Annexe VIII

Procédures d’évaluation de la conformité

Partie I Procédure d’évaluation de la conformité basée sur le contrôle interne (basée sur le module A)

  • 1. Le contrôle interne correspond à la procédure d’évaluation de la conformité par laquelle le fabricant remplit les obligations énoncées aux points 2, 3 et 4 de la présente partie, assure et déclare sous sa seule responsabilité que les produits comportant des éléments numériques satisfont à toutes les exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, et par laquelle le fabricant satisfait aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II.
  • 2. Le fabricant établit la documentation technique décrite à l’annexe VII.
  • 3. Conception, développement, production et gestion des vulnérabilités des produits comportant des éléments numériques

Le fabricant prend toutes les mesures nécessaires pour que les processus de conception, de développement, de production et de gestion des vulnérabilités ainsi que leur suivi garantissent la conformité des produits comportant des éléments numériques fabriqués ou développés et des processus mis en place par lui avec les exigences essentielles de cybersécurité énoncées à l’annexe I, parties I et II.

  • 4. Marquage de conformité et déclaration de conformité
    • 4.1. Le fabricant appose le marquage CE sur chaque produit comportant des éléments numériques qui répond aux exigences applicables énoncées dans le présent règlement.
    • 4.2. Le fabricant établit une déclaration UE de conformité écrite pour chaque produit comportant des éléments numériques conformément à l’article 28 et la tient, accompagnée de la documentation technique, à la disposition des autorités nationales pendant dix ans à partir du moment où le produit concerné a été mis sur le marché ou pendant la période d’assistance, la durée la plus longue étant retenue. La déclaration UE de conformité précise le produit comportant des éléments numériques pour lequel elle a été établie. Une copie de la déclaration UE de conformité est mise à la disposition des autorités compétentes sur demande.
  • 5. Mandataires

Les obligations du fabricant énoncées au point 4 peuvent être remplies par son mandataire, en son nom et sous sa responsabilité, pour autant que les obligations en question soient spécifiées dans le mandat.

Partie II Examen UE de type (basé sur le module B)

  • 1. L’examen UE de type correspond à la partie d’une procédure d’évaluation de la conformité dans laquelle un organisme notifié examine la conception technique et le développement d’un produit comportant des éléments numériques et les processus de gestion des vulnérabilités mis en place par le fabricant, et atteste qu’un produit comportant des éléments numériques satisfait aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, et que le fabricant satisfait aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II.
  • 2. L’examen UE de type consiste en une évaluation de l’adéquation de la conception technique et du développement du produit comportant des éléments numériques par un examen de la documentation technique et des preuves visées au point 3, avec examen d’échantillons d’une ou de plusieurs parties critiques du produit (combinaison du type de fabrication et du type de conception).
  • 3. Le fabricant introduit une demande d’examen UE de type auprès d’un seul organisme notifié de son choix.

Cette demande comporte:

