Aller au contenu
AESTECHNO

22 min de lecture Hugues Orgitello

Certification CE/RED pour produits IoT : délais, coûts et pièges à éviter

Certification CE et directive RED pour objets connectés : processus, délais, coûts et erreurs courantes. Guide AESTECHNO, bureau d'études Montpellier.

Pipeline en 5 étapes pour le marquage CE/RED : pré-scan, itérations, tests labo, déclaration de conformité, marquage.

La certification CE/RED pour produits IoT repose sur trois exigences essentielles (sécurité, compatibilité électromagnétique, utilisation efficace du spectre) définies par la directive RED 2014/53/UE. Sans marquage CE, un objet connecté radio (Wi-Fi, Bluetooth, LoRa, NB-IoT, Zigbee) ne peut pas être commercialisé dans l'Espace Économique Européen. Depuis août 2025, l'article 3.3 ajoute des exigences de cybersécurité contraignantes.

Chez AESTECHNO, nous accompagnons nos clients de la conception à la certification, avec un taux de réussite de 100% aux tests CE/FCC. Cette réussite résulte d'une intégration des contraintes réglementaires dès les premières phases de conception. Dans ce guide, nous détaillons le processus de certification CE/RED, les délais réalistes, les coûts à prévoir, et les erreurs qui font échouer les projets.

[aestechno_cta]

Qu'est-ce que le marquage CE et la directive RED ?

Le marquage CE (Conformité Européenne) est une déclaration du fabricant attestant que son produit respecte les exigences essentielles des directives européennes applicables. Pour les équipements radioélectriques, la Radio Equipment Directive (RED 2014/53/UE) définit ces exigences : sécurité électrique, compatibilité électromagnétique (CEM), et utilisation efficace du spectre radio. Le texte consolidé est publié sur EUR-Lex, et les normes harmonisées associées sont éditées par l'ETSI et le CENELEC.

La directive RED s'applique à tout appareil qui émet ou reçoit intentionnellement des ondes radio pour la communication ou la radiolocalisation. Cela inclut :

  • Connectivité courte portée : Bluetooth, Wi-Fi, Zigbee, Thread, Matter.
  • Connectivité longue portée : LoRaWAN, NB-IoT, LTE-M, Sigfox.
  • RFID/NFC : lecteurs et tags actifs.
  • GNSS : récepteurs GPS, Galileo (selon configuration).
  • Autres : radar, UWB, télécommandes RF.

Si votre produit n'intègre pas de fonction radio, d'autres directives s'appliquent (CEM 2014/30/UE, Basse Tension 2014/35/UE), mais le processus est généralement plus simple.

Les trois exigences essentielles de la directive RED

La directive RED impose trois catégories d'exigences essentielles que tout équipement radio doit satisfaire avant d'être mis sur le marché européen. Ces exigences sont évaluées à travers des tests normalisés réalisés en laboratoire accrédité ou par auto-déclaration selon les cas. Pour un panorama complet, voir la checklist RED 2014/53/UE et la décision auto-déclaration vs organisme notifié selon la classe d'équipement.

Arbre des exigences essentielles de la directive RED 2014/53/UE La directive RED couvre la sécurité (Art. 3.1a, EN 62368-1), la CEM (Art. 3.1b, EN 55032/35, EN 301 489), l'utilisation efficace du spectre (Art. 3.2, ETSI EN 300 220/328/330) et la cybersécurité IoT depuis août 2025 (Art. 3.3, EN 18031, ETSI EN 303 645). Directive RED 2014/53/UE Exigences essentielles équipement radio Art. 3.1(a) Sécurité et santé utilisateurs et tiers Art. 3.1(b) CEM émissions + immunité Art. 3.2 Spectre radio usage efficace Art. 3.3 Cybersécurité depuis août 2025 Normes harmonisées EN 62368-1 sécurité électrique IEC 62311 exposition RF (DAS) Normes harmonisées EN 55032 (émissions) EN 55035 (immunité) EN 301 489 CEM radio dédiée Normes harmonisées ETSI EN 300 220 sub-1 GHz (LoRa, Sigfox) ETSI EN 300 328 2,4 GHz (BT, Wi-Fi, Zigbee) EN 300 330 (NFC) Normes cybersécurité EN 18031-1 résilience réseau EN 18031-2 vie privée + données enfants EN 18031-3 fraude financière ETSI EN 303 645 socle IoT grand public Auto-déclaration de conformité (la plupart des produits IoT) Organisme notifié requis si émetteur spécifique ou si EN 18031 évaluée en classe à risque accru
Figure 2 — Arbre des exigences essentielles de la RED 2014/53/UE et normes harmonisées associées, avec l'ajout de l'Art. 3.3 cybersécurité (EN 18031, ETSI EN 303 645) en vigueur depuis août 2025.

