Quand les importateurs deviennent fabricants selon le CRA : l'escalade de Rôle Expliquée

Un guide pratique de l'escalade de rôle selon l'Article 22 du CRA. Sachez quand le rebranding ou la modification de produits déclenche les obligations complètes de fabricant.

Équipe CRA Evidence Publié 8 février 2026 Mis à jour 25 février 2026
Quand les importateurs deviennent fabricants selon le CRA : l'escalade de Rôle Expliquée
Dans cet article

Vous importez un routeur d'Asie. Vous mettez le logo de votre entreprise sur la boîte. Félicitations : vous êtes maintenant fabricant selon le CRA, avec des obligations complètes d'évaluation de conformité.

Cet article couvre exactement quand les importateurs franchissent la ligne vers le territoire des fabricants, et ce que cela signifie pour votre charge de conformité.

Résumé

  • Les importateurs deviennent fabricants quand : (1) ils placent des produits sous leur propre nom/marque, ou (2) ils font des modifications substantielles
  • « Modification substantielle » = changements affectant la cybersécurité ou la destination du produit
  • L'escalade de rôle déclenche les obligations complètes du fabricant : article 13 (toutes les obligations du fabricant, y compris l'évaluation des risques au titre de l'annexe I partie I), article 14 (notification de vulnérabilités), article 31 et annexe VII (dossier technique), article 32 (évaluation de conformité) et article 28 (déclaration UE de conformité)
  • Exemption : Les correctifs de sécurité qui ne changent pas la fonction du produit
  • Planifiez pour cela : Soit maintenez le statut d'importateur, soit préparez-vous à la conformité fabricant

Important : Si vous modifiez substantiellement un produit (rebranding, changement de firmware, intégration dans un système plus grand), vous pouvez être reclassé comme fabricant sous le CRA avec toutes les obligations correspondantes.

Conseil : Documentez votre rôle exact dans la chaîne d'approvisionnement. L'ambiguïté sur votre statut d'importateur ou de fabricant crée un risque de conformité.

Arbre de décision d'escalade des rôles CRA : quand l'importateur devient fabricant

Les deux déclencheurs de l'escalade de rôle

L'Article 22 du CRA établit quand un importateur (ou distributeur) est traité comme un fabricant :

Déclencheur 1 : propre nom ou marque

Placer un produit sur le marché sous votre propre marque fait de vous le fabricant, peu importe qui l'a réellement conçu et fabriqué.

Vous déclenchez cela quand :

  • Le nom de votre entreprise apparaît comme « fabricant » sur l'emballage
  • Votre marque/logo est sur le produit
  • Les supports marketing vous présentent comme la source du produit
  • Les clients penseraient raisonnablement que vous avez fabriqué le produit

Exemples :

Situation Fabricant ? Pourquoi
Importer un routeur, vendre sous la marque « AcmeTech » Oui Propre marque
Importer une caméra, ajouter « Distribué par AcmeTech » Non Rôle de distributeur clair
Importer un appareil, remplacer tout le branding fabricant par le vôtre Oui Propre nom/marque
Importer un appareil, ajouter votre autocollant à côté du branding original Possiblement Dépend de la proéminence

Déclencheur 2 : modification substantielle

Faire des changements qui affectent la destination prévue du produit ou sa conformité aux exigences CRA.

Le test : L'évaluation de conformité originale serait-elle encore valide après vos modifications ?

Si vos modifications signifient que le travail de conformité du fabricant original ne s'applique plus, vous avez fait une modification substantielle.

Qu'est-ce qui compte comme « modification substantielle » ?

Le CRA ne fournit pas de liste exhaustive. Le principe est : des changements affectant la posture de sécurité ou l'utilisation prévue.

Définitivement substantiel

Modification Pourquoi c'est Substantiel
Installation de firmware personnalisé Change l'architecture de sécurité
Ajout de fonctionnalités de gestion à distance Nouvelle surface d'attaque
Modifications matérielles affectant la sécurité Altère le profil de risque
Intégration de modules de sécurité tiers Change les limites de confiance
Modification des mécanismes d'authentification Fonction de sécurité critique
Ajout de connectivité réseau à un produit hors ligne Changement fondamental de destination
Remplacement des implémentations cryptographiques Changement critique pour la sécurité

