Produits White-Label et OEM sous le CRA : Qui est le Fabricant ?

Vous vendez des tablettes sous votre marque, mais une usine en Asie les fabrique. Sous le CRA, vous êtes le fabricant, avec toutes les obligations que cela implique. Comprendre la conformité des produits white-label est essentiel avant d'apposer votre logo sur le matériel de quelqu'un d'autre.

Ce guide couvre les obligations CRA pour les arrangements white-label, OEM et marque de distributeur.

Comprendre le White-Label sous le CRA

La Règle Fondamentale

L'article 3 du CRA définit le « fabricant » comme :

« toute personne physique ou morale qui fabrique un produit comportant des éléments numériques ou fait concevoir ou fabriquer un tel produit et le commercialise sous son nom ou sa marque »

L'expression clé est « le commercialise sous son nom ou sa marque ».

Si votre marque est sur le produit, vous êtes le fabricant, même si vous n'avez jamais touché un fer à souder ou écrit une ligne de code.

Clarification de la Terminologie

Différents termes, même résultat CRA :

La distinction qui compte : Quelle marque est sur le produit ?

Ce que Cela Signifie en Pratique

Vous êtes Fabricant, Donc...

En tant que fabricant white-label sous le CRA, vous devez :

Avant la Mise sur le Marché :

1. Effectuer l'évaluation de conformité (Module A, B+C, ou H)
2. Préparer la documentation technique (Annexe VII)
3. S'assurer que le produit répond aux exigences essentielles de l'Annexe I
4. Signer la Déclaration UE de Conformité
5. Apposer le marquage CE
6. Créer/maintenir le SBOM

Pendant la Période de Support :

1. Gérer les signalements de vulnérabilités
2. Fournir des mises à jour de sécurité pendant 5+ ans
3. Signaler à ENISA (en cas d'exploitation active)
4. Notifier les clients des problèmes de sécurité
5. Maintenir la documentation

En Continu :

1. Surveillance post-marché
2. Coopération avec les autorités
3. Réponse en cas de non-conformité

Votre Fournisseur Devient Votre Fournisseur

Le fabricant réel (usine, ODM, etc.) est maintenant votre fournisseur, pas le fabricant légal aux fins du CRA. Cela change la relation :

AVANT LE CRA :
Usine ODM → « Fabricant » (leur produit, leur conformité)
     ↓
Votre Marque → « Revendeur/Distributeur »

SOUS LE CRA :
Usine ODM → « Fournisseur » (construit selon les specs)
     ↓
Votre Marque → « Fabricant » (votre produit, votre conformité)

L'Écart de Conformité White-Label

De nombreux arrangements white-label n'ont pas été conçus pour cela. Problèmes courants :

Écart 1 : Pas d'Accès à la Documentation Technique

Votre ODM a le dossier technique, mais vous êtes maintenant tenu de le maintenir.

Problème :

• L'usine considère les designs comme propriétaires
• La documentation peut être incomplète
• Peut ne pas répondre aux exigences de format CRA

Solution :

• Négocier l'accès à la documentation par contrat
• Exiger un dossier technique conforme à l'Annexe VII
• Vérifier avant de signer l'accord

Écart 2 : Gestion des Vulnérabilités Non Définie

Qui gère les problèmes de sécurité quand votre produit brandé a une vulnérabilité ?

Problème :

• L'usine découvre une vulnérabilité, vous le dit-elle ?
• Le client vous signale, l'usine peut-elle corriger ?
• Délais désalignés

Solution :

• Définir la réponse aux vulnérabilités dans le contrat
• Établir les délais de notification
• Convenir des responsabilités de développement des mises à jour
• Clarifier le signalement ENISA (votre obligation)

Écart 3 : Incompatibilité de Période de Support

Vous avez promis un support de 5 ans, mais votre relation fournisseur est de 2 ans.

Problème :

• L'usine abandonne le produit
• L'usine fait faillite
• Pas de source pour les mises à jour après la fin du contrat

Solution :

• Négocier la durée de période de support par contrat
• Arrangements d'entiercement pour le code source
• Planification de contingence pour les changements de fournisseur
• Envisager la qualification de plusieurs fournisseurs

Écart 4 : Pas de SBOM

Vous avez besoin d'un SBOM. Votre fournisseur n'en a jamais créé.