Article 3.1(a) : Sécurité et santé

L'équipement ne doit pas présenter de risque pour la santé ou la sécurité des utilisateurs. Cela couvre :

  • Sécurité électrique (isolation, protection contre les chocs).
  • Risques thermiques (échauffement, inflammabilité).
  • Exposition aux champs électromagnétiques (DAS pour les appareils portés près du corps).
  • Sécurité mécanique selon l'usage prévu.

Article 3.1(b) : Compatibilité électromagnétique

L'équipement doit fonctionner sans perturber les autres appareils et doit résister aux perturbations ambiantes. Les tests CEM évaluent :

  • Émissions conduites : perturbations injectées sur le réseau électrique.
  • Émissions rayonnées : perturbations électromagnétiques émises dans l'air.
  • Immunité : résistance aux décharges électrostatiques, transitoires, champs RF.

Article 3.2 : Utilisation efficace du spectre

L'émetteur radio doit utiliser le spectre de manière efficace pour éviter les interférences nuisibles. Les tests vérifient :

  • Puissance d'émission dans les limites autorisées.
  • Occupation spectrale (largeur de bande, émissions hors bande).
  • Comportement en mode d'écoute (Listen Before Talk pour certaines bandes).

Le processus de certification étape par étape

Le processus de certification CE/RED suit un parcours structuré allant de la préparation technique à l'apposition du marquage. Chaque étape doit être documentée dans le dossier technique, qui reste la propriété du fabricant et doit être conservé pendant 10 ans après la mise sur le marché du dernier exemplaire.

Étape 1 : Identification des directives et normes applicables

Avant tout test, identifiez précisément les directives et normes harmonisées applicables à votre produit. Pour un objet connecté typique :

  • RED 2014/53/UE : obligatoire pour tout équipement radio.
  • RoHS 2011/65/UE : restriction des substances dangereuses.
  • DEEE 2012/19/UE : gestion des déchets électroniques.
  • Règlement machines ou jouets : selon l'application.
  • Cyber Résilience Act (CRA) : nouvelles exigences cybersécurité (entrée en vigueur progressive 2025-2027). Référentiel de base : ETSI EN 303 645 pour l'IoT grand public.

Pour les normes harmonisées, consultez le Journal Officiel de l'UE ou utilisez la base de données de la Commission européenne.

Étape 2 : Conception conforme dès le départ

La conformité ne s'obtient pas en fin de projet, elle se construit dès la conception. Les choix d'architecture, de composants et de routage PCB déterminent en grande partie le résultat des tests.

Bonnes pratiques de conception pour la certification :

  • Utiliser des modules radio pré-certifiés quand possible (réduction significative des tests).
  • Respecter les guidelines d'intégration du fabricant du module.
  • Prévoir un plan de masse continu sous les zones RF.
  • Séparer les alimentations numériques et analogiques.
  • Ajouter des provisions pour filtrage CEM (emplacements pour ferrites, condensateurs).
  • Anticiper les tests d'immunité (découplage, protection ESD).

Pour approfondir ces aspects, consultez notre article sur la conception de cartes RF.

Étape 3 : Pré-tests en interne ou en laboratoire

Avant les tests officiels, réalisez des pré-tests pour identifier et corriger les problèmes. Cette étape est souvent négligée, mais elle évite des échecs coûteux en laboratoire accrédité.

