si le profil est réversible par l'utilisateur final et ne modifie pas les paramètres de sécurité par défaut, vous restez distributeur. S'il modifie le flux d'authentification, les paramètres de chiffrement par défaut ou la surface d'attaque, c'est une modification substantielle.
Réemballer dans votre propre emballage de vente au détail Tant que le produit intérieur, son marquage CE, son identification et ses informations utilisateur sont inchangés, réemballer le carton extérieur reste de la distribution.
Réemballer d'une façon qui change la destination prévue Un produit réemballé en tant que catégorie d'appareil différente (mise en vente au détail grand public d'une unité industrielle, par exemple) est une modification substantielle.
Pré-installer votre propre logiciel par-dessus l'image du fabricant L'ajout de logiciel modifie l'enveloppe de sécurité du produit.
Supprimer l'étiquette de contact de l'importateur ✓ (non conforme) L'identification de l'importateur doit rester présente. La supprimer fait échouer le contrôle de conformité distributeur sur l'unité.

Pour le cadre réglementaire derrière ces décisions, la FAQ Suis-je distributeur ou fabricant ? du guide du cluster contient le texte verbatim de l'Article 21 et la distinction de l'Article 22 sur le tiers modificateur.

Quand la douane bloque votre expédition

Une expédition non-UE peut être bloquée en douane si les autorités douanières nationales signalent un défaut de marquage CE, de conformité ou d'information produit. Le CRA ne réglemente pas la douane directement, mais il passe par le cadre existant de surveillance du marché UE qui s'applique à la frontière.

Ce que la douane demande typiquement :

  • Une copie de la déclaration UE de conformité, complète ou simplifiée avec une URL fonctionnelle vers la version complète.
  • La preuve de la voie d'évaluation de la conformité utilisée (auto-évaluation Module A, ou numéro de certificat d'organisme notifié pour les produits de Classe II Importants ou Critiques).
  • L'identification du fabricant et de l'importateur, adresses postales et contacts numériques.
  • Les informations utilisateur et instructions dans une langue d'un État membre.
  • La preuve du placement du marquage CE sur une unité échantillon.

Ce que le distributeur peut faire lors du blocage :

  • Fournir les documents que vous auriez collectés au contrôle d'accueil. Si votre fournisseur ne vous les a pas communiqués, vous n'auriez pas dû accepter l'expédition.
  • Coordonner avec l'importateur, qui porte l'obligation de vérification plus lourde et l'obligation de conservation de 10 ans. Si l'importateur détient la table des matières de la documentation technique, la douane accepte généralement cela comme preuve que le dossier existe.
  • Maintenir les marchandises en entreposage douanier pendant que les lacunes sont comblées. L'entreposage douanier est un état intermédiaire légitime. La mise à disposition côté clients ne l'est pas.
  • Renvoyer l'expédition au fournisseur ou la détruire si la lacune ne peut pas être comblée dans un délai raisonnable. Les règles douanières des États membres varient sur le délai de destruction.

Pièges courants

Le guide du cluster présente le tableau complet des huit pièges sur les erreurs distributeur/importateur, les erreurs de vérification basée sur la présence et les erreurs de circuit de signalement des vulnérabilités. Ce blog ajoute trois pièges spécifiques à la couche opérationnelle.

Affirmation Pourquoi cela ne tient pas
« Notre plateforme se contente de mettre en relation acheteurs et vendeurs. » Si votre plateforme e-commerce prend la propriété des marchandises, vous êtes le distributeur. La frontière marketplace-only repose sur le fait de savoir si vous détenez l'annonce et la transaction, pas si vous opérez un site web.
« Je vais mettre à jour le firmware pour les clients comme service. » Une modification de firmware par le distributeur est une modification substantielle. Vous devenez le fabricant pour le produit modifié, avec l'ensemble complet des obligations de fabricant. Laissez les clients mettre à jour leurs propres appareils, ou faites passer les mises à jour par le fabricant d'origine.
« Nous transmettons les avis de vulnérabilités au fabricant mensuellement avec nos mises à jour commerciales. » L'obligation de connaissance des vulnérabilités du CRA court sans retard injustifié. Le regroupement mensuel est un manquement. Si la vulnérabilité présente un risque cybersécurité significatif, la notification à la surveillance du marché est également immédiate.

Questions fréquentes

Que faire si l'URL de la déclaration UE de conformité du fabricant est morte ou renvoie une erreur 404 ?

La déclaration UE de conformité simplifiée doit indiquer l'adresse internet exacte de la déclaration complète. Une URL morte est un défaut de documentation. Bloquez l'expédition, notifiez le fabricant par écrit et demandez soit le document complet de déclaration UE de conformité, soit une URL corrigée. Tant que l'URL ne fonctionne pas ou que la déclaration complète n'est pas fournie, l'unité n'est pas prête à la vente. Si le fabricant ne peut pas produire une déclaration fonctionnelle, le produit échoue au contrôle d'accueil et l'entreposage douanier ou le retour au fournisseur sont vos options.

Dans quel délai dois-je répondre à une demande motivée d'une autorité de surveillance du marché, et sous quelle forme ?

