À compter du 11 décembre 2027, l'article 20 du règlement (UE) 2024/2847 sur la cyberrésilience rend le distributeur responsable d'un contrôle de présence sur chaque produit comportant des éléments numériques avant sa mise à disposition sur le marché de l'Union : marquage CE, identification du fabricant et informations de l'annexe II, identification de l'importateur, date de fin de période de soutien et DoC. Cette page couvre l'article 20 dans son intégralité, la frontière de rôle face à l'importateur de l'article 3, point 16 et au fabricant de l'article 3, point 13, ainsi que le niveau de sanction de second rang.
Résumé
- Vous êtes distributeur uniquement si vous ne touchez pas au produit. Toute personne qui met à disposition sur le marché de l'Union un produit revêtu du marquage CE, après l'importateur, entre dans le champ, dès lors que le produit parvient au maillon suivant intact. Si vous le rebrandez, le reconditionnez d'une manière qui modifie sa finalité, y préinstallez votre propre logiciel ou en modifiez la configuration de sécurité, vous devenez fabricant à la place (article 3, point 17).
- Effectuez un contrôle de présence sur chaque expédition. Avant de mettre une unité à disposition, confirmez que le marquage CE figure sur le produit, que l'identification du fabricant et les instructions de l'annexe II l'accompagnent, que la date de fin de période de soutien indique le mois et l'année, que la DoC est accessible et que les coordonnées de l'importateur sont visibles (article 20(2)).
- Arrêtez tout si quelque chose manque. Si le contrôle échoue, ou si vous avez une raison quelconque de croire que le produit ou les processus du fabricant ne respectent pas l'annexe I, ne mettez pas le produit à disposition. En cas de risque de cybersécurité significatif, alertez le fabricant et les autorités de surveillance du marché sans retard (article 20(3)).
- Restez vigilant après la vente. Faites le suivi des mesures correctives ou des retraits lorsqu'un défaut apparaît, et transmettez au fabricant toute vulnérabilité dont vous prenez connaissance sans retard. En cas de risque significatif, notifiez les autorités de surveillance de chaque État membre où vous expédiez (article 20(4)).
- Soyez prêt à produire les documents. Une autorité de surveillance du marché peut demander, sur requête motivée, les documents nécessaires pour démontrer la conformité, dans une langue qu'elle lit aisément. Conservez la référence DoC, l'annexe II dans la langue de fourniture et les contacts de la chaîne d'approvisionnement à portée de main (article 20(5)).
- Couvrez le pire scénario. Si le fabricant cesse ses activités, informez les autorités et les utilisateurs par tous les moyens à votre disposition (article 20(6)).
- Niveau de sanction. Les manquements du distributeur relèvent de la deuxième tranche d'amendes, jusqu'à 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu (article 64(3)).
L'article 20 en quatre nombres : six paragraphes de devoirs, sept points à contrôler avant la mise à disposition sur le marché, l'amende de second rang et la date de démarrage.
Qui est distributeur au titre du CRA ?
L'article 3, point 17 définit le distributeur textuellement :
« Distributeur » désigne toute personne physique ou morale faisant partie de la chaîne d'approvisionnement, autre que le fabricant ou l'importateur, qui met un produit comportant des éléments numériques à disposition sur le marché de l'Union sans en affecter les propriétés.
Vous êtes distributeur aux fins du CRA si les trois éléments suivants s'appliquent :
| Élément | Test |
|---|---|
| Dans la chaîne d'approvisionnement | Vous prenez possession ou contrôle commercial du produit alors qu'il transite de l'importateur ou d'un autre distributeur vers l'utilisateur final |
| Autre que le fabricant ou l'importateur | Le produit ne porte pas votre nom ou votre marque (sinon l'article 3, point 13 vous attrape comme fabricant) et vous n'êtes pas la première entité de l'UE à le mettre sur le marché de l'Union (sinon l'article 3, point 16 vous attrape comme importateur) |
| Sans en affecter les propriétés | Vous ne modifiez pas le produit, son logiciel, son emballage dans la mesure où cela change la finalité prévue, ni sa configuration de sécurité |
Si l'un des trois échoue, vous n'êtes pas le distributeur. Si le produit porte votre propre nom ou marque, vous êtes le fabricant au titre de l'article 3, point 13. Si vous êtes la première entité de l'UE à mettre sur le marché de l'Union un produit dont la marque n'est pas européenne, vous êtes l'importateur au titre de l'article 3, point 16. Si vous modifiez substantiellement le produit après sa mise sur le marché, vous n'êtes pas couvert par l'article 22 (qui exclut les distributeurs), mais la modification peut vous renvoyer dans le champ de l'article 3, point 13 lorsque vous commercialisez la version modifiée sous votre propre nom. Pour la matrice complète de classification des rôles, voir qui doit se conformer au CRA.
