Importateurs, les distributeurs, Tiers

Un guide complet de l'ARC à l'intention des importateurs, des distributeurs et des tiers pour faire face aux risques et aux vulnérabilités en matière de cybersécurité.

Afin de se conformer à l'ARC à venir, ils partagent certaines obligations avec les fabricants dont ils importent, distribuent ou revendent les appareils.

Dans certains cas, ils peuvent même être considérés comme des fabricants.

Liens rapides

Importateurs
distributeurs
Tiers

IMPORTATEURS

1- CRA Conditions préalables à l'importation de dispositifs IoT

Tout d'abord, en remplissant les conditions préalables suivantes, les importateurs peuvent garantir la conformité et la sécurité de l'ARC lors de l'importation de produits IdO dans l'UE :

  • Veiller au respect des exigences essentielles énoncées (cf. annexe I).
  • Vérifier que le fabricant a mené des procédures d'évaluation de la conformité.
  • Confirmer que la documentation technique est prête et que le produit porte le marquage CE.
  • Fournir des informations de contact. 
  • Inclure des instructions et des informations conviviales avec le produit.

2- Documentation obligatoire

Ensuite, pour importer des produits IdO dans l'UE, les importateurs doivent se conformer à des exigences spécifiques en matière de documentation, notamment :

  • Documentation technique démontrant la conformité.
  • Marquage CE.
  • Informations et instructions pour les utilisateurs et les autorités.
  • Coordonnées.
  • Déclaration de conformité UE fournie par le fabricant.

3- Exigences en matière de rapports de l'ARC

Si un importateur soupçonne qu'un IoT ou les processus mis en œuvre ne sont pas conformes aux exigences essentielles énoncées (cf. annexe I), il doit s'abstenir de mettre le produit sur le marché et prendre les mesures nécessaires pour le mettre en conformité.

En outre, si le produit IoT présente un risque de cybersécurité, il doit en informer le fabricant et les autorités de surveillance du marché par le biais d'une notification détaillée.

En outre, les importateurs ont l'obligation d'informer rapidement le fabricant s'ils identifient des vulnérabilités.

Lorsque le fabricant d'un produit IdO ne peut pas remplir ses obligations, les importateurs doivent signaler cette situation aux autorités de surveillance du marché compétentes et aux utilisateurs concernés.

Enfin, les importateurs doivent conserver les documents pendant dix ans.

Base juridique

Importers shall place on the market only products with digital elements that comply with the essential cybersecurity requirements set out in Part I of Annex I and where the processes put in place by the manufacturer comply with the essential cybersecurity requirements set out in Part II of Annex I.

Avant de mettre sur le marché un produit contenant des éléments numériques, les importateurs doivent s'assurer que

(a) the appropriate conformity assessment procedures as referred to in Article 32 have been carried out by the manufacturer;

(b) le fabricant a établi la documentation technique ;

(c) the product with digital elements bears the CE marking referred to in Article 30 and is accompanied by the EU declaration of conformity referred to in Article 13(20) and the information and instructions to the user as set out in Annex II in a language which can be easily understood by users and market surveillance authorities;

(d) the manufacturer has complied with the requirements set out in Article 13(15), (16) and (19).

Aux fins du présent paragraphe, les importateurs doivent être en mesure de fournir les documents nécessaires prouvant le respect des exigences énoncées dans le présent article.

Where an importer considers or has reason to believe that a product with digital elements or the processes put in place by the manufacturer are not in conformity with this Regulation, the importer shall not place the product on the market until that product or the processes put in place by the manufacturer have been brought into conformity with this Regulation. Furthermore, where the product with digital elements presents a significant cybersecurity risk, the importer shall inform the manufacturer and the market surveillance authorities to that effect.

Where an importer has reason to believe that a product with digital elements may present a significant cybersecurity risk in light of non-technical risk factors, the importer shall inform the market surveillance authorities to that effect. Upon receipt of such information, the market surveillance authorities shall follow the procedures referred to in Article 54(2).