Définitivement PAS substantiel

Modification Pourquoi ce n'est pas Substantiel
Application de correctifs de sécurité (sans changement de fonction) Explicitement exempté par le CRA
Localisation linguistique de la documentation Cosmétique seulement
Changements d'emballage (sans changement de produit) Pas une modification du produit
Ajout d'accessoires compatibles Produit original inchangé
Changements cosmétiques (couleur, finition) Pas d'impact sur la sécurité
Stockage/entreposage Pas de modification du tout

Zones grises (évaluer soigneusement)

Modification Considérations
Changements de configuration Cela affecte-t-il les paramètres de sécurité par défaut ?
Logiciel supplémentaire préinstallé Cela change-t-il la surface d'attaque ?
Accessoires matériels qui s'intègrent Affectent-ils les fonctions de sécurité ?
Adaptations régionales Changent-elles le comportement pertinent pour la sécurité ?
Groupement de plusieurs produits Les limites de sécurité sont-elles claires ?

Arbre de décision : suis-je encore un importateur ? 

DÉBUT : Placement du produit sur le marché UE
│
├─ Sous la marque du fabricant original ?
│   │
│   ├─ OUI → Faites-vous des modifications ?
│   │         │
│   │         ├─ NON → Vous êtes IMPORTATEUR
│   │         │       (Obligations standard d'importateur)
│   │         │
│   │         └─ OUI → La modification affecte-t-elle :
│   │                   • La destination ou l'utilisation prévue ?
│   │                   • La conformité cybersécurité ?
│   │                   • L'architecture de sécurité ?
│   │                   │
│   │                   ├─ OUI à l'une → Vous êtes FABRICANT
│   │                   │               (Obligations complètes de fabricant)
│   │                   │
│   │                   └─ NON à toutes → Vous êtes IMPORTATEUR
│   │                                    (Documentez votre analyse)
│   │
│   └─ NON (votre marque) → Vous êtes FABRICANT
│                          (Obligations complètes de fabricant)

Ce que signifie le statut de fabricant

Si vous déclenchez l'escalade de rôle, vous héritez de l'ensemble complet des obligations fabricant CRA :

Avant la mise sur le marché

Évaluation des risques (article 13, annexe I partie I) :

  • Mener une évaluation des risques cybersécurité pour votre produit modifié
  • Documenter les menaces, vulnérabilités et atténuations
  • Lier les risques aux contrôles de sécurité

Développement Sécurisé :

  • Même si vous n'avez pas développé l'original, vous devez vous assurer que le produit (tel que modifié) respecte les principes de sécurité dès la conception
  • Documenter votre processus de modification et ses considérations de sécurité

Documentation technique (article 31, annexe VII) :

  • Préparer le dossier technique complet incluant :
    • Description du produit
    • Résultats de l'évaluation des risques
    • Architecture de sécurité (telle que modifiée)
    • SBOM (incluant vos modifications)
    • Preuves d'évaluation de conformité

Évaluation de conformité (article 32) :

  • Déterminer la classification du produit
  • Compléter la voie d'évaluation appropriée (Module A, B+C, ou H)
  • Si le fabricant original a utilisé une évaluation par tiers, vos modifications l'invalident probablement

Déclaration UE de conformité (article 28, annexe V) :

  • Émettre votre propre DoC
  • Vous êtes le fabricant responsable
  • La DoC du fabricant original ne s'applique plus

Marquage CE :

  • Apposer le marquage CE sous votre responsabilité
  • Vous déclarez la conformité, pas le fabricant original

Pendant la période de support

Gestion des vulnérabilités (article 13, annexe I partie II) :

  • Établir un processus de gestion des vulnérabilités
  • Surveiller les vulnérabilités (y compris dans les composants non modifiés)
  • Fournir des mises à jour de sécurité pendant au moins 5 ans

Signalement des incidents (article 14) :

  • Signaler les vulnérabilités activement exploitées à ENISA (24h)
  • Signaler les incidents graves (24h)
  • Vous êtes responsable, même pour les vulnérabilités dans les composants originaux

Communication Client :

  • Fournir des notifications de mises à jour de sécurité
  • Maintenir des canaux de support
  • Gérer la fin de vie de manière responsable

Obligations continues

Surveillance post-commercialisation :

  • Surveiller votre produit sur le terrain
  • Suivre les rapports de vulnérabilités
  • Mettre en œuvre les enseignements tirés

Conservation de la documentation :

  • Conserver le dossier technique pendant 10 ans après la dernière unité mise sur le marché
  • Maintenir une piste d'audit des modifications

Scénarios pratiques

Scénario 1 : électronique en marque blanche

Situation : Vous importez des tablettes génériques d'Asie et les vendez sous la marque « AcmeTab ».

