Si votre entreprise revend ou fournit un produit comportant des éléments numériques sur le marché de l'UE après le fabricant ou l'importateur, et sans modifier le produit, le Règlement sur la cyberrésilience la traite généralement comme distributeur. Les distributeurs ne refont pas l'évaluation de la conformité, mais ils doivent vérifier que les artefacts visibles de conformité sont présents avant la mise à disposition, arrêter la vente lorsqu'un élément manque ou paraît non conforme, transmettre les informations de vulnérabilité en amont, coopérer avec la surveillance du marché et informer les autorités et les utilisateurs si le fabricant cesse ses activités.
Résumé
- Êtes-vous le distributeur ? Vous l'êtes généralement si vous mettez le produit à disposition après l'importateur ou un autre distributeur sans en affecter les propriétés.
- Que vérifier avant vente ou fourniture ? Marquage CE, identifiant produit, coordonnées du fabricant, informations utilisateur, date de fin de période de soutien, accès à la DoC UE, identification de l'importateur et documents nécessaires.
- Quand faut-il arrêter ? Ne mettez pas le produit à disposition si le produit ou les processus du fabricant semblent non conformes. Informez le fabricant et la surveillance du marché en cas de risque de cybersécurité significatif.
- Qu'est-ce qui continue après la vente ? Suivi des mesures correctives, retrait ou rappel le cas échéant, information sur les vulnérabilités au fabricant et notification à la surveillance du marché en cas de risque significatif.
- Quels documents doivent être prêts ? Le distributeur doit pouvoir fournir les informations et documents de conformité sur demande motivée ; il n'existe pas de règle propre de conservation de la DoC pendant 10 ans pour les distributeurs.
- Quand les obligations s'appliquent-elles ? Les obligations principales du distributeur s'appliquent à partir du 11 décembre 2027.
La conformité distributeur en quatre chiffres : six blocs d'obligations, sept points à vérifier avant fourniture, l'amende de second niveau et la date à laquelle tout commence.
Qui est distributeur au titre du CRA ?
En pratique, le distributeur CRA est l'acteur de la chaîne d'approvisionnement qui met à disposition sur le marché de l'Union un produit comportant des éléments numériques après le fabricant, l'importateur ou un autre distributeur, sans modifier les propriétés du produit. Le test en trois parties : vous êtes dans la chaîne d'approvisionnement, vous n'êtes ni fabricant ni importateur, et vous mettez le produit à disposition sans modification.
Si vous êtes la première entité de l'UE à placer sur le marché de l'Union un produit dont la marque n'est pas européenne, vous êtes l'importateur. Si vous commercialisez le produit sous votre propre nom ou marque, ou si vous modifiez substantiellement un produit déjà mis sur le marché, les obligations du fabricant s'appliquent à vous via le pont du rebranding. Pour l'ensemble complet des obligations du fabricant qui s'applique alors, consultez le guide du cluster fabricant. Une règle séparée vise d'autres tiers qui ne sont ni fabricant, ni importateur, ni distributeur. Pour la matrice complète de classification des rôles, voir qui doit se conformer au CRA.
Obligations principales du distributeur
| Devoir | Point clé | Source |
|---|---|---|
| Diligence requise | La norme générale. S'applique à tout acte de mise à disposition, avant et après la mise sur le marché. | Article 20, paragraphe 1 |
| Vérification avant mise sur le marché | Confirmer la présence du marquage CE, le respect par le fabricant des obligations d'information sur le produit, la présence de l'identification de l'importateur et la fourniture des documents nécessaires. | Article 20, paragraphe 2 |
| Refus et information | En cas de soupçon de non-conformité à l'the essential cybersecurity requirements, ne pas mettre à disposition. En cas de risque de cybersécurité significatif, informer le fabricant et les autorités de surveillance du marché sans retard injustifié. | Article 20, paragraphe 3 |
| Mesures correctives et vigilance vulnérabilités | Veiller à la mise en œuvre des mesures correctives, retirer ou rappeler le produit le cas échéant. Informer le fabricant des vulnérabilités sans retard injustifié. En cas de risque de cybersécurité significatif, informer immédiatement les autorités de surveillance du marché de chaque État membre de fourniture. | Article 20, paragraphe 4 |
| Coopération avec la surveillance du marché | Sur demande motivée, fournir toutes les informations et documents nécessaires pour démontrer la conformité, dans une langue aisément compréhensible par l'autorité. | Article 20, paragraphe 5 |
| Cessation d'activité du fabricant | Informer les autorités de surveillance du marché sans retard injustifié, et informer les utilisateurs par tout moyen disponible. | Article 20, paragraphe 6 |
Distributeur ou importateur
Le critère juridique est de savoir quelle partie met en premier le produit sur le marché de l'Union.
