Le Règlement sur la cyberrésilience (Règlement (UE) 2024/2847) traite l'importateur comme le canal juridique par lequel un fabricant hors UE accède au marché de l'Union. À compter du 11 décembre 2027, l'article 19 engage votre responsabilité personnelle pour vérifier la conformité CRA avant toute mise sur le marché d'un produit comportant des éléments numériques. Cette page couvre les quatre vérifications préalables à la mise sur le marché de l'article 19, paragraphe 2, les obligations post-marché des paragraphes 3 à 8, la règle de conservation et les limites de rôle qui déterminent si vous êtes réellement importateur au titre de l'article 3, paragraphe 13 et de l'article 3, paragraphe 16.
Résumé
- Quatre vérifications préalables à la mise sur le marché (article 19, paragraphe 2) : évaluation de conformité réalisée, documentation technique établie, marquage CE + DoC UE + langue de l'annexe II présents, conformité aux articles 13(15), (16) et (19).
- Devoir de refus (article 19, paragraphe 3) : si le produit ou les processus du fabricant ne sont pas conformes, ne pas mettre sur le marché ; informer le fabricant et les autorités de surveillance du marché en cas de risque cybersécurité significatif.
- Obligations post-mise sur le marché (article 19, paragraphes 5 à 8) : mesures correctives et rappel le cas échéant, signalement des vulnérabilités portées à connaissance, coopération avec la surveillance du marché, et information en cas de cessation d'activité du fabricant.
- Conservation (article 19, paragraphe 6) : 10 ans ou la durée de la période d'assistance, selon la plus longue.
- Vous n'êtes pas importateur si vous commercialisez sous votre propre nom. L'article 3, paragraphe 13 vous classe comme fabricant, avec l'intégralité des obligations des articles 13 et 14.
Quatre vérifications, conservation supérieure à dix ans, deux niveaux de sanction selon que vous êtes effectivement l'importateur ou non.
Le marquage CE sur un produit hors UE est la déclaration du fabricant attestant la conformité du produit. L'obligation de l'importateur au titre de l'article 19 est de vérifier la documentation qui étaye cette déclaration. Un marquage CE sans déclaration UE de conformité, sans dossier technique Annexe VII et sans évaluation des risques Annexe I n'est pas une défense ; c'est un déclencheur d'application de l'article 19(2) justifiant le refus de mise sur le marché.
Qui est importateur au regard du CRA ?
L'article 3, paragraphe 16 définit l'importateur en ces termes :
« Importateur » : toute personne physique ou morale établie dans l'Union qui met sur le marché un produit comportant des éléments numériques portant le nom ou la marque d'une personne physique ou morale établie en dehors de l'Union.
Vous êtes importateur au sens du CRA si les trois conditions sont réunies :
| Élément | Test |
|---|---|
| Établi dans l'Union | Votre entité juridique est immatriculée dans un État membre de l'UE |
| Mise sur le marché | Vous rendez pour la première fois le produit disponible sur le marché de l'Union pour distribution ou utilisation dans le cadre d'une activité commerciale (article 3, paragraphes 21 et 22) |
| Porte un nom ou une marque hors UE | Le nom ou la marque figurant sur le produit, son emballage ou la documentation est celui d'une personne établie en dehors de l'Union |
Si l'une des trois conditions n'est pas remplie, vous n'êtes pas l'importateur. Si le produit porte votre propre nom ou votre propre marque, vous êtes le fabricant au titre de l'article 3, paragraphe 13. Si vous n'êtes pas la première entité UE à mettre le produit sur le marché de l'Union, vous êtes le distributeur au titre de l'article 3, paragraphe 17. Si un fabricant hors UE vous a désigné par mandat écrit pour agir en son nom sans que vous mettiez vous-même le produit sur le marché, vous êtes le mandataire au titre de l'article 18 et de l'article 3, paragraphe 15, et non l'importateur.
L'importateur est le premier canal juridique par lequel un fabricant hors UE accède au marché de l'Union et engage sa responsabilité personnelle pour ce qui transite par ce canal.
