Checklist CRA pour les Distributeurs : 5 Étapes de Vérification pour Chaque Produit

Les distributeurs ont les obligations CRA les plus légères, mais « léger » ne signifie pas « aucune ». Si vous vendez un produit manifestement non conforme, vous partagez la responsabilité.

Cette checklist couvre les cinq points à vérifier avant chaque vente et que faire en cas de problème.

Ce que Signifie « Distributeur » selon le CRA

Le Cyber Resilience Act définit un distributeur comme toute entité dans la chaîne d'approvisionnement, autre que le fabricant ou l'importateur, qui met un produit à disposition sur le marché.

Vous êtes distributeur si vous :

• Achetez auprès d'importateurs et vendez aux détaillants ou utilisateurs finaux
• Opérez comme grossiste ou revendeur
• Exploitez une plateforme e-commerce qui prend titre sur les marchandises
• Fournissez des produits à des clients professionnels

Vous n'êtes PAS distributeur si vous :

• Ne fournissez que de la logistique (transport/stockage sans vente)
• Êtes la première entité UE plaçant des marchandises non-UE sur le marché (c'est un importateur)
• Fabriquez ou modifiez substantiellement les produits (c'est un fabricant)

Le Rôle du Distributeur dans la Conformité CRA

Les distributeurs agissent comme point de contrôle final avant que les produits n'atteignent les utilisateurs finaux. Votre rôle n'est pas d'effectuer des évaluations techniques approfondies. C'est déjà fait par les fabricants et vérifié par les importateurs.

Votre rôle est de détecter les problèmes évidents et de vous assurer que la chaîne de conformité n'a pas été rompue.

La Vérification en 5 Points du Distributeur

Avant de mettre tout produit avec éléments numériques à disposition sur le marché UE, vérifiez ces cinq points :

1. Marquage CE Présent et Correct

Vérifiez que :

• Le marquage CE est visible sur le produit ou l'emballage
• Le marquage est lisible (pas estompé, taché ou partiellement obscurci)
• Le format est correct (les deux lettres doivent avoir des proportions spécifiques)
• Hauteur minimum 5mm (sauf si la taille du produit rend cela impossible)

Ce qu'il faut rechercher :

MARQUAGE CE CORRECT :
- Les lettres "C" et "E" ont une hauteur égale
- Proportions spécifiques (disponibles dans les guides UE)
- Marquage clair et permanent

SIGNAUX D'ALERTE :
- "CE" dans une police ou un style différent
- Marquage "China Export" (similaire mais différent)
- Marquage CE uniquement sur le carton d'expédition, pas sur l'emballage de vente
- Autocollant facilement amovible

2. Identification du Fabricant Visible

Les produits doivent afficher :

• Le nom du fabricant ou sa dénomination commerciale enregistrée
• Une adresse de contact (postale, pas seulement un site web)
• Pour les produits importés : le nom et l'adresse de l'importateur également

Ces informations doivent figurer sur :

• Le produit lui-même (préféré)
• L'emballage (si la taille du produit l'interdit)
• La documentation accompagnante

Signal d'alerte : Produits sans aucune identification du fabricant, ou seulement une URL de site web sans adresse physique.

3. Documentation Requise Accompagnant le Produit

Vérifiez que les produits sont accompagnés de :

• Instructions utilisateur dans la ou les langues appropriées
• Informations de sécurité pertinentes pour le produit
• Déclaration de Conformité UE ou référence où elle peut être obtenue

Vous n'avez pas besoin de lire et vérifier le contenu technique. Vous devez confirmer que ces documents existent et accompagnent le produit.

Signal d'alerte : Produits livrés avec une documentation uniquement en chinois, ou sans aucune documentation.

4. Aucun Signe Évident de Non-Conformité

C'est le jugement à porter. « Manifestement non conforme » signifie des problèmes visibles sans expertise technique :

Votre standard : Une personne raisonnable, sans connaissances spécialisées en cybersécurité, reconnaîtrait-elle cela comme non conforme ?

5. Aucun Problème Connu de l'Amont

Vérifiez si :

• Le fabricant a communiqué des préoccupations de conformité
• L'importateur a signalé des lacunes documentaires
• Le produit fait l'objet d'un rappel ou d'un retrait du marché
• Les autorités réglementaires ont émis des avertissements sur ce produit

Cela signifie maintenir des canaux de communication avec vos fournisseurs et surveiller les annonces réglementaires pertinentes.

