Le fabricant porte l'ensemble d'obligations CRA le plus dense (Règlement (UE) 2024/2847) : article 13 (conception, documentation technique, évaluation de la conformité, période d'assistance, devoirs après mise sur le marché), article 14 (signalement à 24h/72h des vulnérabilités activement exploitées et des incidents graves à l'ENISA et au CSIRT coordinateur), et annexe I (13 exigences produit en partie I, 8 exigences de gestion des vulnérabilités en partie II). Cette page couvre chaque devoir, ainsi que le test de l'article 3, point 13 qui détermine si vous êtes effectivement le fabricant.
Résumé
- Classification au titre de l'article 3, point 13 : vous êtes fabricant si vous développez ou faites concevoir, développer ou fabriquer des produits et que vous les commercialisez sous votre propre nom ou marque. La marque tranche ; les contrats de fourniture, non.
- Obligations de l'article 13 : évaluation des risques de cybersécurité (13(2) à (4)), conformité à l'annexe I partie I + partie II (13(1), 13(8)), diligence raisonnable sur les composants (13(5) à (6)), documentation technique (article 31, annexe VII), évaluation de la conformité (article 32), DoC UE (13(20), article 28, annexe V), marquage CE (article 30), période d'assistance d'au moins 5 ans ou durée d'utilisation effective attendue (13(8)) avec date de fin documentée (13(19)), conservation pendant 10 ans ou la période d'assistance, le délai le plus long étant retenu (13(13)).
- Signalement au titre de l'article 14 : deux flux, tous deux via la plateforme unique de signalement de l'ENISA au titre de l'article 16, simultanément au CSIRT désigné comme coordinateur. Vulnérabilités : alerte précoce à 24h, notification à 72h, rapport final 14 jours après la disponibilité d'une mesure corrective. Incidents graves : alerte précoce à 24h, notification à 72h, rapport final dans le mois suivant la notification à 72h.
- Exposition aux sanctions (article 64(2)) : jusqu'à 15 000 000 EUR ou 2,5 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. L'article 64(10) limite l'allègement d'amendes administratives aux microentreprises et petites entreprises, et uniquement pour les délais des articles 14(2)(a) et 14(4)(a).
- Échéances : le signalement des vulnérabilités et incidents au titre de l'article 14 démarre le 11 septembre 2026. Le reste du régime applicable au fabricant démarre le 11 décembre 2027 (article 71).
Trois nombres qui cadrent l'exposition du fabricant : 21 exigences essentielles à travers l'annexe I, deux délais de signalement par flux, sanction de niveau le plus élevé.
Qui est fabricant au titre du CRA ?
L'article 3, point 13 définit le fabricant textuellement :
« Fabricant » désigne toute personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou qui fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son nom ou sa marque, à titre onéreux, à titre de monétisation ou à titre gratuit.
Vous êtes fabricant aux fins du CRA si les deux éléments suivants s'appliquent :
| Élément | Test |
|---|---|
| Développer, fabriquer ou faire concevoir/développer/fabriquer des produits | Inclut la conception externalisée ou la fabrication sous contrat. Le travail n'a pas à se dérouler dans vos locaux. |
| Commercialiser sous votre propre nom ou marque | Le produit, tel que mis sur le marché, identifie votre entité comme la source, par la marque, l'emballage, les supports marketing ou la documentation accompagnante. |
Les deux éléments sont cumulatifs. Une usine qui produit un produit mais qui le commercialise sous la marque d'une autre société n'est pas le fabricant aux fins du CRA ; le titulaire de la marque l'est. Inversement, une société qui appose sa propre marque sur un produit conçu et fabriqué par une usine tierce est le fabricant, indépendamment de qui a réalisé l'ingénierie. La distribution gratuite, monétisée et payante compte ; le règlement le dit explicitement : « à titre onéreux, à titre de monétisation ou à titre gratuit ».
