Produits white-label et OEM sous le CRA : guide du fabricant
Obligations CRA en white-label et OEM : pont de rebranding, cessation OEM, provenance du SBOM, miroir de période d'assistance, clauses contractuelles.
Dans cet article
- Résumé
- Pourquoi le white-label constitue une catégorie à part
- La défense « ce n'est qu'un autocollant » et ce qui compte vraiment
- Taxonomie des scénarios white-label
- Personnalisation firmware : où finit le pont de rebranding et où commence le fourre-tout
- Horloge de période d'assistance en white-label
- White-label transfrontalier
- Provenance du SBOM en white-label
- Clauses contractuelles de répartition des responsabilités
- Arrangements white-label hérités d'une opération de M&A
- Pièges fréquents
- Questions fréquentes
Vous vendez des tablettes sous votre marque. Un ODM de Shenzhen les fabrique. Sous le CRA, vous êtes le fabricant, l'ODM est votre fournisseur, et le déclencheur est la marque, pas l'assemblage. Cette page constitue la couche opérationnelle white-label ; pour l'ensemble complet des obligations du fabricant, consultez le cluster fabricant.
Résumé
- Le propriétaire de la marque est le fabricant au sens du CRA, quelle que soit l'entité qui assemble physiquement le produit. L'OEM/ODM est votre fournisseur.
- L'horloge de la période d'assistance démarre lorsque VOUS mettez le produit rebrandé sur le marché de l'UE, pas lorsque l'OEM a livré pour la première fois la version sans marque.
- Quand votre OEM cesse son activité, l'obligation de notification de l'importateur ne s'applique PAS à vous (vous êtes le fabricant, pas l'importateur) ; l'obligation d'assistance n'a jamais été « transférée » parce qu'elle vous a toujours incombé.
- Une personnalisation firmware AVANT la mise sur le marché fait de vous le fabricant dès le départ. Une personnalisation APRÈS la mise sur le marché relève du pont de rebranding si elle est faite par un importateur ou un distributeur, ou de la disposition fourre-tout si elle est faite par tout autre tiers.
- Le white-label caché, le white-label multi-niveaux, la marque de distributeur et les produits co-brandés ont chacun une physionomie opérationnelle différente ; la taxonomie de scénarios ci-dessous associe chaque cas à la bonne voie CRA.
Pourquoi le white-label constitue une catégorie à part
Le white-label occupe un coin précis de la cartographie des rôles CRA. La frontière avec les rôles voisins est nette sur le papier, beaucoup plus floue dans la réalité des achats.
| Rôle | Ce que vous faites | Position CRA |
|---|---|---|
| Propriétaire de marque white-label | Vous prenez un produit OEM/ODM, vous y apposez votre marque, vous le mettez sur le marché de l'UE | Fabricant dès la première vente |
| Importateur | Vous faites entrer dans l'UE un produit sous la marque d'un fabricant étranger ; sa marque y reste | Importateur ; vérification importateur complète |
| Distributeur | Vous revendez un produit sous la marque d'une autre entité UE après que l'importateur l'a mis sur le marché ; vous ne modifiez pas | Distributeur |
| Modificateur substantiel (pont de rebranding) | Vous êtes un importateur ou un distributeur qui modifie un produit déjà mis sur le marché | Les obligations du fabricant s'appliquent à vous pour le produit modifié |
| Modificateur substantiel (fourre-tout) | Vous n'êtes NI fabricant, NI importateur, NI distributeur, mais vous modifiez substantiellement un produit déjà mis sur le marché (intégrateur, atelier de réparation, revendeur à valeur ajoutée) | Les obligations du fabricant s'appliquent à vous |
| Fournisseur de composants | Vous fabriquez des composants intégrés au produit d'un tiers | Votre acheteur exerce la diligence raisonnable sur vous ; vous n'êtes pas soumis à l'ensemble complet des obligations du fabricant sauf si vous mettez vous-même un produit sur le marché |
Trois frontières sont franchies souvent. D'abord, la frontière entre white-label (vous êtes fabricant dès le premier jour) et modification substantielle (un tiers modifie un produit déjà mis sur le marché). Le white-label se déclenche au moment de la mise sur le marché ; la modification substantielle se déclenche après la mise sur le marché. Ensuite, la frontière entre white-label et importateur : si vous apposez votre marque sur le produit, vous sortez du rôle d'importateur pour entrer dans celui de fabricant, même si vous importez aussi physiquement l'appareil. Enfin, la frontière entre white-label et sourcing de composants : si vous mettez sur le marché un produit sous votre marque, vous êtes le fabricant de ce produit ; si vous intégrez un composant dans un produit que vous construisez vous-même, le guide de diligence raisonnable fournisseurs constitue votre couche opérationnelle.
La défense « ce n'est qu'un autocollant » et ce qui compte vraiment
Les responsables achats font parfois valoir qu'apposer un autocollant de marque sur un produit fini ne peut pas déclencher le statut complet de fabricant. Le tableau des pièges du cluster importateur nomme exactement cet argument (« Ce n'est qu'un autocollant avec notre logo ») et y répond : si l'autocollant vous présente comme la source du produit, les obligations du fabricant s'appliquent. Le déclencheur est la présentation de la marque au marché, pas la profondeur de la modification.