Exigences de Stockage et de Transport

Vos obligations ne s'arrêtent pas à la vérification. La façon dont vous manipulez les produits compte :

Conditions de Stockage

• Les produits ne doivent pas être modifiés pendant le stockage
• Les conditions environnementales ne doivent pas compromettre les fonctions de sécurité
• L'emballage inviolable doit rester intact
• Le firmware ne doit pas être altéré

Manipulation lors du Transport

• Les produits doivent arriver chez les clients dans le même état de conformité qu'à la réception
• Aucune modification pendant le transport
• Intégrité de l'emballage maintenue

Exemple pratique : Si vous stockez des appareils IoT dans un entrepôt, vous ne pouvez pas « utilement » mettre à jour leur firmware avant expédition. Cela pourrait constituer une modification faisant de vous un fabricant.

Que Faire en Cas de Non-Conformité Suspectée

Si un point de vérification échoue, vous avez des obligations spécifiques :

Étape 1 : Arrêter

Ne mettez pas le produit à disposition tant que le problème n'est pas résolu. Vous pouvez le garder en stock, mais vous ne pouvez pas le vendre.

Étape 2 : Documenter

Enregistrez vos préoccupations :

• Quel point de vérification a échoué
• Ce que vous avez observé
• Date et heure de la découverte
• Identifiants du produit (modèle, lot, numéros de série si visibles)

Étape 3 : Notifier l'Amont

Informez immédiatement le fabricant et/ou l'importateur :

• Préoccupations spécifiques identifiées
• Demande de clarification ou de résolution
• Délai de réponse

Étape 4 : Coopérer aux Actions Correctives

Si le produit est déjà sur le marché et trouvé non conforme :

• Soutenir tout rappel ou retrait
• Aider aux notifications clients
• Fournir les registres de vente aux autorités sur demande

Étape 5 : Signaler les Risques de Sécurité

Si le produit présente un risque cybersécurité immédiat (pas seulement des lacunes documentaires) :

• Signaler à l'autorité de surveillance du marché
• Fournir toute la documentation disponible
• Coopérer à toute enquête

Quand les Distributeurs Deviennent Fabricants

Selon l'Article 22, vous devenez fabricant avec toutes les obligations CRA si vous :

Placez des Produits sous Votre Propre Nom

• Rebranding de produits avec le nom de votre entreprise
• White-labeling où vous êtes présenté comme la source
• Votre marque sur le produit ou l'emballage

Apportez des Modifications Substantielles

Tout changement affectant :

• La destination prévue du produit
• La conformité aux exigences CRA

Exemples de modifications substantielles :

• Installation d'un firmware personnalisé
• Ajout de fonctionnalités de connectivité
• Modifications matérielles affectant la sécurité
• Intégration de produits modifiant leur fonctionnalité

PAS des modifications substantielles :

• Application de correctifs de sécurité (explicitement exempté)
• Changement d'emballage sans modification du produit
• Ajout d'accessoires ne s'intégrant pas au produit
• Localisation linguistique de documentation existante

Si vous déclenchez le statut de fabricant, vous héritez de l'ensemble des obligations CRA : évaluation des risques, documentation technique, évaluation de conformité, gestion des vulnérabilités, et plus encore.

Pénalités pour Non-Conformité

Les distributeurs font face à des pénalités plus légères que les fabricants, mais elles restent significatives :

Pour comparaison, les fabricants risquent jusqu'à 15 millions EUR ou 2,5% du chiffre d'affaires.

Pièges Courants

« Je ne fais que vendre, la conformité n'est pas mon problème »

Faux. Les distributeurs partagent la responsabilité pour les produits manifestement non conformes. Si vous vendez un appareil sans marquage CE et qu'il cause un préjudice, vous êtes dans la chaîne d'application.

« L'importateur a dit que c'était bon »

Les assurances verbales ne constituent pas une vérification. Vous devez voir le marquage CE et la documentation vous-même. La parole d'un importateur ne transfère pas la responsabilité.

« Nous vendons ce produit depuis des années sans problème »

Les ventes passées ne garantissent pas la conformité CRA. Le CRA est nouveau, avec des exigences entrant en vigueur progressivement. Des produits qui étaient conformes avant peuvent nécessiter des mises à jour.

