Chaque produit comportant des éléments numériques a besoin d'une déclaration UE de conformité avant de pouvoir légalement porter le marquage CE. La DoC est votre déclaration formelle attestant que le produit répond aux exigences CRA. Vous êtes légalement responsable de son exactitude.
Ce guide fournit un modèle complet et explique chaque élément requis.
Résumé
- La déclaration UE de conformité (DoC) est obligatoire pour chaque produit CRA et doit exister avant la mise sur le marché.
- Le fabricant la signe. Un mandataire établi dans l'UE peut être désigné sur la déclaration et la conserver pour les autorités, mais l'acte de déclarer la conformité reste du ressort du fabricant.
- Les éléments requis sont fixés dans le modèle de déclaration CRA.
- Elle doit être disponible dans les langues exigées par chaque État membre où le produit est vendu.
- Conservez-la au moins 10 ans après la mise sur le marché, ou pendant la durée de support si elle est plus longue.
- Une modification substantielle exige une nouvelle DoC, émise par celui qui a effectué le changement.
- Un modèle est fourni ci-dessous. Adaptez-le à votre produit.
Important : Ne signez pas une DoC avant la fin de l'évaluation de conformité. Une déclaration incomplète ou inexacte peut créer une exposition sérieuse aux sanctions et fragiliser le marquage CE.
Conseil : Ajoutez la période de support du produit et un point de contact vulnérabilités dans la DoC. Ce sont des champs de transparence utiles, même lorsque le modèle minimal ne les impose pas.
Qu'est-ce que la déclaration UE de conformité ?
La déclaration UE de conformité est un document juridique formel par lequel le fabricant déclare qu'un produit est conforme à la législation de l'Union applicable. Elle est obligatoire pour tous les produits comportant des éléments numériques avant qu'ils puissent porter le marquage CE. Pour les produits CRA, elle doit indiquer :
- Le produit répond aux exigences essentielles de cybersécurité.
- L'évaluation de la conformité a été achevée.
- Le fabricant assume la responsabilité juridique.
Sans DoC signée, votre produit ne peut pas porter le marquage CE et ne peut pas être légalement mis sur le marché de l'Union.
Que requiert le CRA dans la DoC ?
La DoC doit être établie avant la mise sur le marché, tenue à jour à mesure que le produit ou son statut de conformité évolue, traduite dans la ou les langues exigées par chaque État membre où le produit est commercialisé, et conservée avec le dossier technique pendant au moins dix ans.
Remarque : Lorsqu'un produit relève de plusieurs règlements de l'Union, vous pouvez établir une seule déclaration combinée qui les couvre tous. Voir la variation « Plusieurs règlements » plus loin dans ce guide.
Éléments requis
| # | Élément | Ce qu'il faut inclure |
|---|---|---|
| 1 | Nom et type du produit | Nom, type et toute information supplémentaire permettant l'identification unique du produit comportant des éléments numériques. |
| 2 | Identification du fabricant | Nom et adresse du fabricant ou de son mandataire. |
| 3 | Attestation de responsabilité exclusive | Formulation exacte : « La présente déclaration de conformité est établie sous la seule responsabilité du fournisseur. » |
| 4 | Objet de la déclaration | Identification du produit permettant la traçabilité, pouvant inclure une photographie si approprié. |
| 5 | Mention de conformité | Confirmer que l'objet est conforme au Règlement (UE) 2024/2847. |
| 6 | Normes et certifications appliquées | Normes harmonisées, spécifications communes ou certifications de cybersécurité invoquées. |
| 7 | Coordonnées de l'organisme notifié | Nom, numéro, procédure d'évaluation de la conformité suivie, référence du certificat. Requis uniquement si un module d'évaluation par tierce partie a été utilisé. |
| 8 | Informations supplémentaires et signature | Lieu et date d'émission ; nom, fonction et signature du signataire (manuscrite ou électronique qualifiée). Autres informations supplémentaires si nécessaire. |
Chaque ligne correspond au point numéroté de Annexe V.