Si aucun des deux éléments ne s'applique, vous n'êtes pas le fabricant. Vous pouvez être l'importateur au titre de l'article 3, point 16 (vous mettez sur le marché de l'Union un produit dont la marque n'est pas européenne), le distributeur au titre de l'article 3, point 17 (vous mettez le produit à disposition après l'importateur sans en affecter les propriétés), ou le mandataire au titre de l'article 3, point 15 et de l'article 18 (vous agissez pour le compte du fabricant en vertu d'un mandat écrit). Une tierce partie qui modifie substantiellement un produit après sa mise sur le marché est traitée comme le fabricant de la version modifiée au titre de l'article 22 ; la même analyse s'applique via l'article 3, point 13 lorsque l'auteur de la modification commercialise le produit modifié sous son propre nom. Pour la matrice complète de classification des rôles et l'arbre de décision comparant les cinq rôles, voir qui doit se conformer au CRA.
L'article 13 d'un coup d'oeil
| Para | Devoir | Point clé |
|---|---|---|
| 13(1) | Concevoir et produire au regard de l'annexe I partie I | Les exigences essentielles sont obligatoires, modulées par l'évaluation des risques de cybersécurité. |
| 13(2) à (4) | Évaluation des risques de cybersécurité | Documentée, mise à jour tout au long de la période d'assistance, intégrée à la documentation technique au titre de l'article 31. |
| 13(5) à (7) | Diligence raisonnable sur les composants | Inclut les composants libres et open source. Documenter les vulnérabilités dont le fabricant prend connaissance ; signaler en amont et remédier. |
| 13(8) | Période d'assistance | Au moins 5 ans, ou la durée d'utilisation effective attendue si plus courte. Documentée dans la documentation technique. Inclut les obligations de gestion des vulnérabilités et de politique CVD. |
| 13(9) | Disponibilité des mises à jour de sécurité | Chaque mise à jour de sécurité reste disponible pendant au moins 10 ans après son émission, ou pendant la durée restante de la période d'assistance, le délai le plus long étant retenu. |
| 13(10) à (11) | Versions logicielles substantiellement modifiées | La conformité à l'annexe I partie II (2) peut s'appliquer uniquement à la dernière version lorsque les utilisateurs y ont librement accès ; les archives publiques de versions non prises en charge sont autorisées avec avertissements de risque. |
| 13(12) à (14) | Documentation technique préalable + évaluation de la conformité + CE ; contrôles de fabrication en série | Établir la documentation technique au titre de l'article 31 ; effectuer ou faire effectuer l'évaluation de la conformité au titre de l'article 32 ; établir la DoC UE et apposer le marquage CE ; maintenir des procédures pour que la fabrication en série reste conforme. |
| 13(13) | Conservation | Documentation technique et DoC UE à la disposition des autorités de surveillance du marché pendant au moins 10 ans ou la période d'assistance, le délai le plus long étant retenu. |
| 13(15) à (16) | Identification du produit + identification du fabricant | Type/lot/numéro de série ; nom du fabricant, raison sociale ou marque, adresse postale, contact numérique, également reproduits dans les informations de l'annexe II. |
| 13(17) | Point de contact unique | Permet aux utilisateurs de choisir leur moyen de communication préféré. Ne doit pas se limiter à des outils automatisés. |
| 13(18) | Accompagnement annexe II | Informations et instructions dans une langue aisément compréhensible par les utilisateurs et la surveillance du marché, accessibles en ligne pendant la même durée de conservation. |
| 13(19) | Date de fin de la période d'assistance | Spécifiée au moment de l'achat, comprenant au moins le mois et l'année. Affichage d'une notification de fin d'assistance aux utilisateurs lorsque cela est techniquement faisable. |
| 13(20) | Délivrance de la DoC UE | Soit la DoC complète, soit une DoC simplifiée contenant l'adresse internet exacte à laquelle la DoC complète peut être consultée. |
| 13(21) à (22) | Mesures correctives après mise sur le marché + coopération | Retirer, rappeler ou remettre en conformité dès la connaissance d'une non-conformité. Fournir toute information à la surveillance du marché sur demande motivée. |
| 13(23) | Cessation d'activité | Informer la surveillance du marché et, par tout moyen disponible, les utilisateurs avant que la cessation ne prenne effet. |
| 13(24) à (25) | Format SBOM + évaluations de dépendances | La Commission peut préciser le format SBOM par actes d'exécution. L'ADCO peut conduire des évaluations de dépendances à l'échelle de l'Union. |
Annexe I : les exigences essentielles de cybersécurité
L'annexe I comporte deux parties. La partie I énumère 13 exigences relatives aux propriétés du produit, modulées par l'évaluation des risques de cybersécurité du fabricant au titre de l'article 13(2). La partie II énumère 8 exigences relatives aux processus de gestion des vulnérabilités du fabricant ; celles-ci ne sont pas modulées par le risque et s'appliquent indépendamment du type ou de la classe de produit.