La question opérationnelle devient : qu'est-ce qui compte comme « brandé comme le vôtre » et qu'est-ce qui reste dans le territoire du distributeur ?
| Acte | Ce qui se passe |
|---|---|
| Vendre le produit de l'OEM dans l'emballage OEM avec la marque OEM visible | Distributeur. L'OEM est présenté comme la source. |
| Ajouter une étiquette « Distribué par [votre société] » qui vous identifie comme distributeur | Distributeur. L'identification est requise, ce n'est pas un acte de marque. |
| Remplacer la marque OEM sur le produit par votre marque | Fabricant dès la première vente. Vous êtes présenté comme la source. |
| Remplacer l'emballage OEM par le vôtre ; le produit lui-même porte toujours la marque OEM visible | Cela dépend. Si votre marque est la source perçue par le client, fabricant. Si la marque OEM reste visible sur le produit lui-même, distributeur pour cette unité. |
| Co-brander votre marque et celle de l'OEM sur le produit | Typiquement fabricant. La partie présentée comme la source porte la responsabilité, généralement la marque vue par le client final. |
| Traduire le manuel utilisateur et l'ajouter dans la boîte | Distributeur. La conformité linguistique incombe à la chaîne d'approvisionnement ; la traduction ne vous fait pas basculer vers le statut de fabricant. |
| Ajouter une étiquette Distributeur ET remplacer le splash firmware par votre logo au premier démarrage | Fabricant. La présentation de marque au démarrage fait de vous la source. |
| Vendre un produit sans marque dans votre emballage de détail uniquement (marque de distributeur) | Fabricant. La marque de distributeur vous présente comme la source. Amazon Basics, Lidl Silvercrest et Tesco F&F-Tech sont les exemples canoniques. |
| Revendre sous votre marque ET modifier substantiellement le firmware après la mise sur le marché | Fabricant de bout en bout. Fabricant white-label dès la première vente ; la modification post-marché déclenche la voie du pont de rebranding ou du fourre-tout. |
La règle unificatrice est la présentation de la source. Si une autorité de surveillance du marché, interrogée sur « qui est le fabricant de ce produit ? », pointait du doigt votre marque, vous êtes le fabricant au sens du CRA. La profondeur de l'autocollant, l'effort de design et le niveau de personnalisation ne sont pas le test.
Taxonomie des scénarios white-label
Sept scénarios couvrent le territoire opérationnel. Chacun correspond à une combinaison différente de voie CRA, de profondeur de diligence raisonnable et d'exposition contractuelle.
1. Rebranding simple (produit fini, votre marque uniquement)
Vous achetez des tablettes finies, vous apposez votre logo, vous vendez sous votre marque. White-label par défaut.
- Voie CRA : fabricant dès la première vente.
- Évaluation de la conformité : la vôtre. L'évaluation antérieure de l'OEM peut alimenter votre dossier technique mais ne se transfère pas.
- Profondeur de diligence : élevée sur l'OEM en tant que fournisseur, en particulier sur la documentation, la gestion des vulnérabilités et l'engagement de période d'assistance.
- Risque opérationnel : la volonté de l'OEM d'expédier des mises à jour de sécurité conditionne votre capacité à tenir votre propre engagement de période d'assistance auprès des utilisateurs.
2. White-label caché (votre revendeur re-rebrande)
Vous white-labelez un produit OEM en Marque-A et vous le vendez à un revendeur. Le revendeur retire votre marque et re-rebrande en Marque-B sans vous prévenir, puis met les unités Marque-B sur le marché de l'UE.
- Voie CRA : le revendeur devient fabricant des unités Marque-B. Vous restez fabricant des unités Marque-A que vous avez mises sur le marché. L'OEM reste fournisseur des deux.
- Signal opérationnel de détection : des tickets de support client mentionnant Marque-B qui correspondent au comportement de Marque-A, ou des retours arrivant dans l'emballage Marque-B alors que vous n'avez jamais vendu à Marque-B.
- Parade contractuelle : les accords avec les revendeurs doivent interdire le re-rebranding sans accord écrit. Sans cette clause, votre seul recours est la résiliation.
- Pourquoi c'est important : un correctif que vous publiez pour une vulnérabilité n'atteindra pas les unités Marque-B sauf si le revendeur le fait suivre, et le revendeur n'a peut-être pas l'infrastructure pour cela.
3. White-label multi-niveaux (vous white-labelez, votre distributeur re-white-labele à son tour)
L'OEM fabrique, vous white-labelez sous votre marque, vous vendez à un distributeur UE, le distributeur white-labele à nouveau sous sa propre marque.
- Voie CRA : trois positions juridiques empilées. L'OEM est fournisseur, vous êtes fabricant des unités mises sur le marché sous votre marque, le distributeur devient fabricant des unités mises sur le marché sous la sienne.
- Schéma opérationnel : fréquent dans l'automatisation industrielle, l'équipement audiovisuel et l'IoT B2B.