L'article 19 d'un coup d'œil
| Paragraphe | Devoir | Point clé |
|---|---|---|
| 19(1) | Conformité générale | Ne mettre sur le marché que des produits conformes à l'annexe I, partie I, lorsque les processus du fabricant sont conformes à la partie II. |
| 19(2) | Vérification préalable (a) à (d) | Évaluation de conformité + documentation technique + CE/DoC/annexe II + article 13, paragraphes 15, 16, 19. L'importateur doit pouvoir produire les documents prouvant le respect de ces exigences. |
| 19(3) | Devoir de refus | Ne pas mettre sur le marché si le produit ou les processus sont non conformes. Informer le fabricant + la surveillance du marché en cas de risque cybersécurité significatif. Les facteurs de risque non techniques déclenchent l'article 54, paragraphe 2. |
| 19(4) | Identification de l'importateur | Nom propre, nom commercial ou marque déposée, adresse postale, point de contact numérique sur le produit, son emballage ou un document accompagnant. |
| 19(5) | Mesures correctives post-marché | Retrait ou rappel selon le cas. Vulnérabilités portées à connaissance : informer le fabricant sans retard injustifié ; informer les autorités de surveillance du marché de chaque État membre d'approvisionnement en cas de risque cybersécurité significatif. |
| 19(6) | Conservation | Tenir la DoC à la disposition des autorités pendant 10 ans ou la durée de la période d'assistance, selon la plus longue. S'assurer que la documentation technique peut être mise à disposition sur demande. |
| 19(7) | Coopération | Sur demande motivée de la surveillance du marché, fournir toutes les informations et documents dans une langue comprise par l'autorité. |
| 19(8) | Cessation d'activité du fabricant | Informer les autorités de surveillance du marché et, par tout moyen disponible, les utilisateurs. |
Aucune de ces obligations ne comporte de seuil PME. L'exemption de l'article 64, paragraphe 10 est limitée aux délais de niveau fabricant prévus aux articles 14, paragraphe 2, point a) et 14, paragraphe 4, point a), ainsi qu'aux gestionnaires de logiciels libres.
Importateur vs distributeur
Le critère juridique est de savoir quelle entité place en premier le produit sur le marché de l'Union.
| Aspect | Importateur (article 19) | Distributeur (article 20) |
|---|---|---|
| Position | Établi dans l'Union ; met sur le marché un produit portant le nom d'une personne hors UE | Toute entité rendant le produit disponible après l'importateur, sans en affecter les propriétés |
| Vérification | Article 19, paragraphe 2 (a) à (d) intégral, y compris l'article 13, paragraphes 15, 16, 19 | Vérifie le CE, plus la présence de l'article 13, paragraphes 15, 16, 18, 19, 20 et de l'article 19, paragraphe 4 |
| Documentation | Doit pouvoir produire les documents prouvant l'article 19 ; s'assure que l'annexe VII peut être mise à disposition | Coopère avec les autorités ; vérification fondée sur la présence |
| Refus | Article 19, paragraphe 3 | Article 20 |
| Vulnérabilités portées à connaissance | Article 19, paragraphe 5 | Article 20 |
| Conservation | DoC pendant 10 ans ou la durée de la période d'assistance, selon la plus longue | Aucune spécifique ; coopération sur demande |
| Niveau de sanction | 10 000 000 EUR ou 2 % (article 64, paragraphe 3) | 10 000 000 EUR ou 2 % (article 64, paragraphe 3) |
Qualifier le rôle de « distribution » dans un accord privé ne déplace pas l'obligation de droit public. Si votre entité met pour la première fois un produit hors UE sur le marché de l'Union, vous êtes l'importateur.
Les quatre vérifications préalables à la mise sur le marché
1. Évaluation de conformité réalisée (article 19(2)(a), article 32)
Le fabricant doit avoir suivi la voie d'évaluation adaptée à la classe du produit. Demandez la déclaration UE de conformité mentionnant le module d'évaluation utilisé et, lorsqu'un organisme notifié est intervenu, le numéro de certificat et le numéro d'identification à quatre chiffres de l'organisme après le marquage CE.
| Module | Quand |
|---|---|
| A contrôle interne de la production | Produits de classe par défaut uniquement |
| B + C examen UE de type + contrôle de la production | Important Classe II par défaut ; Classe I lorsqu'aucune norme harmonisée pertinente n'est appliquée |
| H assurance complète de la qualité | Voie alternative pour les produits Important ; requise pour les produits Critique en l'absence de schéma européen de certification de cybersécurité |
Voir le guide de cluster sur l'évaluation de la conformité.