Options de pré-test :

  • Équipement interne : analyseur de spectre, antenne de proximité, oscilloscope.
  • Laboratoire non accrédité : tests indicatifs à moindre coût.
  • Location de chambre anéchoïque : pour les équipes expérimentées.

Chez AESTECHNO, nous réalisons systématiquement des pré-tests CEM et RF avant d'envoyer un produit en laboratoire accrédité. Mieux : grâce à nos outils ANSYS (SI/PI et optimisation d'antenne), nous pouvons dire avant fabrication si le produit va passer la certification. Cette simulation pre-manufacturing prédit le comportement CEM et RF avec une précision qui nous permet d'engager la production en toute confiance, sans attendre le verdict du labo.

Notre signature : PCB "dans les règles de l'art", pré-conformes CEM

Chez AESTECHNO, nous concevons des PCB industriels pré-conformes CEM dès la première itération, alignés IPC et prêts pour la production en grande série. Notre portefeuille couvre les stackups jusqu'à 28 couches, les technologies HDI (laser µVias, vias enterrés), ainsi que les formats spéciaux (flex, rigid-flex, antennes PCB intégrées). Résultat concret : un taux de réussite de 100% aux tests CE/FCC, car le design EST déjà pensé pour la production certifiée.

Étape 4 : Tests en laboratoire accrédité

Les tests officiels doivent être réalisés par un laboratoire accrédité selon Iso/IEC 17025 (norme d'accréditation, COFRAC en France). Le laboratoire délivre un rapport de test qui servira de base à la déclaration de conformité. Lorsqu'un organisme notifié est requis (modules 2.5 mm et au-delà, types d'évaluation des modules B, C, H), le choix s'opère dans la base européenne NANDO (Notified bodies). Les tests d'immunité ESD font référence à la norme IEC 61000-4-2, les tests de robustesse aux transitoires rapides à l'IEC 61000-4-4, et les tests d'exposition RF à l'IEC 62311.

Matrice de tests CEM : émissions et immunité Répartition des tests CEM exigés par EN 55032 (émissions) et EN 55035 (immunité) avec les normes IEC 61000-4-x associées, gammes de fréquences et niveaux typiques pour un produit IoT. Matrice de tests CEM produit IoT Émissions (EN 55032) et immunité (EN 55035) avec séries IEC 61000-4-x Émissions (EN 55032) Immunité (EN 55035) Émissions rayonnées 30 MHz - 6 GHz CISPR 32 classe B (résidentiel) limite quasi-peak ~30 dB(uV/m) à 3 m Émissions conduites 150 kHz - 30 MHz port secteur via réseau de stabilisation (LISN) limite ~46 dB(uV) classe B résidentiel Harmoniques et flicker EN 61000-3-2 / EN 61000-3-3 distorsion courant alternatif (> 75 W) requis pour produits sur secteur uniquement Émissions radio (port radio) EN 301 489 + EN 300 328 (BT, Wi-Fi) ESD - décharges électrostatiques IEC 61000-4-2 +/- 8 kV contact, +/- 15 kV air appliqué sur toutes interfaces accessibles EFT / Burst transitoires IEC 61000-4-4 +/- 2 kV port secteur, +/- 1 kV ports E/S salves à 5 kHz / 100 kHz Surge / ondes de choc IEC 61000-4-5 +/- 1 kV mode différentiel, +/- 2 kV commun simulation foudre indirecte Champs RF rayonnés / conduits IEC 61000-4-3 (3 V/m, 80 MHz - 6 GHz) IEC 61000-4-6 (3 Vrms, 150 kHz - 80 MHz)
Figure 3 — Matrice CEM produit IoT : émissions (EN 55032, gauche) et immunité (EN 55035 + IEC 61000-4-x, droite). Les niveaux indiqués correspondent au critérium classe B résidentiel et aux niveaux d'application typiques.