| Aspect | Distributeur | Importateur |
|---|---|---|
| Position | Tout acteur de la chaîne d'approvisionnement après l'importateur, autre que le fabricant | Première entité de l'UE plaçant sur le marché de l'Union un produit dont la marque n'est pas européenne |
| Vérification | Fondée sur la présence : CE, obligations d'information du fabricant sur le produit, identification de l'importateur et documents nécessaires | Substantielle : vérification préalable complète de l'importateur, incluant la réalisation de l'évaluation de conformité et l'établissement de la documentation technique |
| Déclencheur de refus | Non-conformité à l'the essential cybersecurity requirements | Idem, plus échec d'un contrôle préalable à la mise sur le marché |
| Vigilance vulnérabilités | Informer le fabricant ; en cas de risque significatif, informer les autorités de surveillance de chaque État membre de fourniture | Même portée |
| Documentation | Pas de conservation pluriannuelle spécifique ; coopération sur demande motivée | Conservation de la DoC pendant 10 ans ou la période de soutien, la durée la plus longue étant retenue |
| Niveau de sanction | 10 000 000 EUR ou 2 % | 10 000 000 EUR ou 2 % (même niveau) |
Pour le détail côté importateur de cette même frontière, voir importateur ou distributeur sur la page importateur. L'évaluation de conformité, la DoC UE et le dossier technique relèvent de la responsabilité du fabricant ; le distributeur vérifie les artefacts visibles : marquage CE, référence DoC, informations utilisateur et capacité de produire les documents.
Ce que les distributeurs doivent vérifier avant la fourniture
Votre rôle n'est pas de refaire l'évaluation de la conformité. Votre rôle est de confirmer que les artefacts visibles de conformité sont présents et d'arrêter la fourniture si quelque chose manque, a été retiré, est périmé ou vous donne une raison de douter de la conformité.
Exécutez cette liste de contrôle avant toute mise à disposition d'une unité sur le marché de l'UE.
- Le marquage CE est visible, lisible et indélébile sur le produit ou sa plaque signalétique.
- Le marquage CE uniquement sur l'emballage n'est admis que lorsque le marquage sur le produit n'est pas possible.
- Le numéro de l'organisme notifié suit le marquage CE lorsqu'un organisme est intervenu.
Le CE est l'allégation de conformité du fabricant. Voir le guide d'évaluation de la conformité.
- Type, lot, numéro de série ou autre identifiant du produit est présent.
- L'identifiant figure sur le produit, l'emballage ou le document d'accompagnement selon le cas.
- L'identifiant correspond à l'expédition, au SKU ou au lot fourni.
Sans identifiant traçable, le rappel et l'action corrective deviennent impossibles.
- Nom, raison sociale ou marque du fabricant est présent.
- Adresse postale et contact numérique sont présents.
- Ces coordonnées apparaissent aussi dans les informations utilisateur lorsque cela est requis.
Servez-vous-en pour remonter en amont les questions, défauts et informations sur les vulnérabilités.
- Les informations et instructions utilisateur accompagnent le produit.
- La langue est adaptée aux utilisateurs et à la surveillance du marché dans l'État membre de fourniture.
- Configuration sûre, soutien et modalités de signalement des vulnérabilités sont inclus.
Des instructions uniquement en anglais ne suffisent pas pour tous les marchés de l'UE.
- La date de fin de période de soutien est indiquée avant l'achat.
- La date comporte au moins le mois et l'année.
- La DoC UE complète est incluse, ou la DoC simplifiée renvoie à l'URL exacte de la version complète.
L'absence de mois et d'année ou une DoC inaccessible bloque la fourniture.
- Le nom, l'adresse postale et le contact numérique de l'importateur UE sont présents lorsqu'il y a un importateur.
- L'identification de l'importateur n'a pas été retirée ou masquée.
- La référence DoC, les informations utilisateur et les contacts de la chaîne d'approvisionnement peuvent être produits pour les autorités.