Partie I : propriétés du produit (article 13(1), annexe I partie I)
Les produits comportant des éléments numériques sont conçus, développés et produits de manière à garantir un niveau approprié de cybersécurité fondé sur les risques. Sur la base de l'évaluation des risques de cybersécurité au titre de l'article 13(2), les éléments suivants s'appliquent dans la mesure où ils sont applicables :
| Code | Exigence |
|---|---|
| (a) | Mis à disposition sans vulnérabilités exploitables connues |
| (b) | Configuration sécurisée par défaut ; remise à l'état d'origine disponible (les produits sur mesure destinés à des utilisateurs professionnels peuvent en convenir autrement) |
| (c) | Vulnérabilités traitables par des mises à jour de sécurité ; mises à jour automatiques installées dans un délai approprié par défaut, avec option de désactivation et de report, lorsque cela est applicable |
| (d) | Protection contre l'accès non autorisé (authentification, gestion des identités ou des accès, signalement des accès non autorisés possibles) |
| (e) | Confidentialité des données stockées, transmises, traitées, y compris chiffrement au repos ou en transit au moyen de mécanismes de pointe |
| (f) | Protection de l'intégrité des données, commandes, programmes, configuration ; signalement des altérations |
| (g) | Minimisation des données : ne traiter que les données adéquates, pertinentes et limitées à la finalité prévue |
| (h) | Disponibilité des fonctions essentielles et de base, y compris après un incident ; résilience au déni de service |
| (i) | Minimiser l'impact négatif sur la disponibilité des services fournis par d'autres dispositifs ou réseaux |
| (j) | Limiter les surfaces d'attaque, y compris les interfaces externes |
| (k) | Réduire l'impact des incidents par des mécanismes et techniques d'atténuation de l'exploitation |
| (l) | Fournir des informations de sécurité par l'enregistrement et la surveillance des activités internes pertinentes, avec option de désactivation par l'utilisateur |
| (m) | Permettre aux utilisateurs de supprimer de manière sécurisée et aisée toutes les données et tous les paramètres ; assurer un transfert sécurisé des données lorsque cela est applicable |
La nuance « lorsque cela est applicable » à l'Annexe I Partie I (2) signifie que l'évaluation des risques du fabricant détermine quelles exigences de la partie I lient le produit. Lorsqu'une exigence n'est pas applicable, la documentation technique doit comporter une justification claire au titre de l'article 13(4).