Tests typiques pour un produit IoT avec Bluetooth/Wi-Fi :

Type de test Normes courantes Durée typique
Sécurité électrique EN 62368-1 1-2 jours
CEM émissions EN 55032 1-2 jours
CEM immunité EN 55035 2-3 jours
Radio Bluetooth/Wi-Fi EN 300 328, EN 301 489 2-3 jours
Radio LoRa/Sigfox EN 300 220 1-2 jours

Étape 5 : Constitution du dossier technique

Le dossier technique (Technical File) rassemble toute la documentation prouvant la conformité. Il doit contenir :

  • Description générale du produit et de son fonctionnement.
  • Schémas électriques et plans de conception.
  • Liste des normes appliquées.
  • Rapports de tests du laboratoire.
  • Manuel utilisateur et instructions de sécurité.
  • Analyse des risques (si applicable).
  • Déclaration de conformité des composants critiques.

Ce dossier n'est pas envoyé aux autorités, mais doit pouvoir être présenté sur demande pendant 10 ans.

Étape 6 : Déclaration UE de conformité et marquage CE

Une fois les tests réussis et le dossier constitué, le fabricant (ou son mandataire européen) rédige la déclaration UE de conformité (EU DoC) en suivant le canevas obligatoire de l'annexe IV. Ce document engage juridiquement le déclarant sur la conformité du produit.

La déclaration doit mentionner :

  • Identification du produit (nom, modèle, numéro de série).
  • Nom et adresse du fabricant.
  • Directives et normes appliquées.
  • Date et lieu de la déclaration.
  • Signature du responsable.

Le marquage CE peut alors être apposé sur le produit, son emballage et sa documentation.

Délais réalistes de certification

Le délai de certification CE/RED est la durée qui sépare le dépôt du dossier technique du marquage final du produit. Ce délai dépend de la complexité du produit, de la qualité de la conception initiale, et de la disponibilité des laboratoires. Pour un cadre de référence multi-marchés, voir le guide délais de certification par marché et famille produit. Voici des fourchettes réalistes basées sur notre expérience :

Planning indicatif d'une campagne CE/RED sur 12 mois Diagramme de Gantt indicatif pour un produit IoT typique : conception et gel de spécifications, pré-scan CEM interne, tests CEM accrédités, tests radio, tests sécurité, évaluation cybersécurité EN 18031, dossier technique et déclaration de conformité. Planning indicatif CE/RED produit IoT (12 mois) Cas standard : module radio pré-certifié, première campagne sans échec majeur M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 Conception et gel specs M1 - M4 Pré-scan CEM interne 1 sem CEM accréditée EN 55032/35 4 - 6 sem Radio EN 300 328 / 489 4 - 6 sem Sécurité EN 62368-1 2 - 3 sem Cyber Art. 3.3 / EN 18031 2 - 4 sem Dossier technique + DoC 2 - 4 sem Marquage CE CE conception et tests labo interne (pré-scan, jalon) cybersécurité (Art. 3.3)
Figure 4 — Gantt indicatif d'une campagne CE/RED de 12 mois pour un produit IoT standard. Les durées laboratoire dépendent fortement de la disponibilité des créneaux : compter 2 à 4 semaines de délai d'attente.
Scénario Délai typique
Cas favorable : module pré-certifié, conception soignée, pas de modification 4-6 semaines
Cas standard : produit IoT classique, quelques ajustements mineurs 8-12 semaines
Cas complexe : RF custom, échec initial, modifications de conception 3-6 mois

Ces délais incluent les pré-tests, les tests officiels, les éventuelles corrections, et la constitution du dossier. Ajoutez 2-4 semaines au planning pour les créneaux laboratoire, souvent chargés.

Facteurs influençant le coût de certification

Le coût de certification est la somme des tests en laboratoire, des pré-tests, des itérations de correction et de la constitution du dossier technique. Les coûts varient considérablement selon le type de produit, les directives applicables, et le nombre d'itérations nécessaires. Pour une décomposition poste par poste, voir le guide facteurs et fourchettes de coût certification. Plusieurs facteurs déterminent le budget final :

Postes de coût principaux

  • Tests CEM (émissions + immunité) : dépend de la complexité du produit et du nombre de modes de fonctionnement.
  • Tests radio : varient selon les technologies. Bluetooth, Wi-Fi et LoRa ont des exigences différentes.
  • Tests sécurité électrique : dépendent de la tension d'alimentation et du type de produit.
  • Tests DAS : requis uniquement pour les appareils portés près du corps.