  • 3.1. le nom et l’adresse du fabricant, ainsi que le nom et l’adresse du mandataire si la demande est introduite par celui-ci;
  • 3.2. une déclaration écrite certifiant que la même demande n’a pas été introduite auprès d’un autre organisme notifié;
  • 3.3. la documentation technique, qui permet d’évaluer la conformité du produit comportant des éléments numériques aux exigences essentielles applicables de cybersécurité énoncées à l’annexe I, partie I, et les processus de gestion des vulnérabilités du fabricant énoncés à l’annexe I, partie II, et comprend une analyse et une évaluation adéquates du ou des risques. La documentation technique précise les exigences applicables et couvre, dans la mesure nécessaire à l’évaluation, la conception, la fabrication et le fonctionnement du produit comportant des éléments numériques. La documentation technique contient, le cas échéant, au moins les éléments énoncés à l’annexe VII;
  • 3.4. les preuves à l’appui de l’adéquation des solutions de conception technique et de développement et des processus de gestion des vulnérabilités. Ces preuves mentionnent tous les documents qui ont été utilisés, en particulier lorsque les normes harmonisées ou les spécifications techniques applicables n’ont pas été appliquées dans leur intégralité. Elles comprennent, si nécessaire, les résultats des essais effectués par le laboratoire approprié du fabricant ou par un autre laboratoire d’essai en son nom et sous sa responsabilité.
  • 4. L’organisme notifié:
    • 4.1. examine la documentation technique et les éléments de preuve pour évaluer l’adéquation de la conception technique et du développement du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, et des processus de gestion des vulnérabilités mis en place par le fabricant aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II;
    • 4.2. vérifie que le ou les échantillons ont été développés ou fabriqués en conformité avec la documentation technique et relève les éléments qui ont été conçus et développés conformément aux dispositions applicables des normes harmonisées ou des spécifications techniques pertinentes, ainsi que les éléments dont la conception et le développement ne s’appuient pas sur les dispositions pertinentes desdites normes;
    • 4.3. effectue ou fait effectuer les examens et les essais appropriés pour vérifier que, si le fabricant a choisi d’appliquer les solutions indiquées dans les normes harmonisées ou les spécifications techniques pertinentes pour les exigences énoncées à l’annexe I, l’application a été faite correctement;
    • 4.4. effectue ou fait effectuer les contrôles et les essais appropriés pour vérifier que, si les solutions indiquées dans les normes harmonisées ou les spécifications techniques pertinentes pour les exigences de l’annexe I n’ont pas été appliquées, les solutions adoptées par le fabricant satisfont aux exigences essentielles de cybersécurité correspondantes;
    • 4.5. convient avec le fabricant de l’endroit où les examens et les essais seront effectués.
  • 5. L’organisme notifié établit un rapport d’évaluation répertoriant les activités effectuées conformément au point 4 et leurs résultats. Sans préjudice de ses obligations vis-à-vis des autorités notifiantes, l’organisme notifié ne divulgue le contenu de ce rapport, en totalité ou en partie, qu’avec l’accord du fabricant.
  • 6. Lorsque le type et les processus de gestion des vulnérabilités satisfont aux exigences essentielles de cybersécurité énoncées à l’annexe I, l’organisme notifié délivre au fabricant une attestation d’examen UE de type. L’attestation contient le nom et l’adresse du fabricant, les conclusions de l’examen, les conditions (éventuelles) de sa validité et les données nécessaires à l’identification du type et des processus de gestion des vulnérabilités approuvés. Une ou plusieurs annexes peuvent être jointes à l’attestation.

L’attestation et ses annexes contiennent toutes les informations nécessaires pour permettre l’évaluation de la conformité des produits comportant des éléments numériques fabriqués ou développés au type examiné et des processus de gestion des vulnérabilités à évaluer et pour permettre un contrôle en service.

Lorsque le type et les processus de gestion des vulnérabilités ne satisfont pas aux exigences essentielles de cybersécurité applicables énoncées à l’annexe I, l’organisme notifié refuse de délivrer une attestation d’examen UE de type et en informe le demandeur, en lui précisant les raisons de son refus.

  • 7. L’organisme notifié suit l’évolution de l’état de la technique généralement reconnu, et lorsque cette évolution donne à penser que le type et les processus de gestion des vulnérabilités approuvés pourraient ne plus être conformes aux exigences essentielles de cybersécurité applicables énoncées à l’annexe I, il détermine si des examens complémentaires sont nécessaires. Si tel est le cas, l’organisme notifié en informe le fabricant.

Le fabricant informe l’organisme notifié qui détient la documentation technique relative à l’attestation d’examen UE de type de toutes les modifications du type et des processus de gestion des vulnérabilités approuvés qui peuvent remettre en cause la conformité aux exigences essentielles de cybersécurité énoncées à l’annexe I, ou les conditions de validité de l’attestation. Ces modifications nécessitent une nouvelle approbation sous la forme d’un complément à l’attestation initiale d’examen UE de type.

  • 8. L’organisme notifié effectue périodiquement des audits afin de s’assurer que les processus de traitement des vulnérabilités décrits à l’annexe I, partie II, sont mis en œuvre de manière adéquate.
  • 9. Chaque organisme notifié informe ses autorités notifiantes des attestations d’examen UE de type et des compléments qu’il a délivrés ou retirés et leur transmet, périodiquement ou sur demande, la liste des attestations et des compléments qu’il a refusés, suspendus ou soumis à d’autres restrictions.

