Déclaration UE de conformité CRA : modèle et guide de rédaction étape par étape
Comment rédiger une Déclaration UE de conformité conforme au CRA. Inclut un modèle prêt à l'emploi, une checklist des éléments requis et les erreurs courantes à éviter.
Dans cet article
- Résumé
- Qu'est-ce que la déclaration UE de conformité ?
- Que requiert le CRA dans la DoC ?
- Modèle complet de DoC
- Guide section par section
- Quand la marque CE doit-elle être apposée par rapport à la déclaration de conformité ?
- La DoC doit-elle être traduite ?
- Chaque modèle ou version de produit nécessite-t-il sa propre déclaration de conformité ?
- Distribution de la DoC
- Déclaration UE de conformité simplifiée
- Erreurs courantes
- Checklist de préparation de la DoC
- Variations du modèle de DoC
- Exigences de conservation
- Questions fréquentes
- Prochaines étapes
Chaque produit comportant des éléments numériques a besoin d'une Déclaration UE de conformité avant de pouvoir légalement porter le marquage CE. La DoC est votre déclaration formelle que le produit répond aux exigences CRA. Vous êtes légalement responsable de son exactitude. Ce guide fournit un modèle complet et explique chaque élément requis.
Résumé
- La Déclaration UE de conformité (DoC) est obligatoire pour tous les produits CRA et doit être établie avant la mise sur le marché
- Doit être signée par le fabricant ou un mandataire établi dans l'UE
- Les éléments requis sont définis à l'Article 28 du CRA et à l'Annexe V
- Doit être fournie dans la ou les langues requises par chaque État membre où le produit est commercialisé (Article 28(2))
- À conserver pendant au moins 10 ans après la mise sur le marché, ou pendant la durée de la période d’assistance, selon la durée la plus longue (Article 13(13))
- Une modification substantielle nécessite une nouvelle DoC, émise par celui qui a effectué la modification
- Un modèle est fourni ci-dessous. Adaptez-le pour votre produit.
Important : Signer une DoC sans avoir complété l'évaluation de conformité constitue une violation de l'Article 13 (jusqu'à 15 M€ ou 2,5 % du chiffre d'affaires mondial annuel) et de l'Article 28 (jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial annuel).
Conseil : Incluez la période d’assistance du produit (minimum 5 ans) et le point de contact pour les vulnérabilités dans votre DoC. Ce n'est pas requis par l'Annexe V, mais cela améliore la transparence réglementaire.
Qu'est-ce que la déclaration UE de conformité ?
La Déclaration UE de conformité est un document juridique formel par lequel le fabricant déclare qu'un produit est conforme à la législation UE applicable. Elle est obligatoire pour tous les produits comportant des éléments numériques avant qu'ils puissent porter le marquage CE. Pour les produits CRA, elle doit indiquer :
- Le produit répond aux exigences essentielles de cybersécurité (Annexe I)
- L'évaluation de conformité a été effectuée
- Le fabricant assume la responsabilité légale
Sans DoC signée, votre produit ne peut pas porter le marquage CE et ne peut pas être légalement mis sur le marché de l'UE.
Que requiert le CRA dans la DoC ?
Base légale
L'Article 28 du CRA spécifie les exigences de la DoC, référençant la structure de l'Annexe V. La DoC doit être :
- Établie avant la mise sur le marché (Article 13(12))
- Mise à jour le cas échéant lorsque le produit ou son statut de conformité évolue (Article 28(2))
- Fournie dans la ou les langues requises par chaque État membre où le produit est commercialisé (Article 28(2))
- Conservée pendant au moins 10 ans après la mise sur le marché, ou pendant la durée de la période d’assistance, selon la durée la plus longue (Article 13(13))
Remarque : L'Article 28(3) permet aux fabricants soumis à plusieurs règlements UE d'établir une DoC combinée unique couvrant tous les actes applicables. Voir la variation du modèle « Plusieurs Règlements » ci-dessous.