Analyse :

  • Propre marque : Oui → Déclencheur fabricant
  • Modifications : Même sans aucune, le branding déclenche le statut de fabricant

Résultat : Vous êtes fabricant. Les obligations complètes s'appliquent.

Scénario 2 : équipement réseau préconfiguré

Situation : Vous importez des routeurs d'entreprise et les préconfigurez avec des règles de pare-feu et des paramètres VPN personnalisés avant de les vendre aux clients.

Analyse :

  • Propre marque : Supposons non (vendu sous marque originale)
  • Modifications : Changements de configuration
  • Les changements affectent-ils la sécurité ? Règles de pare-feu personnalisées = configuration pertinente pour la sécurité

Résultat : Probablement modification substantielle. Vous êtes probablement fabricant.

Scénario 3 : correctifs de sécurité appliqués

Situation : Vous importez des appareils IoT. Avant la vente, vous appliquez les derniers correctifs de sécurité du fabricant.

Analyse :

  • Propre marque : Non
  • Modifications : Correctifs de sécurité uniquement
  • Le CRA exempte explicitement les correctifs de sécurité qui ne changent pas la fonction prévue

Résultat : Vous êtes toujours importateur. C'est le scénario exempté.

À documenter : Conservez des enregistrements montrant que les correctifs ont été fournis par le fabricant et n'ont pas modifié la fonctionnalité.

Scénario 4 : personnalisation du firmware pour les clients

Situation : Vous importez des contrôleurs industriels. Pour vos clients grands comptes, vous installez un firmware personnalisé offrant des fonctionnalités supplémentaires.

Analyse :

  • Propre marque : possible ou non
  • Modifications : firmware personnalisé = modification substantielle avérée

Résultat : Vous êtes fabricant pour ces unités personnalisées.

Options :

  • Maintenir deux filières : standard (importateur) et personnalisée (fabricant)
  • Travailler avec le fabricant pour que le firmware personnalisé soit officiellement pris en charge
  • Accepter le statut de fabricant et bâtir l'infrastructure de conformité

Scénario 5 : regroupement matériel

Situation : Vous importez des caméras de sécurité et les regroupez avec un enregistreur vidéo en réseau (NVR) tiers en tant que « système complet ».

Analyse :

  • Propre marque : si vendu comme « AcmeSecurity System », oui
  • Modifications : le regroupement crée un nouveau « produit » s'il est commercialisé comme intégré
  • Limites de sécurité : NVR + caméras = profil de sécurité différent de celui des caméras seules

Résultat : Probablement fabricant pour le système groupé.

Alternative : Vendre comme produits séparés, clairement distincts, avec le branding d'origine.

Stratégies pour rester importateur

Si vous voulez éviter les obligations de fabricant :

1. Maintenir le branding original

Gardez le nom et la marque du fabricant visibles. Votre entreprise peut être identifiée comme importateur/distributeur.

2. Pas de modifications du produit

Ne touchez pas au firmware, au matériel ou à la configuration pertinente pour la sécurité. Ce que vous importez est ce que vous vendez.

3. Tout documenter

Conservez des enregistrements montrant :

  • Le produit est non modifié
  • Le branding du fabricant original est maintenu
  • Vous avez vérifié la conformité du fabricant

4. Travailler avec les fabricants

Si vous avez besoin de personnalisation :

  • Faites faire les modifications par le fabricant
  • Assurez-vous que leur DoC couvre la version personnalisée
  • Maintenez votre statut d'importateur

Se préparer au statut de fabricant

Si l'escalade de rôle est inévitable ou stratégiquement souhaitée :

Infrastructure de conformité

Bâtissez les capacités dont les fabricants ont besoin :

Capacité Ce que cela signifie
Compétence en évaluation des risques Personnes et processus pour évaluer les risques de sécurité
Documentation technique Capacité à créer et à maintenir des dossiers techniques
Évaluation de conformité Capacité module A ou relation avec un organisme notifié
Gestion des vulnérabilités Réception, triage, remédiation, communication
Distribution des mises à jour Mécanisme pour livrer les correctifs de sécurité
Support client Support orienté sécurité pendant au moins 5 ans

Relations fournisseurs

Même en tant que fabricant, vous dépendez des fournisseurs d'origine :

