Quand les Importateurs Deviennent Fabricants selon le CRA : L'Escalade de Rôle Expliquée

Vous importez un routeur d'Asie. Vous mettez le logo de votre entreprise sur la boîte. Félicitations : vous êtes maintenant fabricant selon le CRA, avec des obligations complètes d'évaluation de conformité.

Cet article couvre exactement quand les importateurs franchissent la ligne vers le territoire des fabricants, et ce que cela signifie pour votre charge de conformité.

Les Deux Déclencheurs de l'Escalade de Rôle

L'Article 22 du CRA établit quand un importateur (ou distributeur) est traité comme un fabricant :

Déclencheur 1 : Propre Nom ou Marque

Placer un produit sur le marché sous votre propre marque fait de vous le fabricant, peu importe qui l'a réellement conçu et fabriqué.

Vous déclenchez cela quand :

• Le nom de votre entreprise apparaît comme « fabricant » sur l'emballage
• Votre marque/logo est sur le produit
• Les supports marketing vous présentent comme la source du produit
• Les clients penseraient raisonnablement que vous avez fabriqué le produit

Exemples :

Déclencheur 2 : Modification Substantielle

Faire des changements qui affectent la destination prévue du produit ou sa conformité aux exigences CRA.

Le test : L'évaluation de conformité originale serait-elle encore valide après vos modifications ?

Si vos modifications signifient que le travail de conformité du fabricant original ne s'applique plus, vous avez fait une modification substantielle.

Qu'est-ce qui Compte comme « Modification Substantielle » ?

Le CRA ne fournit pas de liste exhaustive. Le principe est : des changements affectant la posture de sécurité ou l'utilisation prévue.

Définitivement Substantiel

Définitivement PAS Substantiel

Zones Grises (Évaluer Soigneusement)

Arbre de Décision : Suis-je Encore un Importateur ?

DÉBUT : Placement du produit sur le marché UE
│
├─ Sous la marque du fabricant original ?
│   │
│   ├─ OUI → Faites-vous des modifications ?
│   │         │
│   │         ├─ NON → Vous êtes IMPORTATEUR
│   │         │       (Obligations standard d'importateur)
│   │         │
│   │         └─ OUI → La modification affecte-t-elle :
│   │                   • La destination ou l'utilisation prévue ?
│   │                   • La conformité cybersécurité ?
│   │                   • L'architecture de sécurité ?
│   │                   │
│   │                   ├─ OUI à l'une → Vous êtes FABRICANT
│   │                   │               (Obligations complètes de fabricant)
│   │                   │
│   │                   └─ NON à toutes → Vous êtes IMPORTATEUR
│   │                                    (Documentez votre analyse)
│   │
│   └─ NON (votre marque) → Vous êtes FABRICANT
│                          (Obligations complètes de fabricant)

Ce que Signifie le Statut de Fabricant

Si vous déclenchez l'escalade de rôle, vous héritez de l'ensemble complet des obligations fabricant CRA :

Avant la Mise sur le Marché

Évaluation des Risques (Article 13) :

• Mener une évaluation des risques cybersécurité pour votre produit modifié
• Documenter les menaces, vulnérabilités et atténuations
• Lier les risques aux contrôles de sécurité

Développement Sécurisé :

• Même si vous n'avez pas développé l'original, vous devez vous assurer que le produit (tel que modifié) respecte les principes de sécurité dès la conception
• Documenter votre processus de modification et ses considérations de sécurité

Documentation Technique (Annexe VII) :

• Préparer le dossier technique complet incluant :
  • Description du produit
  • Résultats de l'évaluation des risques
  • Architecture de sécurité (telle que modifiée)
  • SBOM (incluant vos modifications)
  • Preuves d'évaluation de conformité

Évaluation de Conformité :

• Déterminer la classification du produit
• Compléter la voie d'évaluation appropriée (Module A, B+C, ou H)
• Si le fabricant original a utilisé une évaluation par tiers, vos modifications l'invalident probablement

Déclaration de Conformité UE :