Éléments requis
| # | Élément | Ce qu'il faut inclure | Source |
|---|---|---|---|
| 1 | Date d'émission | Date à laquelle vous signez la déclaration. Doit être postérieure à la fin de l'évaluation de conformité. | Annexe V, point 1 |
| 2 | Identification du fabricant | Raison sociale complète, adresse postale, coordonnées | Annexe V, point 2 |
| 3 | Déclaration de responsabilité exclusive | Formulation exacte : « La présente déclaration de conformité est établie sous la seule responsabilité du fournisseur » | Annexe V, point 3 |
| 4 | Identification du produit | Nom, type, modèle, numéro de lot ou de série ; photographie optionnelle si appropriée | Annexe V, point 4 |
| 5 | Déclaration de conformité | Confirmer que le produit est conforme au Règlement (UE) 2024/2847 | Annexe V, point 5 |
| 6 | Normes et certifications appliquées | Normes harmonisées utilisées ; tout certificat européen de cybersécurité utilisé | Annexe V, point 6 |
| 7 | Détails de l'organisme notifié | Nom, numéro et référence du certificat. Requis uniquement si un module d'évaluation par tierce partie a été utilisé. | Annexe V, point 7 |
| 8 | Signature | Nom complet, titre/fonction, lieu, date ; signature manuscrite ou signature électronique qualifiée | Annexe V, point 8 |
Remarque : Un numéro de déclaration n'est pas requis par l'Annexe V, mais est fortement recommandé pour le contrôle de version et le suivi interne.
Modèle complet de DoC
Utilisez ce modèle comme point de départ. Personnalisez les sections entre crochets pour votre produit.
Remarque : La section 3 du modèle contient une phrase verbatim juridiquement requise (Annexe V, point 3). Ne la paraphrasez pas :
« This declaration of conformity is issued under the sole responsibility of the provider. »
═══════════════════════════════════════════════════════════════
DÉCLARATION UE DE CONFORMITÉ
(Cyber Resilience Act)
═══════════════════════════════════════════════════════════════
N° de déclaration : [DoC-PRODUIT-AAAA-NNN]
Date d'émission : [JJ mois AAAA]
───────────────────────────────────────────────────────────────
1. FABRICANT
───────────────────────────────────────────────────────────────
Nom : [Raison sociale]
Adresse : [Adresse postale]
[Code postal, Ville]
[Pays]
Contact : [Courriel / Téléphone]
Site web : [URL]
───────────────────────────────────────────────────────────────
2. IDENTIFICATION DU PRODUIT
───────────────────────────────────────────────────────────────
Nom du produit : [Nom du produit]
Modèle/Type : [Numéro de modèle / Désignation de type]
Version matérielle : [Version matérielle, le cas échéant]
Version logicielle : [Version logicielle/firmware]
Lot/Série : [Plage de numéros de lot ou format de numéro de série]
Photo du produit : [Photographie optionnelle pour la traçabilité, si appropriée]
Description du produit :
[Brève description du produit et de son usage prévu,
suffisante pour identifier le produit de manière non équivoque]
───────────────────────────────────────────────────────────────
3. DÉCLARATION
───────────────────────────────────────────────────────────────
La présente déclaration de conformité est établie sous
la seule responsabilité du fournisseur.
L'objet de la déclaration décrit ci-dessus est conforme
à la législation d'harmonisation de l'Union pertinente :
• Règlement (UE) 2024/2847 du Parlement européen
et du Conseil du 23 octobre 2024 établissant des
exigences horizontales en matière de cybersécurité
pour les produits comportant des éléments numériques
(Cyber Resilience Act)
[• Autre législation applicable, p. ex. :
• Directive 2014/53/UE (Directive Équipements Radioélectriques)
• Règlement (UE) 2023/1230 (Règlement Machines)
• etc.]