- Clause critique : votre contrat avec le distributeur doit préciser si le re-rebranding est autorisé et, si oui, que le distributeur assume le statut de fabricant pour la variante re-rebrandée. À défaut, les deux parties peuvent finir par revendiquer le statut de distributeur tandis que les autorités pointent la marque visible sur chaque unité.
4. Produits co-brandés (les deux noms sur le produit)
Le produit porte à la fois votre marque et celle de l'OEM, toutes deux visibles pour l'utilisateur final.
- Voie CRA : typiquement, la marque face au client final porte le statut de fabricant ; les deux parties peuvent être désignées fabricants si toutes deux se présentent comme la source.
- Parade contractuelle : la désignation du fabricant doit être inscrite dans l'accord de co-branding. Lecture par défaut : la partie qui signe la déclaration UE de conformité est le fabricant pour cette cohorte d'unités.
- Risque opérationnel : le partage de visibilité de marque peut perdre les utilisateurs sur la partie à contacter pour les signalements de vulnérabilités ; le point de contact unique pour le produit doit être sans ambiguïté.
5. Marque de distributeur (Amazon Basics, Lidl Silvercrest, Tesco)
Un distributeur à fort volume confie à un OEM la fabrication d'un produit sous sa propre marque de distributeur. Le distributeur est le propriétaire de la marque white-label.
- Voie CRA : le distributeur est le fabricant. Le volume ne change pas l'analyse ; la présentation de la marque, oui.
- Échelle opérationnelle : des centaines de références réparties sur plusieurs OEM, c'est la norme. Un dossier technique par référence, une déclaration UE de conformité par référence, une horloge de période d'assistance par référence. Un acheteur de la grande distribution qui traite la conformité CRA comme une question d'achat unique sous-estime la charge.
- Schéma contractuel : accords-cadres long terme avec l'OEM, clauses miroir de période d'assistance (l'OEM s'engage AU MOINS aussi longtemps que le distributeur s'engage auprès des utilisateurs), entiercement du code source du firmware, et répercussion explicite des exigences CRA sur les sous-composants.
6. ODM matériel uniquement + votre firmware
Vous commandez du matériel ODM (carte industrielle, tablette durcie, coque de passerelle IoT) et vous livrez votre propre firmware par-dessus. Le substrat matériel est fourni par l'OEM ; l'enveloppe de sécurité est la vôtre.
- Voie CRA : vous êtes le fabricant du produit intégré. L'ODM est votre fournisseur matériel. Différent du rebranding simple parce que vous construisez réellement quelque chose par-dessus le substrat.
- Forme de la diligence : s'appuie sur le guide ODM matériel uniquement (contrôles BOM, source de l'élément sécurisé, injection de clés en usine, fenêtre EOL de la plateforme matérielle).
- Erreur opérationnelle courante : signer un engagement de support client pluriannuel avec un ODM dont la fenêtre EOL matérielle est plus courte. Quand le silicium passe en EOL, votre obligation de support ne s'allège pas.
7. Composant SaaS ou de traitement à distance white-labelé
Le « produit » que voient les clients est votre SaaS brandé ou votre API brandée. Le traitement réel tourne sur une plateforme OEM white-labelée pour vous (un cluster Kafka managé, une plateforme SaaS d'authentification, un service managé de flotte d'appareils).
- Voie CRA : dépend du fait que le SaaS lui-même est un « produit comportant des éléments numériques » au sens du CRA. Le CRA couvre les « solutions de traitement de données à distance » uniquement lorsqu'elles font partie intégrante d'un produit mis sur le marché. Un SaaS pur qui ne s'intègre à aucun produit mis sur le marché est typiquement hors champ. Si votre SaaS est un composant intégral d'un produit mis sur le marché (firmware qui appelle le cloud, gestion de flotte d'appareils IoT), le fournisseur SaaS fait partie de votre chaîne d'approvisionnement et le guide composant cloud s'applique.
- Schéma contractuel : portefeuille d'attestations SaaS (SOC 2, ISO/IEC 27001, ISO/IEC 27017), accord de traitement des données, liste des sous-traitants, fenêtre de préavis de discontinuation du service.
Personnalisation firmware : où finit le pont de rebranding et où commence le fourre-tout
La confusion la plus fréquente en conformité white-label oppose le pont de rebranding (un importateur ou un distributeur qui modifie substantiellement un produit déjà mis sur le marché devient le fabricant du produit modifié) et le fourre-tout (tout autre tiers qui modifie substantiellement un produit mis sur le marché devient le fabricant). Les deux voies figurent dans le CRA ; elles couvrent des acteurs différents.