Partie II : gestion des vulnérabilités (article 13(8), annexe I partie II)
La partie II est inconditionnelle : elle s'applique tout au long de la période d'assistance, indépendamment de la classe de produit ou du profil de risque.
| Code | Exigence |
|---|---|
| (1) | Identifier et documenter les vulnérabilités et les composants, y compris une nomenclature logicielle (SBOM) dans un format couramment utilisé et lisible par machine, couvrant au moins les dépendances de premier niveau |
| (2) | Traiter et remédier sans retard aux vulnérabilités au moyen de mises à jour de sécurité ; lorsque cela est techniquement faisable, dissocier les mises à jour de sécurité des mises à jour fonctionnelles |
| (3) | Appliquer des tests et examens efficaces et réguliers de la sécurité du produit |
| (4) | Une fois une mise à jour de sécurité disponible, partager et divulguer publiquement les informations relatives aux vulnérabilités corrigées (description, produits affectés, impacts, gravité, conseils de remédiation). Possibilité de différer la divulgation publique dans des cas dûment justifiés jusqu'à ce que les utilisateurs puissent appliquer le correctif |
| (5) | Mettre en place et appliquer une politique de divulgation coordonnée des vulnérabilités (CVD) |
| (6) | Faciliter le partage d'informations sur les vulnérabilités potentielles (y compris dans des composants tiers) en fournissant une adresse de contact pour les signalements de vulnérabilités |
| (7) | Mécanismes pour distribuer les mises à jour de manière sécurisée afin que les vulnérabilités soient corrigées en temps utile et, lorsque cela est applicable, automatiquement |
| (8) | Diffuser sans retard les mises à jour de sécurité ; gratuitement, sauf accord contraire avec un utilisateur professionnel pour des produits sur mesure ; avec messages d'avis aux utilisateurs |
La partie II court de la mise sur le marché jusqu'à la fin de la période d'assistance (article 13(8)). Les mises à jour de sécurité restent disponibles pendant au moins 10 ans après leur émission ou pendant la durée restante de la période d'assistance, le délai le plus long étant retenu (article 13(9)).
Artefacts pré-mise sur le marché : ce qui doit exister avant la mise sur le marché du produit
Quatre artefacts doivent exister avant la mise sur le marché du produit. Chacun est ancré dans un article spécifique du CRA et produit un acte de conformité spécifique : le dossier que conserve le fabricant, l'évaluation qu'il conduit, la déclaration qu'il signe, le marquage qu'il appose.
| Artefact | Ancrage | Ce qu'il contient ou exige |
|---|---|---|
| Documentation technique | Article 31, annexe VII (établie au titre de l'article 13(12)) | Description du produit, informations de conception et de développement, évaluation des risques de cybersécurité au titre de l'article 13(2), normes harmonisées ou spécifications communes appliquées, voie et résultat de l'évaluation de la conformité, DoC UE, et processus de gestion des vulnérabilités. Conservée pendant au moins 10 ans ou la période d'assistance, le délai le plus long étant retenu (article 13(13)). |
| Évaluation de la conformité | Article 32 | Auto-évaluation Module A pour les produits de classe par défaut uniquement. Les produits Importants Classe II par défaut, et les produits Critiques en l'absence de schéma européen de certification de cybersécurité, requièrent le Module B+C ou le Module H via un organisme notifié. Les produits Importants Classe I peuvent recourir au seul Module A uniquement lorsque des normes harmonisées, des spécifications communes ou un schéma de certification de cybersécurité sont pleinement appliqués. |
| Déclaration UE de conformité | Article 13(20), article 28, annexe V | Soit la DoC complète fournie avec le produit, soit une DoC simplifiée portant l'adresse internet exacte de la DoC complète. L'annexe V fixe le contenu : nom et adresse du fabricant, identification du produit, déclaration de conformité à l'annexe I, normes appliquées avec numéros de référence et dates, nom et numéro de l'organisme notifié le cas échéant, référence du certificat, date, signature, nom et fonction du signataire. |
| Marquage CE | Article 30, Règlement (CE) n° 765/2008 | Au moins 5 mm de hauteur, visible, lisible, indélébile, sur le produit ou sa plaque signalétique. Lorsque la taille ou la nature ne le permet pas, sur l'emballage et les documents d'accompagnement. Lorsqu'un organisme notifié est intervenu dans le contrôle de production, son numéro d'identification à quatre chiffres suit le marquage CE. |
Le choix du module d'évaluation de la conformité est la décision la plus lourde de conséquences de cette section. Le tableau et le diagramme de décision ci-dessous donnent le détail ligne par ligne.