───────────────────────────────────────────────────────────────
4. ÉVALUATION DE CONFORMITÉ
───────────────────────────────────────────────────────────────
Procédure d'évaluation de conformité appliquée :
[Choisissez une option :]
☐ Module A (Contrôle Interne de la Production)
Basé sur l'Annexe VIII du Règlement (UE) 2024/2847
☐ Module B + C (Examen UE de Type + Conformité au Type)
Basé sur l'Annexe VIII du Règlement (UE) 2024/2847
Organisme Notifié : [Nom], N° [XXXX]
Certificat d'Examen UE de Type : [Numéro de certificat]
Date : [Date du certificat]
☐ Module H (Assurance Qualité Complète)
Basé sur l'Annexe VIII du Règlement (UE) 2024/2847
Organisme Notifié : [Nom], N° [XXXX]
Certificat du Système d'Assurance Qualité : [Numéro de certificat]
Date : [Date du certificat]
☐ Schéma Européen de Certification de Cybersécurité (Article 27(9))
Certificat délivré dans le cadre d'un schéma adopté
conformément au Règlement (UE) 2019/881 (Loi sur la cybersécurité)
Nom du schéma : [Nom]
Numéro de certificat : [Numéro]
Niveau d'assurance : [Substantiel / Élevé]
───────────────────────────────────────────────────────────────
5. NORMES ET SPÉCIFICATIONS APPLIQUÉES
───────────────────────────────────────────────────────────────
Normes harmonisées appliquées :
[Lister toutes les normes harmonisées utilisées avec références complètes]
• EN [XXXXX]:20XX - [Titre de la norme]
• EN [XXXXX]:20XX - [Titre de la norme]
Autres spécifications techniques appliquées :
[Lister les autres normes ou spécifications utilisées]
• ISO/IEC [XXXXX]:20XX - [Titre de la norme]
• [Autres spécifications]
Certifications de cybersécurité appliquées (le cas échéant) :
[Lister les certificats européens de cybersécurité selon l'Annexe V, point 6]
• [Nom du schéma - Référence du certificat]
───────────────────────────────────────────────────────────────
6. INFORMATIONS SUPPLÉMENTAIRES (Spécifiques CRA)
───────────────────────────────────────────────────────────────
Période de Support :
Les mises à jour de sécurité seront fournies jusqu'au : [JJ mois AAAA]
(Minimum 5 ans à compter de la date de mise sur le marché)
Première mise sur le marché de l'UE : [JJ mois AAAA]
Contact Cybersécurité :
Pour les signalements de vulnérabilités et demandes de sécurité :
Courriel : [security@entreprise.com]
Web : [https://entreprise.com/security]
security.txt : [https://entreprise.com/.well-known/security.txt]
Documentation Technique :
La documentation technique est disponible sur demande auprès
des autorités compétentes à l'adresse indiquée ci-dessus.
───────────────────────────────────────────────────────────────
7. SIGNATURE
───────────────────────────────────────────────────────────────
Signé pour le compte et au nom de :
[Raison sociale]
_________________________________
[Nom complet]
[Titre/Fonction]
Lieu : [Ville, Pays]
Date : [JJ mois AAAA]
═══════════════════════════════════════════════════════════════
FIN DE LA DÉCLARATION
═══════════════════════════════════════════════════════════════
Guide section par section
1. Identification du document
Numéro de Déclaration : Non requis par l'Annexe V, mais fortement recommandé. Format : DoC-[CodeProduit]-[Année]-[Séquence]. Exemple : DoC-SSP3000-2027-001
Date d'Émission : La date à laquelle vous signez la déclaration. Doit être après la fin de l'évaluation de conformité.
2. Identification du fabricant
Qui signe la DoC ?