Les autorités attendent ce jeu dès la première demande ; un élément manquant déclenche la procédure de refus.
La fourniture s'arrête jusqu'à la fermeture de l'écart. Un produit sans informations utilisateur dans la langue locale, sans identification de l'importateur lorsque celle-ci est requise, sans DoC accessible ou sans date de fin de soutien avec mois et année ne devrait pas être mis à disposition.
Lorsque la vérification échoue
Un contrôle distributeur en échec signifie que le produit reste hors marché jusqu'au rétablissement de la conformité. Si l'écart crée un risque de cybersécurité significatif, le distributeur doit informer le fabricant et la surveillance du marché sans retard injustifié.
- Arrêter. Ne mettez pas le produit à disposition sur le marché de l'Union tant que la conformité n'est pas rétablie. Le stockage et le retour fournisseur restent possibles ; la vente aux utilisateurs finaux ne l'est pas.
- Documenter. Consignez quel point de la liste a échoué, s'il concerne le produit ou les processus du fabricant, la date et le signataire.
- Notifier en amont par écrit. Informez le fabricant (et l'importateur lorsque c'est pertinent) de l'écart et des documents requis.
- Évaluer le risque de cybersécurité. Un risque significatif va sans retard à la surveillance du marché. Les écarts non significatifs suivent le flux de résolution en amont.
- Résoudre ou rejeter. Mettez le produit à disposition uniquement lorsque tous les points de la liste sont satisfaits. Sinon, retournez-le au fournisseur.
Après la fourniture : mesures correctives et connaissance des vulnérabilités
Deux devoirs continuent pendant toute la période durant laquelle le produit est mis à disposition :
Si vous savez ou avez une raison de croire que le produit ou les processus du fabricant ne sont pas conformes, remontez l'information en amont et veillez à ce que les mesures correctives, le retrait ou le rappel interviennent le cas échéant. La correction technique reste chez le fabricant, mais la fourniture ultérieure s'arrête jusqu'au traitement du problème.
Lorsque vous apprenez l'existence d'une vulnérabilité, informez le fabricant sans retard injustifié. Si le produit présente un risque de cybersécurité significatif, notifiez la surveillance du marché dans chaque État membre où vous l'avez fourni. Le fabricant traite séparément la voie de signalement à l'ENISA via le flux de signalement des vulnérabilités.
Demandes des autorités et cessation du fabricant
Fournissez ce qui est demandé, dans la langue locale. Lorsqu'une autorité de surveillance du marché formule une demande motivée, fournissez les informations et documents nécessaires pour démontrer la conformité du produit et des processus du fabricant, sur papier ou par voie électronique et dans une langue aisément compréhensible par l'autorité. Coopérez également aux mesures destinées à éliminer les risques de cybersécurité présentés par les produits que vous avez fournis.
Aucune obligation de conservation de 10 ans ne s'applique au distributeur. Il n'existe pas, pour le distributeur, de règle pluriannuelle propre comparable à l'obligation faite à l'importateur de conserver la DoC pendant 10 ans ou la période de soutien. Le plancher pratique est le jeu de documents listé ci-dessus sous « Importateur et jeu de documents » : conservé pendant la mise à disposition par le distributeur, accessible sur toute demande motivée durant cette période, plus une marge raisonnable pour couvrir les demandes d'autorités postérieures.
Si le fabricant cesse ses activités, informez les autorités et les utilisateurs. Si le fabricant cesse ses activités et ne peut plus se conformer, informez sans retard injustifié les autorités de surveillance du marché concernées et informez les utilisateurs par tout moyen disponible et dans la mesure du possible. Les importateurs ont le même devoir de notification en cas de cessation, de sorte que les notifications distributeur et importateur fonctionnent généralement en parallèle.
