Is appointing an authorised representative mandatory under the CRA?

No. Article 18(1) of Regulation (EU) 2024/2847 reads, verbatim: 'A manufacturer may, by a written mandate, appoint an authorised representative.' This is permissive, not mandatory. The CRA does not impose AR appointment as a condition for placing products on the EU market, even for manufacturers established outside the Union. This differs from MDR Article 11 and RED Article 5, both of which require an AR for non-EU manufacturers. If a CRA product is also covered by MDR or RED, the AR requirement under those instruments still applies.

Why would a non-EU manufacturer still appoint an AR under the CRA?

Several practical reasons. A single EU-established legal contact point reduces friction with market surveillance authorities, who prefer correspondence with an entity in their jurisdiction and language. The AR can hold the Declaration of Conformity and Annex VII technical documentation locally for the 10-year retention period under Article 18(3)(a). Many non-EU manufacturers already use an MDR or RED AR and find it operationally simpler to extend that arrangement to CRA scope. Finally, a clearly named EU AR can shorten authority response cycles when a reasoned request arrives under Article 18(3)(b).

What can and cannot be delegated to a CRA authorised representative?

Article 18(2) explicitly excludes the obligations in Article 13(1) to (11), Article 13(12) first subparagraph, and Article 13(14) from the AR mandate. In plain terms: the substantive cybersecurity obligations (essential requirements, vulnerability handling, conformity assessment) cannot be passed to the AR. Article 18(3) sets the maximum scope of what an AR can do: hold the DoC and technical documentation for 10+ years, provide information and documentation to authorities on reasoned request, and cooperate on actions taken to eliminate risks. The manufacturer always remains the entity legally responsible for the substantive cybersecurity duties.

What is the difference between a CRA authorised representative and an EU importer?

They are independent roles. An importer is, by Article 3 definition, an EU-established person who places a product bearing a non-EU manufacturer's name or trademark on the EU market. Importers carry their own Article 19 obligations (conformity verification, document retention for 10 years, authority cooperation, vulnerability notification) regardless of whether an AR exists. An AR, when appointed, takes on the Article 18(3) tasks listed in the mandate. They are not substitutes: the importer role is triggered by the commercial supply route, the AR role by a written mandate. One EU entity may hold both, with separate paperwork.

Can my EU importer or distributor act as my authorised representative?

Yes. The CRA does not forbid one EU-established entity from holding both a commercial importer or distributor role and an AR mandate. The functions remain legally distinct: the importer carries Article 19 obligations from the commercial supply relationship, the AR carries Article 18(3) duties from a written mandate. To combine them, you need a separate written AR mandate that explicitly covers Article 18(3), professional indemnity sufficient for both roles, and a clear contractual line between the two functions.

Is the AR liable for product defects, or only for documentation duties?

The AR is responsible only for the duties listed in the written mandate, which under the CRA are bounded by Article 18(3): document custody, authority responsiveness, and cooperation on corrective action. Article 18(2) explicitly excludes the substantive Article 13 obligations from the mandate. Product defect liability and the underlying cybersecurity obligations remain with the manufacturer. National law in some Member States may extend AR exposure further, so the mandate should be drafted carefully.

Is a CRA authorised representative the same as an MDR or RED authorised representative?

The AR concept is shared across EU product regulations, but the regimes are not identical. MDR Article 11 makes AR appointment mandatory for non-EU manufacturers and imposes broader medical-specific duties including vigilance reporting. RED Article 5 also makes AR appointment mandatory for non-EU manufacturers. CRA Article 18(1) makes it optional. The Article 18(3) duties are narrower and centred on documentation, authority requests, and corrective-action cooperation. An incumbent MDR or RED AR can be a strong starting point, but the mandate must be re-papered for CRA scope and Article 18(2) non-delegation rules.

Does the AR sign the EU Declaration of Conformity?

No. The EU Declaration of Conformity is drawn up and signed by the manufacturer under Article 28. The AR, when appointed, holds the signed DoC and the technical documentation at the disposal of market surveillance authorities under Article 18(3)(a), but the act of declaring conformity is a manufacturer responsibility that Article 18(2) keeps out of the AR mandate.

Can I change my AR after appointment?

