Importateurs et distributeurs : responsabilites CRA

Le Cyber Resilience Act (CRA) ne se limite pas aux obligations des fabricants. Le reglement distribue les responsabilites entre trois categories d’operateurs economiques : les fabricants, les importateurs et les distributeurs. Chacun porte des obligations specifiques proportionnees a son role dans la chaine de mise sur le marche. Cette repartition garantit que la conformite des produits est verifiee a chaque maillon de la chaine, de la fabrication a la mise a disposition du consommateur final.

Pour les importateurs et distributeurs de produits numeriques – revendeurs IT, grossistes, distributeurs de composants, importateurs de produits IoT --, le CRA impose des obligations nouvelles qu’il convient de comprendre et d’anticiper.

Definitions : importateur versus distributeur

L’importateur

L’importateur est toute personne physique ou morale etablie dans l’Union europeenne qui met sur le marche de l’Union un produit comportant des elements numeriques portant le nom ou la marque d’un fabricant etabli en dehors de l’Union. L’importateur est le point d’entree du produit sur le marche europeen.

Exemples concrets : une entreprise francaise qui achete des cameras IP aupres d’un fabricant chinois et les revend en Europe sous la marque du fabricant ; un distributeur IT qui importe des routeurs d’un fabricant americain pour les commercialiser dans l’UE.

Le distributeur

Le distributeur est toute personne physique ou morale dans la chaine d’approvisionnement, autre que le fabricant ou l’importateur, qui met un produit a disposition sur le marche sans en modifier les caracteristiques. Le distributeur intervient en aval de l’importateur ou du fabricant.

Exemples concrets : un revendeur IT qui achete des logiciels aupres d’un distributeur et les revend a ses clients ; une enseigne de grande distribution qui commercialise des objets connectes.

La requalification en fabricant

Un importateur ou un distributeur qui met un produit sur le marche sous son propre nom ou sa propre marque, ou qui modifie substantiellement un produit deja mis sur le marche, est considere comme un fabricant au sens du CRA et assume l’ensemble des obligations de ce dernier. Cette requalification a des consequences majeures : l’operateur doit alors satisfaire a l’integralite des obligations du fabricant, y compris la documentation technique, l’evaluation de conformite et le marquage CE.

Les obligations des importateurs

La verification prealable a la mise sur le marche

Avant de mettre un produit sur le marche de l’Union, l’importateur doit verifier que le fabricant a effectue la procedure d’evaluation de conformite appropriee, que le fabricant a elabore la documentation technique, que le produit porte le marquage CE et est accompagne de la declaration de conformite, que le fabricant a identifie le produit (nom, type, numero de lot ou de serie), et que le fabricant a fourni les coordonnees permettant de le contacter.

L’importateur ne peut pas mettre un produit sur le marche s’il a des raisons de considerer que le produit n’est pas conforme aux exigences essentielles de cybersecurite du CRA. Si le produit presente un risque, l’importateur doit en informer le fabricant et les autorites de surveillance du marche.

L’identification de l’importateur

L’importateur doit indiquer sur le produit, ou a defaut sur l’emballage ou le document d’accompagnement, son nom, sa raison sociale enregistree ou sa marque deposee, ainsi que l’adresse postale et l’adresse electronique a laquelle il peut etre contacte. Ces informations doivent etre lisibles et accessibles.

Les conditions de stockage et de transport

L’importateur doit s’assurer que les conditions de stockage ou de transport des produits sous sa responsabilite ne compromettent pas la conformite aux exigences essentielles. Pour les produits numeriques, cela concerne principalement l’integrite des supports physiques et des logiciels preinstalles.

La tenue de registres

L’importateur doit conserver une copie de la declaration de conformite de l’UE pendant au moins dix ans apres la mise sur le marche du produit. Il doit s’assurer que la documentation technique peut etre mise a la disposition des autorites de surveillance du marche sur demande.

La cooperation avec les autorites

L’importateur doit cooperer avec les autorites de surveillance du marche en fournissant toutes les informations et la documentation necessaires pour demontrer la conformite du produit. Cette cooperation inclut la communication des informations du fabricant, la fourniture de la documentation technique et de la declaration de conformite, et la mise en oeuvre des mesures correctives demandees.

La gestion des vulnerabilites

Lorsque l’importateur a connaissance d’une vulnerabilite dans un produit qu’il a mis sur le marche, il doit en informer le fabricant sans delai. Si la vulnerabilite presente un risque de cybersecurite, l’importateur doit egalement en informer les autorites de surveillance du marche et, le cas echeant, prendre les mesures correctives necessaires pour remedier a la non-conformite ou retirer le produit du marche.

Les obligations des distributeurs

La verification de conformite

Avant de mettre un produit a disposition sur le marche, le distributeur doit verifier que le produit porte le marquage CE, que le fabricant et l’importateur (le cas echeant) sont identifies sur le produit, et que le produit est accompagne des informations et instructions requises.

Les obligations du distributeur sont moins lourdes que celles de l’importateur : le distributeur n’est pas tenu de verifier la documentation technique ni de s’assurer que l’evaluation de conformite a ete realisee. Il effectue un controle de second niveau, fonde sur les elements visibles.

Le devoir de vigilance

Le distributeur qui a des raisons de considerer qu’un produit n’est pas conforme aux exigences essentielles ne doit pas le mettre a disposition sur le marche tant que sa conformite n’est pas assuree. Il doit en informer le fabricant ou l’importateur et, si le produit presente un risque, les autorites de surveillance du marche.