Autres coûts à anticiper

  • Échantillons de test : 3-5 unités généralement demandées par le laboratoire.
  • Pré-tests : investissement fortement recommandé pour éviter les échecs coûteux.
  • Modifications si échec : variable selon l'ampleur des corrections nécessaires.
  • Constitution du dossier technique : souvent inclus dans l'accompagnement d'un bureau d'études.

Facteurs d'augmentation du budget

  • Technologies multiples : un produit avec Bluetooth ET Wi-Fi coûte plus qu'un produit mono-technologie.
  • Certification internationale : chaque marché (USA, Canada, Japon) ajoute des tests supplémentaires.
  • Échecs et itérations : chaque passage supplémentaire en laboratoire augmente le budget.
  • Produit non préparé : un design mal optimisé pour la CEM nécessitera plus de corrections.

Pour une commercialisation mondiale, prévoyez un budget significativement plus élevé que pour la seule certification CE/RED Europe.

[aestechno_trust_box]

Article rédigé par Hugues Orgitello, ingénieur en conception électronique et fondateur d'AESTECHNO. Profil LinkedIn.

Les erreurs qui font échouer les certifications

Une erreur de certification est un écart conception/réglementation qui se traduit par un rapport de test défavorable. Après des années d'accompagnement de projets IoT, nous avons identifié les erreurs récurrentes qui conduisent à des échecs de certification, des retards, et des surcoûts.

Causes d'échec en certification CE/RED et impact sur le planning Cinq motifs fréquents d'échec en laboratoire et leur impact relatif sur le planning du projet : dépassement d'Émission rayonnée à 30 MHz, reset ESD sous 4 kV, dossier technique incomplet, EN 18031 mal classifiée et normes harmonisées manquantes. Top 5 échecs CE/RED et impact sur le planning Largeur de barre = retard relatif estimé sur la mise sur le marché faible moyen élevé Émission rayonnée > limite harmonique horloge 30-150 MHz respin PCB + recampagne CEM Reset ESD sous 4 kV contact protection insuffisante interfaces protection ESD + tests partiels DoC manquante ou erronée refus en frontière ou retrait marché rédaction + signature EN 18031 auto-évaluée à tort classe à risque accru = organisme notifié notified body + audit firmware Normes harmonisées absentes présomption de conformité perdue audit dossier technique échec en laboratoire non-conformité documentaire retravail majeur : retravail mineur : PCB respin rédaction
Figure 5 — Top 5 des motifs d'échec rencontrés en certification CE/RED. Les échecs CEM rayonnés et les classifications erronées EN 18031 entraînent les plus longs retards, car ils exigent une itération hardware ou un passage en organisme notifié.

Erreur 1 : Concevoir d'abord, penser certification ensuite

C'est l'erreur la plus fréquente et la plus coûteuse. Un produit conçu sans considération pour les exigences CEM et RF aura très probablement des problèmes en test. Corriger après coup peut nécessiter une refonte complète du PCB.

Solution : intégrer les contraintes réglementaires dès le cahier des charges et la revue d'architecture.

Erreur 2 : Sous-estimer l'intégration d'un module radio

Utiliser un module pré-certifié ne garantit pas que le produit final sera conforme. L'antenne, le plan de masse, le routage et l'environnement électromagnétique du produit hôte influencent fortement les performances radio et CEM.

Solution : suivre scrupuleusement les guidelines d'intégration du fabricant et valider par des mesures.

Erreur 3 : Négliger l'immunité CEM

Les tests d'immunité (ESD, transitoires, champs RF) sont souvent négligés en conception. Un produit qui émet peu mais qui plante à la moindre perturbation échouera quand même.