La frontière, projetée sur les scénarios de personnalisation firmware que rencontrent les propriétaires de marque white-label :
| Scénario | Voie CRA | Pourquoi |
|---|---|---|
| Vous personnalisez le firmware AVANT de mettre le produit sur le marché de l'UE sous votre marque | Fabricant dès la première vente | Pas de question fourre-tout. La personnalisation fait partie du produit tel que vous le mettez sur le marché. |
| Vous publiez après la mise sur le marché une mise à jour firmware qui corrige des vulnérabilités et préserve la destination, le comportement et l'architecture de sécurité | Statut de fabricant inchangé | Une véritable mise à jour de sécurité n'est pas une modification substantielle. |
| Vous publiez après la mise sur le marché une mise à jour firmware qui ajoute des fonctionnalités, change l'authentification ou élargit la surface d'attaque | Statut de fabricant inchangé MAIS déclenchement d'un nouveau cycle d'évaluation de la conformité sur votre même dossier de fabricant | Vous étiez déjà le fabricant ; la modification change le profil de risque du produit, pas votre rôle |
| Un importateur ou un distributeur en aval modifie le firmware sur vos unités white-label qu'il détient | L'importateur ou le distributeur devient fabricant des unités modifiées (voie du pont de rebranding) | Le pont couvre explicitement la modification substantielle d'un produit déjà mis sur le marché par un importateur ou un distributeur |
| Un tiers qui n'est NI fabricant, NI importateur, NI distributeur (prestataire de services, intégrateur, revendeur à valeur ajoutée, mainteneur) modifie le firmware sur vos unités white-label et les remet à disposition | Ce tiers devient fabricant pour ces unités (voie fourre-tout) | Le fourre-tout couvre tous les acteurs hors chaîne fabricant/importateur/distributeur |
| Vous commandez à un OEM, l'OEM vous livre le produit, vous personnalisez le firmware avant la mise sur le marché | Vous restez fabricant dès la première vente ; l'OEM reste votre fournisseur | La personnalisation pré-marché ne change pas votre rôle ; elle fait partie du produit tel que vous le mettez sur le marché |
Deux implications opérationnelles. D'abord, le propriétaire de marque white-label ne « s'échappe » pas dans la voie fourre-tout en arguant que la modification substantielle a été faite par un tiers ; si vous mettez le produit modifié sur le marché sous votre marque, la modification entre dans votre périmètre de fabricant. Ensuite, quand l'un de vos distributeurs personnalise votre firmware white-label, la voie du pont de rebranding tombe sur lui, pas sur vous, pour ces unités précises. Suivez quelles unités ont quitté votre contrôle non modifiées et lesquelles ont été modifiées en aval ; la responsabilité de la période d'assistance pour les unités modifiées bascule vers le modificateur.
Pour le texte exact des dispositions sur le pont de rebranding et le fourre-tout, voir la FAQ du cluster distributeur qui cite les deux côte à côte.
Horloge de période d'assistance en white-label
L'horloge de période d'assistance du CRA démarre quand le fabricant met le produit sur le marché de l'UE. En white-label, c'est vous le fabricant, donc l'horloge démarre quand vous mettez pour la première fois votre version rebrandée sur le marché de l'UE, pas quand l'OEM a mis pour la première fois l'original sans marque sur le marché ou vous a vendu les unités.
DÉCLENCHEMENT DE LA PÉRIODE D'ASSISTANCE (WHITE-LABEL)
Année 0 L'OEM met pour la première fois la version sans marque sur le marché UE
L'horloge d'assistance de l'OEM démarre sur sa propre DoC
Année 0 L'OEM vous livre votre premier lot rebrandé dans votre entrepôt
(Aucune horloge CRA ne démarre encore pour vous, pas sur le marché UE)
Année 1 Vous mettez vos premières unités rebrandées sur le marché UE
VOTRE horloge d'assistance démarre sur VOTRE DoC (5 ans minimum)
Année 1 L'OEM continue à vendre l'original sans marque en parallèle
(Deux horloges indépendantes désormais ; celle de l'OEM couvre ses unités, la vôtre couvre les vôtres)
Année 4 L'OEM arrête la production
Votre obligation d'assistance continue jusqu'à au moins l'année 6
(et au-delà si vous avez mis des unités sur le marché après l'année 1)
L'obligation de clause miroir qui en découle : votre contrat OEM doit engager l'OEM à vous fournir des mises à jour de sécurité AU MOINS aussi longtemps que vous vous engagez auprès de vos utilisateurs. Si vous vous engagez sur cinq ans envers vos utilisateurs et que l'OEM s'engage sur trois ans envers vous, vous portez un trou de deux ans sans source de correctifs. L'entiercement du code source et la qualification d'une seconde source sont les deux atténuations standard.
Quand l'OEM cesse son activité
Idée fausse fréquente : quand l'OEM cesse son activité, le CRA vous imposerait une obligation de notification qui vous transférerait une partie des obligations de l'OEM.
Deux clarifications comptent. D'abord, l'obligation CRA de notification en cas de cessation d'un fabricant pèse sur l'importateur, pas sur vous. Quand vous êtes propriétaire de marque white-label, vous êtes le fabricant CRA de votre produit rebrandé ; l'OEM était votre fournisseur, pas le fabricant de votre produit brandé. La disposition de notification de cessation côté importateur ne s'applique pas à vous dans ce scénario, parce que l'OEM n'était pas le fabricant CRA de votre produit brandé. La section cessation du cluster importateur détaille l'obligation côté importateur.