Problème :

• Impossible de fournir le SBOM aux régulateurs ou clients
• Impossible de suivre les vulnérabilités dans les composants
• Impossible de démontrer la transparence de la chaîne d'approvisionnement

Solution :

• Exiger le SBOM dans les achats
• Spécifier le format (CycloneDX, SPDX)
• Définir la fréquence de mise à jour

Structurer les Accords White-Label pour le CRA

Termes Contractuels Essentiels

Votre accord white-label/OEM devrait inclure :

1. Reconnaissance de Conformité CRA

Le Fournisseur reconnaît que l'Acheteur placera le Produit
sur le marché UE sous la marque de l'Acheteur et que l'Acheteur
sera considéré comme le « fabricant » en vertu du Règlement (UE)
2024/2847 (Cyber Resilience Act). Le Fournisseur accepte de
soutenir les obligations de conformité de l'Acheteur comme stipulé
dans cet Accord.

2. Documentation Technique

Le Fournisseur fournira à l'Acheteur :
(a) Documentation technique complète répondant aux
    exigences de l'Annexe VII du Règlement (UE) 2024/2847
(b) Toute documentation nécessaire pour que l'Acheteur puisse :
    - Effectuer l'évaluation de conformité
    - Préparer la Déclaration UE de Conformité
    - Répondre aux demandes de surveillance du marché
(c) Mises à jour de la documentation dans les [10] jours suivant
    tout changement affectant le statut de conformité

Le Fournisseur accorde à l'Acheteur une licence perpétuelle et
irrévocable d'utiliser cette documentation à des fins de conformité.

3. Fourniture de SBOM

Le Fournisseur fournira :
(a) Software Bill of Materials au format [CycloneDX/SPDX]
(b) SBOM mis à jour dans les [5] jours suivant chaque
    version firmware/logiciel
(c) SBOM incluant tous les composants tiers avec :
    - Nom et version du composant
    - Information fournisseur
    - Information licence
    - Vulnérabilités connues au moment de la livraison

4. Gestion des Vulnérabilités

Notification de Vulnérabilité :
Le Fournisseur notifiera l'Acheteur dans les [24 heures] suivant
la prise de connaissance de toute vulnérabilité de sécurité dans
le Produit, quelle que soit la source de découverte.

Développement de Correctif :
Sur notification d'une vulnérabilité, le Fournisseur devra :
(a) Accuser réception dans les [24 heures]
(b) Fournir une évaluation de sévérité dans les [72 heures]
(c) Livrer un correctif dans :
    - [7 jours] pour sévérité Critique
    - [30 jours] pour sévérité Haute
    - [90 jours] pour sévérité Moyenne/Basse

L'Acheteur conserve l'autorité finale sur les communications
client et le calendrier de publication des mises à jour.

5. Engagement de Période de Support

Le Fournisseur s'engage à :
(a) Fournir des mises à jour de sécurité pour le Produit pendant
    une période minimale de [5 ans] à compter de la première
    livraison à l'Acheteur
(b) Maintenir la capacité de produire des mises à jour tout au
    long de cette période
(c) Fournir un préavis de [90 jours] avant toute discontinuation
    planifiée
(d) [Entiercement du code source / assistance à la transition] si
    le Fournisseur ne peut pas remplir cet engagement

6. Support à la Conformité

Le Fournisseur devra :
(a) Soutenir les activités d'évaluation de conformité de l'Acheteur
(b) Fournir les rapports de test, certificats et preuves
    raisonnablement demandés
(c) Permettre à l'Acheteur ou à l'Organisme Notifié désigné
    par l'Acheteur d'auditer les installations de production
(d) Maintenir des contrôles qualité cohérents avec le
    type de produit évalué

7. Gestion des Sous-composants

Le Fournisseur devra :
(a) Fournir la liste de tous les fournisseurs de sous-composants
(b) Transmettre les exigences CRA pertinentes aux sous-composants
(c) Notifier l'Acheteur de tout changement de sous-composant
    affectant la sécurité ou la conformité
(d) Maintenir les enregistrements de qualification des fournisseurs
    de sous-composants

Allocation des Risques

Workflow Pratique

Avant de Signer l'Accord White-Label

DUE DILIGENCE PRÉ-ACCORD

1. ÉVALUATION TECHNIQUE
   [ ] Examiner l'architecture du produit
   [ ] Évaluer les fonctionnalités de sécurité par rapport à l'Annexe I
   [ ] Identifier les écarts nécessitant correction
   [ ] Évaluer la capacité du mécanisme de mise à jour

