Directive RED 2014/53/UE, la checklist complète
Guide · RED, checklist projet
Cette checklist découpe un projet RED en six phases séquentielles, du concept produit à la mise sur le marché. Chaque phase liste les tâches à réaliser, le responsable typique, et la preuve à verser au dossier annexe V. Le document est conçu pour être imprimé, coché et archivé. Il complète la procédure RED détaillée, les tests requis et la structure du dossier technique. À adapter au contexte produit, un capteur LoRa simple ne mobilise pas le même effort qu'un terminal cellulaire SDR dont la cybersécurité 3.3 passe par un organisme notifié.
Phase 1: Cadrage réglementaire
Section intitulée « Phase 1: Cadrage réglementaire »Objectif : verrouiller le périmètre RED avant tout choix matériel irréversible. Durée typique : 1 à 2 semaines.
Tâches à cocher
Section intitulée « Tâches à cocher »- Lister tous les émetteurs intentionnels du produit (Wi-Fi 2,4 GHz, Wi-Fi 5/6 GHz, BLE, BLE Long Range, LoRa, LTE-M, NB-IoT, 4G/5G, NFC, UWB, etc.).
- Lister les récepteurs purs (GPS/GNSS, FM, DAB): ils entrent dans le champ RED pour les articles 3.1(a), 3.1(b) et 3.3.
- Pour chaque radio, identifier les articles applicables : 3.1(a) santé, 3.1(b) CEM radio, 3.2 spectre, 3.3 cybersécurité.
- Vérifier l'applicabilité de l'article 3.3 cybersécurité (oui par défaut pour tout produit radio connecté à internet, depuis le 1ᵉʳ août 2025: Règlement délégué 2022/30, date d'application reportée par le règlement délégué 2023/2444).
- Vérifier si une restriction JOUE sur les EN 18031 s'applique (clauses 6.2.5.1/6.2.5.2 d'absence de mot de passe, contrôle d'accès parental pour jouets et équipements de garde d'enfants, mise à jour sécurisée des actifs financiers) : une restriction déclenchée impose la voie organisme notifié.
- Sélectionner les normes harmonisées en vigueur par bande et par article (EN 300 328, EN 301 489-17, EN 18031, etc.): consulter le JOUE pour les versions citées.
- Identifier les directives complémentaires : LVD (2014/35/UE) via 3.1(a), CEM générique si parties non radio, RoHS, REACH, écoconception, machines.
- Vérifier les attributions nationales des bandes utilisées (décisions ECC de la CEPT) pour les marchés visés.
- Décider le module d'évaluation : A, A1, B+C, H, voir Procédure RED.
- Si module B+C ou A1 partiel, présélectionner deux organismes notifiés (base NANDO) et demander un devis.
- Documenter le plan de conformité : un livret synthétique listant les articles, normes, modules et responsables.
Synthèse phase 1
Section intitulée « Synthèse phase 1 »| Tâche | Responsable | Preuve / livrable |
|---|---|---|
| Identification des radios | Chef de projet + ingénieur RF | Plan de conformité, section radios |
| Cartographie des articles 3.1/3.2/3.3 | Référent conformité | Matrice articles × radios |
| Sélection des normes harmonisées | Référent conformité + R&D | Liste signée, versions ETSI précises |
| Choix du module d'évaluation | Référent conformité + direction | Note de décision archivée |
| Évaluation 3.3 applicabilité | Référent conformité + sécurité SI | Note d'analyse 3.3 |
| Devis ON (si requis) | Achat + référent conformité | Offre ON archivée |
Phase 2: Conception et analyses
Section intitulée « Phase 2: Conception et analyses »Objectif : intégrer les exigences RED dans l'architecture produit avant le tape-out PCB. Durée typique : 4 à 8 semaines, parallèle à la conception.
Tâches à cocher
Section intitulée « Tâches à cocher »- Réaliser l'analyse de risques article 3.1(a), exposition RF, SAR pour les équipements portés (< 20 cm du corps), MPE pour les équipements fixes.
- Calculer la densité de puissance à la distance d'usage prévue (méthode EN 62311 pour les équipements fixes).
- Rédiger l'analyse de risques article 3.3 cybersécurité : diagramme d'architecture, frontières de confiance, menaces, contrôles.
