Si votre entité UE est la première à mettre sur le marché UE un produit comportant des éléments numériques sous marque non-UE, le Règlement sur la cyberrésilience vous traite généralement comme importateur. Les importateurs n'exécutent pas tout le programme de conformité du fabricant, mais ils doivent le vérifier avant la mise sur le marché, refuser les produits non conformes, s'identifier sur le produit ou les documents d'accompagnement, coopérer avec la surveillance du marché et conserver la déclaration UE de conformité.
Résumé
- Êtes-vous l'importateur ? Vous êtes généralement importateur lorsque votre entité UE met pour la première fois sur le marché de l'Union un produit numérique sous marque non-UE.
- Que faut-il vérifier avant la mise sur le marché ? Évaluation de conformité, documentation technique, marquage CE, déclaration UE de conformité, instructions utilisateur, identifiant produit, coordonnées du fabricant et date de fin de période d'assistance.
- Quand devez-vous refuser ? Ne mettez pas le produit sur le marché si le produit ou les processus de traitement des vulnérabilités du fabricant ne sont pas conformes. Informez le fabricant et la surveillance du marché lorsqu'il existe un risque cybersécurité significatif.
- Que se passe-t-il après la mise sur le marché ? Mesures correctives, retrait ou rappel, information du fabricant sur les vulnérabilités, coopération avec la surveillance du marché et information si le fabricant cesse son activité.
- Que faut-il conserver ? Conservez la déclaration UE de conformité pendant 10 ans ou pendant la période d'assistance, selon la plus longue, et assurez-vous que la documentation technique peut être produite sur demande.
- À partir de quand ? Les principales obligations de l'importateur s'appliquent à partir du 11 décembre 2027.
Quatre vérifications, conservation supérieure à dix ans, deux niveaux de sanction selon que vous êtes effectivement l'importateur ou non.
Qui est importateur au regard du CRA ?
En pratique, l'importateur CRA est l'entité établie dans l'UE qui met pour la première fois sur le marché de l'Union un produit comportant des éléments numériques sous marque non-UE. Le test comporte trois éléments : votre entité est établie dans l'Union, elle rend le produit disponible pour la première fois sur le marché de l'Union, et le produit porte le nom ou la marque d'une personne établie hors de l'Union.
Si le produit porte votre propre nom ou marque, vous n'agissez pas comme importateur pour ce produit ; vous êtes dans le champ fabricant. Si une autre entité UE a déjà mis le produit sur le marché, vous êtes généralement distributeur. Si le fabricant hors UE vous a seulement désigné par mandat écrit et que vous ne mettez pas vous-même le produit sur le marché, vous êtes mandataire. Pour l'arbre complet des rôles, consultez qui doit respecter le CRA.
Obligations principales de l'importateur
Les obligations de l'importateur se lisent en quatre blocs : ce qui doit être vérifié avant la mise sur le marché, quand l'importateur doit s'arrêter, quelles informations d'identification doivent apparaître et ce qui doit être conservé ou fourni après la mise sur le marché.
| Devoir | Point clé |
|---|---|
| Conformité générale | Ne mettre sur le marché que des produits dont les exigences de cybersécurité et les processus du fabricant sont prêts pour le CRA. |
| Vérification préalable | Évaluation de conformité + documentation technique + CE/DoC/instructions utilisateur + ID produit, coordonnées du fabricant et date de fin de période d'assistance. L'importateur doit pouvoir produire les documents prouvant le respect de ces exigences. |
| Devoir de refus | Ne pas mettre sur le marché si le produit ou les processus sont non conformes. Informer le fabricant et la surveillance du marché en cas de risque cybersécurité significatif. |
| Identification de l'importateur | Nom propre, nom commercial ou marque déposée, adresse postale, point de contact numérique sur le produit, son emballage ou un document accompagnant. |
| Mesures correctives post-marché | Retrait ou rappel selon le cas. Vulnérabilités portées à connaissance : informer le fabricant sans retard injustifié ; informer les autorités de surveillance du marché de chaque État membre d'approvisionnement en cas de risque cybersécurité significatif. |
| Conservation | Tenir la DoC à la disposition des autorités pendant 10 ans ou la durée de la période d'assistance, selon la plus longue. S'assurer que la documentation technique peut être mise à disposition sur demande. |
| Coopération | Sur demande motivée de la surveillance du marché, fournir toutes les informations et documents dans une langue comprise par l'autorité. |
| Cessation d'activité du fabricant | Informer les autorités de surveillance du marché et, par tout moyen disponible, les utilisateurs. |
Aucune de ces obligations ne comporte de seuil PME. L'allègement prévu pour les petites entreprises est étroit : il ne supprime pas les devoirs de vérification, refus, identification, conservation ou coopération de l'importateur.