| Module | Quand |
|---|---|
| A contrôle interne de la production | Produits de classe par défaut uniquement |
| B + C examen UE de type + contrôle de la production | Produits Importants Classe II par défaut ; Classe I lorsque aucune norme harmonisée pertinente, spécification commune ou schéma européen de certification de cybersécurité n'est appliqué |
| H assurance qualité complète | Alternative pour les produits Importants ; requise pour les produits Critiques en l'absence de schéma européen de certification de cybersécurité couvrant les exigences |
Voir le guide de la documentation technique, le guide de l'évaluation de la conformité, le guide de classification des produits et le guide de la déclaration de conformité pour le détail de chaque artefact.
Délais de signalement pour les fabricants (article 14)
L'article 14 fixe deux flux de signalement pour les fabricants, tous deux acheminés simultanément vers le CSIRT désigné comme coordinateur et vers l'ENISA via la plateforme unique de signalement au titre de l'article 16. Les deux flux partagent la cadence 24h/72h mais ont des délais de rapport final différents, point fréquemment mal compris.
| Flux | Alerte précoce 24h | Notification 72h | Rapport final |
|---|---|---|---|
| Vulnérabilité activement exploitée (14(1)–(2)) | Dans les 24h suivant la connaissance | Dans les 72h suivant la connaissance | 14 jours après la disponibilité d'une mesure corrective ou d'atténuation |
| Incident grave (14(3)–(5)) | Dans les 24h suivant la connaissance | Dans les 72h suivant la connaissance | Un mois après la notification à 72h |
Le compteur du rapport final pour les vulnérabilités démarre lorsque le correctif est prêt, pas au moment de la prise de connaissance ; l'écart peut être de plusieurs semaines ou mois. Le compteur du rapport final pour les incidents graves est fixé à la notification à 72h, soit en pratique le 33e jour à compter de la prise de connaissance. Voir le guide cluster signalement des vulnérabilités pour le déroulé opérationnel, le routage vers le CSIRT coordinateur au titre de l'article 14(7) (y compris la cascade de repli pour les fabricants non établis dans l'UE), le devoir d'information des utilisateurs au titre de l'article 14(8), et le fonctionnement de la plateforme unique de signalement de l'article 16.
Période d'assistance et devoirs après mise sur le marché
L'article 13(8) fixe la période d'assistance à au moins 5 ans, ou la durée d'utilisation effective attendue si plus courte ; les mises à jour de sécurité restent disponibles pendant au moins 10 ans après leur émission au titre de l'article 13(9). La date de fin (au moins le mois et l'année) doit être divulguée au point de vente au titre de l'article 13(19). Voir le guide cluster période d'assistance pour les critères de détermination, les règles relatives aux versions logicielles substantiellement modifiées aux 13(10) et (11), et le devoir de notification de fin de vie.
Deux devoirs du fabricant après mise sur le marché coexistent avec le régime de la période d'assistance et n'ont pas leur propre page cluster. Article 13(21)–(22) : dès la connaissance d'une non-conformité à l'annexe I, le fabricant prend immédiatement des mesures correctives, ou retire ou rappelle le produit selon le cas, et, sur demande motivée d'une autorité de surveillance du marché, fournit toute information nécessaire à la démonstration de la conformité dans une langue que l'autorité comprend. Article 13(23) : un fabricant cessant ses activités informe les autorités de surveillance du marché concernées avant que la cessation ne prenne effet, et informe les utilisateurs par tout moyen disponible et dans la mesure du possible.