- Le fabricant : l'entité qui a conçu, produit ou commercialise le produit sous son propre nom
- OU un mandataire établi dans l'UE, agissant sous mandat écrit
Si le fabricant n'est pas établi dans l'UE, la désignation d'un mandataire est obligatoire. Ajoutez :
Représentant autorisé : [Nom, Adresse]
agissant au nom de : [Nom du fabricant, Adresse]
3. Identification du produit
Soyez suffisamment précis pour la traçabilité :
- Incluez les numéros de modèle, pas seulement les noms de produits
- Spécifiez séparément les numéros de version pour le matériel et le logiciel
- Indiquez la portée des numéros de lot ou de série
Exemple :
Nom du produit : SmartSense Pro Industrial Sensor
Modèle/Type : SSP-3000
Version matérielle : Rev C (PCB v3.2)
Version logicielle : Firmware 2.4.1
Lot/Série : Numéros de série SSP3K-2027-XXXXXX
4. Évaluation de conformité
Le module que vous devez utiliser dépend de la classification de votre produit. Utilisez ce tableau pour vous orienter :
| Module | Quand il s'applique | organisme notifié ? |
|---|---|---|
| Module A (Contrôle Interne de la Production) | Produits par défaut ; Classe I avec normes harmonisées | Non |
| Module B+C (Examen UE de Type) | Tous les produits ; obligatoire pour Classe II (sauf H) ; obligatoire pour Classe I sans normes harmonisées | Oui |
| module H (Assurance Qualité Complète) | Tous les produits ; alternative au B+C pour Classe I et II | Oui |
| EUCC / Schéma de cybersécurité | Produits détenant un certificat européen de cybersécurité de niveau d'assurance ≥ Substantiel (Article 27(9)) | Aucune évaluation tierce supplémentaire requise |
Remarque : Pour les produits Critiques (Annexe IV), l'examen UE de type doit être réalisé par un organisme notifié spécialisé. Voir le Guide de Décision d'Évaluation de Conformité CRA pour la logique de routage complète.
Utilisez cet organigramme pour identifier votre chemin :
flowchart TD
A["Quelle est la classe de votre produit ?"] --> B["Par défaut\n(pas Annexe III/IV)"]
A --> C["Classe I\n(Annexe III)"]
A --> D["Classe II\n(Annexe III)"]
A --> E["Critique\n(Annexe IV)"]
B --> F["Module A, B+C ou H\nvotre choix"]
C --> G{"Normes harmonisées\ncomplètement appliquées ?"}
G -->|Oui| H["Module A disponible\nou B+C / H"]
G -->|Non| I["Module B+C ou H\nOrganisme Notifié requis"]
D --> J["Module B+C ou H\nOrganisme Notifié requis"]
E --> K["Examen UE de type\nOrganisme Notifié spécialisé"]
5. Normes appliquées
Normes Harmonisées : Publiées au Journal Officiel de l'UE ; créent une présomption de conformité ; inclure la référence complète (numéro, année, titre).
Format :
EN 303 645:2020 - Cybersécurité pour l'Internet des objets grand public : Exigences de base
Si aucune norme harmonisée n'existe : Indiquez : « Aucune norme harmonisée appliquée. Conformité démontrée par [décrire l'approche]. »
Certifications de cybersécurité (Annexe V, point 6) : Si un certificat européen de cybersécurité a été utilisé lors de l'évaluation de conformité, listez-le ici avec le nom du schéma et le numéro de référence du certificat.
6. Informations supplémentaires spécifiques CRA
Cette section n'est pas requise par l'Annexe V, mais son inclusion améliore la transparence réglementaire :
Période de Support : Indiquez quand les mises à jour de sécurité prennent fin. Doit être d'au moins 5 ans à partir de la mise sur le marché (Article 13(8)).
Contact Cybersécurité : L'endroit où les signalements de vulnérabilités doivent être envoyés, y compris une référence à votre fichier security.txt.
Remarque : La date de fin de période d’assistance doit également apparaître au point de vente en vertu de l'Article 13(19). L'inclure dans la DoC est une bonne pratique, mais ne se substitue pas à la communication au point de vente.
