CRA multi-rôles : fabricant, importateur, distributeur
Guide CRA pour une entreprise fabricant, importateur et distributeur : attribution des rôles, cumul d'obligations, signalement, pénalités et conflits.
Dans cet article
- Résumé
- Comment les entreprises multi-rôles échouent différemment
- Le tableau des obligations multi-rôles
- Options de structure organisationnelle
- Exemple de répartition des coûts
- Scénarios de calendriers conflictuels
- Propagation des notifications de vulnérabilités
- Triage des demandes d'autorités selon les rôles
- Exposition aux pénalités en situation multi-rôles
- Topologie multi-rôles trans-États membres
- Quand la même entité juridique est représentant autorisé, importateur et fabricant
- Quand les rôles changent en cours de cycle de vie
- Continuité d'activité quand l'organisation multi-rôles se dissout
- Questions fréquentes
Votre entreprise fabrique des capteurs intelligents en Allemagne, importe des produits complémentaires d'un fournisseur taïwanais et distribue le logiciel d'un autre éditeur. Selon le CRA, vous êtes simultanément fabricant, importateur et distributeur. Les guides cluster par rôle couvrent chaque ensemble d'obligations séparément. Cette page traite ce dont les équipes de conformité multi-rôles ont réellement besoin : la couche opérationnelle où les rôles se cumulent, entrent en collision et se débordent. Pour les obligations par rôle elles-mêmes, suivez les liens vers le cluster fabricant, le cluster importateur et le cluster distributeur.
Résumé
- Le rôle se détermine par produit, pas par organisation. Une entreprise multi-rôles dispose d'un ensemble d'obligations différent par ligne de produits. Cartographiez d'abord chaque produit.
- Une partie de l'infrastructure de conformité se mutualise entre les rôles, une autre non. Un système documentaire unique, un point d'entrée unique pour les vulnérabilités et un outil SBOM unique fonctionnent pour tous les rôles. En revanche, une horloge de signalement unique, une politique de conservation unique et une politique CVD unique ne fonctionnent pas.
- L'exposition aux pénalités se cumule. Un seul incident peut déclencher la pénalité du palier fabricant pour un produit et la pénalité du palier importateur ou distributeur pour un autre. Les entreprises multi-rôles modélisent une exposition à double palier.
- Une topologie multi-rôles trans-États membres amplifie tout. Quand vous fabriquez dans un État membre, importez dans un deuxième et distribuez dans un troisième, vous faites face à trois autorités de surveillance du marché différentes, trois langues nationales pour l'information des utilisateurs, et trois voies de notification parallèles dès qu'une vulnérabilité apparaît.
Comment les entreprises multi-rôles échouent différemment
Les entreprises mono-rôle échouent face aux obligations de leur rôle unique. Les entreprises multi-rôles échouent aux jointures entre les rôles. Trois modes d'échec reviennent systématiquement.
Conformité en silo. Chaque équipe rôle travaille selon son propre guide sans cartographie produit-rôle partagée. Le service commercial vend le produit en marque blanche sous votre marque le lundi. L'équipe fabricant ne reçoit jamais l'avis de changement de marque. L'évaluation de conformité du produit rebadgé ne se lance jamais. Trois mois plus tard, une autorité de surveillance du marché demande la chaîne de preuves fabricant pour une unité vendue sous votre marque mais documentée comme un produit tiers importé. La position juridique est indéfendable.
Collision de politiques. Les politiques de deux rôles s'appliquent au même produit parce que le rôle n'a pas été fixé. Votre politique CVD prévoit 90 jours. La politique de votre fournisseur prévoit 120 jours. Sans affectation claire du rôle par produit, votre équipe d'ingénierie applique la politique attachée au rôle qu'elle pense détenir, pas celui que le CRA attribue à ce produit.
Redondance des audits fournisseurs. En tant qu'importateur, vous effectuez une vérification pré-marché sur le produit d'un fournisseur. En tant que fabricant utilisant ce même fournisseur comme sous-traitant de composants, vous menez une diligence raisonnable sur ce même fournisseur. Même fournisseur, deux dossiers de preuves, deux budgets, deux entretiens. L'audit peut être mutualisé, mais seulement si votre cartographie rôle-par-produit est suffisamment explicite pour que la double finalité soit défendable.