• Émettre votre propre DoC
• Vous êtes le fabricant responsable
• La DoC du fabricant original ne s'applique plus

Marquage CE :

• Apposer le marquage CE sous votre responsabilité
• Vous déclarez la conformité, pas le fabricant original

Pendant la Période de Support

Gestion des Vulnérabilités :

• Établir un processus de gestion des vulnérabilités
• Surveiller les vulnérabilités (y compris dans les composants non modifiés)
• Fournir des mises à jour de sécurité pendant au moins 5 ans

Signalement des Incidents :

• Signaler les vulnérabilités activement exploitées à ENISA (24h)
• Signaler les incidents graves (24h)
• Vous êtes responsable, même pour les vulnérabilités dans les composants originaux

Communication Client :

• Fournir des notifications de mises à jour de sécurité
• Maintenir des canaux de support
• Gérer la fin de vie de manière responsable

Scénarios Pratiques

Scénario 1 : Électronique en Marque Blanche

Situation : Vous importez des tablettes génériques d'Asie et les vendez sous la marque « AcmeTab ».

Analyse :

• Propre marque : Oui → Déclencheur fabricant
• Modifications : Même sans aucune, le branding déclenche le statut de fabricant

Résultat : Vous êtes fabricant. Les obligations complètes s'appliquent.

Scénario 2 : Équipement Réseau Préconfiguré

Situation : Vous importez des routeurs d'entreprise et les préconfigurez avec des règles de pare-feu et des paramètres VPN personnalisés avant de les vendre aux clients.

Analyse :

• Propre marque : Supposons non (vendu sous marque originale)
• Modifications : Changements de configuration
• Les changements affectent-ils la sécurité ? Règles de pare-feu personnalisées = configuration pertinente pour la sécurité

Résultat : Probablement modification substantielle. Vous êtes probablement fabricant.

Scénario 3 : Correctifs de Sécurité Appliqués

Situation : Vous importez des appareils IoT. Avant la vente, vous appliquez les derniers correctifs de sécurité du fabricant.

Analyse :

• Propre marque : Non
• Modifications : Correctifs de sécurité uniquement
• Le CRA exempte explicitement les correctifs de sécurité qui ne changent pas la fonction prévue

Résultat : Vous êtes toujours importateur. C'est le scénario exempté.

Stratégies pour Rester Importateur

Si vous voulez éviter les obligations de fabricant :

1. Maintenir le Branding Original

Gardez le nom et la marque du fabricant visibles. Votre entreprise peut être identifiée comme importateur/distributeur.

2. Pas de Modifications du Produit

Ne touchez pas au firmware, au matériel ou à la configuration pertinente pour la sécurité. Ce que vous importez est ce que vous vendez.

3. Tout Documenter

Conservez des enregistrements montrant :

• Le produit est non modifié
• Le branding du fabricant original est maintenu
• Vous avez vérifié la conformité du fabricant

4. Travailler avec les Fabricants

Si vous avez besoin de personnalisation :

• Faites faire les modifications par le fabricant
• Assurez-vous que leur DoC couvre la version personnalisée
• Maintenez votre statut d'importateur

Comment CRA Evidence Aide

CRA Evidence supporte à la fois les importateurs et les fabricants :

Pour les Importateurs :

• Flux de vérification des fabricants
• Suivi de la conformité des fournisseurs
• Stockage de documentation pour les obligations d'importateur

Pour les Fabricants (y compris après escalade) :

• Modèles d'évaluation des risques
• Gestion du dossier technique
• Gestion SBOM pour les produits modifiés
• Flux de gestion des vulnérabilités
• Suivi de la période de support

Comprenez votre rôle avec app.craevidence.com.

Guides Associes

• Obligations des Importateurs CRA : Que Verifier Avant de Placer des Produits sur le Marche UE
• Produits White-Label et OEM sous le CRA : Qui est le Fabricant ?
• Conformite CRA Multi-Role : Quand Vous Etes Fabricant, Importateur et Distributeur

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié familier avec les réglementations produits de l'UE.