Remarque : Un numéro de déclaration n'est pas obligatoire, mais il est fortement recommandé pour le contrôle de version et le suivi interne.
Modèle complet de DoC
Utilisez ce modèle comme point de départ. Personnalisez les champs entre crochets pour votre produit.
Remarque : La section 3 contient une phrase juridiquement requise verbatim. Ne la paraphrasez pas.
Identification du document
| N° de déclaration | [DoC-PRODUIT-AAAA-NNN] |
|---|---|
| Date d'émission | [JJ mois AAAA] |
Fabricant
| Nom | [Raison sociale] |
|---|---|
| Adresse | [Adresse, Code postal, Ville, Pays] |
| Contact | [E-mail / Téléphone] |
| Site web | [URL] |
Identification du produit
| Nom du produit | [Nom du produit] |
|---|---|
| Modèle / type | [Numéro de modèle / désignation de type] |
| Version matérielle | [Version matérielle, le cas échéant] |
| Version logicielle | [Version logicielle / firmware] |
| Lot / série | [Plage de lots ou format de numéro de série] |
| Photographie | [Optionnelle, lorsque pertinente pour la traçabilité] |
| Description | [Brève description du produit et de sa finalité, suffisante pour l'identifier sans ambiguïté] |
Déclaration
« La présente déclaration de conformité est établie sous la seule responsabilité du fournisseur. » (Phrase verbatim juridiquement requise au titre de Annexe V, point 3.)
L'objet de la déclaration décrit ci-dessus est conforme à la législation d'harmonisation de l'Union pertinente :
- Règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 concernant des exigences horizontales de cybersécurité pour les produits comportant des éléments numériques (Cyber Resilience Act).
- [Autre législation de l'Union applicable, le cas échéant.]
Évaluation de la conformité
Procédure d'évaluation de la conformité appliquée (en sélectionner une) :
Module A. Contrôle interne de la production. Fondé sur Annexe VIII.
| Organisme notifié | Non requis pour le Module A |
|---|
Module B + C. Examen UE de type + conformité au type. Fondé sur Annexe VIII.
| Organisme notifié | [Nom], n° [XXXX] |
|---|---|
| Certificat | [Numéro], daté du [JJ mois AAAA] |
Module H. Assurance qualité complète. Fondé sur Annexe VIII.
| Organisme notifié | [Nom], n° [XXXX] |
|---|---|
| Certificat AQ | [Numéro], daté du [JJ mois AAAA] |
Certification européenne de cybersécurité au titre de Article 27(9) et du Règlement (UE) 2019/881.
| Schéma | [Nom] |
|---|---|
| Certificat | [Numéro] |
| Niveau d'assurance | [Substantiel / Élevé] |
Normes et spécifications appliquées
| Normes harmonisées | EN [XXXXX]:20XX, [Titre de la norme] |
|---|---|
| Autres spécifications techniques | ISO/IEC [XXXXX]:20XX, [Titre de la norme] |
| Certifications de cybersécurité | [Nom du schéma, référence du certificat, le cas échéant] |
Informations supplémentaires (spécifiques CRA)
| Période d'assistance | Mises à jour de sécurité jusqu'au [JJ mois AAAA] |
|---|---|
| Première mise sur le marché de l'Union | [JJ mois AAAA] |
| Contact vulnérabilités | [security@entreprise.com] / [https://entreprise.com/.well-known/security.txt] |
| Documentation technique | Disponible sur demande auprès des autorités compétentes à l'adresse ci-dessus. |
Signature
Signé pour et au nom de [Raison sociale] :
Lieu : [Ville, Pays] · Date : [JJ mois AAAA]
Guide section par section
1. Identification du document
Numéro de déclaration. Non obligatoire, mais fortement recommandé pour le contrôle de version. Un format pratique est DoC-[CodeProduit]-[Année]-[Séquence], par exemple DoC-SSP3000-2027-001.
Date d'émission. La date à laquelle vous signez la déclaration. Elle doit être postérieure à l'achèvement de l'évaluation de la conformité.