Importateur vs distributeur
Le critère juridique est de savoir quelle entité place en premier le produit sur le marché de l'Union.
| Aspect | Importateur | Distributeur |
|---|---|---|
| Position | Établi dans l'Union ; met sur le marché un produit portant le nom d'une personne hors UE | Toute entité rendant le produit disponible après l'importateur, sans en affecter les propriétés |
| Vérification | Vérification préalable complète, y compris l'ID type/lot, le contact fabricant et la date de fin de support | Vérifie la présence du CE, des informations fabricant, de la période d'assistance et des éléments DoC |
| Documentation | Doit pouvoir produire les documents prouvant la conformité ; s'assure que la documentation technique peut être mise à disposition sur demande | Coopère avec les autorités ; vérification fondée sur la présence |
| Refus | Arrêter et informer lorsque le produit ou les processus sont non conformes | Arrêter et informer lorsque CE, DoC ou éléments requis manquent |
| Vulnérabilités portées à connaissance | Informer le fabricant sans retard indu ; informer la surveillance du marché en cas de risque significatif dans chaque État membre fourni | Même devoir dans son champ ; circuit via le fabricant |
| Conservation | DoC pendant 10 ans ou la durée de la période d'assistance, selon la plus longue | Aucune spécifique ; coopération sur demande |
| Niveau de sanction | 10 000 000 EUR ou 2 % | 10 000 000 EUR ou 2 % |
Qualifier le rôle de « distribution » dans un accord privé ne déplace pas l'obligation de droit public. Si votre entité met pour la première fois un produit hors UE sur le marché de l'Union, vous êtes l'importateur. Pour le détail côté distributeur de la même frontière, consultez le guide du cluster distributeur.
Les quatre vérifications préalables à la mise sur le marché
1. Évaluation de conformité réalisée
Le fabricant doit avoir suivi la voie d'évaluation adaptée à la classe du produit. Demandez la déclaration UE de conformité mentionnant le module d'évaluation utilisé et, lorsqu'un organisme notifié est intervenu, le numéro de certificat ; pour les produits évalués selon l'assurance qualité complète (Module H), le numéro d'identification à quatre chiffres de l'organisme suit également le marquage CE.
| Module | Quand |
|---|---|
| A contrôle interne de la production | Produits par défaut ; Important Classe I uniquement lorsque les normes, spécifications ou schémas pertinents sont pleinement appliqués |
| B + C examen UE de type + contrôle de la production | Important Classe I lorsque les normes, spécifications ou schémas pertinents ne sont pas pleinement appliqués ; Important Classe II ; voies de recours pour les produits Critiques |
| H assurance complète de la qualité | Alternative au B+C pour Important Classe I en recours, Important Classe II et voies de recours pour les produits Critiques |
| Schéma européen de certification de cybersécurité | Produits Critiques lorsque la voie de certification a été activée et qu'un schéma applicable est disponible ; également lorsque le CRA le permet |
Voir le guide de cluster sur l'évaluation de la conformité.
2. Documentation technique établie
L'importateur n'est pas tenu de détenir le dossier technique complet. Il doit en revanche disposer d'éléments montrant que le dossier existe et peut être fourni aux autorités sur demande. En pratique, demandez au fabricant une table des matières de la documentation technique, ainsi qu'un engagement écrit à produire le dossier sous-jacent dans un délai et une langue définis. Voir le guide de cluster sur la documentation technique.