Yes. The mandate is a contract between the manufacturer and the AR, and either party can terminate subject to its terms. On change, the new AR takes over custody of the technical documentation and Declaration of Conformity, and the manufacturer should update the contact information communicated to market surveillance authorities. Plan for an explicit handover step in the mandate template.

Représentant autorisé du règlement sur la cyberrésilience (article 18)

Résumé

Cinq points à connaître sur l'article 18 du règlement sur la cyberrésilience avant de décider de désigner ou non un représentant autorisé.

Base juridique: L'article 18, paragraphe 1, du règlement (UE) 2024/2847 (le règlement sur la cyberrésilience) est permissif : « Un fabricant peut, par mandat écrit, désigner un mandataire. » La désignation est facultative. Aucune autre clause ne l'impose aux fabricants établis hors de l'Union (à la différence de l'article 11 du règlement MDR ou de l'article 5 de la directive RED).
Pourquoi en désigner un malgré tout: Un point de contact juridique unique établi dans l'Union pour les autorités de surveillance du marché, la conservation de la documentation par une entité située dans la juridiction concernée et un alignement opérationnel sur les dispositifs MDR/RED déjà en place chez de nombreux fabricants établis hors de l'Union. Une commodité pratique, pas une obligation juridique.
Ce que le représentant autorisé peut faire: L'article 18, paragraphe 3, fixe le périmètre maximal : tenir à disposition la déclaration UE de conformité et la documentation technique pendant au moins dix ans (ou pendant la période d'assistance, la période la plus longue étant retenue) ; communiquer des informations aux autorités de surveillance du marché sur requête motivée ; coopérer aux mesures adoptées pour éliminer les risques.
Ce qui reste à la charge du fabricant: L'article 18, paragraphe 2, exclut du mandat les obligations de l'article 13, paragraphes 1 à 11, paragraphe 12, premier alinéa, et paragraphe 14. Les exigences essentielles de cybersécurité, le traitement des vulnérabilités et l'évaluation de la conformité ne peuvent pas être délégués au représentant autorisé.
Importateur de l'article 19: Si le produit d'un fabricant établi hors de l'Union est mis sur le marché de l'Union par l'intermédiaire d'une entité commerciale établie dans l'Union, cette entité est l'importateur par définition (article 3, point 14) et porte les obligations de l'article 19 indépendamment de toute désignation de représentant autorisé.
Où nous nous situons: CRA Evidence est la plateforme de preuves pour la conservation documentaire de l'article 18, paragraphe 3, la réponse aux autorités et l'enregistrement des mesures correctives, utilisée directement par les fabricants, par les cabinets de représentation autorisée ou par les deux. Nous constituons par ailleurs un réseau de partenaires composé de cabinets de représentation autorisée établis dans l'Union ; nous ne détenons aucun mandat de représentant autorisé à ce jour.

Vous faut-il désigner un représentant autorisé ?

La désignation du représentant autorisé est facultative au titre de l'article 18, paragraphe 1, du CRA. Le choix est opérationnel, pas juridique : les bénéfices pratiques d'un point de contact juridique établi dans l'Union l'emportent-ils sur le coût du mandat ? Les facteurs ci-dessous résument le raisonnement habituel.

Facteur

Plutôt en faveur de la désignation

Plutôt en défaveur de la désignation

Présence du fabricant dans l'Union

Le fabricant est établi hors de l'Union et n'a aucun bureau dans l'Union capable de prendre en charge de manière crédible la correspondance avec les autorités de surveillance du marché.

Le fabricant est établi dans l'Union ou dispose d'une filiale européenne qui gère déjà la correspondance réglementaire.

Autres instruments de l'Union

Le produit relève également du règlement MDR ou de la directive RED, qui exigent tous deux un représentant autorisé pour les fabricants établis hors de l'Union. Réutiliser le même cabinet pour le périmètre CRA est opérationnellement plus simple.

Le produit ne relève que du CRA, sans obligation parallèle de représentant autorisé déjà en place au titre du MDR ou de la RED.

Correspondance avec les autorités

Vous souhaitez que la correspondance avec les autorités de surveillance du marché passe par un contact local dans l'Union, dans la langue et le fuseau horaire de l'État membre concerné.