- Établir la liste des composants critiques : modules radio, antennes, oscillateurs, filtres, amplificateurs, alimentations.
- Pour chaque module radio commercial, récupérer la notice d'intégration du fabricant et vérifier la conformité point par point (antenne approuvée, plan de masse, espacement, blindage).
- Si l'antenne est sélectionnée hors liste approuvée du module, planifier réessais radio complets article 3.2 + 3.1(b).
- Documenter la matrice matériel-firmware pour les équipements SDR (versions HW × versions FW × bandes activées).
- Définir les mécanismes de protection anti-altération radio : signature firmware, lock-down régional, anti-rollback.
- Préparer la table des configurations radio (bande, modulation, puissance conduite, PIRE, antenne, norme): exigée par l'annexe V.
- Définir l'architecture cybersécurité : authentification équipement-réseau, chiffrement TLS 1.2+ minimum, stockage chiffré des secrets, signature OTA.
- Identifier les autres directives applicables : si écran > seuil ecodesign, si batterie selon règlement 2023/1542, etc.
Synthèse phase 2
Section intitulée « Synthèse phase 2 »| Tâche | Responsable | Preuve / livrable |
|---|---|---|
| Analyse de risques 3.1(a) | Ingénieur RF + référent conformité | Rapport d'analyse d'exposition signé |
| Analyse de risques 3.3 | Architecte cybersécurité | Document d'architecture sécurité + matrice menaces/contrôles |
| Liste composants critiques | R&D matériel | Tableau composants critiques (datasheets liées) |
| Notice d'intégration module | R&D + référent conformité | Notice fabricant + grille de conformité cochée |
| Matrice HW-FW (SDR) | R&D + qualité logicielle | Document matrice versionné |
| Table configurations radio | Ingénieur RF | Tableau configurations radio versionné |
| Architecture cybersécurité | Architecte cybersécurité | Document architecture + diagrammes |
Phase 3: Pré-tests internes
Section intitulée « Phase 3: Pré-tests internes »Objectif : dégrossir la conformité avant d'engager des frais de laboratoire externe. Durée typique : 2 à 4 semaines.
Tâches à cocher
Section intitulée « Tâches à cocher »- Mesurer les émissions conduites sur l'alimentation secteur (LISN + analyseur, 150 kHz – 30 MHz, classe B visée).
- Mesurer la PIRE de chaque radio en mode émission max, conduite minimum, rayonnée si chambre semi-anéchoïque disponible.
- Vérifier l'occupation spectrale (duty cycle pour sub-GHz, AFH pour 2,4 GHz, DFS pour Wi-Fi 5 GHz).
- Mesurer les émissions spurious des émetteurs (analyseur de spectre étendu, repérage des harmoniques et mélanges).
- Réaliser un baseline ESD au pistolet calibré (± 8 kV contact / ± 15 kV air) sur les points d'accès utilisateur.
- Réaliser un scan automatisé de vulnérabilités (Nmap, scanner TLS, audit de configuration) pour la cybersécurité de base.
- Faire une revue d'architecture EN 18031 : checklist des contrôles attendus par norme (-1 réseau, -2 données personnelles, -3 fraude).
- Vérifier la signature et la vérification firmware au démarrage par tentative d'injection d'un binaire non signé.
- Tester la procédure de mise à jour OTA : interruption, rollback, intégrité.
- Compiler un rapport de pré-tests internes identifiant les écarts et les actions correctives planifiées avant envoi laboratoire.
Synthèse phase 3
Section intitulée « Synthèse phase 3 »| Tâche | Responsable | Preuve / livrable |
|---|---|---|
| Émissions conduites | Ingénieur CEM interne | Rapport interne CEM conduit |
| PIRE radio | Ingénieur RF | Tableau mesures PIRE par bande |
| ESD baseline | Ingénieur CEM | Note d'essai ESD |
| Revue architecture EN 18031 | Architecte cybersécurité | Checklist EN 18031 cochée |
| Tests OTA et signature | Qualité logicielle | Rapport tests OTA |
| Synthèse pré-tests | Référent conformité | Rapport interne consolidé + plan d'actions |
Phase 4: Campagne externe (laboratoire)
Section intitulée « Phase 4: Campagne externe (laboratoire) »Objectif : produire les rapports d'essais signés exploitables dans le dossier annexe V. Durée typique : 4 à 6 semaines hors retests majeurs.