2. Identification du fabricant
Le signataire est le fabricant : une personne habilitée à l'engager juridiquement. Le CRA permet de désigner un mandataire, mais ne l'exige pas à lui seul ; lorsqu'un mandataire est désigné, il peut être mentionné sur la déclaration et la conserver pour les autorités, mais l'acte de déclarer la conformité reste du ressort du fabricant (Article 28). Si un mandataire est mentionné, ajoutez une ligne telle que :
Mandataire : [Nom, Adresse]
agissant au nom de : [Nom du fabricant, Adresse]
3. Identification du produit
Soyez suffisamment précis pour la traçabilité : indiquez les numéros de modèle, séparez les versions matérielles et logicielles, et précisez la portée des numéros de lot ou de série.
Exemple :
Nom du produit : SmartSense Pro Industrial Sensor
Modèle/type : SSP-3000
Version matérielle :Rev C (PCB v3.2)
Version logicielle :Firmware 2.4.1
Lot/série : Numéros de série SSP3K-2027-XXXXXX
4. Évaluation de la conformité
Le module à utiliser dépend de la classification de votre produit. Utilisez ce tableau pour vous orienter :
| Module | Quand il s'applique | Organisme notifié ? |
|---|---|---|
| Module A (contrôle interne de la production) | Produits par défaut ; Important Classe I lorsque les normes, spécifications ou schémas pertinents sont pleinement appliqués | Non |
| Module B+C (examen UE de type) | Disponible pour tous les produits ; option requise pour Important Classe I lorsqu'ils ne sont pas pleinement appliqués ; une voie pour Important Classe II et le recours critique | Oui |
| Module H (assurance qualité complète) | Tous les produits ; alternative au B+C pour Important Classe I et II | Oui |
| EUCC / schéma de cybersécurité | Produits détenant un certificat européen de cybersécurité au niveau d'assurance ≥ Substantiel (Article 27(9)) | Aucune évaluation tierce supplémentaire requise |
Note : Les produits critiques suivent une voie d'évaluation de conformité plus stricte. Utilisez le guide de décision d'évaluation de conformité pour la logique complète.
Utilisez cet organigramme pour identifier votre parcours :
flowchart TD
A["Quelle est la classe de votre produit ?"] --> B["Par défaut\n(pas Annexe III/IV)"]
A --> C["Important Classe I\n(Annexe III)"]
A --> D["Important Classe II\n(Annexe III)"]
A --> E["Critique\n(Annexe IV)"]
B --> F["Module A, B+C ou H\nvotre choix"]
C --> G{"Normes, spécifications ou\nschéma pleinement appliqués ?"}
G -->|Oui| H["Module A disponible\nou B+C / H"]
G -->|Non| I["Module B+C ou H\nOrganisme notifié requis"]
D --> J["Module B+C, H, ou un schéma de certification\nau niveau d'assurance au moins substantiel"]
E --> K["Voie de certification si Article 8(1) s'applique\nsinon voies de Article 32(3)"]
5. Normes appliquées
Les normes harmonisées sont des normes publiées au Journal officiel de l'Union européenne. Elles créent une présomption de conformité pour les exigences qu'elles couvrent. Indiquez la référence complète : numéro, année, titre.
Format :
EN 303 645:2020, Cybersécurité pour l'Internet des objets grand public : exigences de base
En l'absence de normes harmonisées, indiquez : « Aucune norme harmonisée appliquée. Conformité démontrée par [décrire l'approche]. »
Si un certificat européen de cybersécurité a été invoqué lors de l'évaluation de la conformité, listez-le avec le nom du schéma et le numéro de référence du certificat (cela couvre le champ certification de la déclaration).
6. Informations supplémentaires spécifiques au CRA
Cette section ne fait pas partie du modèle minimal, mais son inclusion améliore la transparence réglementaire :
- Période d'assistance. Indiquez à quel moment les mises à jour de sécurité prennent fin. Elle doit être d'au moins 5 ans à compter de la mise sur le marché, ou la durée d'utilisation prévue si elle est plus courte.
- Contact vulnérabilités. L'endroit où les signalements doivent être envoyés, avec une référence à votre fichier
security.txt.