Vous êtes à l'aise pour traiter les réponses aux requêtes motivées de l'article 18, paragraphe 3, point b), directement depuis le siège du fabricant.

Conservation documentaire

Vous voulez que la conservation pendant dix ans de la déclaration UE de conformité et de la documentation technique soit assurée par un dépositaire établi dans l'Union.

Vous exploitez déjà une plateforme de preuves interne qui maintient la documentation accessible aux autorités sur demande.

Voie de l'importateur

Vous avez plusieurs importateurs ou distributeurs dans l'Union et vous souhaitez un représentant autorisé nommément désigné unique sur l'ensemble du canal, plutôt que de fragmenter la responsabilité.

Un seul importateur de confiance dans l'Union, qui assure déjà les vérifications de l'article 19 et la conservation documentaire.

Aucun de ces facteurs ne crée une obligation juridique. Le CRA ne sanctionne pas l'absence de représentant autorisé. Ce sont des leviers pratiques ; la plupart des fabricants établis hors de l'Union dans les secteurs réglementés finissent par en désigner un parce que la simplification opérationnelle vaut plus que le coût du mandat.

Vous avez décidé que la désignation d'un représentant autorisé est la bonne option ? Nous constituons un réseau de partenaires composé de cabinets de représentation autorisée établis dans l'Union, couvrant les pratiques MDR, RED et RoHS. Indiquez-nous votre produit et l'État membre concerné, nous vous mettrons en relation dès qu'un partenariat correspondant sera signé →

Ce dont le représentant autorisé est responsable, article 18, paragraphe 3

Le périmètre du mandat est fixé par écrit par le fabricant, mais il doit couvrir au minimum les trois tâches ci-dessous. Ce sont celles que les autorités de surveillance du marché examineront en premier.

Art. 18, § 3, point a)

Tenir à disposition la déclaration UE de conformité et la documentation technique de l'annexe VII pendant dix ans.

tenir à la disposition des autorités de surveillance du marché la déclaration UE de conformité mentionnée à l'article 28 et la documentation technique mentionnée à l'article 31 pendant au moins dix ans à partir de la mise sur le marché du produit comportant des éléments numériques ou pendant la période d'assistance, la période la plus longue étant retenue

Art. 18, § 3, point b)

Communiquer documentation et informations aux autorités sur requête motivée.

sur requête motivée d'une autorité de surveillance du marché, à communiquer à cette dernière toutes les informations et tous les documents nécessaires pour démontrer la conformité du produit comportant des éléments numériques

Art. 18, § 3, point c)

Coopérer avec les autorités sur les mesures correctives et l'élimination des risques.

à coopérer avec les autorités de surveillance du marché, à leur demande, concernant toute mesure adoptée pour éliminer les risques présentés par un produit comportant des éléments numériques relevant du mandat confié au mandataire

Représentant autorisé et importateur : rôles indépendants

Le représentant autorisé de l'article 18 et l'importateur de l'article 19 sont des rôles distincts, déclenchés par des faits différents. Le représentant autorisé existe lorsqu'un fabricant choisit d'en désigner un ; l'importateur existe par le fait commercial qu'une personne établie dans l'Union met sur le marché le produit d'un fabricant établi hors de l'Union. Aucun ne se substitue à l'autre, dans aucun sens.

Représentant autorisé · art. 18

Importateur dans l'Union · art. 19

Fait déclencheur

Facultatif. Le fabricant peut désigner un représentant autorisé par mandat écrit (art. 18, paragraphe 1).

Statut par définition. Toute personne établie dans l'Union qui met sur le marché le produit portant le nom ou la marque d'un fabricant établi hors de l'Union est l'importateur (art. 3, point 14).

Origine

Mandat écrit du fabricant à une personne physique ou morale établie dans l'Union.

Le canal commercial d'approvisionnement. Pas de désignation, pas de mandat.

Périmètre maximal

Tenir à disposition la déclaration UE de conformité et la documentation technique pendant au moins dix ans ; les fournir aux autorités de surveillance du marché sur requête motivée ; coopérer aux mesures correctives (art. 18, paragraphe 3). L'article 18, paragraphe 2, exclut les obligations de fond de l'article 13.

