Importateurs et distributeurs : responsabilités CRA
Importateurs et distributeurs sous le CRA : obligations, vérifications et responsabilités en matière de cybersécurité produits.
Le Cyber Résilience Act (CRA) ne se limite pas aux obligations des fabricants. Le règlement distribue les responsabilités entre trois catégories d’opérateurs économiques : les fabricants, les importateurs et les distributeurs. Chacun porte des obligations spécifiques proportionnées à son rôle dans la chaîne de mise sur le marché. Cette répartition garantit que la conformité des produits est vérifiée à chaque maillon de la chaîne, de la fabrication à la mise à disposition du consommateur final.
Pour les importateurs et distributeurs de produits numériques – revendeurs IT, grossistes, distributeurs de composants, importateurs de produits IoT --, le CRA impose des obligations nouvelles qu’il convient de comprendre et d’anticiper.
Définitions : importateur versus distributeur
L’importateur
L’importateur est toute personne physique ou morale établie dans l’Union européenne qui met sur le marché de l’Union un produit comportant des éléments numériques portant le nom ou la marque d’un fabricant établi en dehors de l’Union. L’importateur est le point d’entrée du produit sur le marché européen.
Exemples concrets : une entreprise française qui acheté des caméras IP auprès d’un fabricant chinois et les revend en Europe sous la marque du fabricant ; un distributeur IT qui importe des routeurs d’un fabricant américain pour les commercialiser dans l’UE.
Le distributeur
Le distributeur est toute personne physique ou morale dans la chaîne d’approvisionnement, autre que le fabricant ou l’importateur, qui met un produit à disposition sur le marché sans en modifier les caractéristiques. Le distributeur intervient en aval de l’importateur ou du fabricant.
Exemples concrets : un revendeur IT qui acheté des logiciels auprès d’un distributeur et les revend à ses clients ; une enseigne de grande distribution qui commercialise des objets connectés.
La requalification en fabricant
Un importateur ou un distributeur qui met un produit sur le marché sous son propre nom ou sa propre marque, ou qui modifie substantiellement un produit déjà mis sur le marché, est considéré comme un fabricant au sens du CRA et assumé l’ensemble des obligations de ce dernier. Cette requalification à des conséquences majeures : l’opérateur doit alors satisfaire à l’intégralité des obligations du fabricant, y compris la documentation technique, l’évaluation de conformité et le marquage CE.
Les obligations des importateurs
La vérification préalable à la mise sur le marché
Avant de mettre un produit sur le marché de l’Union, l’importateur doit vérifier que le fabricant a effectué la procédure d’évaluation de conformité appropriée, que le fabricant a élaboré la documentation technique, que le produit porte le marquage CE et est accompagné de la déclaration de conformité, que le fabricant a identifié le produit (nom, type, numéro de lot ou de série), et que le fabricant a fourni les coordonnées permettant de le contacter.
L’importateur ne peut pas mettre un produit sur le marché s’il à des raisons de considérer que le produit n’est pas conforme aux exigences essentielles de cybersécurité du CRA. Si le produit présente un risque, l’importateur doit en informer le fabricant et les autorités de surveillance du marché.
L’identification de l’importateur
L’importateur doit indiquer sur le produit, ou a défaut sur l’emballage ou le document d’accompagnement, son nom, sa raison sociale enregistrée ou sa marque déposée, ainsi que l’adressé postale et l’adressé électronique a laquelle il peut être contacté. Ces informations doivent être lisibles et accessibles.
Les conditions de stockage et de transport
L’importateur doit s’assurer que les conditions de stockage ou de transport des produits sous sa responsabilité ne compromettent pas la conformité aux exigences essentielles. Pour les produits numériques, cela concerne principalement l’intégrité des supports physiques et des logiciels preinstalles.
La tenue de registres
L’importateur doit conserver une copie de la déclaration de conformité de l’UE pendant au moins dix ans après la mise sur le marché du produit. Il doit s’assurer que la documentation technique peut être mise à la disposition des autorités de surveillance du marché sur demande.
La coopération avec les autorités
L’importateur doit coopérer avec les autorités de surveillance du marché en fournissant toutes les informations et la documentation nécessaires pour démontrer la conformité du produit. Cette coopération inclut la communication des informations du fabricant, la fourniture de la documentation technique et de la déclaration de conformité, et la mise en oeuvre des mesures correctives demandées.
La gestion des vulnérabilités
Lorsque l’importateur a connaissance d’une vulnérabilité dans un produit qu’il a mis sur le marché, il doit en informer le fabricant sans délai. Si la vulnérabilité présente un risque de cybersécurité, l’importateur doit également en informer les autorités de surveillance du marché et, le cas échéant, prendre les mesures correctives nécessaires pour remédier à la non-conformité ou retirer le produit du marché.
Les obligations des distributeurs
La vérification de conformité
Avant de mettre un produit à disposition sur le marché, le distributeur doit vérifier que le produit porte le marquage CE, que le fabricant et l’importateur (le cas échéant) sont identifiés sur le produit, et que le produit est accompagné des informations et instructions requises.
Les obligations du distributeur sont moins lourdes que celles de l’importateur : le distributeur n’est pas tenu de vérifier la documentation technique ni de s’assurer que l’évaluation de conformité a été réalisée. Il effectué un contrôle de second niveau, fondé sur les éléments visibles.