Remarque : La date de fin de la période d'assistance doit également apparaître au point de vente. L'inclure dans la DoC est une bonne pratique, mais ne se substitue pas à la communication au point de vente.
7. Signature
Toute personne habilitée à engager juridiquement le fabricant peut signer. Il s'agit typiquement du PDG, d'un directeur, du responsable qualité ou du responsable des affaires réglementaires. La DoC doit porter le nom complet et la fonction du signataire, le lieu et la date (la date doit suivre l'achèvement de l'évaluation), ainsi qu'une signature manuscrite ou une signature électronique qualifiée.
Quand le marquage CE doit-il être apposé par rapport à la déclaration de conformité ?
Pour les produits physiques, apposez le marquage CE de façon visible, lisible et indélébile sur le produit avant sa mise sur le marché.
Pour les produits exclusivement logiciels, le marquage CE est apposé soit directement sur la déclaration UE de conformité, soit sur le site web du produit, dans une section facilement et directement accessible aux utilisateurs.
Remarque : Le marquage CE doit être apposé avant la mise sur le marché, et non après. Pour les produits logiciels, vérifiez que la DoC ou la section du site web est en ligne avant le début de toute distribution.
La DoC doit-elle être traduite ?
Oui. La DoC doit être mise à disposition dans la ou les langues exigées par chaque État membre où le produit est mis sur le marché.
En pratique :
- Vente uniquement en Allemagne, une DoC en allemand est requise.
- Vente dans toute l'Union, vous aurez besoin de plusieurs versions linguistiques.
- Conservez toutes les versions linguistiques dans le dossier technique.
La DoC simplifiée et l'URL pointant vers la DoC complète doivent également être dans la ou les langues requises. L'URL elle-même doit rester stable et accessible.
Chaque modèle ou version de produit a-t-il besoin de sa propre déclaration de conformité ?
Une DoC par type de produit
Chaque modèle ou type de produit distinct a généralement besoin de sa propre DoC.
Une seule DoC peut couvrir plusieurs variantes lorsque ce sont des variantes du même type, que la même évaluation de la conformité s'applique à toutes et que les mêmes normes ont été appliquées.
Exemple :
Nom du produit : SmartSense Pro Industrial Sensor
Modèle/type : SSP-3000 (toutes variantes)
- SSP-3000-WiFi
- SSP-3000-LoRa
- SSP-3000-Cellular
Quand une modification requiert-elle une nouvelle DoC ?
Avertissement : Une modification substantielle est tout changement qui affecte la base de conformité cybersécurité du produit ou sa finalité prévue. Elle exige une nouvelle DoC. Celui qui réalise la modification substantielle devient le fabricant du produit modifié et doit émettre la nouvelle DoC.
| Scénario | Nouvelle DoC requise ? |
|---|---|
| Nouvelle version matérielle affectant les caractéristiques de sécurité | Oui, modification substantielle |
| Mise à jour du firmware introduisant de nouvelles interfaces ou de nouveaux vecteurs de menace | Oui, profil de risque cybersécurité modifié |
| Mise à jour du firmware modifiant la finalité du produit | Oui, modification substantielle |
| Correctif de sécurité (même architecture, aucun nouveau risque, réduction des CVE) | Au cas par cas |
| Modification des normes harmonisées appliquées ou du certificat d'évaluation de la conformité | Oui |
| Modification cosmétique, documentaire uniquement ou de localisation | Non |
| Un tiers modifie substantiellement le produit et le met sur le marché | Oui, le tiers émet la nouvelle DoC en tant que nouveau fabricant |
Pour les versions logicielles itératives qui ne sont pas des modifications substantielles, la DoC existante reste valide. Vous devez être en mesure de le démontrer aux autorités de surveillance du marché, et la mise à jour de l'évaluation des risques en est le moyen.
Distribution de la DoC
La DoC doit accompagner le produit. Vous pouvez choisir entre :
- la DoC complète, ou
- une DoC simplifiée portant l'adresse internet exacte où la DoC complète est publiée.