Les conditions de mise a disposition

Le distributeur doit s’assurer que les conditions de stockage ou de transport des produits sous sa responsabilite ne compromettent pas leur conformite. Il doit egalement s’assurer que les mises a jour de securite publiees par le fabricant sont communiquees aux utilisateurs finaux lorsque cela releve de sa responsabilite.

La cooperation avec les autorites

Le distributeur doit cooperer avec les autorites de surveillance du marche, en fournissant les informations necessaires a l’identification du produit et de la chaine d’approvisionnement (identite du fabricant et de l’importateur, conditions d’achat et de distribution).

Les scenarios de non-conformite

Le produit non conforme detecte apres mise sur le marche

Lorsqu’un importateur ou un distributeur constate qu’un produit qu’il a mis sur le marche ou a disposition n’est pas conforme au CRA, il doit prendre les mesures correctives necessaires pour mettre le produit en conformite, le retirer du marche ou le rappeler. Il doit en informer les autorites de surveillance du marche des Etats membres dans lesquels le produit a ete mis a disposition. Il doit egalement informer le fabricant et, le cas echeant, les autres operateurs de la chaine d’approvisionnement.

La vulnerabilite decouverte apres mise sur le marche

En cas de decouverte d’une vulnerabilite activement exploitee dans un produit, la responsabilite primaire de signalement incombe au fabricant. L’importateur et le distributeur doivent cooperer en relayant l’information au fabricant, en facilitant la diffusion des correctifs aupres des utilisateurs, et en informant les autorites si le fabricant n’agit pas.

La defaillance du fabricant

Si le fabricant (situe hors UE) est defaillant ou injoignable, l’importateur peut etre tenu responsable au meme titre que le fabricant. C’est la raison pour laquelle la verification prealable est critique : l’importateur doit s’assurer de la fiabilite et de la reactivite du fabricant avant de s’engager dans l’importation.

Les sanctions

Les sanctions du CRA s’appliquent a l’ensemble des operateurs economiques, y compris les importateurs et les distributeurs. Les amendes maximales prevues par le reglement sont de 15 millions d’euros ou 2,5% du chiffre d’affaires mondial pour le non-respect des exigences essentielles, de 10 millions d’euros ou 2% du chiffre d’affaires mondial pour le non-respect des autres obligations, et de 5 millions d’euros ou 1% du chiffre d’affaires mondial pour la fourniture d’informations inexactes.

Les autorites de surveillance du marche (en France, l’ANSSI et la DGCCRF) disposeront de pouvoirs d’investigation et de sanction effectifs.

Les bonnes pratiques pour les importateurs et distributeurs

Pour les importateurs

Mettre en place un processus de due diligence precontractuel avec chaque fabricant, exiger contractuellement la fourniture de la documentation technique et de la declaration de conformite, inclure des clauses de garantie de conformite au CRA dans les contrats d’achat, verifier regulierement la publication de mises a jour de securite par le fabricant, et mettre en place une veille sur les vulnerabilites affectant les produits importes.

Pour les distributeurs

Verifier systematiquement la presence du marquage CE et des informations obligatoires avant la mise a disposition, mettre en place un processus de remontee d’information vers les importateurs et fabricants en cas de signalement par les clients, assurer le relais des informations de securite (mises a jour, rappels) aupres des clients, et documenter la chaine d’approvisionnement pour chaque produit.

L’articulation avec les obligations du RGPD pour les produits traitant des donnees personnelles et avec les exigences du Data Act pour les objets connectes doit egalement etre integree dans les processus internes.

FAQ

Un revendeur IT est-il un importateur ou un distributeur au sens du CRA ?

Cela depend de son role dans la chaine d’approvisionnement. Si le revendeur IT achete des produits directement aupres d’un fabricant etabli hors de l’Union europeenne et les met sur le marche de l’UE, il est un importateur. S’il achete des produits aupres d’un importateur ou d’un autre distributeur deja present sur le marche de l’UE, il est un distributeur. La distinction est importante car les obligations de l’importateur sont plus lourdes que celles du distributeur (verification de la documentation technique, identification sur le produit).

Un distributeur peut-il etre tenu responsable des defauts de cybersecurite d’un produit ?

Le distributeur n’est pas responsable des defauts de cybersecurite d’un produit conforme. En revanche, s’il met a disposition un produit dont il sait ou devrait savoir qu’il n’est pas conforme (absence de marquage CE, signalement de vulnerabilites non corrigees, information du fabricant sur un rappel), il engage sa responsabilite. Le distributeur a un devoir de vigilance, pas une obligation de controle technique. La responsabilite primaire reste celle du fabricant et, pour les produits importes, de l’importateur.

Les obligations CRA s’appliquent-elles aux places de marche en ligne ?

Les places de marche en ligne (Amazon, Cdiscount, etc.) ne sont pas des distributeurs au sens du CRA. Elles relevent du reglement sur les services numeriques (Digital Services Act). Toutefois, le CRA prevoit des dispositions specifiques imposant aux places de marche de cooperer avec les autorites de surveillance du marche pour retirer les produits non conformes et de mettre en place des mecanismes de signalement par les utilisateurs. Les vendeurs tiers sur les places de marche restent soumis aux obligations du CRA en tant que fabricants, importateurs ou distributeurs selon leur role.