  • Accès à la documentation technique : vous avez besoin des détails sous-jacents
  • Informations sur les vulnérabilités : ils peuvent découvrir les problèmes en premier
  • Support des composants : leur support conditionne votre capacité à maintenir le produit
  • Obligations contractuelles : assurez-vous qu'ils vous soutiendront pendant toute votre période de support

Considérations de coût

Le statut de fabricant augmente les coûts :

Catégorie de coût Importateur Fabricant
Évaluation de conformité Vérifier uniquement Réaliser (ou payer un ON)
Documentation Vérifier l'existence Créer et maintenir
Gestion des vulnérabilités Notifier en amont Assurer tout le processus
Mises à jour Transmettre Développer et distribuer
Période de support Surveiller Délivrer
Exposition à la responsabilité Moindre Plus élevée

Modélisez ces coûts avant de décider de déclencher le statut de fabricant.

Erreurs courantes

« Ce n'est qu'un autocollant »

Faux. Votre marque sur le produit = statut de fabricant, peu importe que vous ayez apporté ou non d'autres changements.

Un autocollant portant votre logo vous transforme d'importateur en fabricant.

« Nous améliorons la sécurité, nous ne la changeons pas »

Risqué. Même les « améliorations » peuvent être des modifications substantielles.

Si votre amélioration change l'architecture de sécurité, la surface d'attaque ou les mécanismes d'authentification, elle est substantielle.

« Le fabricant a dit que nous pouvions »

Peu importe. Les obligations du CRA découlent de ce que vous faites, pas de l'autorisation dont vous disposez.

L'aval du fabricant ne vous transfère pas sa conformité. Si vous déclenchez l'escalade, il vous faut votre propre conformité.

« Nous garderons les deux rôles »

Compliqué mais possible. Vous pouvez être importateur pour les produits non modifiés et fabricant pour les produits modifiés.

Cela exige une séparation claire : SKU différents, documentation différente, filières de support différentes.

« Nos clients exigent des modifications »

Comprenez les implications. Les exigences clients ne vous exemptent pas du CRA.

Si les clients ont besoin de personnalisation, vous devez soit :

  • Faire réaliser les modifications par le fabricant d'origine
  • Accepter le statut de fabricant et tarifer en conséquence
  • Refuser la personnalisation

Liste de contrôle d'évaluation du rôle 

LISTE DE CONTRÔLE D'ÉVALUATION DU RÔLE

Produit : _______________________________________
Fournisseur/Fabricant : _________________________
Date : _________________________________________

ANALYSE DU BRANDING :
[ ] Produit vendu sous la marque du fabricant d'origine ?
[ ] Nom/logo de notre entreprise NON présenté comme fabricant ?
[ ] Le client identifierait-il le fabricant d'origine comme source ?

Si un seul NON → STATUT DE FABRICANT PROBABLE

ANALYSE DES MODIFICATIONS :
[ ] Aucun changement de firmware (au-delà des correctifs du fabricant) ?
[ ] Aucune modification matérielle ?
[ ] Aucun changement de configuration pertinent pour la sécurité ?
[ ] Aucun logiciel supplémentaire installé ?
[ ] Aucun changement de connectivité ?
[ ] Aucun changement d'authentification/autorisation ?

Si un seul NON → Évaluer si la modification est « substantielle »

TEST DE MODIFICATION SUBSTANTIELLE :
Pour chaque modification :
- Affecte-t-elle la destination prévue ? [ ] Oui [ ] Non
- Affecte-t-elle la conformité cybersécurité ? [ ] Oui [ ] Non
- L'évaluation de conformité d'origine resterait-elle valide ? [ ] Oui [ ] Non

Si « Oui » aux deux premières ou « Non » à la troisième → SUBSTANTIELLE

RÉSULTAT :
[ ] IMPORTATEUR - Aucun déclencheur identifié
[ ] FABRICANT - Déclencheur(s) identifié(s) :
    [ ] Propre nom/marque
    [ ] Modification substantielle : _________________

SI STATUT DE FABRICANT :
[ ] Processus d'évaluation des risques établi
[ ] Préparation du dossier technique planifiée
[ ] Voie d'évaluation de conformité sélectionnée
[ ] Capacité de gestion des vulnérabilités
[ ] Engagement de période de support (minimum 5 ans)
[ ] Accords fournisseurs en place

Évalué par : ___________________________________
Date : _________________________________________

Questions fréquentes

Le rebranding seul déclenche-t-il le statut de fabricant même sans modifications ?