Vérifier l'évaluation de la conformité, le marquage CE, la déclaration UE de conformité et les instructions destinées à l'utilisateur ; conserver les documents pendant au moins dix ans ; coopérer avec les autorités ; signaler les soupçons de non-conformité et la connaissance d'une vulnérabilité (art. 19, paragraphes 1 à 8).

L'un remplace-t-il l'autre ?

Non. Désigner un représentant autorisé ne dispense pas l'importateur de ses obligations, quelle que soit l'entité qui met le produit sur le marché de l'Union.

Non. Les obligations de l'importateur de l'article 19 existent de manière indépendante. Elles ne créent pas et ne suppriment pas la désignation d'un représentant autorisé.

Une même entité est-elle autorisée ?

Oui. Un même cabinet établi dans l'Union peut détenir à la fois le mandat de représentant autorisé et le rôle d'importateur, avec des mandats écrits distincts et une assurance couvrant les deux.

Conséquence pratique : choisir de désigner un représentant autorisé est indépendant de l'identité de l'importateur. Un importateur établi dans l'Union ne libère pas le fabricant de la moindre obligation de cybersécurité, et un représentant autorisé ne libère pas l'importateur de la moindre obligation de l'article 19. Si vous voulez qu'un seul partenaire dans l'Union assume les deux rôles, c'est autorisé ; il vous faut un mandat écrit de représentant autorisé distinct du contrat commercial d'approvisionnement, et une assurance couvrant les deux fonctions.

Ce qu'il faut rechercher au moment de désigner un représentant autorisé

Si votre cartographie fournisseurs inclut des cabinets historiques en MDR, RED ou RoHS, c'est un point de départ raisonnable. Les vérifications propres au CRA ci-dessous distinguent un représentant autorisé opérationnel d'un cabinet qui peinera dès la première lettre des autorités.

Domicile: Personne morale établie dans l'Union dans un État membre, avec un siège social et un point de contact local.
Assurance: Responsabilité civile professionnelle dont la couverture est explicitement étendue au périmètre CRA et aux classifications de produits de l'annexe III.
Expérience sectorielle: Antécédents démontrables au titre du règlement MDR, de l'acte délégué cybersécurité de la directive RED ou de la directive RoHS, ce sont les cabinets qui basculent aujourd'hui vers le CRA de manière crédible.
Conservation documentaire: Plateforme satisfaisant à l'obligation de conservation de dix ans, avec une piste d'audit infalsifiable et des exports prêts pour les autorités.
Reddition de comptes: Une personne physique nommément désignée qui rend des comptes aux autorités, pas une boîte courriel générique du service juridique.
Langue: Capacité à conduire la coopération aux mesures correctives prévue à l'article 18, paragraphe 3, point c), dans la langue de l'autorité de l'État membre concerné.

Vous savez ce que vous cherchez, mais pas par où commencer ? Évitez la phase de prospection à froid. Demandez une mise en relation avec un représentant autorisé dès l'ouverture de notre réseau de partenaires →

Comment CRA Evidence accompagne l'article 18

Que le fabricant conserve la documentation en interne, la confie à un représentant autorisé externe ou se répartisse le travail avec un importateur établi dans l'Union, les tâches opérationnelles sont les mêmes : tenir un dossier technique complet, le remettre aux autorités sur requête motivée et enregistrer les mesures correctives. CRA Evidence est la plateforme qui fait tourner ce travail, avec ou sans représentant autorisé.

Art. 18, § 3, point a)

Tenir à disposition la déclaration UE de conformité et la documentation technique de l'annexe VII pendant au moins dix ans

Lots de l'annexe VII, déclarations UE de conformité signées et les SBOM, VEX et évaluations des risques sous-jacents, stockés selon une politique de conservation stricte de dix ans avec un journal d'audit infalsifiable.

L'export du dossier technique regroupe l'annexe VII dans un ZIP exploitable par machine, avec manifeste.
Les certificats de conformité génèrent des déclarations UE de conformité au format PDF multilingues (modules A / B+C / H / EUCC) ; immuables une fois émis.
La signature d'artefacts (Sigstore, avec ou sans clé) inscrit les signatures dans un journal de transparence à des fins de non-répudiation.
Conservation pendant dix ans des SBOM, documents, événements d'audit et enregistrements de vulnérabilités, sans suppression anticipée en cas de changement d'offre.

