Un mandataire CRA, ou représentant autorisé, est une personne ou une société établie dans l'Union qu'un fabricant peut désigner par mandat écrit pour conserver les documents de conformité, répondre aux demandes motivées des autorités et coopérer avec la surveillance du marché. La désignation est facultative au titre du Cyber Resilience Act, y compris pour les fabricants hors UE. Le rôle est utile lorsqu'un fabricant souhaite un contact réglementaire dans l'Union, mais il ne transfère ni l'ingénierie cybersécurité, ni la gestion des vulnérabilités, ni l'évaluation de la conformité, ni les obligations de l'importateur, hors du fabricant ou de l'importateur.
Synthèse
- La désignation est facultative. Les fabricants CRA peuvent désigner un mandataire, mais le CRA n'exige pas cette désignation comme condition d'accès au marché de l'Union.
- Le mandat est limité. Le mandataire peut conserver la déclaration UE de conformité et la documentation technique, les fournir aux autorités sur demande motivée et coopérer aux actions de réduction des risques.
- Les obligations centrales du fabricant restent en place. Cybersécurité produit, analyse de risques, gestion des vulnérabilités, établissement de la documentation technique, évaluation de la conformité et contrôles de production restent à la charge du fabricant.
- Les obligations de l'importateur sont distinctes. L'importateur existe en raison de la chaîne d'approvisionnement ; le mandataire existe uniquement en vertu d'un mandat écrit. Une même entité UE peut cumuler les deux rôles, mais les documents et les obligations restent distincts.
- L'exposition aux sanctions suit l'obligation enfreinte. Les manquements aux obligations du fabricant relèvent du niveau de sanction le plus élevé ; les manquements au mandat du mandataire relèvent du niveau applicable aux importateurs/distributeurs.
- Les échéances comptent. Le signalement par le fabricant démarre le 11 septembre 2026 ; la majeure partie de la préparation opérationnelle utile au mandataire vise l'entrée en vigueur du régime, le 11 décembre 2027.
Faut-il désigner un mandataire ?
Le choix d'un mandataire est une décision opérationnelle, pas une condition d'accès au marché CRA. Les facteurs ci-dessous résument le raisonnement habituel. Aucun ne crée d'obligation juridique ; le CRA ne sanctionne pas l'absence de mandataire.
| Facteur | Pencher vers la désignation | Pencher contre la désignation |
|---|---|---|
| Présence UE du fabricant | Le fabricant est établi hors de l'Union et n'a aucun bureau UE crédible pour prendre en charge la correspondance de surveillance du marché. | Le fabricant est établi dans l'Union, ou dispose d'une filiale UE qui traite déjà la correspondance réglementaire. |
| Autres instruments UE | Le produit relève aussi du MDR, qui impose un mandataire aux fabricants hors UE de dispositifs médicaux, ou vous utilisez déjà un représentant ou prestataire de conformité RED. Réutiliser la même structure pour le périmètre CRA peut simplifier l'exploitation. | Le produit ne relève que du CRA, sans obligation MDR de mandataire en parallèle et sans accord RED de représentation existant. |
| Correspondance avec les autorités | Vous souhaitez que la correspondance avec les autorités de surveillance du marché passe par un contact local UE, dans la langue et le fuseau horaire de l'État membre concerné. | Vous êtes à l'aise pour traiter les réponses aux demandes motivées directement depuis le siège du fabricant. |
| Garde documentaire | Vous souhaitez que la conservation pendant dix ans de la DoC et de la documentation technique soit assurée par un dépositaire établi dans l'Union. | Vous exploitez déjà une plateforme interne de preuves qui maintient la documentation accessible aux autorités sur demande. |
| Route importateur | Plusieurs importateurs et distributeurs UE, et vous voulez un mandataire unique nommé pour tout le canal, plutôt que d'éparpiller la responsabilité. | Un importateur UE de confiance et unique gère déjà la vérification et la conservation documentaire. |
La plupart des fabricants hors UE actifs dans des secteurs réglementés finissent par désigner un mandataire parce que la simplification opérationnelle dépasse le coût du mandat, et non parce que le CRA les y oblige.