L'article 20 d'un coup d'oeil
| Para | Devoir | Point clé |
|---|---|---|
| 20(1) | Diligence requise | Norme générale. S'applique à tout acte de mise à disposition, avant et après mise sur le marché. |
| 20(2) | Vérification avant mise sur le marché | Confirmer la présence du marquage CE, le respect par le fabricant de l'article 13(15), (16), (18), (19) et (20), le respect par l'importateur de l'article 19(4), et que les documents nécessaires ont été fournis. |
| 20(3) | Refus + information | En cas de soupçon de non-conformité à l'annexe I, ne pas mettre à disposition. En cas de risque de cybersécurité significatif, informer le fabricant et les autorités de surveillance du marché sans retard injustifié. |
| 20(4) | Mesures correctives + vigilance vulnérabilités | Veiller aux mesures correctives, retirer ou rappeler selon le cas. Informer le fabricant des vulnérabilités sans retard injustifié. En cas de risque de cybersécurité significatif, informer immédiatement les autorités de surveillance du marché de chaque État membre de fourniture. |
| 20(5) | Coopération avec la surveillance du marché | Sur demande motivée, fournir toutes les informations et documents nécessaires pour démontrer la conformité, dans une langue aisément compréhensible par l'autorité. |
| 20(6) | Cessation d'activité du fabricant | Informer les autorités de surveillance du marché sans retard injustifié, et informer les utilisateurs par tout moyen disponible. |
Distributeur ou importateur
Le déclencheur juridique est de savoir quelle partie met en premier le produit sur le marché de l'Union.
| Aspect | Distributeur (article 20) | Importateur (article 19) |
|---|---|---|
| Position | Toute entité de la chaîne d'approvisionnement après l'importateur, autre que le fabricant | Première entité de l'UE plaçant sur le marché de l'Union un produit dont la marque n'est pas européenne |
| Vérification | Fondée sur la présence : CE, fabricant 13(15), (16), (18), (19), (20), importateur 19(4), documents fournis | Substantielle : article 19(2), (a) à (d) en intégralité, dont évaluation de la conformité réalisée et documentation technique établie |
| Déclencheur de refus | Article 20(3) : non-conformité à l'annexe I | Article 19(3) : idem, plus échec de tout contrôle 19(2) |
| Vigilance vulnérabilités | Article 20(4) : informer le fabricant ; risque significatif, informer les autorités de surveillance du marché de chaque État membre de fourniture | Article 19(5) : même portée |
| Documentation | Pas de conservation pluriannuelle spécifique ; coopérer sur demande motivée (20(5)) | Conservation de la DoC pendant 10 ans ou la période de soutien, le délai le plus long étant retenu (article 19(6)) |
| Niveau de sanction | 10 000 000 EUR ou 2 % (article 64(3)) | 10 000 000 EUR ou 2 % (article 64(3)) |
Pour le détail côté importateur de cette même frontière, voir importateur ou distributeur sur la page importateur. L'évaluation de la conformité, la déclaration UE de conformité et le dossier technique de l'annexe VII relèvent de la responsabilité du fabricant ; le distributeur vérifie les artefacts visibles correspondants (marquage CE, référence DoC, accompagnement annexe II) et coopère à la production des documents plutôt que de détenir le dossier.
Contrôles de vérification avant mise sur le marché (article 20(2))
L'article 20(2) demande au distributeur de vérifier que l'identification du fabricant, les instructions et la DoC sont présentes, et non de refaire l'évaluation de la conformité. Cet ensemble de contrôles plus léger est compensé par un déclencheur de refus plus strict : au titre de l'article 20(3), toute raison de croire que le produit ou les processus du fabricant ne sont pas conformes à l'annexe I arrête la mise à disposition sur le marché jusqu'à rétablissement de la conformité.