Solution : prévoir des protections ESD sur toutes les interfaces externes, découpler correctement les alimentations. Pour les produits dotés d'un port USB-C Power Delivery, les contraintes d'immunité ESD sont particulièrement critiques, notre guide sur l'USB-C Power Delivery pour les produits industriels détaille les exigences de protection spécifiques à cette interface.

Erreur 4 : Documentation insuffisante

Un produit conforme avec un dossier technique incomplet ou mal structuré peut poser problème lors d'un contrôle de marché. Le marquage CE engage la responsabilité du fabricant.

Solution : constituer le dossier technique au fil du projet, pas en urgence avant la mise sur le marché.

Erreur 5 : Ignorer les évolutions réglementaires

La réglementation évolue. Le Cyber Résilience Act (CRA), par exemple, imposera de nouvelles exigences de cybersécurité pour les produits connectés à partir de 2025-2027. Un produit conçu aujourd'hui doit anticiper ces évolutions. Les publications de l'ENISA (Agence européenne pour la cybersécurité) montrent que la majorité des vulnérabilités IoT remontent à des choix d'architecture non corrigeables par patch logiciel, d'où l'importance d'ancrer la sécurité dans le hardware dès la conception. Sur le plan opérationnel, comme le souligne Thierry Durand, expert indépendant en cybersécurité embarquée (Embedded Expertise), scanner un produit ne suffit pas : la vraie difficulté est de prioriser les correctifs par contexte opérationnel. Classer une CVE selon Cvss (score de sévérité) ne reflète pas toujours le risque réel projet. D'après le NIST Cybersecurity Framework, une approche défense-en-profondeur reste la référence industrielle.

Solution : se tenir informé, suivre les publications de l'ENISA et les lignes directrices du NIST Cybersecurity Framework, et prévoir une marge d'évolution dans la conception. Sur le volet remédiation des vulnérabilités, nous collaborons avec Thierry Durand (Embedded Expertise) : un scan CVE brut (Grype, Trivy) est insuffisant ; le cœur du travail est la priorisation des correctifs selon le contexte opérationnel.

Modules pré-certifiés : avantages et limites

Un module radio pré-certifié est un composant qui arrive avec sa propre certification CE/FCC, simplifiant le processus pour le produit final. Les modules radio pré-certifiés (ESP32, nRF52, modules LoRa) sont une option attractive pour accélérer la certification. Ils arrivent avec leurs propres certifications CE/FCC, ce qui simplifie le processus pour le produit final.

Avantages

  • Tests radio simplifiés (souvent juste une vérification de conformité).
  • Réduction des coûts et délais de certification.
  • Conception RF déjà optimisée par le fabricant.
  • Documentation et support disponibles.

Limites

  • La certification du module ne couvre pas le produit complet.
  • Toute modification (antenne custom, firmware radio) peut invalider la certification.
  • Les tests CEM du produit final restent nécessaires.
  • Coût unitaire plus élevé qu'une solution discrète.

Pour un produit IoT standard, les modules pré-certifiés sont généralement le meilleur compromis coût/délai/risque.

Cas concrets rencontrés en pré-scan RED

Les semaines gagnées en certification viennent presque toujours de la phase pré-laboratoire. Trois archétypes que nous rencontrons régulièrement en pré-scan, illustrant l'écart entre "ça marche sur table" et "ça passe en chambre anéchoïque".

