CRA Importateurs Application Conformité

Obligations des Importateurs CRA : Que Vérifier Avant de Placer des Produits sur le Marché UE

Un guide pratique des exigences de vérification de l'Article 19 pour les importateurs UE. Inclut des checklists, des flux de travail et des conseils quand les fournisseurs font défaut.

Équipe CRA Evidence
Auteur
15 janvier 2026
Mis à jour 25 février 2026, 00:00:00 TU
11 min de lecture
Obligations des Importateurs CRA : Que Vérifier Avant de Placer des Produits sur le Marché UE
In this article

Vous importez des produits connectés dans l'UE. Selon le Cyber Resilience Act, vous avez des obligations de vérification personnelles avant de placer quoi que ce soit sur le marché. Si la documentation de votre fournisseur est incomplète, vous ne pouvez pas légalement vendre le produit.

Ce guide couvre exactement ce que vous devez vérifier et que faire quand les fournisseurs font défaut.

Résumé

  • Les importateurs doivent vérifier l'achèvement de l'évaluation de conformité du fabricant avant la mise sur le marché (Article 19)
  • Vérifications requises : marquage CE, Déclaration de Conformité UE, disponibilité de la documentation technique, coordonnées
  • Si la vérification échoue, vous ne pouvez pas placer le produit sur le marché, informez le fabricant et les autorités
  • Les importateurs qui rebrandent des produits ou font des modifications substantielles deviennent fabricants (obligations complètes)
  • Conservation de la documentation : 10 ans minimum

Important : Les importateurs doivent verifier que le fabricant a effectue une evaluation de conformite AVANT de placer le produit sur le marche de l'UE. Vous etes conjointement responsable des produits non conformes.

Conseil : Demandez la Declaration de Conformite UE et verifiez-la par rapport a une checklist de verification. C'est votre obligation minimale de diligence raisonnable.

Ce que le CRA Exige des Importateurs

Le Cyber Resilience Act (Règlement 2024/2847) établit les importateurs comme gardiens du marché UE. Votre rôle est de vérifier que les fabricants hors UE ont fait leurs devoirs de conformité avant que leurs produits n'atteignent les consommateurs européens.

Ce n'est pas un exercice de tampon. L'Article 19 crée une responsabilité personnelle pour les importateurs qui placent des produits non conformes sur le marché.

Importateur vs Distributeur : Différences Clés

Aspect Importateur Distributeur
Position dans la chaîne Première entrée sur le marché UE Après l'importateur
Profondeur de vérification Revue complète de la documentation Marquage CE + contrôles visuels
Documentation Doit conserver des copies Doit vérifier la présence
Pénalités Jusqu'à 10M EUR / 2% du CA Jusqu'à 5M EUR / 1% du CA

Si vous êtes la première entité plaçant un produit fabriqué hors UE sur le marché UE, vous êtes importateur, peu importe ce que disent vos contrats.

La Checklist de Vérification en 6 Points

Avant de placer tout produit avec éléments numériques sur le marché UE, vérifiez ces six points :

1. Évaluation de Conformité Complétée

Le fabricant doit avoir effectué l'évaluation de conformité appropriée :

  • Module A (auto-évaluation) : Pour les produits de catégorie « par défaut »
  • Module B+C (examen UE de type) : Pour les produits « Important Classe II »
  • Module H (assurance qualité complète) : Alternative pour les produits Important/Critique

Demandez la preuve : la Déclaration de Conformité UE (DoC) référençant le module d'évaluation utilisé.

2. Déclaration de Conformité UE Existante

La DoC doit inclure :

  • Nom et adresse du fabricant
  • Identification du produit (modèle, type, plage de numéros de série)
  • Déclaration de conformité aux exigences essentielles CRA
  • Référence aux normes harmonisées appliquées (le cas échéant)
  • Détails de l'organisme notifié (si évaluation par tiers)
  • Signature, date et fonction du signataire

Signal d'alerte : Une DoC qui ne référence que des « exigences de cybersécurité » génériques sans spécificités CRA/Annexe I.

3. Marquage CE Correctement Apposé

Vérifiez :

  • Le marquage CE est visible, lisible et indélébile
  • Hauteur minimum 5mm (ou proportionnelle pour les petits produits)
  • Situé sur le produit ou l'emballage (si la taille du produit l'interdit)
  • Pas d'autres marquages qui pourraient confondre la signification CE

Signal d'alerte : Marquage CE uniquement sur le carton d'expédition externe, pas sur l'emballage de vente.

4. Documentation Technique Disponible

Vous n'avez pas besoin de détenir le dossier technique complet, mais vous devez confirmer :

  • La documentation technique existe
  • Le fabricant la fournira aux autorités sur demande
  • La documentation couvre les exigences de l'Annexe VII du CRA

Demandez un résumé du dossier technique ou une table des matières comme preuve.

