Conformité CRA Multi-Rôles : Quand Vous Êtes Fabricant, Importateur et Distributeur

Votre entreprise fabrique des capteurs intelligents en Allemagne. Vous importez également des produits complémentaires d'un fournisseur taïwanais et distribuez le logiciel d'un autre fournisseur. Selon le CRA, vous êtes simultanément fabricant, importateur et distributeur.

Ce guide explique comment gérer la conformité quand vous détenez plusieurs rôles d'opérateur économique.

Comprendre les Rôles d'Opérateur Économique CRA

Le CRA définit quatre rôles principaux pour la mise sur le marché UE des produits :

Fabricant

L'entité qui conçoit et produit le produit, ou le fait concevoir/produire et le commercialise sous son nom ou sa marque.

Obligations clés :

• Évaluation de conformité
• Documentation technique
• Marquage CE
• Gestion des vulnérabilités
• Période de support de 5 ans

Importateur

Une entité établie dans l'UE qui met sur le marché UE un produit d'un pays tiers.

Obligations clés :

• Vérifier la conformité du fabricant (DoC, marquage CE, documentation)
• Assurer l'identification et la traçabilité du produit
• Conserver la documentation pendant 10 ans
• Signaler la non-conformité

Distributeur

Une entité dans la chaîne d'approvisionnement qui met un produit à disposition sur le marché (ni fabricant ni importateur).

Obligations clés :

• Vérifier la présence du marquage CE et de la documentation requise
• Assurer que le stockage/transport n'affecte pas la conformité
• Signaler la non-conformité
• Coopérer avec la surveillance du marché

Intendant de Logiciel Open Source

Une personne morale (pas physique) qui fournit systématiquement un support pour les OSS destinés à un usage commercial.

Obligations clés :

• Politique de cybersécurité
• Divulgation coordonnée des vulnérabilités
• Coopération avec la surveillance du marché

Pourquoi le Multi-Rôle Est Courant

Scénario 1 : Intégration Verticale

Vous fabriquez votre produit principal mais vous approvisionnez en composants :

VOTRE ENTREPRISE :
├── Fabricant de : Hub Maison Connectée (conçu en interne)
├── Importateur de : Blocs d'alimentation (de Chine)
└── Distributeur de : Prises connectées compatibles (produit partenaire UE)

Scénario 2 : Diversification du Portefeuille

Vous élargissez les offres par l'approvisionnement :

VOTRE ENTREPRISE (Automatisation Industrielle) :
├── Fabricant de : Contrôleurs PLC (conception originale)
├── Fabricant de : Capteurs (white-label, votre marque)
├── Importateur de : Panneaux IHM (fournisseur coréen)
└── Distributeur de : Logiciel industriel (fournisseur allemand)

Scénario 3 : Opérations Régionales

Filiale UE d'une entreprise non-UE :

VOTRE ENTREPRISE (filiale UE) :
├── Importateur de : Tous les produits de la maison mère
├── Distributeur de : Produits partenaires pour le marché UE
└── Fabricant de : Configurations spécifiques UE

Détermination du Rôle Par Produit

Principe critique : Le rôle CRA est déterminé produit par produit, pas au niveau de l'organisation.

Pour chaque produit de votre portefeuille, demandez :

1. L'avez-vous conçu et/ou mis votre marque dessus ? → Fabricant
2. Êtes-vous le premier à le mettre sur le marché UE depuis l'extérieur de l'UE ? → Importateur
3. Le mettez-vous à disposition mais ne l'avez pas importé ou fabriqué ? → Distributeur

Matrice de Décision

Cartographie des Obligations par Rôle

Voici ce que chaque rôle requiert :

Documentation de Conformité

Mise sur le Marché

Obligations Post-Marché

Gérer Plusieurs Rôles : Approche Unifiée

Infrastructure Partagée

Certaines capacités de conformité servent plusieurs rôles :