Le tableau des obligations multi-rôles
Une partie de l'infrastructure de conformité se mutualise entre les rôles. Une autre reste séparée par rôle. Le tableau ci-dessous est la couche opérationnelle dont les entreprises multi-rôles ont besoin avant d'investir dans des outils, des processus ou une structure organisationnelle.
| Infrastructure | Se mutualise entre les rôles | Reste séparée par rôle |
|---|---|---|
| Stockage documentaire | Oui. Un système de fichiers unique avec des dossiers par produit fonctionne. | La structure des dossiers doit indiquer le ou les rôles attachés à chaque produit. |
| Point d'entrée des vulnérabilités | Oui. Une boîte de réception unique, une file de tickets unique peut recevoir des signalements sur toutes les lignes de produits. | Les règles de routage diffèrent. Les produits fabricant remontent vers l'équipe ingénierie. Les produits importés remontent vers le fournisseur et vers la vérification côté importateur. |
| Outillage SBOM | Oui. Le même outil fonctionne pour les firmwares fabriqués et pour les SBOM fournisseurs reçus (quand ils sont fournis). | L'autorité sur le SBOM diffère : la vôtre pour les produits fabriqués, celle du fournisseur pour les produits importés. |
| Politique de divulgation coordonnée des vulnérabilités (CVD) | Non. | Les produits fabricant suivent votre politique CVD. Pour les produits importés, la politique du fabricant d'origine s'applique ; votre rôle est de vérifier qu'elle existe et est accessible. |
| Horloge de signalement | Non. | Les produits fabricant suivent le guide de signalement fabricant. L'escalade importateur et distributeur reste dans la voie surveillance du marché. |
| Point de contact unique pour les signalements de vulnérabilités | Non. | Le contact du fabricant figure sur vos produits fabriqués. Les destinataires de produits importés voient le contact du fabricant d'origine (que vous avez vérifié à l'entrée) et passent par ce contact. |
| Conservation documentaire | Non. | La conservation est configurée à partir du rôle produit et du dossier de preuves. N'appliquez pas une règle d'archivage unique à tous les dossiers. |
| Palier de pénalité | Non. | Le palier fabricant s'applique quand le produit en infraction est celui que vous fabriquez. Le palier importateur ou distributeur s'applique dans les autres cas. |
| Chaîne de preuves d'évaluation de conformité | Non. | La vôtre pour les produits fabriqués. Celle du fabricant d'origine pour les produits importés et distribués. L'importateur détient un pointeur. Le distributeur détient une vérification de présence. |
L'infrastructure qui se mutualise représente le gain d'efficacité multi-rôles. L'infrastructure qui reste séparée par rôle est là où les équipes de conformité trébuchent si elles supposent qu'une seule politique peut servir tous les produits.
Options de structure organisationnelle
Trois schémas fonctionnent pour une organisation de conformité multi-rôles. Choisissez celui qui correspond à la taille de votre portefeuille.
Option 1 : équipes par rôle. Équipes séparées pour les activités fabricant, importateur et distributeur. Recommandé quand chaque rôle représente un volume substantiel.
Direction Conformité
├─ Équipe Conformité Fabrication → toutes les obligations fabricant
├─ Équipe Conformité Importation → vérification fournisseur, docs import
└─ Équipe Conformité Distribution → relations partenaires, registres de distribution
Option 2 : équipes par produit. Une équipe par ligne de produits, portant tous les rôles pour les produits de cette ligne. Recommandé quand les lignes de produits sont étroites et les rôles par ligne sont mixtes.