  • Cas 1 : résonance d'antenne à –3 dB détectée avant laboratoire. Sur un projet récent, dans notre lab, nous avons mesuré un coefficient de réflexion (S11) qui révélait une résonance parasite liée au plan de masse raccourci par un connecteur, détectée en simulation ANSYS HFSS. Contrairement à la croyance qu'un module radio pré-certifié garantit le produit final, l'intégration mécanique peut décaler la bande utile hors EN 300 328. Nous préconisons une boucle simulation-mesure near-field avant le premier passage labo.
  • Cas 2 : émission harmonique à 2×f détectée en sonde champ proche. Sur un pré-scan CEM interne avec sondes champ proche et cellule TEM, nous avons observé un harmonique d'horloge SPI qui dominait à 150 MHz. Contrairement à l'intuition d'ajouter un blindage, la solution était un re-routage du bus SPI avec référence GND continue. Nous préconisons le pré-scan émission rayonnée dès les premières cartes fonctionnelles.
  • Cas 3 : conformité Art. 3.3 cybersécurité ignorée jusqu'à la compilation du dossier. Sur un projet IoT récent, nous avons constaté que l'équipe firmware n'avait pas anticipé les exigences Art. 3.3. Depuis août 2025, la RED impose des exigences techniques (authentification, mises à jour signées, gestion des identifiants) qui impactent le firmware. Nous préconisons une revue cybersécurité en parallèle du développement, pas après. L'articulation avec le Cyber Résilience Act (CRA) et la directive NIS2 impose aussi la tenue d'un SBOM (Software Bill of Materials) au format CycloneDX ou SPDX, avec un processus de Coordinated Vulnerability Disclosure (CVD) conforme à RFC 9116 pour la réception des rapports de vulnérabilités CVE.

Standards, outils et signature technique en certification

Le référentiel applicable IoT/RED s'articule autour de la directive RED 2014/53/UE, des normes ETSI EN 300 328 (2,4 GHz), EN 301 489 (CEM radio), EN 55032/35 (CEM générique), de l'IEC 62311 (exposition RF humaine) et de l'ETSI EN 303 645 (cybersécurité IoT grand public). Côté outils : ANSYS HFSS avec optimisation d'antennes assistée par IA, sondes near-field, cellule TEM pour pré-scan émission, analyseur de spectre jusqu'à 10 GHz.

Contrairement à la croyance que la RED est une formalité administrative, la conformité Art. 3.3 (cybersécurité) depuis août 2025 impose des exigences techniques contraignantes sur le firmware lui-même. Chez AESTECHNO, notre signature est le design pré-conforme CEM dès la conception : layout, stackup, filtrage, blindage et firmware sont traités comme des contraintes de certification dès le schéma, pas corrigés en post-traitement lorsque le labo a déjà facturé une première campagne infructueuse.

CRA, NIS2 et SBOM : la couche cybersécurité à intégrer

Le Cyber Résilience Act (CRA) est un règlement européen qui impose des exigences cybersécurité au fabricant de produits connectés. Le CRA et la directive NIS2 redéfinissent le cadre cybersécurité des produits connectés. Le CRA impose notamment la tenue d'un SBOM (Software Bill of Materials) aux formats CycloneDX ou SPDX, ainsi qu'un processus CVD (Coordinated Vulnerability Disclosure) pour le traitement des rapports CVE. NIS2, de son côté, étend les obligations aux opérateurs essentiels qui déploient ces produits dans leurs chaînes critiques.

Selon Enisa, un SBOM CycloneDX à jour est la première brique opérationnelle pour piloter les CVE sur la durée de vie d'un produit. Un SBOM qui reste figé après la mise sur le marché perd sa valeur : le CRA exige que le fabricant maintienne le SBOM, publie les CVE exploitables dans un délai encadré, et conserve un canal CVD documenté (typiquement un fichier security.txt conforme à RFC 9116). La norme ETSI EN 303 645 fournit la ligne de base pour l'IoT grand public, avec treize exigences couvrant les mots de passe, les mises à jour signées et la gestion du SBOM.

En pratique, coupler CRA + NIS2 + RED Art. 3.3 signifie :

  • Un SBOM CycloneDX ou SPDX livré avec chaque release firmware.
  • Un processus CVD publié et testé (boîte aux lettres, SLA de réponse).
  • Un suivi des CVE impactant les composants du SBOM, avec priorisation par contexte.
  • Des mises à jour signées et un mécanisme OTA robuste (cf. ETSI EN 303 645).
  • Une documentation NIS2 pour les clients opérateurs essentiels, détaillant le cycle de vie sécurité.

Ne pas traiter CRA, NIS2 et SBOM dès la conception mène au même écueil que la CEM traitée en fin de projet : surcoût, retards, et parfois redesign. Cette couche cybersécurité s'articule avec le marquage CE, elle n'est pas optionnelle.