Ensuite, l'obligation d'assistance ne se « transfère » pas de l'OEM vers vous, parce qu'elle vous a toujours incombé. Vous vous êtes engagé envers vos utilisateurs à la première mise sur le marché ; la cessation de l'OEM change votre situation d'approvisionnement, pas votre engagement légal. Le filet pratique est ce que le contrat a engagé (entiercement du code source, seconde source, services de transition), pas la disposition de notification de cessation côté importateur.
La seule obligation légale de notification de cessation qui s'applique BIEN à vous, propriétaire de marque white-label, est celle du fabricant lui-même : si VOUS, en tant que fabricant, cessez votre activité, vous devez en informer les autorités de surveillance du marché et, par tout moyen disponible, vos utilisateurs.
White-label transfrontalier
Vous vous approvisionnez auprès d'un ODM asiatique, vous white-labelez, et vous mettez le produit sur le marché de l'UE via votre filiale UE. Le déclencheur white-label (vous êtes fabricant dès la première vente) se combine à une question d'absence d'établissement dans l'UE pour le signalement des vulnérabilités et des incidents.
Si votre marque white-label est détenue par une société mère hors UE et que la filiale UE est l'entité qui met le produit sur le marché, deux voies sont possibles. Voie A : la filiale UE est le fabricant légal, la société mère jouant le rôle de propriétaire commercial de la marque ; l'État membre de la filiale UE est l'autorité de tutelle. Voie B : la société mère hors UE est le fabricant légal (propriétaire enregistré de la marque) et la filiale UE est l'importateur ; la cascade de repli pour fabricant hors UE achemine le signalement d'incidents via l'État membre du mandataire, puis celui de l'importateur, puis celui du distributeur, puis celui qui compte le plus d'utilisateurs.
Choisissez la voie délibérément dans la structuration juridique de votre groupe ; ne la laissez pas découler par accident de la propriété de la marque. Un propriétaire de marque hors UE sans établissement dans l'UE et sans mandataire désigné achemine son signalement d'incidents vers l'État membre de l'importateur par défaut, ce qui veut dire que l'autorité de surveillance de marché de la filiale UE reçoit les rapports, qu'elle soit ou non équipée pour les traiter.
Provenance du SBOM en white-label
L'article frère sur les fournisseurs couvre les clauses contractuelles SBOM dans l'abstrait. En white-label, la réalité opérationnelle est plus tranchée : vous ne pouvez pas générer le SBOM depuis votre propre pipeline de build parce que vous n'avez pas construit le code.
Trois conséquences opérationnelles.
D'abord, le SBOM est un livrable contractuel de l'OEM, pas un artefact interne. Votre contrat doit préciser le format (CycloneDX ou SPDX), la cadence de mise à jour (par version), la profondeur (dépendances transitives, pas seulement directes) et le déclencheur de rafraîchissement (toute incrémentation de version firmware). À défaut, l'OEM peut livrer un SBOM limité aux dépendances directes qui rate 90 % de la surface de risque réelle.
Ensuite, l'autorité du SBOM porte votre marque même si vous n'avez pas écrit les composants. Quand le SBOM liste une dépendance transitive vulnérable, l'obligation de diligence sur le composant retombe sur vous. L'enregistrement de diligence ne peut pas être un copier-coller depuis l'OEM ; il doit être votre propre décision et votre propre acceptation de risque par composant intégré. Utilisez le guide de diligence raisonnable fournisseurs pour les sous-cas FOSS, cloud, matériel uniquement et mainteneur OSS à l'intérieur du SBOM de l'OEM.
Enfin, les scénarios ODM matériel uniquement se scindent en BOM matériel (nomenclature des composants physiques) et SBOM logiciel (nomenclature du firmware que vous livrez). Le BOM matériel est fourni par l'OEM ; le SBOM logiciel est le vôtre (parce que le firmware est le vôtre). Le dossier technique doit distinguer les deux, et la répartition de la veille vulnérabilités doit suivre : la surveillance du BOM matériel circule de l'OEM vers vous, la surveillance du SBOM logiciel relève directement de vous.
Clauses contractuelles de répartition des responsabilités
Sept clauses contractuelles portent l'arrangement white-label sous le CRA. Chacune s'imbrique dans une obligation précise du fabricant qui prend naissance chez vous, le propriétaire de la marque, et dépend de l'OEM pour être tenue.
1. Reconnaissance du statut de fabricant CRA
Le Fournisseur reconnaît que l'Acheteur mettra le Produit
sur le marché de l'UE sous son nom ou sa marque et que
l'Acheteur sera considéré comme le « fabricant » au sens
du Règlement (UE) 2024/2847 (Règlement sur la
cyberrésilience). Le Fournisseur accepte de soutenir les
obligations de conformité de l'Acheteur telles que définies
dans le présent Accord.