2. ÉVALUATION DE LA DOCUMENTATION
   [ ] Demander un exemple de documentation technique
   [ ] Vérifier la complétude par rapport à l'Annexe VII
   [ ] Examiner la disponibilité et qualité du SBOM
   [ ] Évaluer la documentation d'évaluation des risques

3. CAPACITÉ DU FOURNISSEUR
   [ ] Évaluer les pratiques de développement sécurisé
   [ ] Examiner l'historique de gestion des vulnérabilités
   [ ] Évaluer l'infrastructure de support
   [ ] Vérifier la capacité de développement de mises à jour
   [ ] Vérifier la stabilité financière pour un engagement de 5 ans

4. NÉGOCIATION DU CONTRAT
   [ ] Inclure tous les termes spécifiques au CRA
   [ ] Définir les livrables de documentation
   [ ] Établir les SLA de réponse aux vulnérabilités
   [ ] Sécuriser l'engagement de période de support
   [ ] Traiter l'entiercement du code source

5. PLANIFICATION DE L'ÉVALUATION DE CONFORMITÉ
   [ ] Déterminer la classification du produit
   [ ] Sélectionner le module d'évaluation de conformité
   [ ] Identifier l'Organisme Notifié (si requis)
   [ ] Planifier la préparation du dossier technique

Après Signature : Gestion Continue

GESTION DE LA CONFORMITÉ DES PRODUITS WHITE-LABEL

Mensuel :
[ ] Examiner les notifications de vulnérabilités du fournisseur
[ ] Vérifier les mises à jour SBOM reçues
[ ] Surveiller les avis de sécurité du fournisseur
[ ] Vérifier les capacités de livraison des mises à jour

Trimestriel :
[ ] Revue de la documentation technique
[ ] Évaluation de la capacité du fournisseur
[ ] Vérification de la conformité contractuelle
[ ] Suivi de la période de support

Annuel :
[ ] Audit de conformité complet
[ ] Revue et mise à jour du contrat
[ ] Vérification de la santé commerciale du fournisseur
[ ] Revue de la complétude de la documentation

Par Version :
[ ] SBOM mis à jour reçu
[ ] Dossier technique mis à jour
[ ] Tests complétés
[ ] Conformité maintenue

Scénarios White-Label Courants

Scénario 1 : Rebranding Simple

Situation : Vous achetez des tablettes finies, mettez votre logo dessus, vendez sous votre marque.

Vos obligations :

• Statut de fabricant complet
• Doit obtenir toute la documentation du fournisseur
• Doit effectuer l'évaluation de conformité (ou vérifier que celle du fournisseur est valide pour votre usage)
• Doit gérer toutes les obligations post-marché

Risques clés :

• L'évaluation de conformité du fournisseur peut ne pas vous être transférable
• Vous avez besoin de votre propre DoC
• Les mises à jour dépendent entièrement du fournisseur

Scénario 2 : Produit ODM Personnalisé

Situation : L'ODM conçoit le produit selon vos spécifications, vous le brandez et le vendez.

Vos obligations :

• Statut de fabricant complet
• L'évaluation de conformité est définitivement votre responsabilité (design personnalisé)
• Le dossier technique doit refléter vos personnalisations
• Gestion des vulnérabilités pour votre version

Risques clés :

• Les personnalisations peuvent introduire des vulnérabilités
• Vos modifications peuvent invalider les tests du fournisseur
• Période de support pour la version personnalisée

Scénario 3 : Versions Multi-Marques

Situation : Même produit vendu sous différentes marques (la vôtre et d'autres).

Obligations de chaque propriétaire de marque :

• Chacun est fabricant pour sa version brandée
• Chacun a besoin de sa propre DoC et marquage CE
• Les vulnérabilités affectent tous, coordination nécessaire

Risques clés :

• Coordination de la divulgation des vulnérabilités
• Qui signale à ENISA ?
• Confusion client si les mises à jour diffèrent

Scénario 4 : White-Label Partiel (Composants)

Situation : Vous concevez le produit global, sourcez des modules composants white-label.