Fabricant ou auteur d'une modification substantielle au titre de l'article 22
L'article 22 couvre un cas différent de la classification au titre de l'article 3, point 13. Textuellement :
« Une personne physique ou morale, autre que le fabricant, l'importateur ou le distributeur, qui procède à une modification substantielle d'un produit comportant des éléments numériques et le met à disposition sur le marché est considérée comme un fabricant aux fins du présent règlement. »
L'article 22 exclut explicitement les fabricants, importateurs et distributeurs. Il s'applique aux tiers extérieurs à la chaîne de l'article 3 : intégrateurs de systèmes, revendeurs à valeur ajoutée, services informatiques internes qui modifient des produits fournisseurs avant redistribution. Le champ de l'article 22(2) est précis : l'auteur de la modification est traité comme fabricant pour la partie du produit affectée par la modification substantielle, ou pour le produit entier si la modification a un impact sur la cybersécurité du produit dans son ensemble. La « modification substantielle » est définie à l'article 3, point 30 comme un changement après la mise sur le marché qui affecte la conformité à l'annexe I partie I ou modifie la finalité prévue pour laquelle le produit a été évalué.
| Cas | Classification |
|---|---|
| Ingénierie originale, marque originale | Fabricant (article 3, point 13) |
| Marque originale, un tiers ajoute des fonctionnalités firmware après mise sur le marché qui modifient la surface d'attaque | Le fabricant d'origine demeure ; le tiers est également fabricant pour la partie modifiée au titre de l'article 22 |
| Re-marquage en marque blanche d'un produit non européen par une entité européenne | L'entité européenne est le fabricant au titre de l'article 3, point 13 ; ce n'est pas une « escalade article 22 » |
| Un intégrateur européen regroupe des produits compatibles sans en modifier les internes | Distributeur au titre de l'article 3, point 17, et non article 22 |
| Le service informatique d'une entreprise installe un firmware personnalisé sur des dispositifs fournisseurs, puis revend | Auteur de modification au titre de l'article 22 ; traité comme fabricant pour le produit modifié |
La conséquence pratique de l'article 22 lorsqu'il attrape un tiers : pleines obligations des articles 13 et 14 pour la partie modifiée ou le produit entier, y compris un nouveau dossier technique, une nouvelle DoC, un nouveau marquage CE sous la responsabilité de l'auteur de la modification, et la cadence de signalement de l'article 14 ci-dessus.
Calendrier de mise en oeuvre
Pièges courants
| Affirmation | Pourquoi elle ne tient pas |
|---|---|
| « Nous ne sommes pas vraiment le fabricant ; un OEM dans un autre pays le fabrique. » | L'article 3, point 13 attrape le titulaire de la marque. L'externalisation de la fabrication ne transfère pas l'obligation. |
| « Notre politique de sécurité est suffisante ; nous n'avons pas besoin de réaliser une évaluation de l'annexe I partie I. » | L'article 13(2) rend l'évaluation des risques de cybersécurité obligatoire. La documentation technique doit inclure cette évaluation au titre de l'article 13(4). |
| « Nos clients ne demandent pas de SBOM, donc nous n'en faisons pas. » | L'annexe I partie II (1) exige l'identification des vulnérabilités et des composants, y compris un SBOM dans un format couramment utilisé et lisible par machine. L'intérêt du client est sans pertinence. |
| « Notre chatbot est le point de contact unique. » | L'article 13(17) exige que l'utilisateur puisse choisir son moyen de communication préféré. Les moyens ne doivent pas se limiter à des outils automatisés. |
| « Cinq ans à compter du lancement du produit suffisent largement pour la période d'assistance. » | L'article 13(8) fait courir la période d'assistance à compter de la mise sur le marché de chaque unité, et non à compter du lancement. Les unités placées en année 4 portent des obligations d'assistance jusqu'en année 9. |
| « Le délai de rapport final de 14 jours s'applique aussi aux incidents. » | Non. Vulnérabilités : 14 jours après la disponibilité d'une mesure corrective. Incidents graves : un mois après la notification à 72h (article 14(2)(c) vs 14(4)(c)). |
