Article 19

Obligations incombant aux importateurs

1. Un importateur ne met sur le marché que des produits comportant des éléments numériques conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, et lorsque les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II.

2. Avant de mettre sur le marché un produit comportant des éléments numériques, l’importateur veille à ce que:

  • a) les procédures appropriées d’évaluation de la conformité visées à l’article 32 aient été menées à bien par le fabricant;
  • b) le fabricant ait établi la documentation technique;
  • c) le produit comportant des éléments numériques porte le marquage CE visé à l’article 30 et soit accompagné de la déclaration UE de conformité visée à l’article 13, paragraphe 20, ainsi que des informations et instructions destinées à l’utilisateur figurant à l’annexe II, rédigées dans une langue aisément compréhensible par les utilisateurs et les autorités de surveillance du marché;
  • d) le fabricant ait respecté les exigences prévues à l’article 13, paragraphes 15, 16 et 19.

Aux fins du présent paragraphe, les importateurs doivent être en mesure de fournir les documents nécessaires prouvant le respect des exigences énoncées dans le présent article.

3. Lorsqu’un importateur considère ou a des raisons de croire qu’un produit comportant des éléments numériques ou les processus mis en place par le fabricant ne sont pas conformes au présent règlement, il ne met pas le produit sur le marché tant que ce produit ou les processus mis en place par le fabricant n’ont pas été mis en conformité avec le présent règlement. En outre, lorsque le produit comportant des éléments numériques présente un risque de cybersécurité important, l’importateur en informe le fabricant et les autorités de surveillance du marché.

Lorsqu’un importateur a des raisons de croire qu’un produit comportant des éléments numériques peut présenter un risque de cybersécurité important à la lumière de facteurs de risque non techniques, il en informe les autorités de surveillance du marché. Dès réception de cette information, les autorités de surveillance du marché appliquent les procédures visées à l’article 54, paragraphe 2.

4. L’importateur indique son nom, sa raison sociale ou sa marque déposée et les adresses postale, électronique ou autre moyen numérique, ainsi que, le cas échéant, l’adresse du site internet auxquelles il peut être contacté sur le produit comportant des éléments numériques, sur l’emballage ou dans un document accompagnant le produit comportant des éléments numériques. Les coordonnées sont indiquées dans une langue aisément compréhensible par les utilisateurs et les autorités de surveillance du marché.

5. Tout importateur qui considère ou a des raisons de croire qu’un produit comportant des éléments numériques, qu’il a mis sur le marché n’est pas conforme au présent règlement prend immédiatement les mesures correctives nécessaires pour veiller à ce que ce produit comportant des éléments numériques soit mis en conformité avec le présent règlement, ou pour procéder au retrait ou au rappel du produit, si nécessaire.

Lorsqu’il prend connaissance d’une vulnérabilité du produit comportant des éléments numériques, l’importateur en informe le fabricant sans retard injustifié. En outre, si le produit comportant des éléments numériques présente un risque de cybersécurité important, l’importateur en informe immédiatement les autorités de surveillance du marché des États membres dans lesquels il a mis ce produit à disposition sur le marché, en fournissant des précisions, notamment, sur la non-conformité et toute mesure corrective adoptée.

6. Pendant au moins dix ans à partir de la mise sur le marché du produit comportant des éléments numériques ou pendant la période d’assistance, la période la plus longue étant retenue, l’importateur tient à la disposition des autorités de surveillance du marché une copie de la déclaration UE de conformité et s’assure que la documentation technique peut être fournie à ces autorités, sur demande.

7. Sur requête motivée d’une autorité de surveillance du marché, l’importateur communique à cette dernière toutes les informations et tous les documents nécessaires, sur support papier ou par voie électronique, pour démontrer la conformité du produit comportant des éléments numériques aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, ainsi que la conformité des processus mis en place par le fabricant aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II, dans une langue aisément compréhensible par cette autorité. Il coopère avec cette autorité, à la demande de cette dernière, concernant toute mesure prise en vue d’éliminer les risques de cybersécurité présentés par le produit comportant des éléments numériques qu’il a mis sur le marché.

8. Lorsque l’importateur d’un produit comportant des éléments numériques a connaissance du fait que le fabricant de ce produit a cessé ses activités et, de ce fait, n’est pas en mesure de se conformer aux obligations prévues par le présent règlement, l’importateur informe les autorités de surveillance du marché concernées de cette situation, ainsi que, par tout moyen disponible et dans la mesure du possible, les utilisateurs des produits concernés comportant des éléments numériques mis sur le marché.