2. Documentation technique établie (article 19(2)(b), article 31, annexe VII)
L'importateur n'est pas tenu de détenir le dossier complet de l'annexe VII, mais doit pouvoir prouver le respect de l'article 19 (phrase finale du paragraphe 2) et s'assurer que le dossier peut être mis à la disposition des autorités sur demande (article 19, paragraphe 6). Demandez : une table des matières couvrant chaque section de l'annexe VII, ainsi qu'un engagement écrit du fabricant à produire le dossier sous-jacent dans un délai et une langue définis. Voir le guide de cluster sur la documentation technique.
3. CE + DoC UE + annexe II dans la langue adéquate (article 19(2)(c), article 30, article 13(20), annexe II)
Trois éléments doivent accompagner le produit.
| Élément | Contrainte |
|---|---|
| Marquage CE (article 30) | Hauteur minimale de 5 mm, visible, lisible, indélébile, apposé sur le produit ou la plaque signalétique. Le numéro d'identification de l'organisme notifié suit le marquage le cas échéant. Un CE figurant uniquement sur le carton extérieur n'est pas conforme. |
| DoC UE (article 13(20), contenu complet selon l'article 28 + annexe V) | Soit la DoC complète accompagne le produit, soit une DoC simplifiée contenant l'adresse internet exacte de la DoC complète. Une mention générique d'« exigences de cybersécurité » sans référence à l'annexe I est un défaut. |
| Informations et instructions de l'annexe II | Dans une langue aisément compréhensible par les utilisateurs et les autorités de surveillance du marché de l'État membre concerné. Identité du fabricant, destination prévue, date de fin de période d'assistance, configuration sécurisée, mise hors service sécurisée, adresse de signalement des vulnérabilités. |
4. Identification et traçabilité (article 19(2)(d), article 13, paragraphes 15, 16 et 19)
Trois devoirs distincts du fabricant croisés depuis l'article 19(2)(d) :
| Référence | Devoir | Vérification importateur |
|---|---|---|
| 13(15) | Type, lot ou numéro de série pour l'identification du produit (ou sur l'emballage si le produit ne peut le porter) | Confirmer la présence sur le produit ou l'emballage |
| 13(16) | Nom du fabricant, nom commercial ou marque déposée, adresse postale, point de contact numérique, également repris à l'annexe II | Confirmer sur le produit, l'emballage ou un document accompagnant |
| 13(19) | Date de fin de période d'assistance précisée au moment de l'achat, comprenant au moins le mois et l'année | Confirmer que le mois et l'année sont visibles au point de vente |
Un produit sans date de fin précisée par mois et année est non conforme au titre de l'article 19(2)(d) sur le fondement de l'article 13(19), même si toutes les autres vérifications sont passées.
Devoir adjacent à traiter comme déclencheur de refus : point de contact unique de l'article 13(17). L'article 13(17) exige que les utilisateurs puissent choisir leur moyen de communication préféré et que ce moyen ne soit pas limité à des outils automatisés. Un contact uniquement par chatbot n'est pas conforme. Sans point de contact unique opérationnel en amont, le flux de signalement des vulnérabilités de l'article 14 est rompu dès le premier jour.
Vérifier la conformité d'un fabricant hors UE
Les assurances verbales des contacts commerciaux ne valent pas comme preuves au sens de l'article 19(1). L'importateur doit recueillir de la documentation, l'évaluer et décider.
Modèle de demande de documentation
Envoyez le message suivant avant de signer tout contrat d'importation :
OBJET : Demande de documentation de conformité CRA
Nous évaluons [produit / modèle] en vue d'importation dans l'Union européenne
au titre du Règlement (UE) 2024/2847 (Cyber Resilience Act).
Veuillez fournir les éléments suivants avant que nous procédions à l'importation :
1. Déclaration UE de conformité, signée et datée, citant les exigences
essentielles de l'Annexe I et le module d'évaluation de conformité utilisé
au titre de l'article 32, avec le numéro de certificat de l'organisme
notifié le cas échéant.