Importers shall indicate their name, registered trade name or registered trademark, the postal address, email address or other digital contact as well as, where applicable, the website at which they can be contacted on the product with digital elements or on its packaging or in a document accompanying the product with digital elements. The contact details shall be in a language easily understood by users and market surveillance authorities.

Importers who know or have reason to believe that a product with digital elements which they have placed on the market is not in conformity with this Regulation shall immediately take the corrective measures necessary to ensure that the product with digital elements is brought into conformity with this Regulation, or to withdraw or recall the product, if appropriate.

Upon becoming aware of a vulnerability in the product with digital elements, importers shall inform the manufacturer without undue delay about that vulnerability. Furthermore, where the product with digital elements presents a significant cybersecurity risk, importers shall immediately inform the market surveillance authorities of the Member States in which they have made the product with digital elements available on the market to that effect, giving details, in particular, of non-compliance and of any corrective measures taken.

Importers shall, for at least 10 years after the product with digital elements has been placed on the market or for the support period, whichever is longer, keep a copy of the EU declaration of conformity at the disposal of the market surveillance authorities and ensure that the technical documentation can be made available to those authorities, upon request.

Importers shall, further to a reasoned request from a market surveillance authority, provide it with all the information and documentation, in paper or electronic form, necessary to demonstrate the conformity of the product with digital elements with the essential cybersecurity requirements set out in Part I of Annex I as well as of the processes put in place by the manufacturer with the essential cybersecurity requirements set out in Part II of Annex I in a language that can be easily understood by that authority. They shall cooperate with that authority, at its request, on any measures taken to eliminate the cybersecurity risks posed by a product with digital elements, which they have placed on the market.

Where the importer of a product with digital elements becomes aware that the manufacturer of that product has ceased its operations and, as result, is not able to comply with the obligations laid down in this Regulation, the importer shall inform the relevant market surveillance authorities about this situation, as well as, by any means available and to the extent possible, the users of the products with digital elements placed on the market.

Distributeurs

1- CRA Conditions préalables à la distribution de dispositifs IoT

Tout d'abord, en remplissant ces conditions préalables, les distributeurs jouent un rôle crucial en garantissant la conformité à l'ARC, la sécurité et la cybersécurité des produits contenant des éléments numériques dans l'UE :

  • Agir avec la diligence requise en ce qui concerne les exigences du règlement.
  • Vérifiez si le produit porte le marquage CE et si le fabricant et l'importateur ont rempli leurs obligations.

2- Documentation obligatoire

Selon l'ARC, la documentation obligatoire que les distributeurs doivent avoir pour les produits contenant des éléments numériques au sein de l'Union européenne (UE) comprend :

  • Marquage CE.
  • Confirmation de la conformité du fabricant et de l'importateur.
  • Registres des non-conformités.
  • Suivi des mesures correctives prises.
  • Rapport sur les vulnérabilités.
  • Les documents relatifs à toute communication avec les autorités de surveillance du marché et ;
  • Documentation sur le statut du fabricant au cas où il aurait cessé ses activités.

3- Exigences en matière de rapports de l'ARC

Enfin, les distributeurs ont plusieurs responsabilités concernant la conformité des produits et les risques de cybersécurité. 

En effet, ils doivent s'abstenir de mettre sur le marché des produits non conformes et informer le fabricant et les autorités de tout risque en matière de cybersécurité. Si un produit ou ses processus ne répondent pas aux exigences essentielles, les distributeurs doivent veiller à ce que des mesures correctives soient prises. En outre, ils doivent informer rapidement le fabricant de toute vulnérabilité et notifier aux autorités les risques liés à la cybersécurité. 

En outre, l'ARC demande aux distributeurs de fournir des informations et des documents démontrant la conformité des produits et de coopérer avec les autorités pour éliminer les risques liés à la cybersécurité. Si un fabricant cesse ses activités, les distributeurs doivent en informer les autorités et, si possible, les utilisateurs concernés.