L'article 20(2) fixe une liste de contrôle fondée sur la présence. Exécutez-la avant toute mise à disposition d'une unité.
Marquage CE (article 30, via article 20(2))
Le marquage CE est la déclaration du fabricant attestant que le produit est conforme à l'annexe I. Le distributeur confirme qu'il est apposé de manière visible, lisible et indélébile sur le produit ou sa plaque signalétique. Lorsque la taille ou la nature ne le permet pas, sur l'emballage et les documents d'accompagnement. Lorsqu'un organisme notifié est intervenu, son numéro d'identification à quatre chiffres doit suivre le marquage CE. Un marquage CE figurant uniquement sur le carton extérieur alors que le produit peut le porter est non conforme. Voir le guide cluster de l'évaluation de la conformité pour ce que recouvre le marquage CE selon chaque module de l'article 32.
Identification du fabricant et informations (article 13(15), (16), (18), (19), (20))
Cinq devoirs distincts du fabricant croisés depuis l'article 20(2)(b) :
| Citation | Devoir | Contrôle distributeur |
|---|---|---|
| 13(15) | Type, lot ou numéro de série pour l'identification du produit | Confirmer la présence sur le produit, ou sur l'emballage ou un document d'accompagnement si le produit ne peut le porter |
| 13(16) | Nom du fabricant, raison sociale ou marque, adresse postale, contact numérique, également reproduits dans l'annexe II | Confirmer la présence sur le produit, l'emballage ou un document d'accompagnement |
| 13(18) | Informations et instructions de l'annexe II accompagnant le produit, dans une langue aisément compréhensible par les utilisateurs et la surveillance du marché | Confirmer qu'un jeu de documents annexe II est présent, dans la ou les langues de l'État membre de fourniture |
| 13(19) | Date de fin de période de soutien spécifiée au moment de l'achat, comprenant au moins le mois et l'année | Confirmer la visibilité du mois + année au point de vente |
| 13(20) | DoC complète accompagnant le produit, ou DoC simplifiée contenant l'adresse internet exacte de la DoC complète | Confirmer la présence et la résolution de la référence DoC |
Un produit sans jeu de documents annexe II dans la langue de l'État membre, ou sans date de fin de période de soutien indiquant le mois et l'année, échoue à l'article 20(2) et déclenche l'article 20(3).
Identification de l'importateur (article 19(4), via article 20(2))
L'article 19(4) impose à l'importateur d'indiquer son nom, sa raison sociale enregistrée ou sa marque déposée, son adresse postale, son adresse électronique et tout autre contact numérique, sur le produit, sur son emballage ou dans un document accompagnant le produit. Le distributeur confirme la présence de l'identification de l'importateur. Une identification d'importateur absente ou retirée fait échouer l'article 20(2) sur le fondement de l'article 19(4).
Documents nécessaires fournis (article 20(2))
L'article 20(2)(b) se conclut par une exigence générale : le fabricant et l'importateur ont fourni « tous les documents nécessaires au distributeur ». En pratique, il s'agit du jeu de documents dont le distributeur a besoin pour satisfaire son propre devoir de coopération au titre de l'article 20(5) : une copie ou une référence de la déclaration UE de conformité, les informations et instructions de l'annexe II dans la langue de l'État membre de fourniture, et les points de contact de la chaîne d'approvisionnement (point de contact unique du fabricant au titre de l'article 13(17), contact postal et numérique de l'importateur au titre de l'article 19(4)). Un distributeur qui ne peut produire ces documents sur demande motivée d'une autorité de surveillance du marché manque à l'article 20(5), même si le produit sous-jacent est conforme.
Lorsque la vérification échoue
L'article 20(3) crée un devoir d'arrêt et d'information.
- Arrêter. Ne pas mettre le produit à disposition sur le marché de l'Union tant que la conformité n'est pas rétablie. Le stockage et le retour fournisseur restent possibles ; la vente aux utilisateurs finaux, non.
- Documenter. Enregistrer quel point de l'article 20(2) a échoué, s'il concerne le produit ou les processus du fabricant, la date et le signataire.
- Notifier en amont par écrit. Informer le fabricant (et l'importateur le cas échéant) de l'écart et de la documentation requise.