Direction Conformité
├─ Équipe Ligne Produit A (capteurs) → tous rôles pour les capteurs
├─ Équipe Ligne Produit B (contrôleurs) → tous rôles pour les contrôleurs
└─ Services Mutualisés → gestion documentaire, outils SBOM, formation
Option 3 : hybride (recommandé dans la plupart des cas). Services centraux mutualisés et équipes spécialisées par rôle. Système documentaire unique et point d'entrée unique pour les vulnérabilités, mais équipes fabricant et fournisseur/partenaire séparées.
Direction Conformité
├─ Conformité Centrale → gestion docs, intake vulnérabilités, formation
├─ Conformité Fabricant → évaluation de conformité, dossiers techniques, mises à jour
└─ Conformité Fournisseur/Partenaire → vérification import, relations distributeurs
Exemple de répartition des coûts
Répartition budgétaire pratique pour une entreprise multi-rôles avec 5 produits fabriqués, 10 importés et 15 distribués.
BUDGET CONFORMITÉ MULTI-RÔLES (annuel)
INFRASTRUCTURE PARTAGÉE (40 % du budget) :
Système de gestion de la conformité : 25 000 $
Gestion documentaire : 10 000 $
Programme de formation : 15 000 $
Intake vulnérabilités : 10 000 $
SOUS-TOTAL 60 000 $
RÔLE FABRICANT (35 % du budget) :
Évaluation de conformité (5 produits) : 25 000 $
Outillage SBOM : 8 000 $
Infrastructure de mise à jour : 15 000 $
Maintenance des dossiers techniques : 5 000 $
SOUS-TOTAL 53 000 $
RÔLE IMPORTATEUR (20 % du budget) :
Vérification fournisseur (10 produits) : 20 000 $
Demandes de documentation : 5 000 $
Surveillance fournisseur : 5 000 $
SOUS-TOTAL 30 000 $
RÔLE DISTRIBUTEUR (5 % du budget) :
Vérification partenaire : 5 000 $
Tenue de registres : 2 500 $
SOUS-TOTAL 7 500 $
TOTAL 150 500 $
La tranche partagée de 40 % représente le gain d'efficacité multi-rôles. La tranche fabricant de 35 % gonfle rapidement si un produit importé bascule en statut de fabricant parce que vous commencez à le marquer ou à le modifier substantiellement.
Scénarios de calendriers conflictuels
Les entreprises multi-rôles se heurtent à des conflits de calendrier que les entreprises mono-rôle ne rencontrent jamais.
Fenêtres CVD conflictuelles. Vos produits fabriqués suivent une fenêtre de divulgation coordonnée des vulnérabilités de 90 jours. Votre fournisseur (dont vous importez les produits) insiste sur 120 jours. Résolution : politiques séparées par rôle. Votre politique CVD ne s'applique qu'aux produits que vous fabriquez. Pour les produits importés, la politique du fabricant est celle qui compte. Votre rôle est de vérifier qu'elle existe, qu'elle est accessible et qu'elle est cohérente avec le minimum CRA.
Standard documentaire incompatible. Votre modèle de dossier technique fabricant suit votre standard documentaire interne. La documentation de votre fournisseur est structurée selon son propre régime national. Résolution : conservez des modèles séparés par rôle. Ne forcez pas la documentation fournisseur dans votre modèle fabricant, ou vous perdrez la traçabilité quand une autorité de surveillance du marché demande la source d'origine.
Non-coopération du fournisseur. Vous êtes importateur, mais votre fournisseur refuse de fournir la documentation nécessaire à la vérification pré-marché. Résolution : le blocage est ferme. Sans la documentation, vous ne pouvez pas légalement mettre le produit sur le marché de l'Union européenne. Retenez la livraison, formalisez la demande documentaire par écrit, et si le fournisseur refuse toujours, changez de fournisseur.
Cascade sur la période d'assistance. En tant que fabricant, vous vous engagez sur une période d'assistance de 7 ans pour votre propre produit. La même ligne de produits inclut un composant OEM rebadgé que vous avez également importé (vous êtes donc à la fois fabricant d'une variante et importateur d'une autre). L'OEM ne s'engage que sur 5 ans pour la variante importée. Vos clients peuvent voir les deux variantes sur votre catalogue. Résolution : communiquez clairement la période d'assistance par variante au moment de la vente. Ne laissez pas votre marketing revendiquer une seule enveloppe pour les deux variantes.