INFRASTRUCTURE DE CONFORMITÉ PARTAGÉE

┌─────────────────────────────────────────────────┐
│           SYSTÈME DE CONFORMITÉ UNIFIÉ           │
├─────────────────────────────────────────────────┤
│  Gestion Documentaire                            │
│  - Dossiers techniques (rôle fabricant)          │
│  - Enregistrements vérification (rôle importateur)│
│  - Enregistrements distribution (rôle distrib.)  │
├─────────────────────────────────────────────────┤
│  Système de Traçabilité                          │
│  - Tous les rôles requièrent la traçabilité     │
│  - Système unique, données différentes par rôle │
├─────────────────────────────────────────────────┤
│  Gestion des Vulnérabilités                      │
│  - Réception : Sert tous les rôles              │
│  - Réponse : Différenciée par rôle              │
├─────────────────────────────────────────────────┤
│  Gestion Non-Conformité                          │
│  - Détection : Tous les rôles                   │
│  - Réponse : Actions spécifiques au rôle        │
└─────────────────────────────────────────────────┘

Processus Spécifiques au Rôle

Certains processus doivent être différenciés par rôle :

Produits fabriqués :

• Évaluation de conformité complète
• Création et maintenance SBOM
• Développement et distribution des mises à jour
• Signalement ENISA (direct)

Produits importés :

• Workflow de vérification fournisseur
• Demande/vérification de documentation
• Transmission des signalements de vulnérabilités
• Coordination signalement ENISA avec le fabricant

Produits distribués :

• Vérification simplifiée (CE, docs présents)
• Surveillance des conditions de stockage
• Signaler les problèmes en amont

Flux de Travail Pratiques

Introduction d'un Nouveau Produit

Lors de l'ajout d'un produit à votre portefeuille :

WORKFLOW CONFORMITÉ NOUVEAU PRODUIT

1. DÉTERMINATION DU RÔLE
   - Où est-il conçu/fabriqué ?
   - Quelle marque est dessus ?
   - Comment arrive-t-il sur le marché UE ?
   → Déterminer : Fabricant / Importateur / Distributeur

2. INTÉGRATION SPÉCIFIQUE AU RÔLE

   Si FABRICANT :
   [ ] Conduire l'évaluation des risques
   [ ] Créer la documentation technique
   [ ] Compléter l'évaluation de conformité
   [ ] Préparer le SBOM
   [ ] Établir le mécanisme de mise à jour
   [ ] Mettre en place la gestion des vulnérabilités

   Si IMPORTATEUR :
   [ ] Demander la documentation fabricant
   [ ] Vérifier DoC et marquage CE
   [ ] Vérifier disponibilité SBOM
   [ ] Confirmer contact vulnérabilités
   [ ] Mettre en place le suivi fournisseur
   [ ] Ajouter votre identification

   Si DISTRIBUTEUR :
   [ ] Vérifier présence du marquage CE
   [ ] Vérifier que documentation accompagne le produit
   [ ] Établir contrôles stockage/transport
   [ ] Mettre en place canal de signalement des problèmes

3. ENTRER DANS LE SYSTÈME DE CONFORMITÉ
   [ ] Enregistrer le produit avec le rôle déterminé
   [ ] Télécharger la documentation pertinente
   [ ] Définir les calendriers de révision/surveillance
   [ ] Assigner l'équipe/personne responsable

Réponse aux Vulnérabilités par Rôle

Quand une vulnérabilité est découverte affectant vos produits :

Pour les Produits Fabriqués :

Vulnérabilité → Votre Équipe Sécurité → Évaluer → Développer Correctif
                                              ↓
                                        Publier Mise à Jour
                                              ↓
                                        Notifier Clients
                                              ↓
                              Signalement ENISA (si exploitée)

Pour les Produits Importés :

Vulnérabilité → Transférer au Fabricant → Suivre la Réponse
                         ↓
                  Recevoir Mise à Jour
                         ↓
              Assurer que Clients UE Reçoivent
                         ↓
         Soutenir Signalement ENISA (si nécessaire)

Pour les Produits Distribués :

Vulnérabilité → Notifier en Amont (Fabricant/Importateur)
                         ↓
            Suspendre Distribution (si grave)
                         ↓
              Reprendre une Fois Résolu

Défis Courants Multi-Rôles

Défi 1 : Délais Conflictuels

Problème : Vos produits fabriqués ont une fenêtre CVD de 90 jours, mais votre fournisseur (dont vous importez les produits) insiste sur 120 jours.

Solution : Politiques séparées par rôle. Votre politique CVD s'applique aux produits que vous fabriquez. Pour les produits importés, vous travaillez dans le délai du fournisseur tout en vous assurant qu'il respecte les minimums CRA.