Ce que le mandat peut couvrir
Le mandat écrit fait du mandataire un dépositaire documentaire et une interface avec les autorités. Il peut être plus étroit ou plus large que ce minimum contractuel, mais pour les besoins du CRA il doit au moins autoriser le mandataire à effectuer les trois tâches ci-dessous.
| Tâche | Ce que fait le mandataire |
|---|---|
| Garde documentaire | Conserver la déclaration UE de conformité et la documentation technique pendant au moins 10 ans après la mise sur le marché, ou pendant la période de support si elle est plus longue. |
| Demandes des autorités | Fournir les informations et documents nécessaires pour démontrer la conformité lorsqu'une autorité de surveillance du marché formule une demande motivée. |
| Coopération sur les risques | Coopérer avec les autorités de surveillance du marché, à leur demande, aux actions prises pour éliminer les risques produit. |
Le mandat est lui-même un document contrôlé : le mandataire en fournit une copie aux autorités de surveillance du marché à leur demande.
Ce qui ne peut pas être délégué
Le mandat écrit ne peut pas déplacer le travail CRA central du fabricant. Les obligations suivantes ne peuvent pas être déléguées, quel que soit le contenu du mandat.
| Bloc exclu | Ce qu'il couvre |
|---|---|
| Obligations produit et vulnérabilités | Cybersécurité du produit, analyse de risques, diligence sur les composants, détermination de la période de support, disponibilité des mises à jour de sécurité et règles relatives aux logiciels substantiellement modifiés. |
| Établissement de la documentation technique et évaluation de conformité | L'établissement de la documentation technique reste une responsabilité du fabricant. Le mandataire peut conserver le dossier qui en résulte dans le cadre du mandat, mais ne peut ni le créer ni reprendre l'évaluation de conformité. |
| Contrôles de production en série | Le fabricant reste responsable de la conformité continue des produits qu'il met sur le marché. |
La frontière pratique est nette : ingénierie, analyse de risques, gestion des vulnérabilités, évaluation de la conformité et contrôles de la série de production restent à la charge du fabricant. Le mandataire est un dépositaire documentaire et une interface avec les autorités, pas un fabricant de substitution.
Mandataire ou importateur
Le rôle de mandataire naît d'un mandat écrit. Le rôle d'importateur naît de la route commerciale lorsqu'une entité établie dans l'Union met sur le marché de l'Union un produit dont la marque est celle d'un fabricant hors UE. Aucun de ces rôles ne se substitue à l'autre, dans un sens comme dans l'autre.
| Mandataire | Importateur UE | |
|---|---|---|
| Déclencheur | Facultatif. Un fabricant peut désigner un mandataire par mandat écrit. | Statut par définition. Toute entité établie dans l'Union qui met sur le marché un produit portant le nom ou la marque d'un fabricant hors UE est importateur. |
| Créé par | Mandat écrit du fabricant à une personne physique ou morale établie dans l'Union. | La route commerciale d'approvisionnement. Pas de désignation, pas de mandat. |
| Portée maximale | Conserver la DoC et la documentation technique pendant dix ans ou plus ; les fournir à la surveillance du marché sur demande motivée ; coopérer aux mesures correctives. Les obligations substantielles du fabricant sont exclues du mandat. | Vérifier l'évaluation de la conformité, le marquage CE, la DoC et les instructions destinées à l'utilisateur ; conserver les documents pendant dix ans ou plus ; coopérer avec les autorités ; signaler toute non-conformité présumée et toute connaissance de vulnérabilités. |
| Substitut de l'autre ? | Non. La désignation d'un mandataire ne retire pas les obligations d'importateur à l'entité qui met le produit sur le marché de l'Union. | Non. Les obligations de l'importateur existent indépendamment. Elles ne créent ni ne retirent une désignation de mandataire. |
| Même entité autorisée ? | Oui. Une même structure UE peut détenir le mandat et le rôle d'importateur, avec des documents écrits séparés et une indemnité couvrant les deux fonctions. | Idem. |
Conséquence pratique : le choix d'un mandataire est indépendant de l'identité de l'importateur du produit. L'importateur UE ne libère pas le fabricant d'une obligation de cybersécurité, et le mandataire ne libère pas l'importateur d'une obligation d'importateur. Si vous souhaitez qu'un seul partenaire UE porte les deux casquettes, c'est admis ; il faut un mandat écrit distinct du contrat commercial d'approvisionnement, ainsi qu'une indemnité couvrant les deux fonctions.