Tâches à cocher
Section intitulée « Tâches à cocher »- Sélectionner un laboratoire accrédité ISO/IEC 17025 avec une portée RED explicite pour les articles concernés (vérifier le certificat d'accréditation du COFRAC ou équivalent national).
- Vérifier la portée cybersécurité EN 18031 du laboratoire, rare en 2026, planifier en avance.
- Préparer 3 échantillons identiques au minimum, représentatifs de la production en série (pas de prototypes câblés manuellement).
- Fournir un dossier d'envoi au laboratoire : photos, plans, BOM, schémas, configurations radio, notice de mise en service, accès aux modes de test (test mode 3GPP, mode RF non modulé, etc.).
- Planifier les essais article 3.1(a) : SAR si porté, calcul MPE si fixe (méthodes EN 62311, EN 62209-1/-2/-3).
- Planifier les essais article 3.1(b) CEM radio selon la série EN 301 489 applicable (EN 301 489-1 + partie spécifique radio).
- Planifier les essais article 3.2 spectre selon la norme harmonisée de chaque bande (EN 300 328, EN 301 893, EN 300 220, 3GPP TS pour cellulaire).
- Planifier l'évaluation cybersécurité EN 18031 : évaluation conceptuelle plus complétude et suffisance fonctionnelles de chaque mécanisme applicable, selon les arbres de décision.
- Si module B+C, planifier l'examen UE de type par l'ON sur la base des rapports laboratoire et du dossier conception.
- Réceptionner et relire chaque rapport préliminaire, vérifier configurations testées, mode opératoire, marges, conclusion.
- Traiter les non-conformités : corrections matérielles, ajustements firmware, retests partiels documentés.
- Archiver les rapports finaux signés sous format PDF/A avec leur hash de vérification.
Synthèse phase 4
Section intitulée « Synthèse phase 4 »| Tâche | Responsable | Preuve / livrable |
|---|---|---|
| Sélection labo accrédité | Référent conformité | Contrat + certificat accréditation labo |
| Préparation échantillons | Industrialisation | Bordereau d'envoi + photos échantillons |
| Essais 3.1(a) santé | Laboratoire externe | Rapport SAR ou note de calcul MPE |
| Essais 3.1(b) CEM radio | Laboratoire externe | Rapport CEM signé |
| Essais 3.2 spectre | Laboratoire externe | Rapports par bande signés |
| Évaluation 3.3 cybersécurité | Labo cybersécurité | Rapport EN 18031-1/-2/-3 signé |
| Examen UE de type (si ON) | Organisme notifié | Certificat d'examen UE de type |
| Traitement non-conformités | R&D + référent conformité | CR de corrections + retests partiels |
Phase 5: Constitution du dossier technique
Section intitulée « Phase 5: Constitution du dossier technique »Objectif : assembler l'annexe V complet, prêt à présenter à une autorité de surveillance du marché. Durée typique : 2 à 3 semaines.
Tâches à cocher
Section intitulée « Tâches à cocher »- Rédiger la description générale du produit (article 18 + annexe V §1) : désignation, modèles, variantes, photos, vue éclatée.
- Inclure les plans de conception, dessins de fabrication et schémas électroniques (annexe V §2).
- Inclure la liste des composants (BOM) et les datasheets des composants critiques (annexe V §2).
- Inclure la description du fonctionnement : flux de données, modes d'opération, interfaces utilisateur (annexe V §2).
- Inclure la table des configurations radio finalisée (bande, modulation, puissance, antenne, norme).
- Pour les SDR, joindre la matrice matériel-firmware complète + procédures de mise à jour signées.
- Inclure la notice d'intégration des modules radio commerciaux et la grille de conformité.
- Joindre les analyses de risques : 3.1(a) santé, 3.3 cybersécurité, et le cas échéant 3.1(b) CEM.
- Joindre la liste des normes harmonisées appliquées avec versions exactes (ex. EN 300 328 V2.2.2 (2019-07)).
- Joindre les justifications si une norme n'est pas pleinement appliquée (méthode alternative, comparaison avec exigences essentielles).