Frontière d'accès à la plateforme ENISA SRP. La plateforme de signalement unique de l'ENISA est le canal de signalement côté fabricant. Les entreprises multi-rôles ouvrent un accès SRP pour leur rôle fabricant. Pour les produits que vous importez ou distribuez uniquement, c'est le fabricant d'origine qui signale via SRP. Votre rôle est d'informer ce fabricant et, lorsqu'un risque de cybersécurité significatif existe, d'informer directement la surveillance du marché, et non de signaler à l'ENISA au nom du fabricant d'origine.
Propagation des notifications de vulnérabilités
Une vulnérabilité est signalée. Elle affecte trois cohortes de produits dans votre portefeuille : des produits que vous fabriquez, des produits que vous avez importés et des produits que vous distribuez. Qu'est-ce qui se déclenche, dans quel ordre, et qui signe.
| Cohorte | Notification principale | Notification secondaire | Qui signe |
|---|---|---|---|
| Produits que vous fabriquez | Plateforme de signalement unique ENISA (flux de signalement fabricant) | CSIRT coordinateur pour la vulnérabilité, CSIRT et surveillance du marché pour un incident grave, plus les utilisateurs concernés | Responsable conformité fabricant |
| Produits que vous avez importés | Le fabricant d'origine, sans délai indu | Surveillance du marché de chaque État membre d'approvisionnement en cas de risque de cybersécurité significatif | Responsable conformité importateur |
| Produits que vous distribuez | Le fabricant d'origine, sans délai indu | Surveillance du marché de chaque État membre d'approvisionnement en cas de risque de cybersécurité significatif | Responsable conformité distributeur |
Pour un événement à cohortes multiples issu d'un incident unique, les notifications s'exécutent en parallèle, pas en séquence. La notification du flux fabricant est soumise à une horloge réglementaire. Les notifications importateur et distributeur fonctionnent selon le standard « sans délai indu ». Ne laissez pas l'horloge côté fabricant dominer l'escalade importateur/distributeur, car les obligations de l'importateur et du distributeur existent de manière indépendante.
Pour la cadence par cohorte, les seuils d'escalade et les flux de signalement spécifiques par rôle, consultez le flux de signalement fabricant, la cascade de cessation d'activité de l'importateur et la veille sur les vulnérabilités du distributeur dans l'ensemble des clusters.
Triage des demandes d'autorités selon les rôles
Une autorité de surveillance du marché émet une demande motivée. Des rôles différents produisent des dossiers de preuves différents en réponse.
| Rôle du produit | Ce que l'autorité attend | Où se trouve la preuve |
|---|---|---|
| Fabriqué par vous | Chaîne de preuves complète : documentation technique, voie d'évaluation de conformité, déclaration UE de conformité, engagement sur la période d'assistance, registre de gestion des vulnérabilités | Équipe conformité fabricant, système de gestion documentaire |
| Importé par vous | Registre de vérification importateur (vérification du marquage CE, coordonnées du fabricant, pointeur vers la déclaration UE de conformité), pointeur vers la documentation technique du fabricant, registre de conservation de la déclaration UE de conformité | Équipe conformité importateur, système de gestion documentaire |
| Distribué par vous | Dossier documentaire utilisé pour la vérification à l'entrée (référence à la déclaration UE de conformité, information utilisateur, points de contact de la chaîne d'approvisionnement), preuve de la vérification de présence | Équipe conformité distributeur, registres d'entrée |
Constituez la cartographie rôle-preuve par produit avant qu'une autorité de surveillance du marché ne la demande. Le jour où une demande motivée arrive, la question n'est pas « où se trouve la preuve ». La question est « quel dossier de preuves correspond au rôle que ce produit porte à cette date ». Une équipe multi-rôles qui n'a pas préparé la cartographie en amont brûlera une journée entière à reconstituer la mauvaise chaîne de preuves.