Pièges courants
| Affirmation | Pourquoi elle échoue |
|---|---|
| « Notre fournisseur est dans l'UE, donc nous ne sommes pas l'importateur ; nous sommes distributeur par défaut. » | Le statut de distributeur exige aussi que vous n'affectiez pas les propriétés du produit. Reconditionnement, rebranding, préinstallation logicielle ou changements de configuration peuvent déclencher les obligations du fabricant. |
| « Nous n'avons rien à vérifier ; l'importateur l'a déjà fait. » | Le contrôle distributeur est distinct et fondé sur la présence : CE présent, informations produit du fabricant présentes, identification de l'importateur présente, documents nécessaires fournis. La vérification de l'importateur n'exempte pas le distributeur de son propre contrôle. |
| « Des informations utilisateur en anglais suffisent pour toute l'UE. » | Les informations utilisateur doivent être dans une langue aisément compréhensible par les utilisateurs et la surveillance du marché de l'État membre concerné. Ne fournir qu'une version anglaise dans un État membre dont les autorités et les utilisateurs ne travaillent pas en anglais fait échouer le contrôle distributeur. |
| « Nous transmettons les avis de vulnérabilité une fois par mois avec nos autres mises à jour commerciales. » | Les informations de vulnérabilité doivent parvenir au fabricant sans retard injustifié, et les risques de cybersécurité significatifs doivent être notifiés immédiatement à la surveillance du marché. Le groupement mensuel viole les deux normes. |
| « Le signalement à l'ENISA est l'affaire du fabricant, donc nous ignorons les vulnérabilités. » | La voie de signalement à l'ENISA appartient au fabricant, mais le devoir d'informer le fabricant et le devoir d'informer les autorités de surveillance en cas de risque significatif sont ceux du distributeur. Le silence viole l'obligation post-commercialisation. |
| « Nous pouvons continuer à vendre les unités déjà en stock après avoir repéré une lacune linguistique dans les informations utilisateur ; seules les nouvelles expéditions s'arrêtent. » | La mise à disposition ultérieure d'un produit non conforme s'arrête, quel que soit l'endroit où se trouvent physiquement les unités. Le stock existant est immobilisé, pas écoulé. |
| « Retirer l'étiquette de contact de l'importateur protège la confidentialité de nos partenaires de canal. » | L'identification de l'importateur doit rester sur le produit, l'emballage ou le document d'accompagnement. La retirer rend le produit non conforme pour la fourniture par le distributeur. |
| « Nous n'avons pas besoin de conserver des documents ; nous sommes simplement revendeur. » | Le distributeur doit produire le jeu documentaire sur demande motivée, dans la langue de l'autorité. Un distributeur qui ne peut pas produire la référence DoC, les informations utilisateur ou les points de contact de la chaîne d'approvisionnement est en infraction, même si le produit est conforme. |
Foire aux questions
Qu'est-ce qu'un distributeur au titre du CRA ?
Un maillon de la chaîne d'approvisionnement de l'UE qui expédie le produit sans le modifier. Le rôle est défini par la position (après l'importateur, avant l'utilisateur final) et par la neutralité à l'égard du produit (pas de rebranding, pas de modifications logicielles, pas de configuration changeant la finalité d'utilisation). Les revendeurs, les distributeurs à valeur ajoutée qui se limitent à grouper, et les partenaires de canal qui ne font qu'expédier et facturer entrent dans le rôle, à condition de laisser le produit tel que le fabricant l'a mis sur le marché. Si un importateur ou un distributeur vend sous son propre nom ou modifie substantiellement le produit, le basculement vers les obligations du fabricant s'applique. Pour l'ensemble complet des obligations qui s'appliquent alors, consultez le guide du cluster fabricant.
Suis-je distributeur ou importateur ?
La frontière est la première mise sur le marché. Vous êtes l'importateur si vous êtes la première entité de l'UE à placer sur le marché de l'Union un produit dont la marque n'est pas européenne. Vous êtes distributeur si vous mettez le produit à disposition après l'importateur, sans en affecter les propriétés. Si vous achetez un produit hors UE à une autre société de l'UE qui l'a déjà importé, cette autre société est l'importateur et vous êtes le distributeur. Si vous achetez directement au fabricant hors UE et que vous placez vous-même le produit sur le marché UE, vous êtes l'importateur, avec le jeu de vérifications plus lourd et l'obligation de conservation de 10 ans.
Suis-je distributeur ou fabricant ?
L'article 21 est le pont juridique entre distributeur (ou importateur) et fabricant. Il a deux déclencheurs, et les deux s'appliquent aussi bien aux importateurs qu'aux distributeurs :
"Un importateur ou un distributeur est considéré comme un fabricant aux fins du présent règlement et est soumis au respect de l'article 13 et de l'article 14 lorsque cet importateur ou ce distributeur met un produit comportant des éléments numériques sur le marché sous son propre nom ou sa propre marque, ou lorsqu'il apporte une modification substantielle à un produit comportant des éléments numériques déjà mis sur le marché."