Que rechercher lors de la désignation d'un mandataire
Si votre paysage fournisseurs comporte des acteurs déjà actifs en MDR, RED ou RoHS, c'est un point de départ raisonnable. Les vérifications spécifiques au CRA ci-dessous distinguent un mandataire sérieux d'un acteur qui ne tiendra pas à la première lettre d'autorité.
| Vérification | À quoi ressemble un bon signal |
|---|---|
| Domicile | Personne morale établie dans un État membre de l'Union, avec un siège social enregistré et un point de contact local. |
| Assurance | Responsabilité civile professionnelle dont la couverture est explicitement étendue au périmètre CRA et aux classifications produit de l'CRA. |
| Expérience sectorielle | Historique démontrable au titre du MDR, de l'acte délégué cybersécurité de la RED ou de la directive RoHS. Ce sont les acteurs qui pivotent aujourd'hui de façon crédible vers une activité CRA. |
| Garde documentaire | Plateforme respectant l'obligation de conservation de dix ans prévue par le mandat, avec piste d'audit infalsifiable et exports prêts pour les autorités. |
| Responsabilité nommée | Personne physique nommée et responsable devant les autorités, et non simple boîte aux lettres juridique générique. |
| Langue | Capacité de coopérer aux mesures correctives dans la langue de l'autorité de l'État membre concerné. |
Le mandat lui-même doit énumérer en clair les tâches CRA, rappeler les obligations du fabricant non délégables, fixer les modalités de préavis et de résiliation, et définir la passation lorsqu'un fabricant change de mandataire. Faites-le relire par un conseil familier du droit de la conformité produit dans l'Union.
Pièges courants
| Affirmation | Pourquoi elle échoue |
|---|---|
| « Nous sommes hors UE, donc nous devons désigner un mandataire. » | Au titre du CRA, la désignation est facultative, même pour les fabricants hors UE. MDR peut imposer un mandataire aux fabricants hors UE de dispositifs médicaux ; la RED a ses propres règles d'opérateurs économiques, mais ne rend pas la désignation CRA obligatoire. |
| « Notre importateur UE est aussi notre mandataire ; un seul contrat couvre les deux. » | Les rôles sont juridiquement distincts. Les obligations de l'importateur s'attachent à l'entité qui met le produit sur le marché ; les obligations de mandataire s'attachent à l'entité qui détient le mandat écrit. Vous pouvez retenir la même structure, mais documentez les deux fonctions séparément. |
| « Le mandataire signe notre déclaration UE de conformité. » | Le fabricant établit et signe la DoC. Le mandataire peut la tenir à la disposition des autorités de surveillance du marché, mais la déclaration de conformité reste un acte du fabricant. |
| « Nous avons délégué la gestion des vulnérabilités au mandataire. » | La gestion des vulnérabilités reste à la charge du fabricant. Le mandat ne peut pas inclure les obligations centrales du fabricant exclues du mandat. |
| « Nous avons externalisé le signalement des incidents au mandataire. » | Le signalement est une obligation du fabricant. Le mandataire peut appuyer la communication, mais l'obligation de signalement reste celle du fabricant. |
| « Le mandat couvre tous nos produits pour toujours. » | Les mandats sont écrits, limités dans le temps et délimités par produit. Mettez-les à jour à chaque nouvelle ligne de produits, à chaque modification substantielle et à chaque changement de mandataire. |
| « Nous n'avons pas besoin de mandat CRA ; notre mandat MDR suffit. » | Le périmètre du mandat MDR est propre aux dispositifs médicaux et ne s'étend pas automatiquement aux obligations CRA. Re-rédigez un mandat dédié au CRA listant les tâches de garde documentaire et de coopération avec les autorités, ainsi que les obligations non délégables du fabricant. |
| « Le mandataire est responsable des défauts produit. » | Le mandataire est responsable des tâches énumérées dans le mandat. La responsabilité au titre des défauts produit et les obligations substantielles de cybersécurité restent à la charge du fabricant, sous réserve de toute exposition séparée prévue par le droit national. |
Foire aux questions
La désignation d'un mandataire est-elle obligatoire au titre du CRA ?
Non. Le CRA rend la désignation facultative, même pour les fabricants établis hors de l'Union. Le libellé est permissif : un fabricant peut désigner un mandataire par mandat écrit. Le MDR peut encore imposer un mandataire aux fabricants hors UE de dispositifs médicaux lorsque ce régime s'applique ; la RED peut impliquer un mandataire par mandat, mais ce n'est pas une obligation de désignation CRA.
Pourquoi un fabricant hors UE désignerait-il malgré tout un mandataire au titre du CRA ?