Exposition aux pénalités en situation multi-rôles
Un seul incident de vulnérabilité peut déclencher plusieurs paliers de pénalité quand le code vulnérable se trouve dans des produits relevant de plusieurs rôles.
| Rôle du produit en infraction | Palier de pénalité | Plafond |
|---|---|---|
| Fabriqué par vous | Palier fabricant | 15 millions EUR ou 2,5 % du chiffre d'affaires annuel mondial |
| Importé par vous | Palier importateur | 10 millions EUR ou 2 % du chiffre d'affaires annuel mondial |
| Distribué par vous | Palier distributeur | 10 millions EUR ou 2 % du chiffre d'affaires annuel mondial |
Les paliers s'appliquent par infraction, pas par produit. Une entreprise multi-rôles qui utilise le même composant vulnérable dans des lignes de produits fabriqués et importés, et qui ne notifie pas, est exposée au palier fabricant pour la cohorte fabriquée et au palier importateur pour la cohorte importée, en parallèle. La souscription d'assurance et la modélisation des risques au niveau du conseil d'administration doivent tenir compte des deux plafonds, pas seulement du plus élevé.
La mitigation est opérationnelle, pas contractuelle. La cartographie rôle-preuve associée à la propagation des notifications par rôle vous donne un registre défendable indiquant quels produits ont été notifiés, à quelle date, selon le protocole de quel rôle. Sans ce registre, une autorité peut contraindre l'entreprise à prouver quel rôle s'appliquait à chaque produit avant que le palier de pénalité ne soit évalué.
Topologie multi-rôles trans-États membres
Quand une organisation multi-rôles opère au-delà des frontières des États membres, la cartographie rôle-par-produit acquiert un second axe : quels contacts d'autorités nationales pré-staging par rôle, et quelle langue chaque État membre d'approvisionnement attend-il pour l'information des utilisateurs.
Prenons un groupe européen qui fabrique des capteurs en Allemagne, importe des contrôleurs d'un fournisseur taïwanais via son entité française, et distribue le logiciel d'un éditeur belge via son entité commerciale italienne.
| Cohorte de produits | Rôle | Contacts d'autorités à pré-stager | Langue de l'information utilisateur |
|---|---|---|---|
| Capteurs fabriqués | Fabricant | CSIRT coordinateur et autorité de surveillance du marché compétente pour le flux de signalement fabricant, plus les contacts de surveillance du marché dans chaque État membre où le produit est mis à disposition | Allemand pour l'information utilisateur sur le marché allemand, plus la langue de chaque État membre pour les expéditions vers d'autres marchés |
| Contrôleurs importés | Importateur | Autorités de surveillance du marché de chaque État membre où vous mettez le produit sur le marché | Français, plus la langue de chaque État membre pour la réexpédition |
| Logiciels distribués | Distributeur | Autorités de surveillance du marché de chaque État membre où vous mettez le produit à disposition, plus la voie de retour vers la chaîne d'autorité principale du fabricant pour l'escalade amont | Italien, plus la langue de chaque État membre où vous mettez le produit à disposition |
Une vulnérabilité qui touche les trois cohortes déclenche des notifications parallèles vers trois autorités nationales différentes en même temps, chacune dans la langue nationale appropriée. Le CRA ne prévoit pas de vue unifiée trans-États membres pour une organisation multi-rôles. Constituez dès maintenant le répertoire de contacts MSA par cohorte. La première fois où vous en aurez besoin ne devrait pas être en plein incident.
Quand la même entité juridique est représentant autorisé, importateur et fabricant
Le dispositif de représentant autorisé est permissif, pas obligatoire. Un fabricant non-UE peut désigner une entité établie dans l'Union comme représentant autorisé par mandat écrit. Rien dans le CRA n'empêche cette même entité d'être également importateur des produits d'un autre fournisseur non-UE, ou fabricant de sa propre ligne de produits.
C'est le chevauchement multi-rôles le plus concentré du CRA. Trois éléments doivent rester séparés même s'ils se trouvent sous le même toit juridique.