2. Documentation technique (Annexe VII)
Le Fournisseur fournira à l'Acheteur :
(a) Une documentation technique complète répondant aux
exigences de l'Annexe VII du Règlement (UE) 2024/2847
(b) Toute documentation nécessaire pour que l'Acheteur :
- Conduise l'évaluation de la conformité
- Prépare la déclaration UE de conformité
- Réponde aux demandes motivées des autorités de
surveillance du marché
(c) Des mises à jour de documentation dans un délai de
[10] jours ouvrés suivant tout changement affectant
le statut de conformité
Le Fournisseur accorde à l'Acheteur une licence perpétuelle,
irrévocable et libre de redevances pour utiliser cette
documentation à des fins de conformité, y compris pour
production auprès de toute autorité de surveillance du
marché dans une langue qu'elle comprend.
3. Fourniture du SBOM (avec profondeur transitive)
Le Fournisseur fournira :
(a) Un Software Bill of Materials au format [CycloneDX/SPDX]
(b) Un SBOM mis à jour dans un délai de [5] jours ouvrés
suivant chaque version firmware modifiant des composants
directs ou transitifs
(c) Un SBOM incluant les dépendances transitives, et pas
uniquement les dépendances directes
(d) L'identification des composants avec nom, version,
fournisseur, licence, vulnérabilités connues à la livraison
4. Notification de vulnérabilité (en heures, pas « rapidement »)
Le Fournisseur notifiera l'Acheteur dans un délai de
[24/48] heures à compter de la prise de connaissance de
toute vulnérabilité de sécurité affectant le Produit ou
tout composant intégré transitivement qui :
(a) Est activement exploitée
(b) A un score CVSS de 7,0 ou supérieur
(c) Fait l'objet d'une divulgation publique
Développement du correctif :
(a) Accuser réception sous [24] heures
(b) Évaluer la sévérité sous [72] heures
(c) Livrer le correctif sous [7/30/90] jours
pour sévérité Critique/Haute/Moyenne
L'Acheteur conserve l'autorité finale sur les communications
clients et le calendrier de publication des mises à jour.
5. Miroir de période d'assistance
Le Fournisseur s'engage à fournir des mises à jour de
sécurité pour le Produit pendant une période minimale qui
égale ou dépasse l'engagement de période d'assistance pris
par l'Acheteur envers ses utilisateurs finaux, et en tout
état de cause pendant au moins [5/7/10] ans à compter de
la première mise sur le marché de l'UE par l'Acheteur.
Le Fournisseur fournira un préavis écrit de [90] jours
avant toute discontinuation planifiée. À la discontinuation,
le Fournisseur libérera le code source et les artefacts de
build dans le cadre de [l'entiercement du code source /
modalités d'assistance à la transition].
6. Prise en charge de l'évaluation de la conformité et droits d'audit
Le Fournisseur devra :
(a) Soutenir les activités d'évaluation de la conformité
de l'Acheteur, y compris en fournissant rapports de
test, certificats et éléments probants sur demande
raisonnable
(b) Permettre à l'Acheteur ou à son organisme notifié
d'auditer les installations de production avec un
préavis écrit de [30] jours
(c) Maintenir des contrôles qualité cohérents avec le
type de produit évalué
7. Répercussion et transparence sur les sous-composants
Le Fournisseur devra :
(a) Fournir et maintenir la liste des fournisseurs de
sous-composants qui contribuent à, ou ont accès à, des
parties du Produit pertinentes pour la sécurité
(b) Répercuter les exigences CRA pertinentes sur les
sous-composants
(c) Notifier l'Acheteur dans un délai de [30] jours de
tout changement matériel de la liste des fournisseurs
de sous-composants
(d) Conserver les enregistrements de qualification des
fournisseurs de sous-composants pendant la période
d'assistance de l'Acheteur plus 10 ans
Synthèse de la répartition des risques
| Risque | Mécanisme contractuel | Qui agit |
|---|---|---|
| Le produit ne satisfait pas aux exigences essentielles de cybersécurité | Garantie + obligation de remédiation | Le Fournisseur remédie ; l'Acheteur tient sa position sur le marché |
| Documentation incomplète ou en retard | Exigence de livrable avec fenêtre de réponse | Le Fournisseur livre |
| Vulnérabilité découverte | SLA de notification en heures, SLA de correctif en jours | Le Fournisseur notifie et corrige ; l'Acheteur signale à l'ENISA |
| Signalement ENISA | L'obligation de notification du Fournisseur alimente l'Acheteur | L'Acheteur signale |
| Demande motivée d'une autorité de surveillance | Licence perpétuelle d'accès à la documentation | L'Acheteur répond ; le Fournisseur soutient |
| Cessation de l'OEM | Entiercement du code source + services de transition | L'Acheteur poursuit l'assistance à partir du code entiercé |
| Amendes réglementaires | Indemnisation négociée (proportionnelle à la faute) | Négocié |
Arrangements white-label hérités d'une opération de M&A
Vous rachetez une marque et vous découvrez que la moitié de son catalogue est white-labelé sans aucune piste de conformité. Le CRA n'accorde pas de période de grâce après une opération de M&A ; l'entité acquéreuse hérite des obligations de fabricant dès le premier jour pour chaque produit actuellement sur le marché de l'UE sous la marque acquise.