5. Coordonnées du Fabricant Présentes

Les produits doivent afficher :

  • Nom du fabricant
  • Nom commercial ou marque déposée
  • Adresse postale de contact
  • URL ou email de point de contact unique (pour les signalements de vulnérabilités)

Ces informations doivent être sur le produit lui-même, ou si impossible, sur l'emballage et/ou la documentation accompagnante.

6. Instructions dans la Langue du Marché Cible

Les instructions utilisateur et informations de sécurité doivent être disponibles dans la ou les langues officielles du ou des États membres où vous vendrez le produit.

Pour une distribution dans toute l'UE : Au minimum, fournissez l'anglais. Confirmez les langues supplémentaires pour les marchés spécifiques.

Comment Vérifier la Conformité d'un Fabricant Hors UE

Beaucoup d'importateurs reçoivent des assurances confiantes de fournisseurs étrangers. Les assurances ne sont pas des preuves.

La Demande de Documentation

Envoyez cette demande aux fabricants avant de vous engager à importer :

OBJET : Demande de Documentation de Conformité CRA

Nous évaluons [Nom/Modèle du Produit] pour importation dans l'Union Européenne.

Selon le Règlement UE 2024/2847 (Cyber Resilience Act), les importateurs doivent
vérifier la conformité du fabricant avant la mise sur le marché.

Veuillez fournir :

1. Déclaration de Conformité UE (signée, datée)
2. Table des matières ou résumé du dossier technique
3. Confirmation du module d'évaluation de conformité utilisé
4. Confirmation du placement du marquage CE (photo si possible)
5. Déclaration de la période de support (minimum 5 ans requis)
6. Politique de gestion des vulnérabilités / point de contact sécurité

Sans cette documentation, nous ne pouvons pas procéder à l'importation.

Délai demandé : [X jours ouvrables]

Évaluer les Réponses

Réponse Action
Documentation complète fournie Procéder à la revue de vérification
Documentation partielle, promesses de compléter Retarder l'import jusqu'à complétion
« Nous sommes marqués CE pour d'autres réglementations » Ne satisfait pas le CRA, demander une DoC spécifique CRA
« Nos produits n'ont pas besoin de conformité CRA » Demander une analyse de périmètre par écrit
Pas de réponse / refus Ne pas importer

Signaux d'Alerte dans les Réponses des Fabricants

Surveillez ces signes d'avertissement :

  • DoC générique : Langage modèle non spécifique au produit
  • Dates obsolètes : DoC antérieure à l'application du CRA (suggère non-conformité CRA)
  • Organisme notifié manquant : Pour les produits Important Classe II, l'évaluation par tiers est obligatoire
  • Pas de contact sécurité : Requis pour tous les produits avec éléments numériques
  • Conformité « en attente » : Le produit ne peut pas être mis sur le marché tant que la conformité est en attente

Que Faire Quand la Vérification Échoue

Si un point de vérification échoue, vous avez des obligations légales :

Étape 1 : Arrêter

Ne placez pas le produit sur le marché UE. L'import pour entreposage/réexport peut encore être possible, mais la mise sur le marché est interdite.

Étape 2 : Documenter

Enregistrez le constat spécifique de non-conformité :

  • Quel point de vérification a échoué
  • Quelle preuve manquait ou était inadéquate
  • Date de la détermination
  • Communication avec le fabricant

Étape 3 : Notifier le Fabricant

Informez le fabricant par écrit :

  • Lacunes de conformité spécifiques identifiées
  • Documentation requise pour résoudre
  • Délai de réponse
  • Conséquence : impossible d'importer tant que non résolu

Étape 4 : Évaluer le Risque

Si le produit présente un risque cybersécurité (pas seulement des lacunes documentaires) :

  • Signaler à l'autorité de surveillance du marché dans l'État membre concerné
  • Fournir toute la documentation disponible
  • Coopérer à toute enquête

Étape 5 : Résoudre ou Rejeter

Procédez à l'import uniquement quand :

  • Les six points de vérification sont satisfaits
  • La documentation est reçue et examinée
  • Les préoccupations de risque sont traitées

Quand les Importateurs Deviennent Fabricants

Selon l'Article 22, vous devenez fabricant (avec obligations complètes) quand vous :

Déclencheur 1 : Propre Nom ou Marque

Placer un produit sur le marché sous votre marque fait de vous le fabricant, peu importe qui l'a réellement construit.

Exemples :

  • Routeur en marque blanche vendu sous le nom de votre entreprise
  • Appareil OEM avec votre logo
  • Produit où votre entreprise est listée comme « fabricant » sur l'emballage

Déclencheur 2 : Modification Substantielle

Faire des changements qui affectent la destination prévue ou la conformité CRA.