Les mandats sont par fournisseur. Chaque relation de représentant autorisé est documentée par un mandat écrit. Si vous agissez comme représentant autorisé pour le fournisseur non-UE A et comme importateur pour le fournisseur non-UE B, le registre du représentant autorisé ne couvre que le fournisseur A. Les produits du fournisseur B fonctionnent selon le régime importateur, sans superposition de mandat.
Les limites de responsabilité diffèrent selon le rôle. Le représentant autorisé détient la documentation et coopère avec la surveillance du marché au nom du fabricant représenté, mais ne met pas les produits sur le marché. L'importateur assume les quatre vérifications pré-marché, met le produit sur le marché et conserve la déclaration UE de conformité pendant 10 ans ou la durée de la période d'assistance. Le fabricant assume l'ensemble complet des obligations de conception et d'ingénierie. Ce sont trois surfaces de responsabilité différentes, toutes logées sous une même personne morale. Les registres doivent documenter la séparation des rôles par produit.
Le routage de cessation est par rôle. Si le fournisseur A, pour lequel vous êtes représentant autorisé, cesse ses activités, vérifiez le mandat écrit et conservez le dossier de documentation et de coopération du représentant autorisé. La notification légale de cessation elle-même relève du fabricant, sauf si un déclencheur spécifique à un autre rôle s'applique également. Si le fournisseur B (pour lequel vous êtes importateur) cesse ses activités, la notification de prise de connaissance de la cessation par l'importateur se déclenche : informez la surveillance du marché et les utilisateurs de la cessation du fabricant. Votre propre ligne fabricant, si elle vient à cesser, déclenche la notification de cessation du fabricant avec votre propre parcours de communication client. Les trois déclencheurs ne se consolident pas en un seul routage.
Le plancher pratique : une cartographie par produit avec l'étiquette de rôle attachée à chaque produit rend la séparation représentant autorisé/importateur/fabricant défendable. Sans cette cartographie, un audit sur les produits du fournisseur A déborde dans vos registres importateur et fabricant et génère des coûts de découverte de preuves évitables.
Quand les rôles changent en cours de cycle de vie
Les entreprises multi-rôles voient les rôles des produits évoluer au fil du cycle de vie. Cinq événements reviennent régulièrement.
Distributeur vers importateur. Votre fournisseur UE ferme, et vous commencez à importer directement depuis le fabricant non-UE. Actions : vérification importateur complète sur le produit, relation fournisseur directe, mise à jour de toute la documentation d'importation.
Importateur vers fabricant. Vous commencez à mettre le produit importé sous votre propre marque. Actions : complétez l'ensemble des obligations fabricant (évaluation de conformité, dossier technique, SBOM, gestion des vulnérabilités, engagement sur la période d'assistance). Votre fournisseur est désormais un fabricant contractuel au sens commercial, pas le fabricant au sens du CRA. La responsabilité de conformité vous revient.
Distributeur vers modificateur de bundle. Vous commencez à pré-installer un firmware personnalisé sur un produit que vous distribuiez précédemment sans modification. Actions : les obligations fabricant s'appliquent via la passerelle de rebranding pour le produit modifié ou, quand la modification affecte la cybersécurité du produit dans son ensemble, pour le produit entier.
Fabricant vers distributeur. Vous cessez de marquer une ligne de produits et la restituez à l'OEM sous la marque de l'OEM. Actions : le fabricant d'origine retrouve le rôle fabricant à compter de ce point. Vous devenez le distributeur du produit sous marque OEM. Vos obligations de conservation et d'assistance côté fabricant continuent pour les unités déjà mises sur le marché sous votre marque.
N'importe quel rôle vers la sortie. Vous cessez de vendre un produit. Actions : la conservation documentaire continue (fabricant et importateur maintiennent une conservation de 10 ans ou de la durée de la période d'assistance). Les obligations d'assistance du fabricant continuent pendant au moins 5 ans à compter de la dernière unité mise sur le marché, ou pendant la durée de la période d'assistance si elle est plus longue. Si le fabricant cesse également ses activités, l'obligation de notification passe par tout importateur et distributeur dans la chaîne.