Oui. Placer un produit sur le marché UE sous votre propre nom ou marque fait de vous le fabricant au titre de l'article 22 du CRA, indépendamment de toute autre modification. Un autocollant portant votre logo suffit à déplacer le rôle juridique. C'est le déclencheur 1 de l'escalade de rôle et il s'applique même si le matériel et le firmware sont identiques à ceux sortis de l'usine d'origine.

Les correctifs de sécurité sont-ils parfois des modifications substantielles ?

Non, tant qu'ils préservent la fonction prévue du produit. Le CRA exempte explicitement les mises à jour de sécurité qui corrigent des vulnérabilités sans altérer la destination, le comportement ou l'architecture. En revanche, si un « correctif » ajoute aussi des fonctionnalités, modifie l'authentification ou élargit la surface d'attaque, il sort de l'exemption et compte comme une modification substantielle. Documentez que les correctifs proviennent du fabricant d'origine et n'ont pas changé la fonctionnalité, afin que l'exemption soit défendable lors d'un audit.

Pouvons-nous cumuler les rôles d'importateur et de fabricant en même temps ?

Oui, mais uniquement avec une séparation claire au niveau du produit. Vous pouvez rester importateur pour les SKU non modifiés tout en agissant comme fabricant pour les SKU modifiés ou rebrandés. Cela exige des identifiants produits distincts, des dossiers techniques séparés, des déclarations UE de conformité séparées, une responsabilité de marquage CE séparée et des filières de support séparées. Les mélanger sur un même SKU bascule par défaut en statut de fabricant, car le régulateur retiendra la classification la plus exigeante.

Qu'advient-il du marquage CE du fabricant d'origine lorsque nous déclenchons l'escalade de rôle ?

Il ne couvre plus votre produit. Au titre de l'article 22, dès lors que vous êtes traité comme le fabricant, vous devez émettre votre propre déclaration UE de conformité (article 28) et apposer le marquage CE sous votre propre responsabilité. La DoC et le marquage CE du fabricant d'origine s'appliquaient au produit tel qu'il l'a placé sur le marché ; votre modification ou votre rebranding crée un nouvel acte de mise sur le marché dont vous êtes responsable.

La période de support de 5 ans redémarre-t-elle lorsque nous reprenons le rôle de fabricant ?

Oui. La période de support minimale prévue à l'article 13(8) court à compter de la date à laquelle vous placez le produit modifié sur le marché UE, et non de la première mise sur le marché par le fabricant d'origine. Si vous rebrandez ou modifiez un produit existant en 2027 et le placez sur le marché UE, vous devez au moins cinq ans de mises à jour de sécurité à partir de 2027, même si la conception sous-jacente est plus ancienne. Intégrez cela au prix et aux contrats fournisseurs : le fournisseur amont doit s'engager à vous soutenir pendant au moins votre propre période de support.

Avons-nous besoin d'un organisme notifié si le fabricant d'origine en a utilisé un ?

Généralement oui, si le produit relève de la classe importante ou critique et que vous l'avez modifié substantiellement. Le certificat de l'organisme notifié était lié au produit tel que conçu et évalué à l'origine. La modification substantielle invalide cette évaluation, vous devez donc soit refaire l'évaluation de conformité via le module A (auto-évaluation, uniquement pour les produits de classe par défaut), soit engager vous-même un organisme notifié pour le module B+C ou le module H. Le rebranding sans modification d'un produit de classe I/II déclenche également votre propre évaluation, car vous êtes désormais le fabricant légal.

Comment CRA Evidence aide

CRA Evidence supporte à la fois les importateurs et les fabricants :

Pour les Importateurs :

  • Flux de vérification des fabricants
  • Suivi de la conformité des fournisseurs
  • Stockage de documentation pour les obligations d'importateur

Pour les Fabricants (y compris après escalade) :

  • Modèles d'évaluation des risques
  • Gestion du dossier technique
  • Gestion SBOM pour les produits modifiés
  • Flux de gestion des vulnérabilités
  • Suivi de la période de support

Comprenez votre rôle avec craevidence.com.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié familier avec les réglementations produits de l'UE.

CRA Fabricants Importateurs Application
Share

Articles connexes

Retour à tous les articles

Le CRA s'applique-t-il à votre produit ?

Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du Cyber Resilience Act de l'UE. Obtenez votre résultat en moins de 2 minutes.

Vérifier maintenant

Prêt à atteindre la conformité CRA ?

Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.

Démarrer l'essai gratuit de 14 jours