Modification Substantielle ? Pourquoi
Installation de firmware personnalisé Oui Change la posture de sécurité
Ajout de fonctionnalités de gestion à distance Oui Nouvelle surface d'attaque
Modifications matérielles affectant la sécurité Oui Altère le profil de risque
Localisation linguistique uniquement Non Cosmétique, pas d'impact sécurité
Application de correctifs de sécurité Non Explicitement exempté
Changements d'emballage Non Pas de modification du produit

Documentation et Conservation

Que Conserver

  • Déclaration de Conformité UE (copie)
  • Résumé du dossier technique ou confirmation d'accès
  • Vos registres de vérification (checklist, correspondance)
  • Preuves de communication avec le fabricant
  • Documentation d'import (douanes, expédition)

Combien de Temps

10 ans à partir de la date où la dernière unité a été mise sur le marché.

Si vous importez un lot en 2027 et vendez la dernière unité en 2029, la conservation se termine en 2039.

Format

Le stockage numérique est acceptable. Assurez :

  • Les fichiers sont accessibles et lisibles
  • Des procédures de sauvegarde sont en place
  • Peut être produit dans un délai raisonnable sur demande des autorités

Pièges Courants

« Le marquage CE signifie qu'ils sont conformes »

Le marquage CE indique que le fabricant déclare être conforme. Votre travail est de vérifier la documentation sous-jacente. Un marquage CE sans documentation de support est un signal d'alerte.

« Notre fournisseur est fiable depuis des années »

La fiabilité passée avec d'autres réglementations ne garantit pas la conformité CRA. Le CRA est nouveau, et beaucoup de fabricants établis implémentent encore les exigences.

« Assurances verbales de notre contact commercial »

La conformité réglementaire nécessite de la documentation. L'assurance d'un représentant commercial n'a aucun poids légal. Obtenez-le par écrit, ou n'importez pas.

« Nous vérifierons après l'arrivée de l'expédition »

La vérification doit avoir lieu avant la mise sur le marché. Vous pouvez importer des marchandises dans un entrepôt, mais vous ne pouvez pas les vendre tant que la vérification n'est pas complète.

« Nous sommes juste le distributeur »

Si vous êtes la première entité plaçant des marchandises fabriquées hors UE sur le marché UE, vous êtes importateur. Pas distributeur.

Checklist de Vérification Pré-Import 

CHECKLIST DE VÉRIFICATION IMPORTATEUR CRA

Produit : _______________________________________
Fabricant : _____________________________________
Date : _________________________________________

DOCUMENTATION REÇUE :
[ ] Déclaration de Conformité UE
[ ] Résumé/TdM du dossier technique
[ ] Preuve d'évaluation de conformité (module utilisé : _____)
[ ] Contact sécurité / politique de vulnérabilités
[ ] Déclaration de période de support

VÉRIFICATION PHYSIQUE :
[ ] Marquage CE présent et correctement formaté
[ ] Nom et adresse du fabricant sur le produit/emballage
[ ] Instructions utilisateur dans la langue du marché cible
[ ] Point de contact unique pour les vulnérabilités

ÉVALUATION DU RÔLE :
[ ] Le produit sera vendu sous la marque du fabricant (pas la nôtre)
[ ] Pas de modifications firmware ou matérielles prévues
[ ] Pas de changements à la destination prévue ou aux fonctionnalités de sécurité

DÉCISION :
[ ] PROCÉDER - Tous les points de vérification satisfaits
[ ] SUSPENDRE - En attente de documentation (préciser : ___________)
[ ] REJETER - Vérification échouée (documenter les raisons)

Vérifié par : ___________________________________
Date : _________________________________________

Comment CRA Evidence Aide

CRA Evidence aide les importateurs à gérer le flux de vérification complet :

  • Carnet d'Adresses Fabricants : Suivez le statut de conformité des fournisseurs
  • Checklists de Vérification : Flux de travail structuré Article 19
  • Stockage de Documents : Preuves de conformité centralisées
  • Alertes d'Expiration : Suivi des certifications et périodes de support

Commencez votre flux de vérification importateur sur app.craevidence.com.

Guides Associes

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié familier avec les réglementations produits de l'UE.

Sujets traités dans cet article

Partager cet article

Articles connexes

Does the CRA apply to your product?

Répondez à 6 questions simples pour savoir si votre produit relève du champ d’application du Cyber Resilience Act de l’UE. Obtenez votre résultat en moins de 2 minutes.

Vérifier maintenant

Prêt à atteindre la conformité CRA ?

Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.

Démarrer l'essai gratuit de 14 jours
Retour à tous les articles