Continuité d'activité quand l'organisation multi-rôles se dissout
Le CRA prévoit une seule notification légale de cessation propre à l'entité : celle du fabricant. Quand un fabricant cesse ses activités et ne peut plus se conformer, il doit informer les autorités de surveillance du marché concernées et les utilisateurs des produits déjà mis sur le marché, avant que la cessation prenne effet. Il n'existe pas de notification équivalente de cessation propre à l'entité pour les rôles importateur ou distributeur. Les obligations de cessation de l'importateur et du distributeur dans le CRA ne se déclenchent que lorsque le fabricant d'un produit qu'ils traitent cesse ses activités, pas quand l'importateur ou le distributeur lui-même cesse.
Pour une organisation multi-rôles qui se dissout, cela signifie :
| Cohorte détenue par l'entité défaillante | Ce que le CRA exige | Travail de continuité opérationnelle |
|---|---|---|
| Produits fabriqués | Notification légale de cessation aux autorités de surveillance du marché et, par tout moyen disponible, aux utilisateurs. Communiquer tout dispositif successeur d'assistance s'il en existe un. | Documenter la notification, la date, les destinataires et les implications sur la période d'assistance. Conserver le dossier technique et la déclaration UE de conformité au plancher de conservation (10 ans ou la période d'assistance). |
| Produits importés | Pas de notification légale de cessation propre à l'entité côté importateur. La déclaration UE de conformité et le pointeur vers la documentation technique étaient déjà en dossier à l'entrée et restent dans l'archive des registres. | Planifier la continuité des registres. Identifier quelle entité hérite de la conservation côté importateur de la déclaration UE de conformité. Communiquer les changements de canal aux contreparties commerciales. |
| Produits distribués | Pas de notification légale de cessation propre à l'entité côté distributeur. | Cesser de mettre les produits à disposition. Communiquer aux contreparties commerciales qu'elles doivent s'approvisionner ailleurs. Aucune notification légale aux utilisateurs n'est requise du distributeur pour l'acte de cesser la distribution. |
| Mandats de représentant autorisé détenus pour des fabricants non-UE | Pas de notification légale de cessation propre à l'entité pour le représentant autorisé. La documentation du mandat continue d'exister, et le rôle du représentant autorisé est la garde documentaire et la coopération. | Coordonner avec chaque fabricant représenté pour soit transférer le mandat de représentant autorisé à un successeur, soit mettre fin au mandat proprement. Conserver le dossier documentaire conformément à l'Article 18. |
Traitez la notification de cessation du fabricant comme l'événement réglementé. Traitez les transitions importateur, distributeur et représentant autorisé comme une planification de continuité opérationnelle des registres, pas comme des flux de notification légale supplémentaires. Les entreprises multi-rôles qui confondent les quatre (et supposent que l'importateur et le distributeur ont leur propre obligation de notification de cessation) surchargent le guide opérationnel et risquent de retarder la seule notification légale qui compte réellement.
Questions fréquentes
Que fait le CRA quand une même entreprise est à la fois fabricant et importateur ?
Le CRA applique les obligations de rôle par produit, pas par organisation. Si vous fabriquez un produit et en importez un autre, vous assumez les obligations fabricant sur le premier et les obligations importateur sur le second, en parallèle. Si ce même produit est un produit que vous mettez sous votre propre marque ou que vous modifiez substantiellement après importation, la passerelle de rebranding s'applique et vous devenez le fabricant pour ce produit spécifique. La frontière est produit par produit, pas entreprise par entreprise.
Puis-je sous-traiter un rôle CRA à une autre entreprise ?
Vous pouvez externaliser des tâches. Vous ne pouvez pas externaliser le rôle légal. L'entreprise qui met le produit sur le marché sous son nom, l'importe dans l'Union ou le met à disposition en aval reste titulaire du rôle et de ses obligations. Un prestataire de services de conformité tiers peut piloter les tests d'évaluation de conformité, les audits fournisseurs ou la maintenance documentaire par contrat, mais la responsabilité réglementaire reste la vôtre.