Vos obligations :

• Vous êtes fabricant du produit global
• Le fournisseur de composants est votre fournisseur
• Vous devez évaluer la sécurité des composants
• Les vulnérabilités des composants sont votre problème

Risques clés :

• Le fournisseur de composants peut ne pas fournir une documentation adéquate
• Vulnérabilité dans le composant = votre responsabilité
• Plusieurs fournisseurs de composants = suivi complexe

Quand le White-Label ne Fonctionne Pas

Certaines situations rendent la conformité white-label très difficile :

L'Usine ne Fournira Pas la Documentation

Si le fournisseur refuse l'accès à la documentation technique, vous ne pouvez pas :

• Compléter l'évaluation de conformité
• Créer un dossier technique conforme
• Démontrer la conformité aux autorités

Options :

• Trouver un autre fournisseur
• Négocier plus durement (la conformité n'est pas négociable)
• Commander des tests indépendants (coûteux, incomplet)

La Période de Support ne Peut Pas Être Garantie

Si le fournisseur ne s'engage pas sur un support de 5 ans :

Options :

• Négocier l'entiercement du code source
• Identifier une capacité de développement de secours
• Raccourcir votre période de support (mais minimum 5 ans toujours requis)
• Ne pas procéder

Le Produit ne Répond Pas aux Exigences

Si le produit white-label a des lacunes fondamentales de sécurité :

Options :

• Exiger que le fournisseur corrige (avant de prendre livraison)
• Ajouter une couche de sécurité vous-même (et devenir plus impliqué)
• Ne pas procéder

Jamais : Mettre un produit non conforme sur le marché en supposant que vous le « corrigerez plus tard ».

Considérations de Coûts

La conformité CRA white-label ajoute des coûts au-delà de l'approvisionnement du produit :

Règle générale : Ajouter 15-25% au coût du produit pour les frais généraux de conformité CRA.

Checklist de Conformité White-Label

CHECKLIST DE CONFORMITÉ CRA WHITE-LABEL

PRÉ-ACCORD :
[ ] Évaluation de sécurité du produit complétée
[ ] Capacité du fournisseur vérifiée
[ ] Disponibilité de la documentation confirmée
[ ] Engagement de période de support sécurisé
[ ] Contrat inclut les termes CRA

DOCUMENTATION :
[ ] Dossier technique reçu et examiné
[ ] SBOM reçu au format approprié
[ ] Documentation d'évaluation des risques disponible
[ ] Rapports de test reçus
[ ] Documentation de conception accessible

ÉVALUATION DE CONFORMITÉ :
[ ] Classification du produit déterminée
[ ] Module d'évaluation sélectionné
[ ] Évaluation de conformité complétée
[ ] DoC signée (par vous, le propriétaire de la marque)
[ ] Marquage CE appliqué

GESTION DES VULNÉRABILITÉS :
[ ] Contact sécurité établi
[ ] Politique CVD publiée
[ ] Processus de notification fournisseur convenu
[ ] Capacité de test des mises à jour
[ ] Processus de notification client

EN CONTINU :
[ ] Mises à jour SBOM reçues
[ ] Surveillance des vulnérabilités active
[ ] Relation fournisseur gérée
[ ] Période de support suivie
[ ] Documentation maintenue

POST-FIN DE VIE :
[ ] Conservation de la documentation (10 ans)
[ ] Divulgation des vulnérabilités connues (si nécessaire)
[ ] Transition client gérée

Comment CRA Evidence Aide

CRA Evidence soutient les fabricants white-label :

• Gestion des fournisseurs : Suivre la conformité des fournisseurs white-label
• Dépôt de documentation : Stocker et gérer la documentation fournie par le fournisseur
• Agrégation SBOM : Combiner les SBOM des composants
• Assemblage du dossier technique : Structurer la documentation pour votre produit brandé
• Workflow de vulnérabilités : Coordonner entre la réponse fournisseur et client

Gérez votre conformité white-label sur app.craevidence.com.

Guides Associes

• Quand les Importateurs Deviennent Fabricants sous le CRA : Escalade de Role
• Due Diligence Fournisseurs CRA : Modele de Questionnaire et Processus de Verification
• Evaluation de Conformite CRA : Guide de Decision Module A vs B+C vs H

Cet article est à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils spécifiques sur la conformité, consultez un conseiller juridique qualifié familier avec les réglementations produits de l'UE.