- Archiver tous les rapports d'essais laboratoire (PDF/A signés) et les pré-tests internes.
- Si module B+C/A1/H, archiver le certificat de l'ON et son périmètre.
- Compléter la documentation utilisateur : notice papier/numérique, consignes de sécurité, bande(s) de fréquence et PIRE max (article 10(8)), DoC simplifiée article 10(9).
- Vérifier que les traductions de la documentation et de la DoC simplifiée couvrent les langues exigées par chaque État membre de commercialisation.
- Rédiger la DoC complète selon l'annexe VI : numéro unique, références produit, directive 2014/53/UE explicite, normes citées avec versions, signataire, lieu, date.
- Faire signer la DoC par une personne dûment autorisée (résolution du conseil ou délégation de pouvoir archivée).
- Documenter la procédure de gestion des modifications : qui décide d'une réévaluation, comment incrémenter la DoC.
- Documenter la procédure de gestion des vulnérabilités cybersécurité (3.3) : canal de signalement, équipe de réponse, SLA de patch.
Synthèse phase 5
Section intitulée « Synthèse phase 5 »| Tâche | Responsable | Preuve / livrable |
|---|---|---|
| Compilation annexe V | Référent conformité | Dossier technique structuré |
| Configurations radio + SDR | Ingénieur RF | Table configurations + matrice HW-FW |
| Analyses de risques | Architecte sécurité + RF | Rapports d'analyse versionnés |
| Rapports d'essais consolidés | Référent conformité | Index PDF/A signés |
| DoC complète | Personne autorisée | DoC datée et signée |
| Documentation utilisateur traduite | Marketing produit + traducteur | Notices par langue cible |
| Procédure modifications & vulnérabilités | Qualité + sécurité SI | Procédures écrites et diffusées |
Phase 6: Mise sur le marché et surveillance
Section intitulée « Phase 6: Mise sur le marché et surveillance »Objectif : commercialiser sans dérive et préparer 10 ans de surveillance post-marché. Durée : continue sur tout le cycle de vie produit.
Tâches à cocher
Section intitulée « Tâches à cocher »- Apposer le marquage CE sur le produit (hauteur < 5 mm autorisée pour équipements radio si visible et lisible, sinon marquage emballage et notice obligatoires).
- Si module A1, B+C ou H, apposer le numéro à 4 chiffres de l'ON à côté du CE.
- Inclure la DoC simplifiée article 10(9) dans la notice utilisateur, avec URL pérenne vers la DoC complète PDF/A.
- Vérifier que la URL DoC est publique, sans authentification, sans cookie obligatoire, et restera disponible 10 ans.
- Désigner un représentant autorisé dans l'UE (article 11 de la directive 2014/53/UE) si le fabricant est établi hors UE, nom, adresse, point de contact archivés.
- Mettre en place la traçabilité production : numéro de série, lot, version HW, version FW livrée, base de rappel ciblé.
- Activer la procédure de surveillance des vulnérabilités : veille CVE composants tiers, canal vulnerability disclosure ouvert, équipe de réponse identifiée.
- Définir la politique de mises à jour de sécurité : durée minimale d'engagement, fréquence, mode de distribution signé.
- Archiver l'intégralité du dossier technique pendant 10 ans après la mise sur le marché de la dernière unité (article 10(4)).
- Archiver toutes les versions firmware distribuées (pas seulement la dernière) avec leur hash et leur date de mise en service.
- Tenir un registre des modifications : changement composant, changement antenne, mise à jour firmware impactant radio, avec analyse d'impact RED associée.
- Surveiller les alertes Safety Gate sur les produits comparables (retour d'expérience marché).
- Planifier une revue annuelle de conformité : normes harmonisées (mises à jour ETSI), évolutions réglementaires (règlements délégués, lignes directrices Commission), vulnérabilités cybersécurité.