2. Table des matières de la documentation technique Annexe VII, plus un
engagement écrit de fournir le dossier sous-jacent aux autorités de
surveillance du marché UE sur demande, dans un délai de [X] jours
ouvrables, en [langue].
3. Confirmation de la période d'assistance (minimum 5 ans à compter de la
mise sur le marché au titre de l'article 13(8), ou la durée d'utilisation
prévue si inférieure, avec date et justification).
4. Politique de gestion des vulnérabilités et point de contact unique (URL
ou e-mail) au titre de l'article 13(16), avec confirmation qu'il est
surveillé.
5. Politique de divulgation coordonnée des vulnérabilités au titre de
l'Annexe I partie II.
6. Preuve du placement du marquage CE (photographie du marquage sur le
produit ou la plaque signalétique ; référence à la taille et
à l'indélébilité).
7. Instructions utilisateur Annexe II en [langue de l'État membre cible].
Nous ne pouvons pas mettre le produit sur le marché UE sans cette documentation.
Délai de réponse demandé : [X] jours ouvrables.
Évaluer les réponses
| Réponse | Action |
|---|---|
| Documentation complète fournie | Procéder à la revue de vérification article 19(1) |
| Documentation partielle, solde « en cours » | Suspendre l'import ; documenter l'écart ; ne pas mettre sur le marché |
| « Nous sommes marqués CE sous une autre réglementation » | Insuffisant ; le CE sous la directive CEM, RED ou BT ne satisfait pas le CRA. Demander une DoC et une Annexe VII spécifiques CRA. |
| « Notre produit est hors du périmètre CRA » | Demander une analyse de périmètre écrite citant l'article 2 et les Annexes III/IV ; ne pas importer sur la base d'une affirmation verbale |
| « Le certificat de l'organisme notifié est en attente » | L'article 32 doit être complété avant la mise sur le marché ; ne pas importer |
| Refus ou absence de réponse | Ne pas importer |
Signaux d'alerte
- Texte de DoC copié depuis un modèle, sans correspondance produit-spécifique avec l'Annexe I.
- Date de DoC antérieure au 11 décembre 2027 sans indication d'une version mise à jour spécifique CRA.
- Numéro d'organisme notifié manquant pour un produit relevant de l'Annexe III Classe II ou de l'Annexe IV (Critique).
- Absence de point de contact unique pour les vulnérabilités, ou contact qui rebondit au test.
- Période d'assistance déclarée inférieure à cinq ans sans justification au titre de l'article 13(8).
- Instructions uniquement dans la langue nationale du fabricant pour un marché cible à langue officielle différente.
Quand la vérification échoue : étape par étape
L'article 19(2) crée une obligation d'arrêt et d'information. La séquence est la suivante :
- Arrêter. Ne pas mettre le produit sur le marché UE. Les marchandises peuvent encore entrer en entrepôt douanier ou être réexportées, mais la mise sur le marché est interdite jusqu'à résolution de la non-conformité.
- Documenter. Enregistrer quel point de vérification de l'article 19(1) a échoué, quelle preuve manquait ou était insuffisante, la date de la détermination et la trace des échanges avec le fabricant.
- Notifier le fabricant par écrit. Indiquer l'écart de conformité spécifique, la documentation requise, le délai de réponse et la conséquence (pas d'importation tant que non résolu).
- Évaluer le risque cybersécurité. Si le produit présente un risque cybersécurité significatif (deuxième phrase de l'article 19(2)), informer l'autorité de surveillance du marché de l'État membre concerné et fournir toute la documentation disponible.
- Résoudre ou rejeter. Procéder à l'importation uniquement lorsque les six points de l'article 19(1) sont satisfaits et que les préoccupations de risque sont closes. Si l'écart ne peut être comblé dans le délai fixé par le fabricant, rejeter l'importation.
Êtes-vous vraiment l'importateur ? Les limites du rôle au sens de l'article 3
La question la plus difficile n'est pas « que doit faire un importateur », mais « suis-je seulement importateur ». Le Règlement sur la cyberrésilience tranche par les définitions de l'article 3, et non par l'article 22.
Article 3(13), fabricant : toute personne qui développe ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque.