| « Notre SLA couvre déjà les vulnérabilités ; nous n'avons pas besoin de signaler à l'ENISA. » | Le signalement au titre de l'article 14 se fait au CSIRT désigné comme coordinateur et à l'ENISA simultanément, via la plateforme unique de signalement de l'article 16. Les SLA clients ne s'y substituent pas. |
| « Nous avons une assurance pour les violations. » | Les amendes administratives au titre de l'article 64 ne sont pas assurables dans la plupart des États membres. Le transfert de risque ne peut remplacer la conformité. |
| « L'article 14 ne s'applique qu'à partir du moment où nous avons une entité européenne. » | Le troisième alinéa de l'article 14(7) achemine les fabricants non établis dans l'UE via une cascade CSIRT fondée sur la localisation du mandataire, de l'importateur, du distributeur ou des utilisateurs. Le devoir de signalement démarre le 11 septembre 2026 indépendamment. |
| « Nous différons la divulgation publique de chaque vulnérabilité jusqu'à la prochaine livraison trimestrielle. » | L'annexe I partie II (4) n'autorise le report que dans des cas dûment justifiés jusqu'à ce que les utilisateurs puissent appliquer le correctif. Un regroupement trimestriel de routine n'est pas un « cas dûment justifié ». |
Foire aux questions
Qu'est-ce qu'un fabricant au titre du CRA ?
Le titulaire de la marque. Le fabricant est l'entité qui développe ou fait concevoir un produit (y compris via une usine externalisée) et le commercialise sous son propre nom ou sa marque, à titre onéreux ou gratuit. La marque sur le produit, et non la localisation de la chaîne de production, détermine qui est le fabricant. Les responsables de logiciels libres relèvent d'un régime distinct et plus léger ; la revente grand public sans marque relève de la distribution, et non de la fabrication. (Art. 3(13) ; régime des responsables à l'art. 3(14).)
Suis-je fabricant ou importateur ?
Cela dépend de la marque qui figure sur le produit. Votre propre nom ou marque sur le produit vous qualifie de fabricant, quel que soit le lieu de fabrication. La marque d'une personne non européenne sur un produit que vous mettez sur le marché de l'Union fait de vous l'importateur. Apposez votre propre marque sur un produit fabriqué hors UE et vous portez l'ensemble des obligations fabricant ; conservez la marque d'origine et acheminez-le par votre entité européenne, et vous portez uniquement les obligations importateur. (Art. 3(13) et 3(16) ; obligations fabricant aux art. 13 et 14 ; obligations importateur à l'art. 19.)
Fabricant ou mandataire : quelle est la différence ?
Le mandataire est un relais administratif, pas un fabricant de substitution. En vertu d'un mandat écrit, il tient à disposition des autorités de surveillance du marché la DoC UE et la documentation technique, répond aux demandes motivées, et coopère aux actions de mise en oeuvre. L'ingénierie, l'évaluation des risques, la gestion des vulnérabilités, l'évaluation de la conformité et les devoirs de fabrication en série restent au fabricant. Le mandataire ne met pas le produit sur le marché ; cet acte demeure celui du fabricant ou de son importateur. La désignation d'un mandataire est facultative, pas obligatoire. (Art. 3(15) et 18(1)–(3) ; devoirs réservés au fabricant aux art. 13(1)–(11), 13(12) premier alinéa et 13(14).)
Existe-t-il des exemptions PME pour les fabricants ?
Les obligations substantielles s'appliquent indépendamment de la taille. La seule concession PME du CRA en matière de sanctions protège les microentreprises et petites entreprises contre les amendes liées aux délais d'alerte précoce à 24h, et rien d'autre. Les responsables de logiciels libres bénéficient d'une exemption plus large des amendes administratives, mais relèvent d'une catégorie distincte. Les autorités doivent également tenir dûment compte de la taille du contrevenant (y compris les PME et les start-ups) pour fixer le montant des amendes ; il s'agit d'un facteur de modulation de la sanction sur l'ensemble du régime, et non d'une exemption d'obligation. (Art. 13 et 14 pour toutes les tailles ; concession PME à l'art. 64(10)(a) pour les délais 14(2)(a) et 14(4)(a) ; facteur de modulation à l'art. 64(5)(c) ; catégorie OSS à l'art. 3(14).)