Art. 18, § 3, point b)

Tout fournir à une autorité de surveillance du marché sur requête motivée

Lorsqu'une autorité écrit, le représentant autorisé dispose d'une requête numérotée, d'un délai et d'un dossier de preuves en un clic. Pas de course entre les disques, pas de document manquant.

Le service des requêtes d'autorité enregistre les requêtes des autorités de surveillance du marché avec un suivi AUTH-AAAA-NNNN, des délais et la détection des retards.
L'assemblage du dossier de réponse compresse en ZIP le manifeste, les informations produit, les vérifications de la chaîne fournisseurs, la piste d'audit et un fichier README prêts à envoyer.
La vue unifiée des preuves normalise SBOM, HBOM, VEX, documents, certificats et instructions destinées à l'utilisateur de l'annexe II en un index unique interrogeable.
Le portail fournisseurs délivre un accès externe à périmètre limité par jeton et tracé en audit, à destination des autorités ou des contreparties de la chaîne d'approvisionnement.

Art. 18, § 3, point c)

Coopérer aux mesures correctives et à l'élimination des risques

Le traitement des vulnérabilités, les VEX et les enregistrements de mesures correctives sont écrits dans la même base de preuves tracée en audit, de sorte que le représentant autorisé peut montrer aux autorités ce qui a été fait, quand et par qui.

Cycle de vie de la requête d'autorité : reçue → accusée → en_cours → répondue → clôturée, avec enregistrement du mode de réponse, de la référence et de la liste des documents.
L'automatisation VEX (CycloneDX, CSAF, OpenVEX) enregistre les décisions d'exploitabilité par constatation.
Flux de signalement ENISA pour les notifications de l'article 14 à 24 h / 72 h / 14 jours (en cours de développement).
La piste d'audit enregistre chaque mise à jour de version, chaque modification de document et chaque approbation, la lignée complète des mesures correctives.

Si vous désignez un représentant autorisé, le mandat est entre ses mains. Dans tous les cas, les preuves vivent sur CRA Evidence. Voyez comment fonctionne réellement une transmission au titre de l'article 18 sur la plateforme, gratuit pendant 14 jours, sans carte bancaire.

Découvrez-la sur CRA Evidence Besoin d'aide pour trouver un représentant autorisé ?

Articles 18 et 19, texte intégral

Issu du règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 concernant des exigences horizontales de cybersécurité pour les produits comportant des éléments numériques. Reproduit à titre indicatif ; seul le texte consolidé d'EUR-Lex fait foi.

Article 18 · Mandataires

1. Un fabricant peut, par mandat écrit, désigner un mandataire.

2. Les obligations énoncées à l'article 13, paragraphes 1 à 11, à l'article 13, paragraphe 12, premier alinéa, et à l'article 13, paragraphe 14, ne font pas partie du mandat confié au mandataire.

3. Le mandataire exécute les tâches spécifiées dans le mandat qu'il reçoit du fabricant. Le mandataire fournit une copie du mandat aux autorités de surveillance du marché à leur demande. Le mandat autorise au minimum le mandataire :

a) à tenir à la disposition des autorités de surveillance du marché la déclaration UE de conformité mentionnée à l'article 28 et la documentation technique mentionnée à l'article 31 pendant au moins dix ans à partir de la mise sur le marché du produit comportant des éléments numériques ou pendant la période d'assistance, la période la plus longue étant retenue ;

b) sur requête motivée d'une autorité de surveillance du marché, à communiquer à cette dernière toutes les informations et tous les documents nécessaires pour démontrer la conformité du produit comportant des éléments numériques ;

c) à coopérer avec les autorités de surveillance du marché, à leur demande, concernant toute mesure adoptée pour éliminer les risques présentés par un produit comportant des éléments numériques relevant du mandat confié au mandataire.