Article 3(16), importateur : toute personne établie dans l'Union qui met sur le marché un produit comportant des éléments numériques portant le nom ou la marque d'une personne établie en dehors de l'Union.
Lus ensemble : le même geste logistique n'est qualifié d'« importation » que si le produit porte le nom d'une personne hors UE. Apposez votre propre marque, et vous tombez dans l'article 3(13), pas dans l'article 3(16). Vous êtes alors fabricant pour ce produit, et vous l'avez toujours été. Il n'existe pas d'« escalade article 22 » pour les importateurs. L'article 22 exclut explicitement les importateurs (« autre que le fabricant, l'importateur ou le distributeur ») ; il vise les modificateurs tiers tels que les intégrateurs systèmes ou les revendeurs à valeur ajoutée, qui se situent en dehors de la chaîne définie à l'article 3.
Test du branding
| Situation | Qualification |
|---|---|
| Vente sous la marque « AcmeTech » | Fabricant (article 3(13)) |
| Mention « Distribué par AcmeTech » à côté de la marque d'origine bien visible | Importateur (article 3(16)) |
| Remplacement complet du branding d'origine par le vôtre | Fabricant (article 3(13)) |
| Petit autocollant de distributeur à côté du branding d'origine | Selon la proéminence ; test de l'acheteur raisonnable |
| Communication marketing qui vous présente comme la source, même si l'appareil porte le nom de l'usine en amont | Fabricant (article 3(13)) |
Test de la modification substantielle (article 3(30))
Une modification intervenue après la mise sur le marché qui affecte la conformité à l'Annexe I partie I, ou qui modifie la destination prévue pour laquelle le produit a été évalué.
| Probablement substantiel | Probablement non substantiel |
|---|---|
| Installation d'un firmware personnalisé | Correctifs de sécurité émis par le fabricant qui préservent la destination prévue |
| Ajout d'une gestion à distance ou de la télémétrie | Localisation de la documentation imprimée |
| Modifications matérielles touchant des fonctions de sécurité | Changements d'emballage extérieur |
| Remplacement des implémentations cryptographiques | Regroupement d'accessoires compatibles sans intégration |
| Changement des mécanismes d'authentification ou d'autorisation | |
| Ajout d'une connectivité réseau à un produit auparavant hors ligne |
Lorsqu'un importateur apporte une modification substantielle, l'article 22 ne s'applique pas formellement (il exclut les importateurs). La lecture défendable : la modification substantielle vous fait sortir de l'article 3(16), parce que le produit n'est plus celui que le fabricant hors UE a mis sur le marché. La voie sûre consiste à traiter le modificateur comme fabricant de cette variante au titre de l'article 3(13).
Coût de la requalification
| Poste de coût | Importateur (article 3(16)) | Fabricant (article 3(13)) |
|---|---|---|
| Évaluation de la conformité | Vérifier celle du fabricant | Réaliser la sienne (Module A) ou recourir à un organisme notifié (Module B+C, Module H) |
| Documentation technique | Vérifier l'accès | Rédiger et maintenir (article 31, Annexe VII) |
| Gestion des vulnérabilités | Transmettre les signalements en amont ; mesures correctives (article 19(5)) | Assurer la réception, le triage, la correction, la politique de divulgation coordonnée, le signalement article 14 |
| Mises à jour de sécurité | Transmettre | Développer, signer, distribuer pendant la période d'assistance ; rester disponibles 10 ans ou la durée restante (article 13(9)) |
| Exposition aux sanctions | Jusqu'à 10 M EUR ou 2 % (article 64(3)) | Jusqu'à 15 M EUR ou 2,5 % (article 64(2)) |
Scénarios pratiques
| Scénario | Qualification |
|---|---|
| Tablettes en marque blanche vendues sous la marque de l'entité UE | Fabricant (article 3(13)) dès le premier jour |
| Routeurs d'entreprise préconfigurés sous la marque d'origine, avec profils de configuration pertinents pour la sécurité | Fabricant (article 3(13)) pour la variante configurée ; ou arrangement avec le fabricant d'origine pour que sa DoC couvre cette variante |
| Correctifs de sécurité émis par le fabricant, appliqués avant la vente | Importateur (article 3(16)) ; documenter que les correctifs proviennent du fabricant |
| Build de firmware personnalisé pour des clients grands comptes | Deux filières : SKU standard en qualité d'importateur, SKU personnalisé en qualité de fabricant |
| Pack commercialisé comme système intégré | Fabricant du pack (article 3(13)) |
Stratégies pour rester importateur
- Maintenir visibles le nom du fabricant d'origine et l'identification « fabriqué par ». Votre identification reste « importé par » au titre de l'article 19(4).