Comment les obligations de signalement se cumulent-elles quand je détiens plusieurs rôles ?
Le flux de signalement côté fabricant (plateforme de signalement unique ENISA, CSIRT coordinateur, utilisateurs concernés) est le canal réglementaire principal. Les obligations de l'importateur et du distributeur fonctionnent en parallèle comme escalade : informer le fabricant des vulnérabilités sans délai indu, et informer la surveillance du marché de chaque État membre d'approvisionnement si le produit présente un risque de cybersécurité significatif. Une entreprise multi-rôles fait tourner les deux flux en parallèle et les signe sous des responsables de rôle distincts, avec des pistes de preuves séparées.
Quand une entreprise multi-rôles devrait-elle se scinder en filiales juridiques distinctes ?
La décision est généralement déclenchée par la modélisation de l'exposition aux pénalités, pas par la complexité opérationnelle. Quand le plafond du palier fabricant (15 millions EUR ou 2,5 % du chiffre d'affaires mondial) appliqué à votre ligne de produits fabriqués dépasse largement le chiffre d'affaires importateur et distributeur, la création d'une filiale distincte pour l'activité fabricant peut protéger le chiffre d'affaires importateur et distributeur d'un incident côté fabricant. La scission mérite également d'être envisagée quand la redondance des audits fournisseurs ou la charge de signalement réglementaire devient une ligne budgétaire mesurable plutôt qu'une note de bas de page de conformité. Le CRA n'impose aucune structure juridique. Il attache les obligations de rôle à la personne morale qui met le produit sur le marché.
L'inscription à la plateforme ENISA SRP couvre-t-elle tous mes rôles ?
La plateforme de signalement unique est le canal de signalement fabricant. Une entreprise multi-rôles s'inscrit sur SRP pour son rôle fabricant et utilise la plateforme pour les produits qu'elle fabrique. Pour les produits que vous importez ou distribuez uniquement, c'est le fabricant d'origine qui signale via SRP. Votre rôle sur ces produits est d'informer le fabricant des vulnérabilités et de notifier directement les autorités de surveillance du marché quand un risque de cybersécurité significatif est présent dans des produits que vous avez mis sur le marché ou mis à disposition.
Un seul audit fournisseur peut-il répondre à la fois à ma diligence importateur et à ma diligence sur les composants fabricant ?
Oui, quand l'audit est conçu à double finalité et que la cartographie rôle-par-produit est explicite. Le périmètre de l'audit doit couvrir à la fois les exigences de vérification pré-marché de l'importateur pour les produits finis et les exigences de diligence sur les composants du fabricant pour les composants intégrés dans votre propre produit. Documentez la double finalité dans le cahier des charges de l'audit. Une visite fournisseur unique produisant deux dossiers de preuves spécifiques à chaque rôle est acceptable. Un dossier unique qui confond les deux rôles est plus difficile à défendre quand une autorité de surveillance du marché demande quel rôle est documenté.
Un seul point de contact peut-il servir les rôles fabricant, importateur et distributeur ?
Une boîte de réception unique peut recevoir des signalements de vulnérabilités pour tous les rôles, mais le routage doit se séparer par rôle en aval. Le point de contact unique côté fabricant doit être non automatisé et laisser les utilisateurs choisir leur moyen de communication préféré. Pour les produits importés et distribués, les expéditeurs attendent le contact du fabricant d'origine. Une entreprise multi-rôles qui publie une boîte de réception unique doit s'assurer qu'en coulisses, les signalements sont étiquetés avec le rôle produit et routés vers le responsable correct dans la même journée ouvrable. Confondre les files sans routage interne laisse des signalements côté fabricant dans un flux de tickets de type distributeur, ce qui rompt le standard « sans délai indu ».
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.
Articles connexes
Le CRA s'applique-t-il à votre produit ?
Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du règlement sur la cyberrésilience de l'UE. Obtenez votre résultat en moins de 2 minutes.
Prêt à atteindre la conformité CRA ?
Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.