Source · EUR-Lex CELEX 32024R2847, article 18 (texte intégral)

Article 19 · Obligations incombant aux importateurs (indépendantes de toute désignation de représentant autorisé)

1. Un importateur ne met sur le marché que des produits comportant des éléments numériques conformes aux exigences essentielles de cybersécurité énoncées à l'annexe I, partie I, et lorsque les processus mis en place par le fabricant sont conformes aux exigences essentielles de cybersécurité énoncées à l'annexe I, partie II.

2. Avant de mettre sur le marché un produit comportant des éléments numériques, l'importateur veille à ce que :

a) les procédures appropriées d'évaluation de la conformité visées à l'article 32 aient été menées à bien par le fabricant ;

b) le fabricant ait établi la documentation technique ;

c) le produit comportant des éléments numériques porte le marquage CE visé à l'article 30 et soit accompagné de la déclaration UE de conformité visée à l'article 13, paragraphe 20, ainsi que des informations et instructions destinées à l'utilisateur figurant à l'annexe II, rédigées dans une langue aisément compréhensible par les utilisateurs et les autorités de surveillance du marché ;

d) le fabricant ait respecté les exigences prévues à l'article 13, paragraphes 15, 16 et 19.

Les paragraphes suivants de l'article 19 (paragraphes 3 à 8) portent sur le traitement de la non-conformité, l'identification de l'importateur sur le produit, les mesures correctives et les notifications de vulnérabilités, la conservation documentaire pendant dix ans, la réponse aux requêtes motivées des autorités de surveillance du marché et l'obligation d'informer les autorités et les utilisateurs lorsque le fabricant cesse son activité. Ces obligations s'imposent à toute personne agissant en qualité d'importateur dans l'Union, indépendamment de toute désignation de représentant autorisé au titre de l'article 18.

Source · EUR-Lex CELEX 32024R2847, article 19 (texte intégral, paragraphes 1 et 2 ; 3 à 8 résumés)

Questions fréquentes

La désignation d'un représentant autorisé est-elle obligatoire au titre du CRA ?

Non. L'article 18, paragraphe 1, du règlement (UE) 2024/2847 dispose textuellement : « Un fabricant peut, par mandat écrit, désigner un mandataire. » La formulation est permissive. Le CRA n'impose pas la désignation d'un représentant autorisé comme condition de mise sur le marché de l'Union, y compris aux fabricants établis hors de l'Union. La situation diffère de celle de l'article 11 du règlement MDR et de l'article 5 de la directive RED, qui exigent tous deux un représentant autorisé pour les fabricants établis hors de l'Union. Si un produit relevant du CRA relève également du MDR ou de la RED, l'obligation prévue par ces instruments demeure applicable.

Pourquoi un fabricant établi hors de l'Union désignerait-il malgré tout un représentant autorisé au titre du CRA ?

Pour plusieurs raisons pratiques. Un point de contact juridique unique établi dans l'Union réduit la friction avec les autorités de surveillance du marché, qui préfèrent dialoguer avec une entité dans leur juridiction et leur langue. Le représentant autorisé peut conserver localement la déclaration UE de conformité et la documentation technique pendant la période de dix ans prévue à l'article 18, paragraphe 3, point a). Beaucoup de fabricants établis hors de l'Union recourent déjà à un représentant autorisé MDR ou RED et trouvent opérationnellement plus simple d'étendre ce dispositif au périmètre CRA. Enfin, un représentant autorisé clairement désigné dans l'Union peut raccourcir les délais de réponse aux autorités lorsqu'une requête motivée parvient au titre de l'article 18, paragraphe 3, point b).

Que peut-on et que ne peut-on pas déléguer au représentant autorisé au titre du CRA ?

L'article 18, paragraphe 2, exclut expressément du mandat du représentant autorisé les obligations de l'article 13, paragraphes 1 à 11, paragraphe 12, premier alinéa, et paragraphe 14. Les obligations de fond en matière de cybersécurité (exigences essentielles, traitement des vulnérabilités, évaluation de la conformité) ne peuvent pas être transférées au représentant autorisé. L'article 18, paragraphe 3, fixe le périmètre maximal de ce que peut faire un représentant autorisé : tenir à disposition la déclaration UE de conformité et la documentation technique pendant au moins dix ans, communiquer informations et documentation aux autorités sur requête motivée et coopérer aux mesures adoptées pour éliminer les risques. Le fabricant reste toujours juridiquement responsable des obligations de fond en matière de cybersécurité.