- N'appliquer que des correctifs émis par le fabricant qui préservent la destination prévue.
- Ne pas modifier la configuration pertinente pour la sécurité avant la revente ; faire passer la personnalisation client par le fabricant d'origine.
- Documenter chaque produit comme « non modifié par l'importateur », avec une checklist renvoyant à l'article 3(30).
Documentation et conservation
L'article 19(6) exige que l'importateur conserve une copie de la déclaration UE de conformité à la disposition des autorités de surveillance du marché pendant 10 ans à compter de la date à laquelle le produit couvert par cette déclaration a été mis sur le marché. En pratique, l'importateur conserve :
- La déclaration UE de conformité, signée et datée, avec toutes les annexes référencées.
- La table des matières de l'Annexe VII et l'engagement écrit du fabricant de fournir le dossier sous-jacent sur demande des autorités, avec le délai convenu et la langue.
- Le propre registre de vérification article 19(1) de l'importateur (checklist en 6 points, décision, date, signataire).
- Les échanges avec le fabricant portant sur les demandes de documentation, les écarts identifiés et leurs résolutions.
- Les registres d'importation : documentation douanière, expédition, identifiants de lot et date de première mise sur le marché par lot.
- Lorsque la requalification de l'article 3(13) s'applique (rebranding ou modification substantielle au sens de l'article 3(30)), le dossier fabricant complet : évaluation des risques, documentation technique, preuves d'évaluation de conformité, DoC émise par l'importateur, registres de gestion des vulnérabilités, déclaration de période d'assistance, horodatages de prise de connaissance article 14 le cas échéant.
Le stockage numérique est acceptable. L'importateur doit s'assurer que les fichiers restent accessibles et lisibles pendant toute la durée de conservation et peuvent être produits dans un délai raisonnable sur demande des autorités, dans une langue que celles-ci comprennent.
Pièges courants
« Le marquage CE signifie qu'ils sont conformes. » Le marquage CE est la déclaration du fabricant. L'article 19(1) exige que l'importateur vérifie la documentation qui le sous-tend. Un marquage CE sans DoC est le déclencheur de refus le plus fréquent.
« Notre fournisseur est fiable depuis des années. » La conformité passée à la directive CEM, RED ou BT ne vaut pas pour le CRA. Le CRA introduit des obligations (gestion des vulnérabilités Annexe I partie II, période d'assistance article 13(8), signalement article 14) que le droit produit européen antérieur ne couvre pas.
« Des assurances verbales de notre contact commercial. » L'article 19(1) exige de la documentation. L'assurance d'un représentant commercial n'a aucun poids juridique au titre du CRA. Obtenir par écrit ou refuser l'importation.
« Nous vérifierons après l'arrivée de l'expédition. » La vérification article 19(1) doit avoir lieu avant la mise sur le marché. Les marchandises peuvent entrer en entrepôt douanier, mais elles ne peuvent être vendues ni mises à disposition sur le marché UE avant que la vérification ne soit complète.
« Ce n'est qu'un autocollant avec notre logo. » L'article 3(13) ne comporte pas de seuil de taille. Un autocollant qui présente l'importateur comme la source du produit le fait basculer dans la définition de fabricant de l'article 3(13), indépendamment de tout autre changement ; l'article 22 n'a pas à être invoqué et, de toute façon, ne s'applique pas aux importateurs.
« Nous améliorons la sécurité, pas seulement nous la modifions. » Les améliorations qui modifient l'architecture de sécurité, la surface d'attaque ou les mécanismes d'authentification sont substantielles au sens de l'article 3(30). Le fait qu'une amélioration renforce la sécurité ne change pas son caractère substantiel ; la modification fait sortir le produit de l'article 3(16) et l'importateur devient fabricant de cette variante au titre de l'article 3(13).