Base juridique

Lorsqu'ils mettent à disposition sur le marché un produit contenant des éléments numériques, les distributeurs agissent avec la diligence requise en ce qui concerne les exigences énoncées dans le présent règlement.

Avant de mettre sur le marché un produit contenant des éléments numériques, les distributeurs doivent vérifier que

(a) le produit comportant des éléments numériques porte le marquage CE ;

(b) the manufacturer and the importer have complied with the obligations set out in Article 13(15), (16), (18), (19) and (20) and Article19(4), and have provided all necessary documents to the distributor. 

Where a distributor considers or has reason to believe, on the basis of information in its possession, that a product with digital elements or the processes put in place by the manufacturer are not in conformity with the essential cybersecurity requirements set out in Annex I, the distributor shall not make the product with digital elements available on the market until that product or the processes put in place by the manufacturer have been brought into conformity with this Regulation. Furthermore, where the product with digital elements poses a significant cybersecurity risk, the distributor shall inform, without undue delay, the manufacturer and the market surveillance authorities to that effect.

Distributors who know or have reason to believe, on the basis of information in their possession, that a product with digital elements, which they have made available on the market, or the processes put in place by its manufacturer are not in conformity with this Regulation shall make sure that the corrective measures necessary to bring that product with digital elements or the processes put in place by its manufacturer into conformity, or to withdraw or recall the product, if appropriate, are taken.

Dès qu'ils ont connaissance d'une vulnérabilité du produit contenant des éléments numériques, les distributeurs en informent le fabricant dans les meilleurs délais. En outre, lorsque le produit contenant des éléments numériques présente un risque significatif pour la cybersécurité, les distributeurs en informent immédiatement les autorités de surveillance du marché des États membres dans lesquels ils ont mis le produit contenant des éléments numériques à disposition sur le marché, en fournissant des précisions, notamment, sur la non-conformité et sur toute mesure corrective prise.

Sur requête motivée d'une autorité de surveillance du marché, les distributeurs fournissent toutes les informations et tous les documents, sur support papier ou électronique, nécessaires pour démontrer la conformité du produit à éléments numériques et des processus mis en place par son fabricant avec le présent règlement, dans une langue aisément compréhensible par cette autorité. Ils coopèrent avec cette autorité, à sa demande, sur toute mesure prise pour éliminer les risques de cybersécurité posés par un produit comportant des éléments numériques qu'ils ont mis à disposition sur le marché.

Lorsque le distributeur d'un produit contenant des éléments numériques apprend, sur la base des informations en sa possession, que le fabricant de ce produit a cessé ses activités et n'est donc pas en mesure de respecter les obligations prévues par le présent règlement, il en informe, sans retard injustifié, les autorités de surveillance du marché concernées, ainsi que, par tout moyen disponible et dans la mesure du possible, les utilisateurs des produits contenant des éléments numériques qui ont été mis sur le marché.

Tiers

L'opérateur économique devient responsable du respect de la loi sur la cybersécurité lorsqu'il apporte des modifications significatives à un dispositif connecté. Ce tiers doit alors respecter les mêmes exigences que celles imposées aux fabricants. 

Néanmoins, cette responsabilité ne s'applique pas aux correctifs de sécurité qui ne modifient pas la fonction prévue de l'appareil. En outre, les produits incorporant des éléments numériques développés ou modifiés exclusivement pour l'usage des administrations publiques sont également exemptés de cette responsabilité.

Base juridique

A natural or legal person, other than the manufacturer, the importer or the distributor, that carries out a substantial modification of a product with digital elements and makes that product available on the market, shall be considered to be a manufacturer for the purposes of this Regulation.

The person referred to in paragraph 1 of this Article shall be subject to the obligations set out in Articles 13 and 14 for the part of the product with digital elements that is affected by the substantial modification or, if the substantial modification has an impact on the cybersecurity of the product with digital elements as a whole, for the entire product.

European flag

Nouveautés et événements sur la cybersécurité

Consultez les derniers événements sur la cybersécurité et la loi sur la cyberrésilience.

Accéder au calendrier des événements