7. Signature
Qui peut signer : Une personne habilitée à engager le fabricant. Typiquement : PDG, Directeur, Responsable Qualité ou Responsable Affaires Réglementaires.
Exigences : Nom complet et titre/fonction ; lieu et date (la date doit être postérieure à la fin de l'évaluation) ; signature manuscrite ou signature électronique qualifiée.
Quand la marque CE doit-elle être apposée par rapport à la déclaration de conformité ?
Pour les produits physiques, apposez le marquage CE de manière visible, lisible et indélébile sur le produit avant sa mise sur le marché (Article 30(1)).
Pour les produits logiciels uniquement (Article 30(3)), le marquage CE est apposé soit :
- Directement sur la Déclaration UE de conformité, soit
- Sur le site web du produit, dans une section facilement et directement accessible aux utilisateurs
Remarque : Le marquage CE doit être apposé avant la mise sur le marché, et non après. Pour les produits logiciels, assurez-vous que la DoC ou la section du site web est en ligne avant toute distribution.
La DoC doit-elle être traduite ?
Oui. L'Article 28(2) exige que la DoC soit mise à disposition dans la ou les langues requises par chaque État membre dans lequel le produit est mis sur le marché.
En pratique :
- Vente uniquement en Allemagne → une DoC en allemand est requise
- Vente dans toute l'UE → vous aurez besoin de plusieurs versions linguistiques
- Conservez toutes les versions linguistiques dans le dossier technique
La DoC UE simplifiée (Annexe VI) et l'URL pointant vers la DoC complète doivent également être dans la ou les langues requises. L'URL elle-même doit rester stable et accessible.
Chaque modèle ou version de produit nécessite-t-il sa propre déclaration de conformité ?
Une DoC par type de produit
Chaque modèle ou type de produit distinct nécessite généralement sa propre DoC.
Peut être couvert par une seule DoC lorsque :
- Les produits sont des variantes du même type
- La même évaluation de conformité s'applique à toutes les variantes
- Les mêmes normes ont été appliquées
Exemple :
Nom du produit : SmartSense Pro Industrial Sensor
Modèle/Type : SSP-3000 (toutes les variantes)
- SSP-3000-WiFi
- SSP-3000-LoRa
- SSP-3000-Cellular
Quand une modification nécessite-t-elle une nouvelle DoC ?
Avertissement : Une modification substantielle (tout changement affectant la conformité du produit aux exigences essentielles du CRA au titre de l'Annexe I, Partie I, ou modifiant l'usage prévu du produit) déclenche l'obligation d'une nouvelle DoC (Article 28). Celui qui effectue la modification substantielle devient le fabricant du produit modifié et doit émettre la nouvelle DoC. Cela s'applique aussi bien au fabricant d'origine qui réalise des mises à jour majeures qu'à un tiers qui modifie et revend le produit.
| Scénario | Nouvelle DoC requise ? |
|---|---|
| Nouvelle version matérielle affectant les caractéristiques de sécurité | Oui, modification substantielle |
| Mise à jour du firmware introduisant de nouvelles interfaces ou de nouveaux vecteurs de menace | Oui, profil de risque cybersécurité modifié |
| Mise à jour du firmware modifiant l'usage prévu du produit | Oui, modification substantielle |
| Correctif de sécurité (même architecture, aucun nouveau risque, réduction des CVE) | Au cas par cas |
| Modification des normes harmonisées appliquées ou du certificat d'évaluation de conformité | Oui |
| Modification cosmétique, documentaire uniquement ou de localisation | Non |
| Un tiers modifie substantiellement le produit et le met sur le marché | Oui, le tiers émet la nouvelle DoC en tant que nouveau fabricant |
Pour les sorties logicielles itératives du fabricant : si la mise à jour n'est pas une modification substantielle, la DoC existante reste valide. Vous devez être en mesure de le démontrer aux autorités de surveillance du marché. La réalisation d'une évaluation des risques de cybersécurité conformément à l'Article 13(2) est le mécanisme explicite recommandé par les orientations à cet effet.