Quelle est la différence entre le représentant autorisé du CRA et l'importateur dans l'Union ?

Ce sont des rôles indépendants. Au sens de l'article 3, l'importateur est la personne établie dans l'Union qui met sur le marché de l'Union un produit portant le nom ou la marque d'un fabricant établi hors de l'Union. Les importateurs portent leurs propres obligations de l'article 19, indépendamment de l'existence d'un représentant autorisé. Le représentant autorisé, une fois désigné, assume les tâches de l'article 18, paragraphe 3, énumérées dans le mandat. Ils ne se substituent pas l'un à l'autre : le rôle d'importateur est déclenché par le canal commercial d'approvisionnement, celui du représentant autorisé par un mandat écrit. Une même entité de l'Union peut détenir les deux, avec une documentation distincte.

Mon importateur ou mon distributeur dans l'Union peut-il faire office de représentant autorisé ?

Oui. Le CRA n'interdit pas qu'une même entité établie dans l'Union assume à la fois un rôle commercial d'importateur ou de distributeur et un mandat de représentant autorisé. Les fonctions restent juridiquement distinctes : l'importateur porte les obligations de l'article 19 issues de la relation commerciale d'approvisionnement, le représentant autorisé porte les tâches de l'article 18, paragraphe 3, issues d'un mandat écrit. Pour les cumuler, il vous faut un mandat écrit de représentant autorisé distinct couvrant explicitement l'article 18, paragraphe 3, une assurance responsabilité civile professionnelle suffisante pour les deux rôles et une frontière contractuelle claire entre les deux fonctions.

Le représentant autorisé répond-il des défauts du produit ou seulement des obligations documentaires ?

Le représentant autorisé n'est responsable que des tâches inscrites dans le mandat écrit, qui sont bornées par l'article 18, paragraphe 3, du CRA : conservation documentaire, réactivité face aux autorités et coopération aux mesures correctives. L'article 18, paragraphe 2, exclut expressément du mandat les obligations de fond de l'article 13. La responsabilité pour défaut du produit et les obligations sous-jacentes de cybersécurité demeurent à la charge du fabricant. Le droit national de certains États membres peut étendre l'exposition du représentant autorisé ; le mandat doit donc être rédigé avec soin.

Un représentant autorisé au titre du CRA est-il identique à un représentant autorisé au titre du MDR ou de la RED ?

La notion de représentant autorisé est commune à plusieurs textes de produits de l'Union, mais les régimes ne sont pas identiques. L'article 11 du règlement MDR rend la désignation obligatoire pour les fabricants établis hors de l'Union et impose des tâches plus larges propres au secteur médical, y compris la vigilance. L'article 5 de la directive RED la rend également obligatoire pour les fabricants établis hors de l'Union. L'article 18, paragraphe 1, du CRA la rend facultative. Les tâches de l'article 18, paragraphe 3, sont plus étroites et centrées sur la documentation, les requêtes d'autorité et la coopération aux mesures correctives. Un cabinet déjà en place en MDR ou en RED peut constituer un solide point de départ, mais le mandat doit être réécrit pour le périmètre CRA et les règles de non-délégation de l'article 18, paragraphe 2.

Le représentant autorisé signe-t-il la déclaration UE de conformité ?

Non. La déclaration UE de conformité est établie et signée par le fabricant au titre de l'article 28. Le représentant autorisé, une fois désigné, tient la déclaration UE de conformité signée et la documentation technique à la disposition des autorités de surveillance du marché au titre de l'article 18, paragraphe 3, point a), mais l'acte de déclaration de conformité relève du fabricant et l'article 18, paragraphe 2, le maintient hors du mandat du représentant autorisé.

Puis-je changer de représentant autorisé après la désignation ?

Oui. Le mandat est un contrat entre le fabricant et le représentant autorisé, et chaque partie peut le résilier dans les termes prévus. En cas de changement, le nouveau représentant autorisé reprend la garde de la documentation technique et de la déclaration UE de conformité, et le fabricant doit actualiser les coordonnées communiquées aux autorités de surveillance du marché. Prévoyez une étape explicite de transmission dans le modèle de mandat.