Le devoir de vigilance
Le distributeur qui à des raisons de considérer qu’un produit n’est pas conforme aux exigences essentielles ne doit pas le mettre à disposition sur le marché tant que sa conformité n’est pas assurée. Il doit en informer le fabricant ou l’importateur et, si le produit présente un risque, les autorités de surveillance du marché.
Les conditions de mise à disposition
Le distributeur doit s’assurer que les conditions de stockage ou de transport des produits sous sa responsabilité ne compromettent pas leur conformité. Il doit également s’assurer que les mises à jour de sécurité publiées par le fabricant sont communiquées aux utilisateurs finaux lorsque cela relève de sa responsabilité.
La coopération avec les autorités
Le distributeur doit coopérer avec les autorités de surveillance du marché, en fournissant les informations nécessaires à l’identification du produit et de la chaîne d’approvisionnement (identité du fabricant et de l’importateur, conditions d’achat et de distribution).
Les scénarios de non-conformité
Le produit non conforme détecté après mise sur le marché
Lorsqu’un importateur ou un distributeur constate qu’un produit qu’il a mis sur le marché ou à disposition n’est pas conforme au CRA, il doit prendre les mesures correctives nécessaires pour mettre le produit en conformité, le retirer du marché ou le rappeler. Il doit en informer les autorités de surveillance du marché des États membres dans lesquels le produit a été mis à disposition. Il doit également informer le fabricant et, le cas échéant, les autres opérateurs de la chaîne d’approvisionnement.
La vulnérabilité découverte après mise sur le marché
En cas de découverte d’une vulnérabilité activement exploitée dans un produit, la responsabilité primaire de signalement incombe au fabricant. L’importateur et le distributeur doivent coopérer en relayant l’information au fabricant, en facilitant la diffusion des correctifs auprès des utilisateurs, et en informant les autorités si le fabricant n’agit pas.
La défaillance du fabricant
Si le fabricant (situé hors UE) est défaillant ou injoignable, l’importateur peut être tenu responsable au même titre que le fabricant. C’est la raison pour laquelle la vérification préalable est critique : l’importateur doit s’assurer de la fiabilité et de la réactivité du fabricant avant de s’engager dans l’importation.
Les sanctions
Les sanctions du CRA s’appliquent à l’ensemble des opérateurs économiques, y compris les importateurs et les distributeurs. Les amendes maximales prévues par le règlement sont de 15 millions d’euros ou 2,5% du chiffre d’affaires mondial pour le non-respect des exigences essentielles, de 10 millions d’euros ou 2% du chiffre d’affaires mondial pour le non-respect des autres obligations, et de 5 millions d’euros ou 1% du chiffre d’affaires mondial pour la fourniture d’informations inexactes.
Les autorités de surveillance du marché (en France, l’ANSSI et la DGCCRF) disposeront de pouvoirs d’investigation et de sanction effectifs.
Les bonnes pratiques pour les importateurs et distributeurs
Pour les importateurs
Mettre en place un processus de due diligence precontractuel avec chaque fabricant, exiger contractuellement la fourniture de la documentation technique et de la déclaration de conformité, inclure des clauses de garantie de conformité au CRA dans les contrats d’achat, vérifier régulièrement la publication de mises à jour de sécurité par le fabricant, et mettre en place une veille sur les vulnérabilités affectant les produits importes.
Pour les distributeurs
Vérifier systématiquement la présence du marquage CE et des informations obligatoires avant la mise à disposition, mettre en place un processus de remontée d’information vers les importateurs et fabricants en cas de signalement par les clients, assurer le relais des informations de sécurité (mises à jour, rappels) auprès des clients, et documenter la chaîne d’approvisionnement pour chaque produit.
L’articulation avec les obligations du RGPD pour les produits traitant des données personnelles et avec les exigences du Data Act pour les objets connectés doit également être intégrée dans les processus internes.
FAQ
Un revendeur IT est-il un importateur ou un distributeur au sens du CRA ?
Cela dépend de son rôle dans la chaîne d’approvisionnement. Si le revendeur IT acheté des produits directement auprès d’un fabricant établi hors de l’Union européenne et les met sur le marché de l’UE, il est un importateur. S’il acheté des produits auprès d’un importateur ou d’un autre distributeur déjà présent sur le marché de l’UE, il est un distributeur. La distinction est importante car les obligations de l’importateur sont plus lourdes que celles du distributeur (vérification de la documentation technique, identification sur le produit).
Un distributeur peut-il être tenu responsable des défauts de cybersécurité d’un produit ?
Le distributeur n’est pas responsable des défauts de cybersécurité d’un produit conforme. En revanche, s’il met à disposition un produit dont il sait ou devrait savoir qu’il n’est pas conforme (absence de marquage CE, signalement de vulnérabilités non corrigées, information du fabricant sur un rappel), il engagé sa responsabilité. Le distributeur à un devoir de vigilance, pas une obligation de contrôle technique. La responsabilité primaire reste celle du fabricant et, pour les produits importes, de l’importateur.
Les obligations CRA s’appliquent-elles aux places de marché en ligne ?
Les places de marché en ligne (Amazon, Cdiscount, etc.) ne sont pas des distributeurs au sens du CRA. Elles relèvent du règlement sur les services numériques (Digital Services Act). Toutefois, le CRA prévoit des dispositions spécifiques imposant aux places de marché de coopérer avec les autorités de surveillance du marché pour retirer les produits non conformes et de mettre en place des mécanismes de signalement par les utilisateurs. Les vendeurs tiers sur les places de marché restent soumis aux obligations du CRA en tant que fabricants, importateurs ou distributeurs selon leur rôle.