Le CRA exige que les distributeurs coopèrent avec les autorités de surveillance du marché sur demande motivée, sous forme papier ou électronique, dans une langue que l'autorité peut facilement comprendre. Le CRA lui-même ne fixe pas de délai de réponse pour les distributeurs. Les cadres nationaux de surveillance du marché fonctionnent typiquement sur des fenêtres de réponse de 7 à 15 jours pour les demandes documentaires, avec des fenêtres plus courtes pour les cas de risque cybersécurité urgents. Constituez le dossier documentaire de façon à pouvoir le produire en moins d'un jour ouvré : référence de la déclaration UE de conformité, échantillons d'informations utilisateur dans la langue de l'État membre de mise à disposition, points de contact du fabricant et de l'importateur, enregistrement du contrôle d'accueil.

Puis-je continuer à vendre un stock mis sur le marché avant le 11 décembre 2027 ?

Les produits mis sur le marché de l'Union avant la date principale d'application du CRA restent régis par le régime de mise sur le marché d'origine, pas le CRA. Les nouvelles unités, les nouvelles variantes, ou les unités mises sur le marché après le 11 décembre 2027 relèvent du CRA. La frontière est l'acte de mise sur le marché, pas l'acte de vente. Une unité dans votre entrepôt depuis 2026 et mise sur le marché UE par le fabricant ou l'importateur avant l'application du CRA conserve son statut pré-CRA. Une unité mise sur le marché à partir du 11 décembre 2027 entre dans le régime CRA, même si elle a été fabriquée antérieurement.

Le fabricant vient de faire faillite. Suis-je maintenant responsable de ses obligations de support ?

Non. L'obligation du distributeur en cas de cessation du fabricant est une obligation de notification, pas un transfert des obligations de fabricant. Informez les autorités de surveillance du marché concernées sans retard injustifié, et informez les utilisateurs par tout moyen disponible et dans la mesure du possible. Le CRA n'exige pas du distributeur qu'il reprenne le support, la gestion des vulnérabilités ou l'émission de mises à jour de sécurité. Si vous décidez de continuer à vendre le stock existant, c'est une décision commerciale avec un risque de réputation et de relations consommateurs, pas une obligation légale. Si vous décidez de mettre de nouvelles unités sur le marché sous votre propre nom à partir de ce moment, le mécanisme de rebranding vous fait basculer vers le statut de fabricant.

Je distribue depuis l'Allemagne vers la France. Une vulnérabilité est signalée. Quelle autorité notifier ?

L'obligation de connaissance des vulnérabilités est d'informer le fabricant sans retard injustifié, et lorsque le produit présente un risque cybersécurité significatif, d'informer la surveillance du marché dans chaque État membre où vous avez mis le produit à disposition. L'Allemagne et la France dans cet exemple. Les notifications se font en parallèle. Utilisez le circuit BSI allemand pour l'autorité de surveillance du marché allemande, le circuit ANSSI français pour l'autorité française. Tenez un journal de distribution par produit pour que la liste des États membres de mise à disposition soit accessible en une requête quand une vulnérabilité surgit.

Puis-je refuser une expédition d'un fournisseur de longue date sans violer le contrat commercial ?

Le refus pour non-conformité au CRA est une obligation légale, pas une préférence commerciale. Un distributeur qui met à disposition un produit non conforme est en infraction, indépendamment de tout accord fournisseur. La plupart des contrats d'approvisionnement commerciaux comprennent des clauses de conformité avec la législation applicable qui priment sur les engagements commerciaux lorsque la non-conformité réglementaire est documentée. Refusez avec un enregistrement écrit de l'élément du contrôle d'accueil qui a échoué, de la documentation manquante ou non conforme, et de ce que vous avez demandé au fournisseur de rectifier. L'enregistrement du refus est aussi votre preuve si une autorité de surveillance du marché vous demande ultérieurement pourquoi une expédition a été maintenue en entreposage douanier.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié familier avec les réglementations produits de l'UE.

CRA Distributeurs Application Conformité
Share

Articles connexes

Retour à tous les articles

Le CRA s'applique-t-il à votre produit ?

Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du règlement sur la cyberrésilience de l'UE. Obtenez votre résultat en moins de 2 minutes.

Vérifier maintenant

Prêt à atteindre la conformité CRA ?

Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.

Démarrer l'essai gratuit de 14 jours

Exploration approfondie des thèmes du CRA

Guides de référence sur les exigences, processus et rôles définis par le règlement sur la cyberrésilience (CRA).

Déclaration UE de conformité

Ce que la Déclaration de conformité doit contenir, qui la signe et quand elle est requise.

Lire le guide →
Évaluation de la conformité

Comment fonctionne l'évaluation de conformité sous le CRA et quand un organisme notifié est requis.

Lire le guide →
Documentation technique

Ce que la documentation technique CRA doit contenir (Annexe VII section par section) et comment les fabricants doivent la structurer.

Lire le guide →
Exigences SBOM

Ce que le CRA exige pour les SBOM et comment BSI TR-03183 définit les critères de qualité.

Lire le guide →
Notification des vulnérabilités

Comment fonctionne l'obligation de notification à l'ENISA sous 24 heures et ce qui compte comme une vulnérabilité activement exploitée.

Lire le guide →
Obligations de l'importateur

Ce que l'article 19 exige des importateurs et comment vérifier la conformité du fabricant.

Lire le guide →
Planification de la période de support

Ce que l'obligation de période de support du CRA implique pour les mises à jour de sécurité et la planification de fin de vie.

Lire le guide →
View full CRA compliance guide