Défi 2 : Incohérence Documentaire

Problème : Différents standards de documentation selon les rôles (vos dossiers techniques vs. documentation fournisseur vs. docs produits distribués).

Solution :

• Maintenir un système de gestion documentaire unifié
• Créer des modèles et listes de contrôle spécifiques au rôle
• Ne pas forcer la documentation fournisseur dans votre modèle fabricant

Défi 3 : Confusion des Responsabilités

Problème : Incertitude interne sur qui gère quoi quand plusieurs rôles s'appliquent.

Solution :

• Registre produit clair avec assignations de rôles
• Matrice RACI pour les activités de conformité
• Chemins d'escalade pour les cas limites

Défi 4 : Non-Coopération du Fournisseur

Problème : Vous êtes importateur, mais votre fournisseur ne fournit pas la documentation.

Solution :

• C'est un point de blocage. Sans documentation appropriée, vous ne pouvez pas légalement importer.
• Soit obtenir la documentation, soit trouver un autre fournisseur.
• C'est pourquoi la due diligence fournisseur est importante.

Liste de Contrôle Conformité Multi-Rôles

LISTE DE CONTRÔLE CONFORMITÉ MULTI-RÔLES

FONDATION :
[ ] Portefeuille produits catalogué
[ ] Chaque produit assigné à un rôle CRA
[ ] Détermination du rôle documentée
[ ] Système de conformité unique sélectionné
[ ] Responsabilités assignées par rôle

PAR RÔLE :

PRODUITS FABRIQUÉS :
[ ] Dossiers techniques complets
[ ] Évaluations de conformité faites
[ ] SBOM créés et maintenus
[ ] Mécanisme de mise à jour établi
[ ] Politique CVD publiée
[ ] Capacité de signalement ENISA

PRODUITS IMPORTÉS :
[ ] Fournisseurs vérifiés (pour chacun)
[ ] Documentation obtenue et vérifiée
[ ] Copies DoC archivées
[ ] Traçabilité établie
[ ] Vos coordonnées ajoutées aux produits
[ ] Surveillance fournisseur en place

PRODUITS DISTRIBUÉS :
[ ] Marquage CE vérifié (tous produits)
[ ] Documentation requise présente
[ ] Conditions de stockage appropriées
[ ] Canal de signalement vers fabricant/importateur
[ ] Enregistrements de distribution maintenus

CAPACITÉS UNIFIÉES :
[ ] Gestion documentaire pour tous les rôles
[ ] Système de traçabilité opérationnel
[ ] Procédure de réponse non-conformité
[ ] Formation complétée (spécifique au rôle)
[ ] Prêt pour coopération surveillance du marché

Quand les Rôles Changent

Votre rôle peut changer au fil du temps :

Distributeur → Importateur

Déclencheur : Votre fournisseur UE ferme ; vous commencez à importer directement de leur fabricant.

Action :

• Vérification importateur complète pour le produit
• Établir relation directe avec le fournisseur
• Mettre à jour la documentation

Importateur → Fabricant

Déclencheur : Vous commencez à mettre votre marque sur le produit importé.

Action :

• Compléter les obligations fabricant (évaluation de conformité, dossier technique, SBOM, etc.)
• Votre fournisseur est maintenant juste un fournisseur, pas le fabricant
• Vous portez la conformité

Comment CRA Evidence Aide

CRA Evidence soutient les organisations multi-rôles :

• Registre produit par rôle : Suivez le rôle CRA de chaque produit
• Workflows spécifiques au rôle : Listes de contrôle et processus différents par rôle
• Documentation unifiée : Système unique pour tous les dossiers techniques, enregistrements de vérification
• Gestion fournisseurs : Suivez et vérifiez les fournisseurs pour les produits importés
• Coordination vulnérabilités : Routez les problèmes vers les gestionnaires appropriés par rôle

Gérez votre conformité multi-rôles sur app.craevidence.com.

Guides Associes

• Obligations des Importateurs CRA : Que Verifier Avant de Placer des Produits sur le Marche UE
• Checklist Distributeur CRA : 5 Etapes de Verification pour Chaque Produit
• Quand les Importateurs Deviennent Fabricants sous le CRA : Escalade de Role
• Classification des Produits CRA : Votre Produit est-il Default, Important ou Critique ?

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.