Quand les obligations CRA du fabricant s'appliquent-elles ?
Deux dates. Le signalement des vulnérabilités et incidents au titre de l'article 14 démarre le **11 septembre 2026**. Le reste du régime applicable au fabricant (article 13, annexe I, évaluation de la conformité, DoC UE, marquage CE, documentation technique) démarre le **11 décembre 2027**. Les fabricants qui mettent des produits sur le marché de l'UE ont besoin d'une capacité de signalement au titre de l'article 14 opérationnelle d'ici septembre 2026, même si leur programme de conformité intégral à l'article 13 est encore en construction. (Art. 71 ; signalement art. 14 à partir du 11 septembre 2026 ; art. 13, 30, 31, 32 et annexe I à partir du 11 décembre 2027.)
Qu'est-ce que la période d'assistance et comment est-elle déterminée ?
Au moins 5 ans, ou la durée d'utilisation prévue si elle est plus courte. Le fabricant détermine la période en tenant compte des attentes raisonnables des utilisateurs, de la nature et de la finalité prévue du produit, du droit de l'Union pertinent sur la durée de vie des produits, des périodes d'assistance de produits similaires sur le marché, de la disponibilité de l'environnement d'exploitation, des périodes d'assistance des composants tiers intégrés, et des orientations de l'ADCO et de la Commission. Les informations prises en compte doivent figurer dans la documentation technique. La date de fin (au moins le mois et l'année) doit être divulguée au point de vente. Une fois émises, les mises à jour de sécurité restent disponibles pendant au moins 10 ans ou la durée restante de la période d'assistance, le délai le plus long étant retenu. (Art. 13(8), 13(9) et 13(19).)
Quelle est la différence entre une « vulnérabilité activement exploitée » et un « incident grave » au titre de l'article 14 ?
Définitions distinctes, délais de rapport final distincts. Une vulnérabilité activement exploitée est une vulnérabilité pour laquelle il existe des éléments fiables démontrant qu'un acteur malveillant l'a exploitée sans l'autorisation du propriétaire du système. Un incident grave est un incident qui affecte négativement (ou peut affecter) la capacité du produit à protéger la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données ou fonctions sensibles ou importantes, ou qui a entraîné (ou peut entraîner) l'introduction ou l'exécution de code malveillant dans le produit ou dans le réseau d'un utilisateur. Les deux flux utilisent la cadence alerte précoce 24 h + notification 72 h, mais les rapports finaux diffèrent : les vulnérabilités sont signalées 14 jours après la disponibilité d'une mesure corrective, les incidents dans le mois suivant la notification à 72 h. (Vulnérabilité activement exploitée à l'art. 3(42) ; incident grave à l'art. 14(5) ; délais aux art. 14(2) et 14(4).)
Les composants open source dans notre produit affectent-ils nos obligations de fabricant ?
Oui. Le fabricant doit exercer une diligence raisonnable lors de l'intégration de composants tiers, y compris des composants logiciels libres et open source non mis à disposition sur le marché dans le cadre d'une activité commerciale. Dès l'identification d'une vulnérabilité dans un composant (y compris open source), le fabricant la signale à la personne ou à l'entité qui maintient le composant, et la traite et y remédie au titre de l'annexe I partie II. Lorsque le fabricant a développé un correctif, il partage le code ou la documentation pertinents avec le mainteneur le cas échéant, dans un format lisible par machine lorsque cela est applicable. Le produit nécessite un SBOM couvrant au moins les dépendances de premier niveau. Les responsables de logiciels libres constituent une catégorie distincte avec son propre régime (plus léger). (Art. 13(5)–(7) ; SBOM à l'annexe I partie II (1) ; catégorie des responsables à l'art. 3(14).)