Chaque organisme notifié informe les autres organismes notifiés des attestations d’examen UE de type ou des compléments qu’il a refusés, retirés, suspendus ou soumis à d’autres restrictions et, sur demande, des attestations et des compléments qu’il a délivrés.

La Commission, les États membres et les autres organismes notifiés peuvent, sur demande, obtenir une copie des attestations d’examen UE de type et de leurs compléments. Sur demande, la Commission et les États membres peuvent obtenir une copie de la documentation technique et des résultats des examens réalisés par l’organisme notifié. L’organisme notifié conserve une copie de l’attestation d’examen UE de type, de ses annexes et compléments, ainsi que le dossier technique, y compris la documentation communiquée par le fabricant, jusqu’à la fin de la validité de ladite attestation.

  • 10. Le fabricant tient à la disposition des autorités nationales une copie de l’attestation d’examen UE de type, de ses annexes et compléments, ainsi que la documentation technique, pour une durée de dix ans à partir du moment où le produit comportant des éléments numériques a été mis sur le marché ou pendant la période d’assistance, la plus longue des deux durées étant retenue.
  • 11. Le mandataire du fabricant peut introduire la demande visée au point 3 et s’acquitter des obligations énoncées aux points 7 et 10 pour autant que lesdites obligations soient spécifiées dans le mandat.

Partie III Conformité au type sur la base du contrôle interne de la fabrication (basée sur le module C)

  • 1. La conformité au type sur la base du contrôle interne de la fabrication correspond à la partie de la procédure d’évaluation de la conformité par laquelle le fabricant remplit les obligations énoncées aux points 2 et 3 de la présente partie, et garantit et déclare que les produits comportant des éléments numériques concernés sont conformes au type décrit dans l’attestation d’examen UE de type et satisfont aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, et que lui-même respecte les exigences essentielles de cybersécurité énoncées à l’annexe I, partie II.
  • 2. Production

Le fabricant prend toutes les mesures nécessaires pour que la production et le suivi de celle-ci garantissent la conformité des produits comportant des éléments numériques fabriqués au type approuvé décrit dans l’attestation d’examen UE de type et aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, et que lui-même respecte les exigences essentielles énoncées à l’annexe I, partie II.

  • 3. Marquage de conformité et déclaration de conformité
    • 3.1. Le fabricant appose le marquage CE sur chaque produit comportant des éléments numériques conforme au type décrit dans l’attestation d’examen UE de type et satisfait aux exigences de cybersécurité applicables énoncées dans l’instrument législatif.
    • 3.2. Le fabricant établit une déclaration écrite de conformité concernant un modèle de produit et la tient à la disposition des autorités nationales pendant une durée de dix ans à partir du moment où le produit comportant des éléments numériques a été mis sur le marché ou pendant la période d’assistance, la durée la plus longue étant retenue. La déclaration de conformité précise le modèle de produit pour lequel elle a été établie. Une copie de la déclaration de conformité est mise à la disposition des autorités compétentes sur demande.
  • 4. Mandataire

Les obligations du fabricant énoncées au point 3 peuvent être remplies par son mandataire, en son nom et sous sa responsabilité, pour autant que lesdites obligations soient spécifiées dans le mandat.

Partie IV Conformité sur la base de l’assurance complète de la qualité (basée sur le module H)

  • 1. La conformité sur la base de l’assurance complète de la qualité correspond à la procédure d’évaluation de la conformité par laquelle le fabricant remplit les obligations énoncées aux points 2 et 5 de la présente partie, et garantit et déclare sous sa seule responsabilité que les produits comportant des éléments numériques (ou catégories de produits) concernés satisfont aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, et que les processus de gestion des vulnérabilités mis en place par le fabricant satisfont aux exigences énoncées à l’annexe I, partie II.
  • 2. Conception, développement, production et gestion des vulnérabilités des produits comportant des éléments numériques.

Le fabricant applique un système de qualité approuvé, tel que spécifié au point 3, pour la conception, le développement et l’inspection finale et l’essai des produits comportant des éléments numériques concernés et pour la gestion des vulnérabilités, maintient son efficacité tout au long de la période d’assistance des produits concernés et fait l’objet d’une surveillance, tel que spécifié au point 4.

