La directive RED DA (EN 18031) introduit de nouvelles exigences de cybersécurité pour les équipements radioélectriques commercialisés dans l’Union européenne, imposant aux fabricants de se conformer à des normes strictes de protection des connexions réseau, des données personnelles et contre la fraude financière avant la date butoir du 1er août 2025.
Exigences de cybersécurité
La RED DA ajoute trois exigences fondamentales en matière de cybersécurité sous l’Article 3 de la directive européenne sur les équipements radioélectriques (RED) 2014/53/UE1.
Ces exigences sont détaillées dans les normes harmonisées EN 18031 :
- Article 3(3)(d) : Protection des connexions réseau – Implémentation de connexions sécurisées, mécanismes d’authentification robustes et protection contre les accès non autorisés.
- Article 3(3)(e) : Protection des données personnelles et de la vie privée – Chiffrement approprié, stockage sécurisé et mécanismes de consentement utilisateur.
- Article 3(3)(f) : Protection contre la fraude financière – Prévention des fraudes via des interfaces de paiement sécurisées et vérification des transactions.
Ces exigences sont formalisées dans trois normes spécifiques : EN 18031-1:2024 pour les équipements connectés à internet, EN 18031-2:2024 pour le traitement des données personnelles, et EN 18031-3:2024 pour les équipements permettant des transactions financières.
Calendrier et conformité
La date limite du 1er août 2025 marque l’échéance à laquelle tous les nouveaux produits radioélectriques doivent être conformes à la RED DA pour leur mise sur le marché européen. Cette « mise sur le marché » est définie comme « la première mise à disposition d’un produit sur le marché communautaire » dans le cadre d’une activité commerciale, qu’elle soit à titre onéreux ou gratuit.
Pour la gestion des stocks existants, les produits déjà expédiés aux distributeurs ou disponibles à l’achat avant la date butoir sont considérés comme mis sur le marché et ne sont pas soumis rétroactivement à la directive. En revanche, les produits déjà conçus que vous souhaitez produire à nouveau après cette date nécessiteront une réévaluation complète de conformité avant leur commercialisation, particulièrement si des mises à jour de sécurité sont implémentées, ce qui pourrait les faire considérer comme de nouveaux produits selon la directive.
En résumé :
Avant le 1er août 2025 : Vous pouvez vendre les stocks déjà mis sur le marché, même s’ils ne sont pas conformes à la RED DA.
Après le 1er août 2025 : Toute nouvelle production (même identique) doit être conforme à la RED DA.
Processus de certification
Deux voies s’offrent aux fabricants pour se conformer aux exigences de la RED DA : l’auto-évaluation ou l’évaluation par un Organisme Notifié. L’auto-évaluation, plus économique et rapide, permet aux fabricants d’évaluer eux-mêmes la conformité de leurs produits, à condition de créer une documentation technique complète démontrant comment chaque exigence est satisfaite.
L’évaluation par un Organisme Notifié devient obligatoire si un produit fait des exceptions pour certaines exigences de la norme EN 18031. Dans ce cas, l’organisme examine la documentation technique, évalue le produit, effectue des tests supplémentaires si nécessaire, et délivre un certificat de conformité formel. Pour les deux approches, une documentation rigoureuse incluant spécifications techniques, évaluation des risques et déclaration de conformité doit être maintenue pendant dix ans après l’introduction du produit sur le marché européen.
Responsabilités des fabricants
Définition : Toute personne physique ou morale qui fabrique un produit ou fait concevoir ou fabriquer un produit, et le commercialise sous son nom ou sa marque
Les fabricants de produits finaux portent l’entière responsabilité de la conformité à la directive RED DA, même lorsqu’ils utilisent des modules certifiés individuellement.1 Ils doivent préparer toute la documentation technique avant la commercialisation, la conserver pendant 10 ans, garantir le maintien de la conformité durant la production et apposer le marquage CE sur les produits conformes.
Dans le cas d’architectures à deux puces (MCU hôte + module Wi-Fi/Bluetooth), la responsabilité reste sur le fabricant du produit final pour assurer que l’ensemble du système répond aux exigences EN 18031, indépendamment des certifications individuelles des composants. Les autorités de surveillance du marché peuvent exiger cette documentation à tout moment, et le non-respect peut entraîner des sanctions allant de la recertification obligatoire jusqu’aux rappels de produits.
Synthèse des exigences de conformité RED DA (EN 18031)
Voici les principales catégories d’exigences auxquelles un produit radioélectrique doit se conformer selon la table de correspondance (« Compliance Mapping Table ») de la norme EN 18031, en lien avec la directive RED DA :
| ID | Exigence principale | EN 18031-1 | EN 18031-2 | EN 18031-3 |
|---|---|---|---|---|
| ACM | Contrôle d’accès (Access Control) : seuls les utilisateurs autorisés accèdent aux actifs de sécurité. | Oui | Oui | Oui |
| AUM | Authentification : authentifier utilisateurs ou entités externes avant tout accès. | Oui | Oui | Oui |
| SUM | Mise à jour sécurisée : mise à jour du firmware et des logiciels de façon sécurisée et vérifiée. | Oui | Oui | Oui |
| SSM | Stockage sécurisé : protéger les actifs de sécurité contre tout accès non autorisé. | Oui | Oui | Oui |
| SCM | Communication sécurisée : utiliser des canaux sécurisés pour les échanges réseau. | Oui | Oui | Oui |
| CCK | Confidentialité cryptographique : protéger la confidentialité des clés et opérations cryptographiques. | Oui | Oui | Oui |
| GEC | Capacités générales de sécurité : disposer de moyens matériels ou logiciels pour la sécurité. | Oui | Oui | Oui |
| CRY | Cryptographie : mettre en œuvre des algorithmes reconnus pour protéger les actifs et communications. | Oui | Oui | Oui |
| DLM | Suppression sécurisée : possibilité de supprimer de façon irréversible les données et actifs. | Non | Oui | Non |
| LGM | Journalisation : enregistrer les événements de sécurité pour audit et surveillance. | Non | Oui | Oui |
| RLM | Résilience : maintenir un comportement sécurisé en cas de panne ou d’attaque. | Oui | Non | Non |
| NMM | Surveillance réseau : surveiller les interfaces pour détecter et réagir aux incidents. | Oui | Non | Non |
| TCM | Contrôle du trafic : filtrer et contrôler le trafic réseau pour protéger les actifs. | Oui | Non | Non |
| UNM | Notification utilisateur : informer l’utilisateur en cas d’événement ou changement de sécurité. | Non | Oui | Non |
Source : https://developer.espressif.com/blog/2025/04/esp32-red-da-en18031-compliance-guide/