L'une ou l'autre forme doit également être fournie sur demande aux autorités de surveillance du marché, et devrait être mise à disposition des clients sur demande.
Déclaration UE de conformité simplifiée
La forme simplifiée comporte deux phrases : la déclaration du fabricant et une URL où le document complet peut être consulté. Elle est particulièrement utile pour les distributions logicielles, le matériel à emballage contraint et tout produit dont la DoC complète est publiée en ligne.
Par la présente, [nom du fabricant] déclare que le produit comportant des éléments numériques de type [désignation du type de produit comportant un élément numérique] est conforme au Règlement (UE) 2024/2847.
Le texte complet de la déclaration UE de conformité est disponible à l'adresse internet suivante : [URL]
Exigences pour l'URL : stable (ne pas la modifier après distribution des produits), accessible sans inscription ni connexion, et la page doit permettre de télécharger ou d'imprimer la DoC. La DoC complète doit toujours exister dans le dossier technique et être disponible pour les autorités sur demande.
Pièges courants
| Erreur | Pourquoi c'est important | Correction |
|---|---|---|
| Éléments requis manquants (par exemple aucun module d'évaluation de la conformité indiqué) | La DoC est non conforme | Utilisez la checklist avant de signer ; vérifiez chaque point de Annexe V |
| Mauvaise entité signataire (l'importateur ou le distributeur signe à la place du fabricant) | La DoC est juridiquement invalide | Seul le fabricant (une personne habilitée à l'engager juridiquement) peut signer ; un importateur ou distributeur ne peut pas signer sauf s'il est devenu fabricant |
| Références de normes obsolètes (normes retirées ou remplacées listées) | La présomption de conformité est perdue | Révisez régulièrement les normes appliquées ; mettez à jour la DoC quand elles changent |
| Aucun contrôle de version (plusieurs DoC existent sans version courante claire) | Risque en audit et en application | Attribuez des numéros de déclaration ; archivez les versions remplacées |
| Signature avant la fin de l'évaluation (DoC datée avant la fin des activités de conformité) | La DoC est antérieure aux preuves sur lesquelles elle s'appuie | Achevez toutes les activités d'évaluation d'abord ; la date de la DoC doit suivre l'évaluation |
| Mauvaise langue (DoC uniquement en anglais lors d'une vente dans un État membre non anglophone) | Non conforme pour ce marché | Traduisez la DoC dans chaque langue requise par l'État membre |
| Pas de mise à jour après modification substantielle (la DoC d'origine reste en vigueur après un changement majeur) | La DoC couvre une version qui n'a jamais été évaluée | Émettez une nouvelle DoC chaque fois qu'une modification substantielle se produit |
Checklist de préparation de la DoC
- Évaluation de la conformité achevée
- Rapports de tests disponibles
- Dossier technique préparé
- Liste des normes finalisée
- Période d'assistance déterminée
- Exigences linguistiques confirmées pour tous les États membres cibles
- Numéro de déclaration unique attribué
- Nom et adresse du fabricant exacts
- Produit entièrement identifié (modèle, version, lot/série)
- CRA référencé correctement : « Règlement (UE) 2024/2847 »
- Autre législation applicable listée (le cas échéant)
- Module d'évaluation de la conformité indiqué
- Coordonnées de l'organisme notifié incluses (le cas échéant)
- Toutes les normes appliquées listées avec références complètes
- Date de fin de période d'assistance incluse
- Coordonnées du contact sécurité incluses
- Le signataire est habilité à engager le fabricant
- Nom complet et titre/fonction indiqués
- Lieu et date indiqués (date postérieure à l'achèvement de l'évaluation)
- Signature présente (manuscrite ou électronique qualifiée)
- Copie accompagnant le produit (physique ou lien numérique)
- Copie dans le dossier technique
- Disponible pour les demandes des autorités
- Versions suivies et archivées
- Versions linguistiques préparées pour tous les États membres cibles
- Marquage CE apposé avant la distribution
Variations du modèle de DoC
Pour le Module A (auto-évaluation)
Module A. Contrôle interne de la production. Fondé sur Annexe VIII.