  • 3. Système de qualité

    • 3.1. Le fabricant introduit, auprès d’un organisme notifié de son choix, une demande d’évaluation de son système de qualité pour les produits comportant des éléments numériques concernés.

      Cette demande comporte:

      • a) le nom et l’adresse du fabricant, ainsi que le nom et l’adresse du mandataire si la demande est introduite par celui-ci;
      • b) la documentation technique, pour un modèle de chaque catégorie de produits comportant des éléments numériques destinés à être fabriqués ou développés. La documentation technique contient, le cas échéant, au minimum, les éléments énoncés à l’annexe VII;
      • c) la documentation relative au système de qualité; et
      • d) une déclaration écrite certifiant que la même demande n’a pas été introduite auprès d’un autre organisme notifié.

    • 3.2. Le système de qualité garantit la conformité des produits comportant des éléments numériques avec les exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, et la conformité des processus de gestion des vulnérabilités mis en place par le fabricant avec les exigences énoncées à l’annexe I, partie II.

      Tous les éléments, exigences et dispositions adoptés par le fabricant sont réunis de manière systématique et ordonnée dans une documentation sous la forme de mesures, de procédures et d’instructions écrites. Cette documentation relative au système de qualité facilite une interprétation homogène des programmes, des plans, des manuels et des dossiers concernant la qualité.

      Elle contient en particulier une description adéquate des éléments suivants:

      • a) les objectifs de qualité, l’organigramme ainsi que les responsabilités et les compétences du personnel d’encadrement en matière de qualité de la conception, du développement et des produits, ainsi que de gestion des vulnérabilités;
      • b) les spécifications de la conception technique et du développement, y compris les normes, qui seront appliquées et, lorsque les normes harmonisées ou les spécifications techniques pertinentes ne sont pas appliquées intégralement, les moyens qui seront utilisés pour faire en sorte de respecter les exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, qui s’appliquent aux produits comportant des éléments numériques;
      • c) les spécifications des procédures, y compris les normes, qui seront appliquées et, lorsque les normes harmonisées ou les spécifications techniques pertinentes ne sont pas appliquées intégralement, les moyens qui seront utilisés pour faire en sorte de respecter les exigences essentielles de cybersécurité énoncées à l’annexe I, partie II, qui s’appliquent au fabricant;
      • d) le contrôle de la conception et du développement, ainsi que les techniques de vérification de la conception et du développement, les procédés et les actions systématiques qui seront utilisés lors de la conception et du développement des produits comportant des éléments numériques appartenant à la catégorie couverte;
      • e) les techniques correspondantes de production, de contrôle de la qualité et d’assurance de la qualité, les procédés et les actions systématiques qui seront utilisés;
      • f) les examens et les essais qui seront effectués avant, pendant et après la production et la fréquence à laquelle ils auront lieu;
      • g) des dossiers de qualité tels que les rapports d’inspection et les données d’essais et d’étalonnage, et les rapports sur la qualification du personnel concerné;
      • h) les moyens de surveillance permettant de contrôler l’obtention de la qualité requise en matière de conception et de produit et le bon fonctionnement du système de qualité.

    • 3.3. L’organisme notifié évalue le système de qualité pour déterminer s’il répond aux exigences visées au point 3.2.

      Il présume la conformité à ces exigences pour les éléments du système de qualité qui sont conformes aux spécifications correspondantes de la norme nationale transposant la norme harmonisée applicable ou la spécification technique.

      L’équipe d’auditeurs doit posséder une expérience des systèmes de gestion de la qualité et comporter au moins un membre ayant de l’expérience en tant qu’évaluateur dans le groupe de produits et la technologie concernés, ainsi qu’une connaissance des exigences applicables énoncées dans le présent règlement. L’audit comprend une visite d’évaluation dans les installations du fabricant, si de telles installations existent. L’équipe d’auditeurs examine la documentation technique visée au point 3.1, deuxième tiret, afin de vérifier la capacité du fabricant à déterminer les exigences applicables énoncées dans le présent règlement et à réaliser les examens nécessaires en vue de garantir la conformité du produit comportant des éléments numériques à ces exigences.