Distribution de la DoC
Avec le produit (Article 13(20)) : L'Article 13(20) exige que vous fournissiez soit :
- La DoC complète de l'Annexe V, soit
- Une DoC UE simplifiée contenant l'adresse internet exacte où la DoC complète peut être trouvée
Vous n'êtes pas obligé de fournir les deux.
Sur demande :
- Doit être fournie aux autorités de surveillance du marché
- Devrait être fournie aux clients sur demande
Déclaration UE de conformité simplifiée
L'Article 13(20) permet aux fabricants de joindre au produit une déclaration UE de conformité simplifiée en lieu et place du document complet de l'Annexe V. La forme simplifiée est définie à l'Annexe VI et se compose de deux phrases exactement :
Par la présente, [nom du fabricant] déclare que le produit comportant des éléments
numériques de type [désignation] est conforme au Règlement (UE) 2024/2847.
Le texte complet de la déclaration UE de conformité est disponible à l'adresse
internet suivante : [URL]
Ceci est particulièrement utile pour :
- Les produits logiciels où joindre un document juridique complet à chaque distribution est peu pratique
- Les produits matériels avec un espace d'emballage limité
- Tout produit dont la DoC complète est publiée en ligne
Exigences :
- La DoC complète de l'Annexe V doit exister et être accessible au public à l'URL indiquée
- La déclaration simplifiée doit inclure l'URL (Article 13(20))
- La DoC complète reste obligatoire dans le dossier technique et pour les demandes des autorités
Bonnes pratiques pour l'URL :
- Utilisez une URL stable. Ne la modifiez pas après la distribution des produits
- Accessible sans inscription ni connexion
- La page doit permettre le téléchargement ou l'impression de la DoC
Erreurs courantes
| Erreur | Pourquoi c'est important | Correction |
|---|---|---|
| Éléments requis manquants (ex. aucun module d'évaluation de conformité indiqué) | La DoC est non conforme | Utilisez la checklist avant de signer ; vérifiez chaque point de l'Annexe V |
| Mauvaise entité signe (l'importateur ou le distributeur signe à la place du fabricant) | La DoC est juridiquement invalide | Seul le fabricant (ou mandataire avec mandat) peut signer |
| Références de normes obsolètes (normes retirées ou remplacées listées) | La présomption de conformité est perdue | Révisez régulièrement les normes appliquées ; mettez à jour la DoC lorsque les normes changent |
| Pas de contrôle de version (plusieurs versions de DoC existent sans version clairement actuelle) | Risque en cas d'audit et d'application | Attribuez des numéros de déclaration ; archivez les versions remplacées |
| Signature avant la fin de l'évaluation (DoC datée avant la fin des activités de conformité) | Violation de l'Article 28 | Terminez toutes les activités d'évaluation d'abord ; la date de la DoC doit suivre l'évaluation |
| Mauvaise langue (DoC uniquement en anglais lors de la vente dans un État membre non anglophone) | Non conforme pour ce marché | Traduisez la DoC dans chaque langue requise par l'État membre (Article 28(2)) |
| Pas de mise à jour après modification substantielle (la DoC d'origine toujours en vigueur après un changement important) | La DoC couvre une version qui n'a jamais été évaluée | Émettez une nouvelle DoC à chaque modification substantielle |
Checklist de préparation de la DoC
Avant la rédaction
| Élément | Statut |
|---|---|
| Évaluation de conformité terminée | ☐ |
| Rapports de tests disponibles | ☐ |
| Dossier technique préparé | ☐ |