3. Marquage CE, DoC UE et instructions utilisateur
Trois éléments doivent accompagner le produit.
| Élément | Contrainte |
|---|---|
| Marquage CE | Visible, lisible, indélébile, apposé sur le produit ou la plaque signalétique ; la hauteur du marquage CE peut être inférieure à 5 mm, à condition qu'il reste visible et lisible. Le numéro d'identification de l'organisme notifié suit le marquage uniquement dans le cadre de l'assurance qualité complète (Module H). Le marquage CE peut figurer uniquement sur l'emballage lorsqu'il n'est pas possible de le placer sur le produit lui-même, et doit alors figurer également sur la déclaration UE de conformité. |
| DoC UE | Soit la DoC complète accompagne le produit, soit une DoC simplifiée contenant l'adresse internet exacte de la DoC complète. Une mention générique d'« exigences de cybersécurité » sans rattachement précis aux exigences essentielles est un défaut. |
| Informations et instructions utilisateur | Dans une langue aisément compréhensible par les utilisateurs et les autorités de surveillance du marché de l'État membre concerné. Identité du fabricant, destination prévue, date de fin de période d'assistance, configuration sécurisée, mise hors service sécurisée, adresse de signalement des vulnérabilités. |
4. Identification du produit, coordonnées du fabricant et fin d'assistance
La dernière vérification de l'importateur n'est pas un autre certificat. C'est une vérification de présence : le produit doit être identifiable, le fabricant doit être identifiable et joignable, et la date de fin de période d'assistance doit être disponible au moment de l'achat.
| Devoir | Vérification importateur |
|---|---|
| Type, lot ou numéro de série pour l'identification du produit (ou sur l'emballage si le produit ne peut le porter) | Confirmer la présence sur le produit ou l'emballage |
| Nom du fabricant, nom commercial ou marque déposée, adresse postale, point de contact numérique, également repris dans les informations utilisateur | Confirmer sur le produit, l'emballage ou un document accompagnant |
| Date de fin de période d'assistance précisée au moment de l'achat, comprenant au moins le mois et l'année | Confirmer que le mois et l'année sont visibles au point de vente |
Un produit sans date de fin précisée par mois et année est non conforme, même si toutes les autres vérifications sont passées.
Devoir adjacent à traiter comme déclencheur de refus : le point de contact unique doit permettre aux utilisateurs de choisir leur moyen de communication préféré et ne peut pas être limité à des outils automatisés. Un contact uniquement par chatbot n'est pas conforme. Sans point de contact unique opérationnel en amont, le flux de signalement des vulnérabilités est rompu dès le premier jour.
La liste de 9 informations à fournir avec le produit (Annexe II)
Tout produit comportant des éléments numériques doit parvenir à l'importateur avec neuf informations précises. L'Annexe II du CRA fixe la liste et la vérification de l'importateur est une vérification de présence : si un seul élément manque, le produit ne peut pas être mis sur le marché.
Nom, raison sociale ou marque déposée, adresse postale, adresse électronique ou point de contact numérique et, le cas échéant, le site internet.
À la réceptionPrésent sur le produit, l'emballage ou un document accompagnant.
Point de contact unique pour les signalements de vulnérabilités, avec une politique de divulgation coordonnée (CVD) accessible.
À la réceptionCanal non automatisé, avec la politique de divulgation coordonnée accessible.
Nom du produit, type et toute information complémentaire (lot, numéro de série, modèle) permettant son identification unique.
À la réceptionType, numéro de lot ou de série visible.
Destination prévue, environnement de sécurité, fonctionnalités essentielles et propriétés de sécurité.
À la réceptionIndiqué dans les informations utilisateur.
Circonstances connues ou prévisibles susceptibles d'entraîner des risques cybersécurité significatifs.
À la réceptionDocumenté dans les informations utilisateur.
Le cas échéant, l'adresse internet à laquelle la déclaration UE de conformité complète peut être consultée.
À la réceptionURL accessible, déclaration UE complète.
Type de soutien technique de sécurité et date de fin de la période d'assistance.
À la réceptionDate de fin comprenant au moins le mois et l'année.
Instructions détaillées ou une URL couvrant l'utilisation sécurisée, l'impact des changements, l'installation des mises à jour, la mise hors service sécurisée et la désactivation des mises à jour automatiques.
À la réceptionTous les sous-éléments présents ou accessibles via l'URL associée.
Lorsque le fabricant met le SBOM à disposition des utilisateurs, l'emplacement où il peut être consulté.
À la réceptionVérifier si un SBOM est proposé et à quelle URL.