Certification internationale : au-delà de l'Europe

La certification internationale désigne l'ensemble des agréments requis pour commercialiser un produit sur des marchés hors UE. Le marquage CE permet la commercialisation dans l'Espace Économique Européen. Pour d'autres marchés, des certifications supplémentaires sont requises :

Marché Certification Particularités
États-Unis FCC Part 15 Limites d'émission différentes, processus similaire
Canada ISED (ex-IC) Souvent couplé avec FCC
Japon MIC/TELEC Exigences spécifiques, bandes de fréquences différentes
Australie RCM Reconnaissance de certains tests CE/FCC
Chine SRRC + CCC Processus spécifique, tests en laboratoire chinois

Conseil : si vous visez plusieurs marchés, planifiez les certifications en parallèle et mutualisez les tests quand les normes sont compatibles.

En résumé : certification CE/RED pour produits IoT

  • Trois exigences essentielles de la directive RED 2014/53/UE : sécurité (Art. 3.1a), CEM (Art. 3.1b), utilisation efficace du spectre (Art. 3.2). L'article 3.3 ajoute la cybersécurité depuis août 2025.
  • Délais réalistes : 4-6 semaines (module pré-certifié, conception soignée), 8-12 semaines (cas standard), 3-6 mois (RF custom avec itérations).
  • Concevoir pour la certification dès le schéma est la variable qui distingue un design qui passe du premier coup d'un design qui multiplie les campagnes labo. Plan de masse continu, filtrage CEM anticipé, protection ESD sur toutes les interfaces.
  • Normes clés à documenter : EN 300 328, EN 301 489, EN 55032/35, IEC 62311, ETSI EN 303 645 pour la cybersécurité IoT.
  • Dossier technique : à constituer au fil du projet, à conserver 10 ans après la mise sur le marché du dernier exemplaire.

FAQ : Questions fréquentes sur la certification CE/RED

Cette FAQ regroupe les questions les plus fréquentes sur le marquage CE, la directive RED et les certifications associées, avec des réponses synthétiques tirées de notre pratique.

Peut-on vendre un produit IoT en Europe sans marquage CE ?

Non. Le marquage CE est obligatoire pour tout équipement électrique ou électronique mis sur le marché européen. Vendre sans marquage CE expose à des sanctions (retrait du marché, amendes) et engage la responsabilité civile et pénale du fabricant en cas d'accident.

Qui est responsable du marquage CE : le fabricant ou le concepteur ?

Le fabricant qui met le produit sur le marché européen est responsable du marquage CE. Si vous faites concevoir un produit par un bureau d'études, c'est vous (en tant que fabricant/importateur) qui signez la déclaration de conformité. Le bureau d'études vous fournit la conception conforme et la documentation technique.

Quelle est la différence entre certification et auto-déclaration ?

Pour la plupart des produits IoT, la procédure est l'auto-déclaration : le fabricant déclare lui-même la conformité sur la base de tests réalisés en laboratoire. Certains produits (équipements médicaux, certains émetteurs puissants) nécessitent l'intervention d'un organisme notifié pour une certification formelle.

Les tests CE sont-ils valables pour la certification FCC ?

Les tests ne sont pas directement transférables car les normes et limites diffèrent. Cependant, un produit conçu pour passer les tests CE passera souvent les tests FCC avec peu ou pas de modifications. Les laboratoires peuvent optimiser les campagnes de tests pour les deux certifications.

Que se passe-t-il si mon produit échoue aux tests ?

Le laboratoire vous remet un rapport identifiant les non-conformités. Vous devez alors modifier le produit (hardware et/ou firmware) et repasser les tests échoués. C'est pourquoi les pré-tests sont essentiels : ils permettent d'identifier les problèmes à moindre coût.

Combien de temps la certification reste-t-elle valide ?

La certification CE n'a pas de date d'expiration tant que le produit n'est pas modifié et que les normes applicables n'évoluent pas significativement. Toute modification substantielle (nouveau composant radio, changement de firmware affectant les émissions) peut nécessiter une réévaluation.

Articles connexes