Les deux déclencheurs sont donc : (a) la mise sur le marché du produit sous son propre nom ou sa propre marque, ou (b) la modification substantielle d'un produit déjà mis sur le marché. Le rebranding en marque blanche, la pré-installation de votre propre logiciel, le changement de la configuration de sécurité avant la revente, le reconditionnement qui modifie la destination prévue, ou la modification du firmware rompent tous le rôle de distributeur. Pour les importateurs et les distributeurs, la bascule est directe : vous devenez fabricant et le régime complet du fabricant s'applique. Pour l'ensemble complet des obligations qui s'applique alors, consultez le guide du cluster fabricant.
Une règle séparée et plus étroite vise une personne qui n'est ni fabricant, importateur ou distributeur : un reconfigurateur, intégrateur ou modificateur tiers qui prend un produit déjà mis sur le marché, le modifie substantiellement et le met à disposition. Cette personne est considérée comme fabricant. En vertu de l'article 22, paragraphe 2, les obligations du fabricant s'appliquent "en ce qui concerne la partie du produit comportant des éléments numériques sur laquelle porte la modification substantielle, ou en ce qui concerne l'ensemble du produit si la modification substantielle a des répercussions sur la cybersécurité du produit comportant des éléments numériques dans son ensemble". Cette règle ne s'applique pas si vous êtes déjà importateur ou distributeur. Le pont importateur-distributeur couvre votre cas.
Que doit exactement vérifier le distributeur avant de mettre un produit à disposition ?
Deux contrôles : CE présent, et documents amont présents. Le fabricant doit avoir satisfait à l'identification du produit, à l'identification du fabricant, aux informations utilisateur dans une langue de l'État membre, à la date de fin de période de soutien avec mois et année, et à la fourniture de la DoC. L'importateur doit avoir satisfait à son obligation d'identification. Les documents nécessaires doivent avoir été fournis. Le contrôle est fondé sur la présence, ce n'est pas une nouvelle évaluation de conformité.
Le distributeur doit-il conserver la déclaration UE de conformité pendant 10 ans ?
Non. L'obligation de conservation de la DoC pendant 10 ans ou la période de soutien pèse sur l'importateur, pas sur le distributeur. Le devoir documentaire du distributeur consiste à fournir, sur demande motivée d'une autorité de surveillance du marché, les informations et documents nécessaires pour démontrer la conformité, dans une langue aisément compréhensible par l'autorité. Le plancher pratique est le jeu de documents que le distributeur utilise pour son propre contrôle d'entrée : référence DoC, informations utilisateur dans la langue de l'État membre de fourniture, points de contact du fabricant et de l'importateur.
Que fait le distributeur lorsqu'il apprend une vulnérabilité dans un produit qu'il a expédié ?
Il informe immédiatement le fabricant, et il informe la surveillance du marché si le risque est significatif. Le premier devoir est la notification en amont sans retard injustifié. Le second est la notification parallèle aux autorités de surveillance du marché de chaque État membre de fourniture, avec le détail de la non-conformité et de toute mesure corrective prise. La voie de signalement à l'ENISA reste celle du fabricant, pas celle du distributeur.
Y a-t-il des exemptions PME pour les distributeurs ?
Non. Les obligations du distributeur s'appliquent indépendamment de la taille. La seule concession PME du CRA sur les amendes administratives concerne les fabricants et les gestionnaires open source. Les distributeurs ne sont pas couverts par cette dérogation. Les autorités doivent en outre tenir compte de la taille de l'auteur de l'infraction lors de la fixation du montant des amendes ; cela reste un facteur de modulation, non une exemption d'obligation.
Quand les obligations du distributeur CRA s'appliquent-elles ?
Les obligations du distributeur s'appliquent pleinement à partir du 11 décembre 2027. Contrairement aux fabricants, les distributeurs n'ont pas d'échéance distincte plus précoce ; la voie de signalement à l'ENISA est un devoir du fabricant, pas du distributeur. À cette date, les distributeurs qui mettent des produits à disposition sur le marché de l'Union doivent disposer d'un contrôle d'entrée, d'un flux de refus, d'un flux de connaissance des vulnérabilités et d'une capacité de production documentaire.