Pour le détail de la manière dont le fabricant produit chaque élément, consultez la section correspondante du guide de cluster fabricant.
Vérifier la conformité d'un fabricant hors UE
Les assurances verbales des contacts commerciaux ne valent pas comme preuves de vérification importateur. Envoyez la demande de documentation avant de signer tout contrat d'importation.
Modèle de demande de documentation
Envoyez le message suivant avant de signer tout contrat d'importation :
OBJET : Demande de documentation de conformité CRA
Nous évaluons [produit / modèle] en vue d'importation dans l'Union européenne
au titre du Règlement (UE) 2024/2847 (Cyber Resilience Act).
Veuillez fournir les éléments suivants avant que nous procédions à l'importation :
1. Déclaration UE de conformité (complète ou simplifiée),
citant les exigences essentielles de cybersécurité et le module
d'évaluation de conformité utilisé, avec le numéro de certificat de
l'organisme notifié le cas échéant.
2. Table des matières de la documentation technique, plus un
engagement écrit de produire le dossier sous-jacent en [langue]
sous [X] jours.
3. Confirmation de la période d'assistance (au moins 5 ans ou la
durée d'utilisation prévue si inférieure, avec justification).
4. Date de fin de période d'assistance (mois et année) telle qu'elle
apparaîtra au point de vente.
5. Point de contact unique, avec confirmation qu'il n'est pas limité
à des outils automatisés.
6. Politique de divulgation coordonnée des vulnérabilités.
7. Preuve du placement du marquage CE sur le produit ou la plaque
signalétique.
8. Instructions utilisateur en [langue de l'État membre cible].
Délai de réponse demandé : [X] jours ouvrables.
Évaluer les réponses
| Réponse | Action |
|---|---|
| Documentation complète fournie | Procéder à la revue de vérification importateur |
| Documentation partielle, solde « en cours » | Suspendre l'import ; documenter l'écart ; ne pas mettre sur le marché |
| « Nous sommes marqués CE sous une autre réglementation » | Insuffisant ; le CE sous la directive CEM, RED ou BT ne satisfait pas le CRA. Demander une DoC et une documentation technique spécifiques CRA. |
| « Notre produit est hors du périmètre CRA » | Demander une analyse de périmètre écrite avec classe produit et base d'exclusion ; ne pas importer sur simple affirmation verbale |
| « Le certificat de l'organisme notifié est en attente » | L'évaluation de conformité doit être terminée avant la mise sur le marché ; ne pas importer |
| Point de contact unique limité à un chatbot | Le canal de contact non automatisé manque ; refuser |
| Date de DoC antérieure au 11 décembre 2027, sans mise à jour spécifique CRA | Refuser |
| Numéro d'organisme notifié manquant pour un produit Important Classe II ou Critique | Refuser |
| Période d'assistance inférieure à 5 ans sans justification de durée d'utilisation prévue | Refuser |
| Date de fin d'assistance sans mois et année | Refuser |
| Instructions uniquement dans la langue nationale du fabricant | Refuser pour l'État membre concerné |
| Refus ou absence de réponse | Ne pas importer |
Signaux d'alerte
- Texte de DoC copié depuis un modèle, sans correspondance produit-spécifique avec les exigences essentielles.
- Date de DoC antérieure au 11 décembre 2027 sans indication d'une version mise à jour spécifique CRA.
- Numéro d'organisme notifié manquant pour un produit Important Classe II ou Critique.
- Absence de point de contact unique pour les vulnérabilités, ou contact qui rebondit au test.
- Période d'assistance déclarée inférieure à cinq ans sans justification de durée d'utilisation prévue.
- Instructions uniquement dans la langue nationale du fabricant pour un marché cible à langue officielle différente.
Si le fabricant hors UE n'a pas d'établissement dans l'Union
Un fabricant hors UE qui n'a pas d'établissement principal dans l'Union achemine ses notifications de vulnérabilités et d'incidents selon une cascade de repli. L'article 14, paragraphe 7 fixe l'ordre, et la localisation de l'importateur compte dans cet ordre. La cascade est :
"a) l'État membre dans lequel le mandataire agissant au nom du fabricant pour le plus grand nombre de produits comportant des éléments numériques de ce fabricant est établi;
b) l'État membre dans lequel l'importateur qui met sur le marché le plus grand nombre de produits comportant des éléments numériques de ce fabricant est établi;
c) l'État membre dans lequel le distributeur qui met à disposition sur le marché le plus grand nombre de produits comportant des éléments numériques de ce fabricant est établi;
d) l'État membre dans lequel se trouvent le plus grand nombre d'utilisateurs de produits comportant des éléments numériques de ce fabricant."
