Article 20

1. Lorsqu’ils mettent un produit comportant des éléments numériques à disposition sur le marché, les distributeurs agissent avec la diligence requise en ce qui concerne les exigences énoncées au présent règlement.

2. Avant de mettre un produit comportant des éléments numériques à disposition sur le marché, les distributeurs vérifient que:

• a) le produit comportant des éléments numériques porte le marquage CE;
• b) le fabricant et l’importateur se sont conformés aux obligations énoncées à l’article 13, paragraphes 15, 16, 18, 19 et 20, et à l’article 19, paragraphe 4, et ont communiqué tous les documents nécessaires au distributeur.

3. Lorsqu’un distributeur considère ou a des raisons de croire, sur la base des informations en sa possession, qu’un produit comportant des éléments numériques ou les processus mis en place par le fabricant ne sont pas conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I, il ne met pas le produit comportant des éléments numériques à disposition sur le marché tant que ce produit ou les processus mis en place par le fabricant n’a pas été mis en conformité avec le présent règlement. En outre, lorsque le produit comportant des éléments numériques présente un risque de cybersécurité important, le distributeur en informe le fabricant et les autorités de surveillance du marché sans retard injustifié.

4. Les distributeurs sachant ou ayant des raisons de croire, sur la base des informations en sa possession, qu’un produit comportant des éléments numériques, qu’ils ont mis à disposition sur le marché, ou bien les processus mis en place par son fabricant ne sont pas conformes au présent règlement veillent à ce que soient prises les mesures correctives nécessaires pour mettre ce produit comportant des éléments numériques ou les processus mis en place par son fabricant en conformité, ou pour retirer ou rappeler le produit, si nécessaire.

Lorsqu’ils prennent connaissance d’une vulnérabilité du produit comportant des éléments numériques, les distributeurs en informent le fabricant sans retard injustifié. En outre, si le produit comportant des éléments numériques présente un risque de cybersécurité important, les distributeurs en informent immédiatement les autorités de surveillance du marché des États membres dans lesquels ils ont mis ce produit à disposition sur le marché, en fournissant des précisions, notamment, sur la non-conformité et toute mesure corrective adoptée.

5. Sur requête motivée d’une autorité de surveillance du marché, les distributeurs communiquent à cette dernière toutes les informations et tous les documents, sur support papier ou par voie électronique, nécessaires pour démontrer la conformité du produit comportant des éléments numériques et des processus mis en place par son fabricant avec le présent règlement dans une langue aisément compréhensible par cette autorité. Ils coopèrent avec cette autorité, à sa demande, à toute mesure prise en vue d’éliminer les risques de cybersécurité présentés par le produit comportant des éléments numériques qu’ils ont mis à disposition sur le marché.

6. Lorsque le distributeur d’un produit comportant des éléments numériques apprend, sur la base des informations en sa possession, que le fabricant de ce produit a cessé ses activités et, de ce fait, n’est pas en mesure de se conformer aux obligations prévues par le présent règlement, il informe sans retard injustifié les autorités de surveillance du marché concernées de cette situation, ainsi que, par tout moyen disponible et dans la mesure du possible, les utilisateurs des produits concernés comportant des éléments numériques mis sur le marché.