« Le fabricant nous a donné son accord pour rebrander le produit. » L'accord du fabricant ne transfère pas les obligations du fabricant. La qualification de l'article 3(13) est de droit public ; les accords privés ne peuvent pas y déroger.
Questions fréquentes
Qu'est-ce qu'un importateur au sens du CRA ?
Une entité européenne qui place un produit de marque non-UE sur le marché de l'Union. Trois éléments doivent être réunis : être établi dans l'Union, être la première entité à rendre le produit disponible sur le marché UE, et le produit doit porter le nom ou la marque d'une personne établie hors UE. Si le produit porte votre propre marque, vous n'êtes pas l'importateur ; vous êtes le fabricant (article 3(16) ; première mise sur le marché à l'article 3(21) ; le changement de marque vous fait passer fabricant selon l'article 3(13)).
Suis-je importateur ou distributeur ?
La ligne se situe au premier acte de mise sur le marché. Vous êtes l'importateur si vous êtes la première entité UE à placer un produit de marque non-UE sur le marché de l'Union. Vous êtes le distributeur si vous rendez le produit disponible après l'importateur, sans en affecter les propriétés. Si vous achetez un produit non-UE auprès d'une autre entreprise UE qui l'a déjà importé, cette autre entreprise est l'importateur et vous êtes le distributeur. Si vous achetez directement auprès du fabricant non-UE et placez vous-même le produit sur le marché UE, vous êtes l'importateur (articles 3(16) et 3(17) ; obligations de l'importateur à l'article 19 ; obligations du distributeur à l'article 20).
Importateur ou mandataire : quelle différence ?
Métiers différents. Le mandataire est la garde documentaire pour le fabricant ; l'importateur met physiquement le produit sur le marché. Le mandataire conserve la déclaration UE de conformité et la documentation technique à la disposition des autorités de surveillance du marché et coopère avec elles, mais ne place pas lui-même le produit sur le marché. L'importateur assume l'obligation de vérification en quatre points avant toute mise sur le marché. Un fabricant non-UE peut désigner un mandataire pour la documentation et la coopération ; il lui faut toujours un importateur (ou sa propre entité UE) pour effectivement placer le produit sur le marché. Une nomination de mandataire ne transfère pas les obligations d'ingénierie, d'évaluation des risques, de gestion des vulnérabilités ni d'évaluation de conformité (mandat à l'art. 3(15) et 18(1)–(3) ; importateur aux art. 3(16) et 19 ; le mandat ne peut couvrir les art. 13(1)–(11), 13(12) premier alinéa, ni 13(14)).
Existe-t-il des exemptions PME pour les importateurs ?
Aucune exemption sur les obligations elles-mêmes. L'article 19 s'applique aux importateurs quelle que soit leur taille. La concession PME du CRA sur les sanctions vise les fabricants, pas les importateurs, et uniquement pour les délais de notification précoce de 24 heures. L'exemption des gestionnaires de logiciels libres s'applique aux gestionnaires, pas aux importateurs. Les autorités doivent tenir dûment compte de la taille de l'auteur de l'infraction (y compris les PME et les jeunes entreprises) lors de la fixation du montant des amendes, mais c'est un facteur de modulation, non une exemption d'obligation (l'art. 19 s'applique à toutes les tailles ; la concession PME à l'art. 64(10)(a) pour les fabricants uniquement et seulement pour les délais 14(2)(a)/14(4)(a) ; exemption gestionnaire OSS à l'art. 64(10)(b) ; facteur d'individualisation à l'art. 64(5)(c)).
À partir de quand les obligations d'importateur CRA s'appliquent-elles ?
À partir du 11 décembre 2027. À cette date, aucun produit comportant des éléments numériques ne peut être mis sur le marché UE sans que l'importateur ait effectué la vérification article 19(2). Le signalement de vulnérabilités de l'article 14 commence plus tôt, le 11 septembre 2026, mais constitue une obligation du fabricant ; le rôle de l'importateur est de s'assurer que le point de contact unique du fabricant est en place et non limité à des outils automatisés (applicabilité à l'art. 71 ; article 19 à partir du 11 décembre 2027 ; le signalement article 14 à partir du 11 septembre 2026 incombe au fabricant ; le rôle de l'importateur est de vérifier le point de contact unique de l'article 13(17)).