Deux conséquences pratiques pour l'importateur. Premièrement, si vous êtes la plus grande présence UE hors mandataire pour ce fabricant, le point b) fait probablement de votre État membre le CSIRT coordinateur pour les signalements de vulnérabilités et d'incidents graves. Confirmez avec le fabricant si un mandataire existe au titre du point a) et si la route active passe par l'État membre du mandataire ou par le vôtre.
Deuxièmement, le point b) est fondé sur le volume et peut basculer d'un importateur à un autre selon les cohortes de produits. Suivez les volumes par fabricant et par État membre pour pouvoir étayer le rattachement si un CSIRT ou une autorité de surveillance du marché le demande.
Quand la vérification échoue : étape par étape
Une vérification échouée crée une obligation d'arrêt et d'information. L'importateur doit maintenir le produit hors du marché UE jusqu'à ce que le produit et les processus du fabricant soient conformes.
- Arrêter. Ne pas mettre le produit sur le marché UE. Les marchandises peuvent encore entrer en entrepôt douanier ou être réexportées, mais la mise sur le marché est interdite jusqu'à résolution de la non-conformité.
- Documenter. Enregistrer quel point de vérification préalable a échoué, quelle preuve manquait ou était insuffisante, la date de la détermination et la trace des échanges avec le fabricant.
- Notifier le fabricant par écrit. Indiquer l'écart de conformité spécifique, la documentation requise, le délai de réponse et la conséquence (pas d'importation tant que non résolu).
- Évaluer le risque cybersécurité. Si le produit présente un risque cybersécurité significatif, informer l'autorité de surveillance du marché de l'État membre concerné et fournir toute la documentation disponible.
- Résoudre ou rejeter. Procéder à l'importation uniquement lorsque les quatre contrôles sont satisfaits et que les préoccupations de risque sont closes. Si l'écart ne peut être comblé dans le délai fixé par le fabricant, rejeter l'importation.
Après la mise sur le marché, l'obligation de l'importateur se déplace vers les mesures correctives, le retrait ou le rappel selon le cas, l'information du fabricant sur les vulnérabilités sans retard injustifié et l'information de la surveillance du marché dans chaque État membre d'approvisionnement lorsque le produit présente un risque cybersécurité significatif. Si le fabricant a cessé son activité, informez la surveillance du marché et, par tout moyen disponible, les utilisateurs.
Si le fournisseur cesse son activité
Lorsque le fabricant hors UE cesse son activité, l'importateur devient le messager. Un devoir d'information s'impose, mais les obligations de soutien du fabricant ne sont pas transférées à l'importateur. L'article 19, paragraphe 8 en fixe le déclenchement :
"Lorsque l'importateur d'un produit comportant des éléments numériques a connaissance du fait que le fabricant de ce produit a cessé ses activités et, de ce fait, n'est pas en mesure de se conformer aux obligations prévues par le présent règlement, l'importateur informe les autorités de surveillance du marché concernées de cette situation, ainsi que, par tout moyen disponible et dans la mesure du possible, les utilisateurs des produits concernés comportant des éléments numériques mis sur le marché."
Deux destinataires doivent être informés : les autorités de surveillance du marché concernées et, lorsque cela est possible, les utilisateurs des produits déjà mis sur le marché (par tout moyen disponible et dans la mesure du possible). Le CRA lui-même n'oblige pas l'importateur à reprendre le soutien de niveau fabricant, le traitement des vulnérabilités, la diffusion des mises à jour de sécurité, ni aucune autre obligation du fabricant. Les obligations côté fabricant s'éteignent avec le fabricant.