| Liste des normes finalisée | ☐ |
| Période d’assistance déterminée | ☐ |
| Exigences linguistiques confirmées pour tous les États membres cibles | ☐ |
Contenu du document
| Élément | Statut |
|---|---|
| Numéro de déclaration unique attribué | ☐ |
| Nom et adresse du fabricant corrects | ☐ |
| Produit entièrement identifié (modèle, version, lot/série) | ☐ |
| CRA correctement référencé : « Règlement (UE) 2024/2847 » | ☐ |
| Autre législation applicable listée (le cas échéant) | ☐ |
| Module d'évaluation de conformité indiqué | ☐ |
| Détails de l'organisme notifié inclus (le cas échéant) | ☐ |
| Toutes les normes appliquées listées avec références complètes | ☐ |
| Date de fin de période d’assistance incluse | ☐ |
| Coordonnées de contact sécurité incluses | ☐ |
Signature
| Élément | Statut |
|---|---|
| Le signataire est habilité à engager le fabricant | ☐ |
| Nom complet et titre/fonction indiqués | ☐ |
| Lieu et date indiqués (date postérieure à la fin de l'évaluation) | ☐ |
| Signature présente (manuscrite ou électronique qualifiée) | ☐ |
Distribution
| Élément | Statut |
|---|---|
| Copie accompagne le produit (physique ou lien numérique) | ☐ |
| Copie dans le dossier technique | ☐ |
| Disponible pour les demandes des autorités | ☐ |
| Versions suivies et archivées | ☐ |
| Versions linguistiques préparées pour tous les États membres cibles | ☐ |
| Marquage CE apposé avant la distribution | ☐ |
Variations du modèle de DoC
Pour module A (auto-évaluation)
4. ÉVALUATION DE CONFORMITÉ
Procédure d'évaluation de conformité appliquée :
☑ Module A (Contrôle Interne de la Production)
Basé sur l'Annexe VIII du Règlement (UE) 2024/2847
Le fabricant a vérifié que le produit répond
aux exigences essentielles par une évaluation interne
documentée dans le dossier technique.
Pour module B+c (tiers)
4. ÉVALUATION DE CONFORMITÉ
Procédure d'évaluation de conformité appliquée :
☑ Module B + C (Examen UE de Type + Conformité au Type)
Basé sur l'Annexe VIII du Règlement (UE) 2024/2847
Examen UE de Type effectué par :
Organisme Notifié : TÜV Rheinland LGA Products GmbH
Numéro Organisme Notifié : 0197
Numéro de Certificat : EU-TYPE-2027-12345
Date du Certificat : 15 janvier 2027
Le fabricant assure la conformité de la production au
type certifié (Module C) par des contrôles de production
internes.
Pour plusieurs règlements (article 28(3))
Lorsqu'un produit est soumis à la fois au CRA et à d'autres législations UE, une DoC combinée unique est autorisée en vertu de l'Article 28(3) :
3. DÉCLARATION
L'objet de la déclaration décrit ci-dessus est conforme
à la législation d'harmonisation de l'Union pertinente :
• Règlement (UE) 2024/2847 (Cyber Resilience Act)
• Directive 2014/53/UE (Directive Équipements Radioélectriques)
Organisme Notifié : [Nom], N° [XXXX]
Certificat : [Numéro]
• Directive 2014/35/UE (Directive Basse Tension)
Exigences de conservation
| Ce qu'il faut conserver | Durée de conservation | Où |
|---|---|---|
| DoC signée (ou copie authentifiée) | 10 ans après la mise sur le marché, ou pendant la durée de la période d’assistance, selon la durée la plus longue (Article 13(13)) | Dossier technique ; accessible aux autorités sur demande |
| Historique des versions et DoC remplacées | Avec la DoC actuelle | Dossier technique |
| Documentation de support référencée dans la DoC | Avec la DoC | Dossier technique |
Questions fréquentes
Une seule déclaration de conformité peut-elle couvrir les produits vendus dans tous les États membres de l'UE ?