Le rebranding seul fait-il de l'importateur un fabricant ?
Non. Le changement de marque révèle que vous étiez fabricant depuis le départ. La définition de l'importateur est restreinte aux personnes mettant sur le marché des produits portant une marque non-UE. Commercialiser sous votre propre marque vous fait sortir de la catégorie importateur pour entrer dans la catégorie fabricant. La déclaration UE de conformité et le marquage CE du fabricant d'origine ne couvrent plus le produit rebrandé. Il n'existe pas d'escalade article 22 ici ; l'article 22 vise les modificateurs tiers qui ne sont ni fabricant, ni importateur, ni distributeur (article 3(13) ; la définition d'importateur à l'article 3(16) est restreinte aux marques non-UE ; l'article 22 couvre les modificateurs tiers, pas les importateurs).
Les correctifs de sécurité constituent-ils parfois une modification substantielle ?
Pas lorsqu'ils sont émis par le fabricant d'origine et préservent la destination prévue, le comportement et l'architecture de sécurité du produit. Un correctif qui va au-delà de la correction d'une vulnérabilité (ajout de fonctionnalités, modification de l'authentification, élargissement de la surface d'attaque) sort de l'exemption (article 3(30) ; l'annexe I partie II traite les mises à jour de sécurité émises par le fabricant comme faisant partie du traitement des vulnérabilités).
Combien de temps un importateur doit-il conserver la déclaration UE de conformité ?
Au moins 10 ans après la mise sur le marché du produit ou pendant la durée de la période d'assistance, selon la durée la plus longue. Un produit mis sur le marché en 2028 avec une période d'assistance de 12 ans impose une conservation jusqu'en 2040. La même obligation exige que l'importateur s'assure que la documentation technique peut être mise à disposition sur demande. Le stockage numérique est acceptable (article 19(6)).
Que doit faire l'importateur si la documentation présente des lacunes ?
Arrêter et informer. Ne pas mettre sur le marché tant que la lacune n'est pas comblée. Notifier le fabricant par écrit. Lorsque le produit présente un risque cybersécurité significatif, informer les autorités de surveillance du marché de l'État membre concerné. L'obligation s'étend également aux facteurs de risque non techniques ; les autorités suivent alors la procédure applicable. Les marchandises peuvent entrer en entrepôt douanier pendant que la lacune est ouverte (article 19(3) ; les facteurs de risque non techniques déclenchent l'article 54(2)).
Qu'advient-il du marquage CE du fabricant d'origine lorsque l'entité UE devient fabricant ?
Il ne couvre plus le produit tel que l'entité UE le met sur le marché. L'entité UE émet sa propre déclaration UE de conformité et appose le marquage CE sous sa propre responsabilité (article 3(13) ; nouvelle DoC selon l'article 13(20) ; nouveau marquage CE selon l'article 30).
La période d'assistance de cinq ans redémarre-t-elle lorsque l'entité UE devient fabricant ?
Oui. La période d'assistance court à compter de la date à laquelle l'entité UE place le produit rebrandé ou modifié sur le marché. Le plancher de « cinq ans au minimum » s'applique, à l'exception des produits dont la durée d'utilisation prévue est inférieure à cinq ans, pour lesquels la période d'assistance est égale à la durée d'utilisation prévue. Le coût se répercute dans les ressources de support et les contrats fournisseurs (l'usine en amont doit s'engager à fournir les éléments nécessaires pendant au moins la durée de la période d'assistance) (article 13(8)).
L'entité UE a-t-elle besoin d'un organisme notifié si le fabricant d'origine en a utilisé un ?
Pour un produit Important Classe II ou Critique ayant fait l'objet d'une modification substantielle, presque toujours oui. Le certificat de l'organisme notifié était lié au produit tel que conçu ; la modification substantielle invalide cette évaluation. Le rebranding seul d'un produit Classe II ou Critique exige également une nouvelle DoC au nom de l'entité UE. Voir le guide d'évaluation de conformité et le guide de classification des produits (article 3(30) ; le Module A est réservé aux produits de classe par défaut ; les Modules B+C ou H nécessitent un organisme notifié pour les produits Classe II / Critique).