- Évaluer le risque de cybersécurité. Risque de cybersécurité significatif : informer les autorités de surveillance du marché au titre de l'article 20(3), sans retard injustifié. Non significatif : poursuivre la résolution en amont.
- Résoudre ou rejeter. Mettre le produit à disposition uniquement lorsque tous les points de l'article 20(2) sont satisfaits. Sinon, retourner au fournisseur.
Devoirs après mise sur le marché (article 20(4))
L'article 20(4) couvre deux devoirs qui courent pendant toute la période durant laquelle le produit est mis à disposition.
Le devoir de mesures correctives : lorsque le distributeur sait ou a une raison de croire, sur la base des informations en sa possession, que le produit ou les processus du fabricant ne sont pas conformes, le distributeur s'assure que les mesures correctives nécessaires sont prises pour les mettre en conformité, ou retire ou rappelle le produit selon le cas. « S'assure » ne reporte pas la correction technique sur le distributeur ; cela exige du distributeur qu'il fasse remonter, assure le suivi et arrête toute mise à disposition supplémentaire jusqu'à ce que le fabricant ait agi.
Le devoir de vigilance vulnérabilités : dès qu'il prend connaissance d'une vulnérabilité dans le produit, le distributeur informe le fabricant sans retard injustifié. Lorsque le produit présente un risque de cybersécurité significatif, le distributeur informe immédiatement les autorités de surveillance du marché de chaque État membre de fourniture, en précisant la non-conformité et toute mesure corrective prise. Le déclencheur est la prise de connaissance de la vulnérabilité, et non la prise de connaissance d'un incident à signaler au titre de l'article 14 ; le fabricant exécute séparément le signalement de l'article 14 via le flux de signalement des vulnérabilités.
Coopération, documents et cessation d'activité du fabricant
L'article 20(5) impose au distributeur, sur demande motivée d'une autorité de surveillance du marché, de fournir toutes les informations et documents, sur support papier ou électronique, nécessaires pour démontrer la conformité du produit et des processus du fabricant, dans une langue aisément compréhensible par l'autorité. Le distributeur coopère avec l'autorité sur toute mesure prise pour éliminer les risques de cybersécurité posés par le produit.
Il n'existe pas de règle de conservation pluriannuelle spécifique à l'article 20 analogue à la règle des dix ans ou de la période de soutien de l'article 19(6) pour les importateurs. Le plancher pratique est le jeu de documents listé sous « Documents nécessaires fournis » ci-dessus : conservé tant que le distributeur met le produit à disposition, accessible pour toute demande motivée pendant cette période, plus une queue raisonnable pour couvrir les requêtes d'autorités après mise sur le marché.
L'article 20(6) traite un cas spécifique : la cessation d'activité du fabricant. Dès qu'il en prend connaissance, le distributeur informe les autorités de surveillance du marché concernées sans retard injustifié, et informe les utilisateurs des produits qu'il a mis sur le marché par tout moyen disponible et dans la mesure du possible. L'article 19(8) place le même devoir sur l'importateur ; en pratique, les notifications du distributeur et de l'importateur courent en parallèle.