Le fabricant a vérifié que le produit répond aux exigences essentielles par une évaluation interne documentée dans le dossier technique.
Pour le Module B+C (tierce partie)
Module B + C. Examen UE de type + conformité au type. Fondé sur Annexe VIII.
| Organisme notifié | TÜV Rheinland LGA Products GmbH |
|---|---|
| N° organisme notifié | 0197 |
| Certificat | EU-TYPE-2027-12345 |
| Date | 15 janvier 2027 |
Le fabricant assure la conformité de la production au type certifié (Module C) par des contrôles internes de production.
Pour plusieurs règlements
Une seule DoC combinée est permise lorsqu'un produit est soumis à la fois au CRA et à d'autres législations de l'Union :
L'objet de la déclaration décrit ci-dessus est conforme à la législation d'harmonisation de l'Union pertinente :
- Règlement (UE) 2024/2847 (Cyber Resilience Act)
- Directive 2014/53/UE (Directive Équipements Radioélectriques). Organisme notifié : [Nom], n° [XXXX], certificat : [Numéro]
- Directive 2014/35/UE (Directive Basse Tension)
Exigences de conservation
| Ce qu'il faut conserver | Durée de conservation | Où |
|---|---|---|
| DoC signée (ou copie authentifiée) | 10 ans après la mise sur le marché, ou la période d'assistance si elle est plus longue | Dossier technique ; accessible aux autorités sur demande |
| Historique des versions et DoC remplacées | Avec la DoC courante | Dossier technique |
| Documentation justificative référencée dans la DoC | Avec la DoC | Dossier technique |
Foire aux questions
Une seule déclaration de conformité peut-elle couvrir des produits vendus dans tous les États membres de l'Union ?
Oui. Le même document de DoC peut couvrir toute l'Union, mais il doit être traduit dans la ou les langues exigées par chaque État membre où le produit est mis à disposition. Le contenu de base est identique ; seule la version linguistique change. Conservez toutes les traductions dans le dossier technique.
La déclaration de conformité CRA doit-elle être notariée ou certifiée officiellement ?
Non. La DoC est signée par le fabricant. Une signature manuscrite ou une signature électronique qualifiée est suffisante. Aucune notarisation, apostille ou certification tierce du document lui-même n'est requise, sauf si un État membre spécifique l'exige aux fins de la surveillance du marché.
Que se passe-t-il si la surveillance du marché constate que la DoC est incomplète ou inexacte ?
L'exposition aux sanctions dépend du manquement. Une fausse affirmation selon laquelle la conformité du produit a été démontrée peut atteindre le niveau d'amende CRA le plus élevé. Les défauts isolés de DoC, de marquage CE, d'évaluation de conformité ou de documentation relèvent du niveau suivant ; les informations incorrectes ou trompeuses fournies aux autorités ont leur propre niveau inférieur.
Un produit logiciel peut-il utiliser la DoC UE simplifiée au lieu du document complet ?
Oui. Les fabricants peuvent joindre au produit la déclaration UE de conformité simplifiée, sous réserve que le document complet soit publiquement accessible à une URL stable. La forme simplifiée comporte deux phrases : la déclaration de conformité du fabricant et l'URL. Le document complet doit toujours exister et être disponible auprès des autorités sur demande.
Combien de temps la déclaration de conformité CRA doit-elle être conservée ?
Au moins 10 ans après la mise sur le marché du produit, ou pendant la durée de la période d'assistance, la plus longue des deux étant retenue. Pour un produit dont la période d'assistance est de 15 ans, la DoC et le dossier technique doivent être conservés pendant 15 ans.
Qui est habilité à signer la déclaration de conformité CRA ?
Le fabricant signe : une personne habilitée à engager juridiquement le fabricant. Un mandataire ne signe pas la déclaration ; au titre de l'Article 28, l'acte de déclarer la conformité reste du ressort du fabricant, bien que le mandataire puisse être mentionné sur la DoC et la conserver pour les autorités. Un importateur ou distributeur ne peut pas signer sauf s'il est devenu fabricant par apposition de sa propre marque ou par modification substantielle.