TRIAGE WHITE-LABEL POST-M&A (90 JOURS)
JOUR 1-15 : inventaire
[ ] Extraire la liste des références depuis l'ERP de l'entité acquise
[ ] Marquer chaque référence : design propre / white-label / OEM modifié
[ ] Identifier l'OEM derrière chaque référence white-label
[ ] Recouper avec le statut d'expédition (actif vs stock EOL)
JOUR 15-30 : analyse des écarts documentaires
[ ] Pour chaque référence white-label active : existe-t-il une DoC au nom de l'Acheteur ?
[ ] Pour chaque référence white-label active : existe-t-il un dossier technique au nom de l'Acheteur ?
[ ] Pour chaque référence white-label active : existe-t-il un SBOM ?
[ ] Classer les références par sévérité d'écart (pas de DoC > dossier technique incomplet > pas de SBOM)
JOUR 30-60 : remédiation niveau 1
[ ] Références sans DoC : retirer du marché de l'UE jusqu'à mise en place de la DoC
[ ] Références sans dossier technique : reconstituer à partir des éléments OEM + votre propre évaluation
[ ] Références sans SBOM : contractualiser la livraison du SBOM par l'OEM ; si l'OEM refuse ou a cessé, planifier le remplacement ou la fin de vie
JOUR 60-90 : décision
[ ] Chaque référence white-label classée : maintenir / arrêter / remplacer l'OEM
[ ] Contrats OEM évalués au regard du jeu de 7 clauses ; écarts cartographiés
[ ] Couverture miroir de période d'assistance analysée de bout en bout
EN CONTINU :
[ ] Marquer l'origine acquise-par-M&A dans chaque enregistrement de référence pour audit
[ ] Intégrer les références héritées dans le cycle normal de SBOM et de veille vulnérabilités
Le triage n'est pas un exercice de papier. Les autorités qui demandent pourquoi une référence white-label de 12 ans n'a pas de DoC après acquisition accepteront plus volontiers « nous avons identifié l'écart dans notre triage post-acquisition à 90 jours et nous avons retiré la référence jusqu'à remédiation » que « nous cherchons encore quel OEM l'a fabriquée ».
Pièges fréquents
| Affirmation | Pourquoi elle échoue |
|---|---|
| « Ce n'est qu'un autocollant avec notre logo. » | Si l'autocollant vous présente comme la source au marché de l'UE, les obligations du fabricant s'appliquent. Le déclencheur est la présentation de marque, pas la profondeur de l'autocollant. |
| « L'OEM l'a fabriqué, donc l'OEM est le fabricant. » | Le CRA traite le propriétaire de la marque comme le fabricant. L'OEM est votre fournisseur. |
| « Le marquage CE de l'OEM se transfère quand on rebrande. » | Le marquage CE est lié au fabricant figurant sur la DoC. Quand vous rebrandez, vous émettez votre propre DoC et apposez le CE sous votre propre responsabilité ; le CE de l'OEM ne couvre plus les unités rebrandées. |
| « L'horloge d'assistance démarre quand l'OEM a mis pour la première fois la version sans marque sur le marché. » | L'horloge démarre quand VOUS mettez la version rebrandée sur le marché de l'UE. Vos clients ont acheté le produit rebrandé sur votre calendrier. |
| « Notre OEM fait faillite ; on peut attendre de voir ce qui arrive à notre obligation d'assistance. » | Votre obligation d'assistance ne change pas quand l'OEM cesse. Planifiez l'entiercement du code source et la seconde source AVANT la défaillance de l'OEM, pas après. |
| « Le co-branding implique un partage de responsabilité à parts égales. » | La marque face au client final porte typiquement le statut de fabricant ; le contrat décide si les deux parties sont fabricants. Lecture par défaut : celui qui signe la DoC. |
| « La marque de distributeur est exemptée parce que c'est de la grande distribution de volume. » | Le volume est sans incidence. Amazon Basics, Lidl Silvercrest et Tesco F&F-Tech sont tous fabricants de leurs références de marque de distributeur. |
| « Nous l'avons white-labelé depuis un OEM hors UE ; l'OEM est responsable du signalement des vulnérabilités. » | Votre marque sur le produit fait de VOUS le fabricant, y compris pour le signalement des vulnérabilités et incidents à l'ENISA. L'OEM n'a aucune obligation CRA de signalement sur vos références brandées. |
Questions fréquentes
Je viens de découvrir que notre revendeur re-rebrande notre produit white-label sous sa propre marque. Que faire ?
Le revendeur devient fabricant des unités re-rebrandées. Vous restez fabricant des unités mises sur le marché sous votre marque ; le revendeur est fabricant des siennes. Étape 1 : cartographier les unités concernées (quelles plages de numéros de série ou quels lots ont été re-rebrandés) pour qu'une réponse aux vulnérabilités puisse les atteindre. Étape 2 : amender le contrat de revendeur, interdire le re-rebranding sans accord écrit et ajouter une clause de reconnaissance de statut de fabricant pour tout stock re-rebrandé préexistant. Étape 3 : mettre en place un flux de divulgation coordonnée qui informe le revendeur des vulnérabilités afin qu'il puisse corriger ses unités, vos canaux ne pouvant plus atteindre ces clients.