Pièges courants
| Affirmation | Pourquoi elle ne tient pas |
|---|---|
| « Notre fournisseur est dans l'UE, donc nous ne sommes pas l'importateur ; cela fait de nous un distributeur par défaut. » | Le statut de distributeur au titre de l'article 3, point 17 exige aussi que vous n'affectiez pas les propriétés du produit. Reconditionnement, rebranding, préinstallation logicielle ou changements de configuration peuvent vous renvoyer dans le champ de l'article 3, point 13 ou hors de la catégorie distributeur. |
| « Nous n'avons rien à vérifier ; l'importateur l'a déjà fait au titre de l'article 19. » | L'article 20(2) est un contrôle distinct, fondé sur la présence, au niveau du distributeur. CE présent, conformité aux articles 13(15), (16), (18), (19), (20) et 19(4), et documents nécessaires fournis. Le travail de l'importateur au titre de l'article 19 ne dispense pas du travail du distributeur au titre de l'article 20. |
| « L'annexe II en anglais suffit pour toute l'UE. » | L'article 13(18) exige l'annexe II dans une langue aisément compréhensible par les utilisateurs et la surveillance du marché de l'État membre concerné. Le distributeur qui met le produit à disposition dans un État membre dont les autorités et utilisateurs ne travaillent pas en anglais échoue à l'article 20(2). |
| « Nous ne transmettons les avis de vulnérabilité qu'une fois par mois avec nos autres mises à jour commerciales. » | Article 20(4), deuxième alinéa : informer le fabricant « sans retard injustifié » dès la prise de connaissance d'une vulnérabilité, et « immédiatement » informer la surveillance du marché en cas de risque de cybersécurité significatif. Le regroupement mensuel viole les deux normes. |
| « Le signalement de l'article 14 est l'affaire du fabricant, donc nous ignorons les vulnérabilités. » | Le flux ENISA de l'article 14 est celui du fabricant, mais le devoir d'informer le fabricant et le devoir d'informer les autorités de surveillance du marché en cas de risque significatif au titre de l'article 20(4) sont ceux du distributeur. Le silence enfreint l'article 20(4). |
| « Nous pouvons continuer à vendre les unités déjà en entrepôt après avoir repéré une lacune linguistique annexe II ; seules les nouvelles expéditions s'arrêtent. » | L'article 20(3) arrête toute mise à disposition supplémentaire du produit non conforme, indépendamment de l'emplacement physique des unités. Le stock existant est retenu, pas écoulé. |
| « Retirer l'étiquette de contact de l'importateur préserve la confidentialité de nos partenaires de canal. » | L'article 19(4) exige l'identification de l'importateur sur le produit, l'emballage ou un document d'accompagnement. La retirer rend le produit non conforme au titre de l'article 20(2). |
| « Nous n'avons pas besoin de conserver les documents ; nous ne sommes que revendeur. » | L'article 20(5) impose au distributeur de fournir le jeu de documents sur demande motivée, dans la langue de l'autorité. Un distributeur qui ne peut produire la référence DoC, l'annexe II ou les points de contact de la chaîne d'approvisionnement est en infraction même lorsque le produit est conforme. |
Foire aux questions
Qu'est-ce qu'un distributeur au titre du CRA ?
Un maillon de la chaîne d'approvisionnement européenne qui transmet le produit sans modification. Le rôle est défini par la position (après l'importateur, avant l'utilisateur final) et par la neutralité envers le produit (pas de rebranding, pas de modifications logicielles, pas de configuration qui modifie la finalité prévue). Les revendeurs, les distributeurs à valeur ajoutée qui se contentent de regrouper et les partenaires de canal qui ne font qu'expédier et facturer s'inscrivent tous dans cette catégorie, à condition de laisser le produit tel que le fabricant l'a mis sur le marché. *(Article 3(17) ; la règle de bascule fabricant à l'article 3(13) attrape quiconque renomme ou modifie le produit.)*
Suis-je distributeur ou importateur ?
La frontière, c'est la première mise sur le marché. Vous êtes l'importateur si vous êtes la première entité de l'UE à placer sur le marché de l'Union un produit dont la marque n'est pas européenne. Vous êtes le distributeur si vous mettez le produit à disposition après l'importateur, sans en affecter les propriétés. Si vous achetez un produit non européen à une autre société européenne qui l'a déjà importé, cette autre société est l'importateur ; vous êtes le distributeur. Si vous achetez directement au fabricant non européen et placez vous-même le produit sur le marché de l'UE, vous êtes l'importateur, avec l'ensemble de vérification plus lourd et le devoir de conservation de 10 ans. *(Articles 3(16) et 3(17) ; obligations importateur à l'article 19 ; obligations distributeur à l'article 20.)*
Suis-je distributeur ou fabricant ?
Touchez le produit, vous devenez le fabricant. Le rebranding en marque blanche vous place d'emblée dans cette catégorie, indépendamment du lieu de fabrication. Préinstaller votre propre logiciel, modifier la configuration de sécurité avant la revente, reconditionner d'une manière qui change la finalité prévue, ou modifier le firmware brisent tous la condition « sans en affecter les propriétés ». Une fois cette condition échouée, l'analyse n'est plus celle du distributeur ; c'est celle du fabricant, ou, pour les tiers extérieurs à la chaîne fabricant/importateur/distributeur, celle de l'auteur de modification substantielle. *(Article 3(17) : « sans en affecter les propriétés » ; article 3(13) attrape quiconque rebrand ou modifie ; article 22 exclut les distributeurs.)*
Que doit exactement vérifier le distributeur avant la mise à disposition d'un produit ?