La gestion des stocks relève d'une décision commerciale, pas d'une obligation légale. L'importateur suspend généralement la mise sur le marché des stocks concernés pour limiter son exposition au soutien aval, mais il s'agit de gestion du risque, pas d'une obligation légale. Si l'importateur veut continuer à vendre, la bascule de rôle s'active : mettre le produit sur le marché sous son propre nom ou sa propre marque à compter de ce moment constitue le pont vers le statut de fabricant, avec toutes les obligations d'ingénierie, d'évaluation de conformité et de période d'assistance qui en découlent.
Importateur, distributeur ou fabricant ?
La page importateur ne doit pas porter toute la matrice des rôles. Utilisez l'arbre de décision des rôles CRA pour la classification complète entre fabricant, importateur, distributeur, mandataire et steward open source.
Le déclencheur statutaire du rebrand figure à l'article 3, point 13 :
"«fabricant»: une personne physique ou morale qui développe ou fabrique des produits comportant des éléments numériques ou fait concevoir, développer ou fabriquer des produits comportant des éléments numériques, et les commercialise sous son propre nom ou sa propre marque, à titre onéreux, monétisé ou gratuit"
La formule "les commercialise sous son propre nom ou sa propre marque" constitue le déclencheur de rebrand. Apposer votre marque UE sur un produit OEM hors UE fait de vous le fabricant dès la première vente. Le pont de rebrand dirige un importateur ou distributeur pris par ce déclencheur directement vers le régime du fabricant. Une clause balai séparée couvre les tiers qui ne sont ni fabricant, ni importateur, ni distributeur. Si votre situation vous fait basculer dans le statut de fabricant, consultez le guide du cluster fabricant pour l'ensemble complet des obligations du fabricant.
Pour le travail importateur, la limite pratique est celle-ci :
| Situation | Rôle CRA ou conséquence |
|---|---|
| Entité UE qui met pour la première fois sur le marché de l'Union un produit sous marque non-UE | Importateur |
| Entité UE qui revend un produit sous marque non-UE après qu'une autre entité UE l'a déjà mis sur le marché | Distributeur |
| Entité UE qui met le produit sur le marché sous son propre nom ou sa propre marque | Obligations de fabricant applicables |
| Importateur ou distributeur qui modifie substantiellement un produit déjà mis sur le marché | Obligations de fabricant applicables via le pont de rebrand importateur-distributeur |
| Tiers qui n'est ni fabricant, ni importateur, ni distributeur et modifie substantiellement le produit en le rendant disponible | Obligations de fabricant applicables via la règle du tiers modificateur substantiel |
Le coût pratique du passage d'importateur à fabricant est élevé : votre entité doit posséder ou organiser la documentation technique, la voie d'évaluation de conformité, la déclaration UE de conformité, le processus de gestion des vulnérabilités, les engagements de mises à jour de sécurité et le circuit de signalement des vulnérabilités. Gardez visible l'identité du fabricant d'origine et évitez les changements pertinents pour la sécurité si votre modèle dépend du maintien du rôle d'importateur.
Documentation et conservation
Conservez la déclaration UE de conformité à la disposition des autorités de surveillance du marché pendant au moins 10 ans après la mise sur le marché du produit, ou pendant la période d'assistance si elle est plus longue. Assurez-vous aussi que la documentation technique peut être mise à disposition sur demande. Un produit avec une période d'assistance de 12 ans impose donc un plan de conservation importateur de 12 ans.
L'importateur conserve : la déclaration UE de conformité, la table des matières de la documentation technique et l'engagement du fabricant de produire le dossier sous-jacent, son propre enregistrement de vérification, les échanges avec le fabricant, les registres douaniers et de lots avec les dates de première mise sur le marché, ainsi que les enregistrements de mesures correctives et de notifications.
Lorsque la ligne bascule vers les obligations de fabricant parce que vous vendez sous votre propre marque ou modifiez substantiellement le produit, la règle de conservation du fabricant s'applique : même durée de 10 ans ou période d'assistance, plus documentation technique à votre nom et chaîne complète de preuve de l'évaluation de conformité.
Le stockage numérique est acceptable. L'importateur doit garantir que les fichiers restent accessibles et lisibles pendant toute la période de conservation et puissent être produits dans un délai raisonnable à la demande de l'autorité, dans une langue comprise par celle-ci.