Un produit porte notre marque et celle de l'OEM côte à côte. Qui est le fabricant ?
Typiquement la marque présentée comme la source du produit au marché de l'UE, ce qui correspond généralement à la marque face au client final. Les deux parties peuvent être désignées fabricants si toutes deux se présentent comme telles, mais les opérations courantes soutiennent rarement un statut de fabricant partagé. La position la plus propre consiste à inscrire la désignation dans l'accord de co-branding : la partie qui signe la DoC est le fabricant. Évitez un co-branding ambigu qui laisserait la question à l'interprétation d'une autorité de surveillance du marché.
Notre OEM fait faillite. Devons-nous reprendre ses obligations d'assistance ?
Non. L'obligation de notification de cessation côté importateur ne s'applique pas à vous dans ce scénario, parce que vous êtes le fabricant CRA de votre produit rebrandé et que l'OEM était votre fournisseur, pas le fabricant. L'obligation d'assistance ne se « transfère » pas depuis l'OEM, parce qu'elle vous a toujours incombé. Votre filet opérationnel est ce que le contrat a engagé : entiercement du code source, qualification d'une seconde source, services de transition. Si vous avez mis le produit sur le marché, vous devez l'assistance, quoi qu'il arrive à votre OEM. La section cessation du cluster importateur couvre l'obligation côté importateur pour information.
Nous commandons du matériel ODM et livrons notre propre firmware. Sommes-nous toujours en territoire white-label ?
Oui, mais avec une forme de diligence fournisseur différente. Vous êtes le fabricant du produit intégré ; l'ODM est votre fournisseur matériel. Le BOM matériel est fourni par l'OEM ; le SBOM logiciel est le vôtre parce que le firmware est le vôtre. Utilisez le guide de diligence ODM matériel uniquement pour la partie matérielle. L'erreur opérationnelle courante consiste à signer un engagement de période d'assistance long envers vos utilisateurs alors que la fenêtre EOL matérielle de l'ODM est plus courte que cet engagement.
Et si nous modifions le firmware après avoir déjà mis le produit sur le marché ?
Vous restez le fabricant ; la modification entre dans votre périmètre de fabricant, sans déclencher de bascule vers un tiers. Une véritable mise à jour de sécurité qui préserve la destination et le comportement ne démarre pas un nouveau cycle d'évaluation de la conformité. Une modification qui ajoute des fonctionnalités, change l'authentification ou élargit la surface d'attaque reste dans votre statut de fabricant mais déclenche un nouveau cycle d'évaluation de la conformité sur le produit modifié, sur votre même dossier technique. Les voies du pont de rebranding et du fourre-tout ne s'activent que si la modification est faite par un tiers (importateur ou distributeur pour le pont, n'importe qui d'autre pour le fourre-tout).
Combien de temps devons-nous conserver la documentation technique d'un produit white-label ?
Au moins 10 ans après la mise sur le marché ou pendant toute la période d'assistance, la durée la plus longue prévalant. Un produit white-label mis sur le marché en 2028 avec une période d'assistance de 7 ans demande une conservation jusqu'en 2038. Votre contrat avec l'OEM doit refléter cette règle : l'OEM conserve les éléments techniques sous-jacents (rapports de test, documentation de conception, qualifications de sous-composants) pendant au moins la même fenêtre, et vous pouvez demander des copies pendant la période pour répondre à une demande motivée d'une autorité de surveillance du marché.
Nous venons de racheter une société dont la moitié du catalogue est en white-label. Par où commencer ?
Lancez le triage à 90 jours décrit dans la section M&A ci-dessus. D'abord l'inventaire (quelles références sont en white-label, quel OEM derrière chacune), puis l'analyse des écarts documentaires (pas de DoC > dossier technique incomplet > pas de SBOM), puis le retrait des références sans DoC jusqu'à remédiation, et enfin le marquage de l'origine M&A dans chaque enregistrement de référence pour audit. Le CRA n'accorde pas de période de grâce M&A ; les obligations de fabricant tombent sur vous le jour où l'acquisition se conclut. Un programme défendable démontrablement à l'œuvre dans le trimestre est la position crédible à tenir face à une autorité de surveillance du marché.
L'évaluation de la conformité de notre fournisseur se transfère-t-elle à notre version brandée ?
En général, non. L'évaluation de la conformité s'attache au produit tel qu'il est mis sur le marché par un fabricant donné. Quand vous rebrandez, vous émettez votre propre DoC, en votre nom, sur votre propre dossier technique. Vous pouvez vous appuyer sur les éléments probants de test de l'OEM en données d'entrée (cela doit être un livrable contractuel), mais la déclaration, le marquage CE et la paternité du dossier technique relèvent de vous, fabricant propriétaire de la marque. Le guide d'évaluation de la conformité couvre le choix du module.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des recommandations de conformité spécifiques, consultez un conseiller juridique qualifié et familier des réglementations produits de l'UE.
Articles connexes
Le CRA s'applique-t-il à votre produit ?
Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du règlement sur la cyberrésilience de l'UE. Obtenez votre résultat en moins de 2 minutes.
Prêt à atteindre la conformité CRA ?
Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.