Le même document peut couvrir l'ensemble de l'UE, mais il doit être traduit dans la ou les langue(s) exigée(s) par chaque État membre où le produit est mis sur le marché (article 28(2)). Le contenu de base est identique ; seule la version linguistique change. Conservez toutes les traductions dans le dossier technique.
La déclaration de conformité CRA doit-elle être notariée ou certifiée officiellement ?
Non. La DoC est signée par le fabricant ou un mandataire. Une signature manuscrite ou une signature électronique qualifiée (au sens du règlement (UE) 910/2014) est suffisante. Aucune notarisation n'est requise, sauf si un État membre spécifique l'exige à des fins de surveillance du marché.
Que se passe-t-il si la surveillance du marché constate que la DoC est incomplète ou inexacte ?
Les sanctions prévues à l'article 64 peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour une DoC non conforme ou fausse (violation de l'article 28). Les autorités de surveillance du marché peuvent exiger des mesures correctives et, dans les cas graves, restreindre ou retirer des produits du marché. La DoC doit être disponible pour inspection sur demande : l'absence de DoC ou une DoC incomplète ne passera pas inaperçue une fois les audits engagés.
Un produit logiciel peut-il utiliser la DoC UE simplifiée au lieu du document complet de l'annexe V ?
Oui. L'article 13(20) permet aux fabricants de ne joindre au produit que la Déclaration UE de conformité simplifiée (Annexe VI), à condition que le document complet de l'Annexe V soit accessible au public à une URL stable. La forme simplifiée comporte deux phrases : la déclaration de conformité du fabricant et l'URL. Le document complet de l'Annexe V doit toujours exister et être disponible auprès des autorités sur demande.
Combien de temps la déclaration de conformité CRA doit-elle être conservée ?
Au moins 10 ans après la mise sur le marché du produit, ou pendant la durée de la période d’assistance, selon la durée la plus longue (article 13(13)). Pour un produit avec une période d’assistance de 15 ans, la DoC et le dossier technique doivent être conservés pendant 15 ans.
Qui est autorisé à signer la déclaration de conformité CRA ?
Le fabricant, ou un mandataire établi dans l'UE si le fabricant n'a pas d'établissement dans l'UE. Le signataire doit être habilité à engager légalement le fabricant : généralement un PDG, un directeur général ou un directeur des affaires réglementaires. Un importateur ou un distributeur ne peut pas signer, sauf s'il est devenu le fabricant en apportant une modification substantielle au produit.
Prochaines étapes
- Classifiez le produit (Default, Important Classe I/II ou Critique) à l'aide du Guide de classification des produits CRA.
- Confirmez le module d'évaluation de conformité avec le Guide de décision d'évaluation de conformité CRA.
- Terminez l'évaluation de conformité et rassemblez tous les rapports de tests avant de rédiger la DoC.
- Rédigez la DoC à partir du modèle ci-dessus. Attribuez un numéro de déclaration et vérifiez chaque élément de l'Annexe V.
- Traduisez la DoC dans la ou les langues requises par chaque État membre de commercialisation (Article 28(2)).
- Signez et datez après la fin de l'évaluation. Apposez le marquage CE avant la mise sur le marché.
- Classez la DoC signée dans le dossier technique aux côtés des rapports de tests et du SBOM. Voir le Guide complet du dossier technique CRA (Annexe VII).
- Publiez la DoC complète à une URL stable si vous prévoyez de joindre au produit la forme simplifiée de l'Annexe VI.
- Conservez la DoC pendant 10 ans après la mise sur le marché, ou pendant la durée de la période d’assistance, selon la durée la plus longue (Article 13(13)).
Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.
Articles connexes
Le CRA s'applique-t-il à votre produit ?
Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du Cyber Resilience Act de l'UE. Obtenez votre résultat en moins de 2 minutes.
Prêt à atteindre la conformité CRA ?
Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.