Deux vérifications : CE présent, et la documentation amont présente. Le fabricant doit avoir satisfait l'article 13(15) (identification du produit), (16) (identification du fabricant), (18) (informations et instructions de l'annexe II dans une langue de l'État membre), (19) (date de fin de période de soutien avec le mois et l'année au moment de l'achat) et (20) (DoC complète ou DoC simplifiée avec URL résoluble). L'importateur doit avoir satisfait l'article 19(4) (identification sur le produit, l'emballage ou un document d'accompagnement). Les documents nécessaires doivent avoir été fournis. Le contrôle est fondé sur la présence, et non sur une nouvelle exécution de l'évaluation de la conformité. *(Article 20(2)(a) pour le marquage CE ; article 20(2)(b) pour la conformité aux articles 13(15), (16), (18), (19), (20) et 19(4) ; l'échec de tout point déclenche l'article 20(3).)*
Le distributeur doit-il conserver la déclaration UE de conformité pendant 10 ans ?
Non. Le devoir de conservation de la DoC pendant 10 ans ou la période de soutien pèse sur l'importateur, pas sur le distributeur. Le devoir de documentation du distributeur est de fournir, sur demande motivée d'une autorité de surveillance du marché, les informations et documents nécessaires pour démontrer la conformité, dans une langue que l'autorité peut aisément comprendre. Le plancher pratique est le jeu de documents utilisé pour le contrôle d'entrée : référence DoC, annexe II dans la langue de l'État membre de fourniture, points de contact fabricant et importateur, conservé tant que le produit est mis à disposition et pour une queue raisonnable au-delà. *(Conservation sur l'importateur à l'article 19(6) ; devoir de documentation du distributeur à l'article 20(5).)*
Que fait le distributeur lorsqu'il prend connaissance d'une vulnérabilité dans un produit qu'il a expédié ?
Informer le fabricant immédiatement, et informer la surveillance du marché si le risque est significatif. Le premier devoir est la notification en amont sans retard injustifié. Le second est la notification parallèle aux autorités de surveillance du marché de chaque État membre de fourniture, avec les détails de la non-conformité et de toute mesure corrective prise. Le flux de signalement ENISA reste celui du fabricant, pas du distributeur. *(Article 20(4) ; le signalement ENISA de l'article 14 reste le devoir du fabricant.)*
Existe-t-il des exemptions PME pour les distributeurs ?
Les obligations substantielles au titre de l'article 20 s'appliquent indépendamment de la taille. La seule concession PME spécifique en matière d'amendes administratives du CRA ne couvre pas les distributeurs. Les autorités de surveillance du marché doivent tenir dûment compte de la taille du contrevenant, y compris PME et start-ups, lorsqu'elles fixent les montants des amendes au cas par cas ; il s'agit d'un facteur de modulation de la sanction, pas d'une exemption d'obligation. *(L'article 20 s'applique à toutes les tailles ; la dérogation de l'article 64(10) vise les fabricants et les responsables de logiciels libres, pas les distributeurs ; facteur de modulation à l'article 64(5)(c).)*
Quand les obligations CRA du distributeur s'appliquent-elles ?
L'article 20 s'applique en intégralité à compter du 11 décembre 2027. Contrairement aux fabricants, les distributeurs n'ont pas de date antérieure distincte ; le signalement de l'article 14 est le devoir du fabricant, pas du distributeur. Les devoirs de vigilance vulnérabilités et d'information des autorités en cas de risque significatif démarrent avec le reste de l'article 20. À cette date, les distributeurs qui mettent des produits à disposition sur le marché de l'Union ont besoin d'un contrôle article 20(2), d'un flux de refus article 20(3), d'un flux de vigilance vulnérabilités article 20(4) et d'une capacité de production de documents article 20(5) en place. *(Article 71 pour l'applicabilité ; le signalement de l'article 14 est le flux du fabricant, pas celui du distributeur ; les obligations des articles 20(2), (3), (4) et (5) démarrent toutes le 11 décembre 2027.)*