      La décision est notifiée au fabricant ou à son mandataire.

      La notification contient les conclusions de l’audit et la décision d’évaluation motivée.

    • 3.4. Le fabricant s’engage à remplir les obligations découlant du système de qualité tel qu’il est approuvé et à faire en sorte qu’il demeure adéquat et efficace.

    • 3.5. Le fabricant informe l’organisme notifié ayant approuvé le système de qualité de tout projet de modification de celui-ci.

      L’organisme notifié examine les modifications envisagées et décide si le système de qualité modifié continuera de répondre aux exigences énoncées au point 3.2 ou si une nouvelle évaluation s’impose.

      Il notifie sa décision au fabricant. La notification contient les conclusions de l’examen et la décision d’évaluation motivée.

  • 4. Surveillance sous la responsabilité de l’organisme notifié
    • 4.1. Le but de la surveillance est de s’assurer que le fabricant remplit correctement les obligations découlant du système de qualité approuvé.
    • 4.2. Le fabricant autorise l’organisme notifié à accéder, à des fins d’évaluation, aux lieux de conception, de développement, de production, d’inspection, d’essai et de stockage et lui fournit toutes les informations nécessaires, notamment:
      • a) la documentation sur le système de qualité;
      • b) les dossiers de qualité prévus dans la partie du système de qualité consacrée à la conception, tels que les résultats des analyses, des calculs et des essais;
      • c) les dossiers de qualité prévus par la partie du système de qualité consacrée à la fabrication, tels que les rapports d’inspection, les données d’essais et d’étalonnage et les rapports sur la qualification du personnel concerné.
    • 4.3. L’organisme notifié effectue périodiquement des audits pour s’assurer que le fabricant maintient et applique le système de qualité, et il transmet un rapport d’audit au fabricant.
  • 5. Marquage de conformité et déclaration de conformité

    • 5.1. Sur chaque produit comportant des éléments numériques qui satisfait aux exigences énoncées à l’annexe I, partie I, du présent règlement, le fabricant doit apposer le marquage CE et, sous la responsabilité de l’organisme notifié visé au point 3.1, le numéro d’identification de ce dernier.

    • 5.2. Le fabricant établit une déclaration écrite de conformité concernant chaque modèle de produit et la tient à la disposition des autorités nationales pendant une durée de dix ans à partir du moment où le produit comportant des éléments numériques a été placé sur le marché ou pendant la période d’assistance, la durée la plus longue étant retenue. La déclaration de conformité précise le modèle de produit pour lequel elle a été établie.

      Une copie de la déclaration de conformité est mise à la disposition des autorités compétentes sur demande.

  • 6. Pendant une période d’au moins dix ans à compter de la mise sur le marché du produit comportant des éléments numériques ou pendant la période d’assistance, la durée la plus longue étant retenue, le fabricant doit tenir à la disposition des autorités nationales:
    • a) la documentation technique visée au point 3.1;
    • b) la documentation concernant le système de qualité visée au point 3.1;
    • c) les modifications approuvées visées au point 3.5;
    • d) les décisions et rapports de l’organisme notifié visés aux points 3.5 et 4.3.
  • 7. Chaque organisme notifié informe ses autorités notifiantes des approbations de systèmes de qualité délivrées ou retirées et leur transmet, périodiquement ou sur demande, la liste des approbations qu’il a refusées, suspendues ou soumises à d’autres restrictions.

Chaque organisme notifié informe les autres organismes notifiés des approbations de systèmes de qualité qu’il a refusées, suspendues ou retirées et, sur demande, des approbations qu’il a délivrées.

  • 8. Mandataire

Les obligations du fabricant visées aux points 3.1, 3.5, 5 et 6 peuvent être remplies par son mandataire, en son nom et sous sa responsabilité, pour autant que lesdites obligations soient spécifiées dans le mandat.

Une déclaration a été faite en ce qui concerne le présent acte et figure au JO C, 2024/6786, 20.11.2024, ELI: http://data.europa.eu/eli/C/2024/6786/oj.