« Notre plateforme connecte juste acheteurs et vendeurs »

Si votre plateforme e-commerce prend titre sur les marchandises (vous achetez le stock et revendez), vous êtes distributeur. Si vous êtes purement un marketplace facilitant les ventes de tiers, d'autres règles peuvent s'appliquer, mais c'est un domaine complexe nécessitant un avis juridique.

« Je vais juste mettre à jour le firmware pour les clients comme service »

Ne le faites pas. Modifier le firmware, même avec de bonnes intentions, peut constituer une modification substantielle faisant de vous un fabricant. Laissez les clients mettre à jour leurs propres appareils, ou assurez-vous que les mises à jour proviennent du fabricant d'origine.

Checklist de Réception pour Distributeurs

Utilisez cette checklist lors de la réception de produits de fournisseurs :

CHECKLIST DE RÉCEPTION DISTRIBUTEUR

Produit : _______________________________________
Fournisseur : ___________________________________
Date de Réception : _____________________________
Quantité : ______________________________________

VÉRIFICATION VISUELLE :
[ ] Marquage CE présent sur le produit ou l'emballage
[ ] Marquage CE correctement formaté (proportions, taille)
[ ] Nom et adresse du fabricant visibles
[ ] Nom et adresse de l'importateur visibles (si origine non-UE)
[ ] Emballage du produit intact (pas de preuve d'altération)

VÉRIFICATION DOCUMENTATION :
[ ] Instructions utilisateur présentes
[ ] Instructions dans la ou les langues requises
[ ] Informations de sécurité incluses
[ ] Référence ou document DoC présent

VÉRIFICATION STATUT CONFORMITÉ :
[ ] Pas d'avis de rappel actif pour ce produit
[ ] Pas de communications du fabricant concernant des problèmes
[ ] Pas d'avertissements réglementaires sur ce produit
[ ] Le fournisseur n'a pas signalé de préoccupations

EXIGENCES DE STOCKAGE :
[ ] Conditions de stockage appropriées pour le type de produit
[ ] Scellés inviolables intacts
[ ] Aucune modification requise avant vente

DÉCISION :
[ ] ACCEPTER - Tous les contrôles réussis
[ ] EN ATTENTE - Problèmes identifiés (préciser ci-dessous)
[ ] REJETER - Non conforme (documenter et notifier le fournisseur)

Problèmes Identifiés :
________________________________________________
________________________________________________

Vérifié par : ___________________________________
Date : _________________________________________

Carte de Référence Rapide

Imprimez ceci et gardez-le à votre poste de réception :

┌─────────────────────────────────────────────────┐
│       VÉRIFICATION RAPIDE CRA DISTRIBUTEUR      │
├─────────────────────────────────────────────────┤
│                                                 │
│  ✓ Marquage CE visible et correct ?             │
│  ✓ Nom/adresse du fabricant sur le produit ?    │
│  ✓ Instructions dans la bonne langue ?          │
│  ✓ Pas de défauts évidents ou d'altération ?    │
│  ✓ Pas d'avis de rappel pour ce produit ?       │
│                                                 │
│  TOUT OUI → OK pour vendre                      │
│  UN NON   → ARRÊTER, documenter, notifier       │
│             le fournisseur                      │
│                                                 │
│  JAMAIS : Modifier le firmware, rebrander, ou   │
│           ignorer les problèmes évidents        │
│                                                 │
└─────────────────────────────────────────────────┘

CRA Evidence pour les Distributeurs

Bien que CRA Evidence soit principalement conçu pour les fabricants, les distributeurs bénéficient de :

• Registres de vérification fournisseurs : Suivez quels fournisseurs ont fourni des produits conformes
• Surveillance du statut produit : Recevez des alertes lorsque les produits que vous distribuez ont des vulnérabilités signalées
• Stockage de documentation : Conservez les registres de vérification pour la période de rétention de 10 ans

Assurez-vous que vos fournisseurs en amont utilisent des outils de conformité appropriés, et vous passerez moins de temps sur la vérification.

Guides Associes

• Obligations des Importateurs CRA : Que Verifier Avant de Placer des Produits sur le Marche UE
• Sanctions CRA en Pratique : Comment la Surveillance du Marche Fonctionne Reellement
• Classification des Produits CRA : Votre Produit est-il Default, Important ou Critique ?

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié familier avec les réglementations produits de l'UE.