Pièges courants
| Affirmation | Pourquoi elle ne tient pas |
|---|---|
| "Le marquage CE signifie qu'ils sont conformes." | Le CE n'est qu'un point de la vérification importateur ; la déclaration, la disponibilité de la documentation technique, les informations utilisateur et la date de fin d'assistance doivent encore être vérifiées. |
| "Notre fournisseur est fiable depuis des années." | L'historique EMC, RED ou LVD ne couvre pas la gestion des vulnérabilités CRA, la période d'assistance ni les circuits de notification. |
| "Assurances verbales de notre contact commercial." | L'importateur a besoin d'une documentation traçable ; une promesse commerciale ne remplace pas la vérification préalable. |
| "Nous vérifierons après l'arrivée de l'expédition." | La vérification doit intervenir avant la mise sur le marché. Le stockage sous douane est possible ; la mise à disposition sur le marché ne l'est pas. |
| "Ce n'est qu'un autocollant avec notre logo." | Si le produit est mis sur le marché sous votre nom ou marque, les obligations de fabricant s'appliquent. Une autorisation privée ne change pas le rôle CRA. |
| "La règle de modification nous rend fabricant si nous modifions." | Pour les importateurs et distributeurs, la bascule directe en cas de marque propre ou de modification substantielle est automatique. La règle résiduelle couvre d'autres tiers. |
Signaux de marchés publics concernant certains fournisseurs non européens. En 2021, le Parlement européen a voté une résolution restreignant les marchés publics internes pour les caméras thermiques Hikvision. La résolution est un signal politique concernant un fournisseur chinois de vidéosurveillance nommément cité, pas une obligation CRA, mais la vigilance de l'importateur sur les marques de vidéosurveillance non européennes doit traiter ces antécédents de marchés publics comme un élément du tableau de risque global, en plus des quatre vérifications préalables à la mise sur le marché.
Questions fréquentes
Qu'est-ce qu'un importateur au sens du CRA ?
Une entité européenne qui place un produit de marque non-UE sur le marché de l'Union. Trois éléments doivent être réunis : être établi dans l'Union, être la première entité à rendre le produit disponible sur le marché UE, et le produit doit porter le nom ou la marque d'une personne établie hors UE. Si le produit porte votre propre marque, vous n'êtes pas l'importateur ; vous êtes le fabricant.
Suis-je importateur ou distributeur ?
La ligne se situe au premier acte de mise sur le marché. Vous êtes l'importateur si vous êtes la première entité UE à placer un produit de marque non-UE sur le marché de l'Union. Vous êtes le distributeur si vous rendez le produit disponible après l'importateur, sans en affecter les propriétés. Si vous achetez un produit non-UE auprès d'une autre entreprise UE qui l'a déjà importé, cette autre entreprise est l'importateur et vous êtes le distributeur. Si vous achetez directement auprès du fabricant non-UE et placez vous-même le produit sur le marché UE, vous êtes l'importateur.
Importateur ou mandataire : quelle différence ?
Métiers différents, et la désignation d'un mandataire est permissive (pas obligatoire). L'article 18, paragraphe 1 emploie le verbe "peut", pas "doit" :
"Un fabricant peut, par mandat écrit, désigner un mandataire."
Le mandataire n'est donc pas statutairement obligatoire. Un fabricant hors UE peut en désigner un ou non. En pratique, vous aurez probablement besoin soit d'un mandataire, soit d'un importateur engagé contractuellement pour servir de contact UE, mais cela relève de la réalité commerciale, pas d'une obligation CRA.
Les fonctions diffèrent. Le mandataire est la garde documentaire pour le fabricant. L'importateur met physiquement le produit sur le marché. Le mandataire conserve la déclaration UE de conformité et la documentation technique à la disposition des autorités de surveillance du marché et coopère avec elles, mais ne place pas lui-même le produit sur le marché. L'importateur assume l'obligation de vérification en quatre points avant toute mise sur le marché. Un fabricant hors UE qui désigne un mandataire pour la documentation et la coopération a toujours besoin d'un importateur (ou de sa propre entité UE) pour effectivement placer le produit sur le marché. Une nomination de mandataire ne transfère pas les obligations d'ingénierie, d'évaluation des risques, de gestion des vulnérabilités ni d'évaluation de conformité.
Existe-t-il des exemptions PME pour les importateurs ?