Pour la simplification opérationnelle, pas par obligation juridique. Un point de contact juridique unique établi dans l'Union réduit la friction avec les autorités de surveillance du marché, qui préfèrent souvent correspondre avec une entité de leur juridiction et dans leur langue. Le mandataire peut tenir localement la déclaration de conformité et la documentation technique pendant la durée de conservation requise. Beaucoup de fabricants hors UE utilisent déjà un mandataire MDR ou un représentant de conformité RED et trouvent plus simple d'étendre cet accord au périmètre CRA. Un mandataire UE nommé raccourcit aussi les cycles de réponse lorsque arrive une demande motivée d'autorité.
Que peut-on déléguer, ou non, à un mandataire CRA ?
Les obligations substantielles de cybersécurité ne peuvent pas être déléguées ; seules la garde documentaire et la coopération avec les autorités le peuvent. Exigences essentielles, gestion des vulnérabilités, évaluation de la conformité et contrôles de la série de production restent à la charge du fabricant. Le mandat doit, au minimum, couvrir trois éléments : tenir la DoC et la documentation technique pendant dix ans ou plus, ou pendant la période d'assistance si elle est plus longue ; fournir aux autorités les informations et documents sur demande motivée ; et coopérer aux mesures destinées à éliminer les risques.
Quelle est la différence entre un mandataire CRA et un importateur UE ?
Ce sont des rôles indépendants. L'importateur est une entité établie dans l'Union qui met sur le marché de l'Union un produit portant le nom ou la marque d'un fabricant hors UE ; il porte les obligations d'importateur, qu'un mandataire existe ou non. Le mandataire, lorsqu'il est désigné, prend en charge les tâches énumérées dans le mandat. Ces deux rôles ne se substituent pas : le rôle d'importateur est déclenché par la route commerciale, celui de mandataire par un mandat écrit. Une même entité UE peut détenir les deux, avec des documents séparés.
Mon importateur ou mon distributeur UE peut-il jouer le rôle de mandataire ?
Oui. Le CRA n'interdit pas à une même entité UE de cumuler un rôle commercial d'importateur ou de distributeur et un mandat de mandataire. Les fonctions restent juridiquement distinctes : l'importateur ou le distributeur porte des obligations issues de la relation commerciale d'approvisionnement, tandis que le mandataire porte des obligations issues d'un mandat écrit. Pour les cumuler, prévoyez un mandat CRA distinct, une responsabilité civile professionnelle suffisante pour les deux rôles et une délimitation contractuelle nette entre les fonctions.
Le mandataire est-il responsable des défauts produit ou seulement des obligations documentaires ?
Le mandataire est responsable des obligations de documentation et de coopération inscrites dans le mandat ; la responsabilité au titre des défauts produit et de la cybersécurité substantielle reste à la charge du fabricant. Le périmètre du mandat est limité par la garde documentaire, la réactivité envers les autorités et la coopération aux mesures correctives. Les obligations substantielles du fabricant ne peuvent pas être absorbées dans le mandat. Le droit national de certains États membres peut étendre davantage l'exposition du mandataire ; le mandat doit donc être rédigé avec soin.
Un mandataire CRA équivaut-il à un mandataire MDR ou RED ?
Non. Les régimes se recoupent mais ne sont pas interchangeables. Le MDR rend la désignation obligatoire pour les fabricants hors UE de dispositifs médicaux et impose des obligations plus larges, propres au secteur médical, dont le signalement de vigilance. La RED utilise son propre cadre de mandataire et d'opérateurs économiques, mais ne rend pas la désignation CRA obligatoire. Le CRA, lui, la rend facultative et limite les tâches à la documentation, aux demandes des autorités et à la coopération aux mesures correctives. Un mandataire MDR ou représentant de conformité RED en place constitue un bon point de départ, mais le mandat doit être re-rédigé au périmètre CRA et tenir compte des règles de non-délégation.
Le mandataire signe-t-il la déclaration UE de conformité ?
Non. Le fabricant établit et signe la déclaration UE de conformité. Le mandataire, lorsqu'il est désigné, tient la DoC signée et la documentation technique à la disposition des autorités de surveillance du marché ; mais l'acte de déclaration de conformité reste une responsabilité du fabricant, qui n'entre pas dans le mandat.
Peut-on changer de mandataire après désignation ?
Oui. Le mandat est un contrat entre le fabricant et le mandataire, et chaque partie peut y mettre fin dans les conditions prévues. Au changement, le nouveau mandataire reprend la garde de la documentation technique et de la déclaration de conformité, et le fabricant met à jour les coordonnées communiquées aux autorités de surveillance du marché. Prévoyez une étape de transfert explicite dans le modèle de mandat.