Aucune exemption sur les obligations elles-mêmes. Les obligations de l'importateur s'appliquent quelle que soit sa taille. La concession PME du CRA sur les sanctions vise les fabricants, pas les importateurs, et uniquement pour les délais de notification précoce de 24 heures. La dérogation d'amende pour les gestionnaires de logiciels libres au titre de l'Article 64(10)(b) s'applique aux gestionnaires, pas aux importateurs. Les autorités doivent tenir dûment compte de la taille de l'auteur de l'infraction lors de la fixation du montant des amendes, mais c'est un facteur de modulation, non une exemption d'obligation.
À partir de quand les obligations d'importateur CRA s'appliquent-elles ?
À partir du 11 décembre 2027. À cette date, aucun produit comportant des éléments numériques ne peut être mis sur le marché UE sans que l'importateur ait effectué la vérification préalable. Le signalement de vulnérabilités et d'incidents commence plus tôt, le 11 septembre 2026, mais constitue une obligation du fabricant ; le rôle de l'importateur est de s'assurer que le point de contact unique du fabricant est en place et non limité à des outils automatisés.
Le rebranding seul fait-il de l'importateur un fabricant ?
Oui, en pratique. Si l'entité UE met le produit sur le marché sous son propre nom ou sa propre marque, elle doit remplir les obligations de fabricant pour cette ligne. Pour les importateurs et distributeurs, la bascule directe en cas de marque propre ou de modification substantielle est automatique ; une règle séparée vise les autres tiers.
Les correctifs de sécurité constituent-ils parfois une modification substantielle ?
Pas lorsqu'ils sont émis par le fabricant d'origine et préservent la destination prévue, le comportement et l'architecture de sécurité du produit. Un correctif qui va au-delà de la correction d'une vulnérabilité (ajout de fonctionnalités, modification de l'authentification, élargissement de la surface d'attaque) sort de l'exemption.
Combien de temps un importateur doit-il conserver la déclaration UE de conformité ?
Au moins 10 ans après la mise sur le marché du produit ou pendant la durée de la période d'assistance, selon la durée la plus longue. Un produit mis sur le marché en 2028 avec une période d'assistance de 12 ans impose une conservation jusqu'en 2040. La même obligation exige que l'importateur s'assure que la documentation technique peut être mise à disposition sur demande. Le stockage numérique est acceptable.
Que doit faire l'importateur si la documentation présente des lacunes ?
Arrêter et informer. Ne pas mettre sur le marché tant que la lacune n'est pas comblée. Notifier le fabricant par écrit. Lorsque le produit présente un risque cybersécurité significatif, informer les autorités de surveillance du marché de l'État membre concerné. L'obligation s'étend également aux facteurs de risque non techniques ; les autorités suivent alors la procédure applicable. Les marchandises peuvent entrer en entrepôt douanier pendant que la lacune est ouverte.
Qu'advient-il du marquage CE du fabricant d'origine lorsque l'entité UE devient fabricant ?
Il ne couvre plus le produit tel que l'entité UE le met sur le marché. L'entité UE émet sa propre déclaration UE de conformité et appose le CE sous sa propre responsabilité.
La période d'assistance de cinq ans redémarre-t-elle lorsque l'entité UE devient fabricant ?
Oui. La période d'assistance court à compter de la date à laquelle l'entité UE place le produit rebrandé ou modifié sur le marché. Le plancher de « cinq ans au minimum » s'applique, à l'exception des produits dont la durée d'utilisation prévue est inférieure à cinq ans, pour lesquels la période d'assistance est égale à la durée d'utilisation prévue. Le coût se répercute dans les ressources de support et les contrats fournisseurs (l'usine en amont doit s'engager à fournir les éléments nécessaires pendant au moins la durée de la période d'assistance).
L'entité UE a-t-elle besoin d'un organisme notifié si le fabricant d'origine en a utilisé un ?
Pour les produits Important Classe II ou Critiques modifiés substantiellement, presque toujours oui. Le certificat d'origine était lié au produit tel qu'il avait été conçu ; une modification substantielle le rend caduc. Le simple changement de marque d'un produit Important Classe II ou Critique exige aussi une nouvelle déclaration UE de conformité au nom de l'entité UE. Voir les guides évaluation de conformité et classification produit.