Synthèse phase 6
Section intitulée « Synthèse phase 6 »| Tâche | Responsable | Preuve / livrable |
|---|---|---|
| Marquage CE (+ ON si applicable) | Industrialisation | Contrôle qualité production + photos |
| DoC simplifiée dans notice | Marketing produit | Notices contrôlées et datées |
| URL DoC pérenne | IT / webmaster | Procès-verbal d'hébergement + plan de continuité |
| Représentant UE (Art. 4) | Direction | Mandat signé + adresse archivée |
| Traçabilité production | Industrialisation | Base sérialisation + procédure rappel |
| Vulnerability disclosure | Sécurité SI | Procédure publiée + boîte mail dédiée |
| Archivage 10 ans | Référent conformité | Système d'archivage et plan de continuité |
| Revue annuelle | Référent conformité | CR de revue + plan d'actions |
Référence rapide
Section intitulée « Référence rapide »Durées typiques par phase
Section intitulée « Durées typiques par phase »| Phase | Durée typique | Charge équipe |
|---|---|---|
| 1: Cadrage | 1 à 2 semaines | Référent conformité + chef de projet |
| 2: Conception & analyses | 4 à 8 semaines (parallèle conception) | R&D + architecte sécurité |
| 3: Pré-tests internes | 2 à 4 semaines | CEM interne + qualité logicielle |
| 4: Campagne laboratoire | 4 à 6 semaines | Référent conformité + labo externe |
| 5: Constitution dossier | 2 à 3 semaines | Référent conformité |
| 6: Mise sur le marché | Continue (10 ans) | Qualité + sécurité SI |
Calendrier total depuis lancement projet : 4 à 6 mois pour un produit IoT Wi-Fi/BLE standard avec cybersécurité auto-évaluée. 8 à 12 mois pour un produit cellulaire avec ON et évaluation cybersécurité par un tiers.
Omissions les plus fréquentes
Section intitulée « Omissions les plus fréquentes »| Omission | Phase | Impact |
|---|---|---|
| Article 3.3 cybersécurité non évalué | 1 | Non-conformité majeure pour produits post-août 2025 |
| Notice d'intégration module radio non respectée | 2 | Marquage CE module invalidé |
| Antenne substituée sans retest | 2 / 6 | Article 3.2 non valide |
| Configurations radio absentes du dossier | 5 | Dossier annexe V incomplet |
| DoC ne citant pas les normes EN 18031 | 5 | DoC incomplète, exposition au retrait |
| Représentant UE (Art. 4) non désigné | 6 | Refus en douane |
| Procédure vulnérabilités non documentée | 6 | Non-conformité 3.3 en surveillance marché |
| Versions firmware non archivées | 6 | Impossibilité de tracer une dérive |
Voir aussi les 14 pièges courants RED pour le détail des risques par famille.
Pour aller plus loin
Section intitulée « Pour aller plus loin »- Procédure RED: modules A / A1 / B+C / H et organismes notifiés
- Tests RED: détail des essais 3.1(a), 3.1(b), 3.2 et 3.3
- Dossier technique: contenu annexe V et DoC
- Pièges courants: 14 erreurs récurrentes
- Normes harmonisées RED: tableau complet par bande
- Marquage CE: règles transversales
Sources & références
- Directive 2014/53/UE, texte consolidé , EUR-Lex eur-lex.europa.eu/eli/dir/2014/53/oj
- Annexe V de la directive 2014/53/UE, contenu du dossier technique , EUR-Lex eur-lex.europa.eu/eli/dir/2014/53/oj
- Règlement délégué (UE) 2022/30, activation de l'article 3.3 , EUR-Lex eur-lex.europa.eu/eli/reg_del/2022/30/oj
- Règlement (UE) 2019/1020, surveillance du marché et opérateurs économiques , EUR-Lex eur-lex.europa.eu/eli/reg/2019/1020/oj
- ETSI Standards Portal, normes harmonisées RED , ETSI www.etsi.org/standards
Questions fréquentes
- Quand démarrer la checklist RED dans un projet produit ?
- Dès la rédaction du cahier des charges. La phase 1 (cadrage réglementaire) doit être close avant le gel de l'architecture matérielle, sinon des choix de composants ou d'antennes risquent d'être incompatibles avec les normes harmonisées visées.
- Faut-il un organisme notifié pour tous les produits RED ?
- Non. Pour un produit IoT standard appliquant intégralement les normes harmonisées article 3.2 (Wi-Fi EN 300 328, BLE, sub-GHz EN 300 220) et la série EN 18031 pour la cybersécurité, le module A (auto-déclaration) suffit. L'ON devient obligatoire si une norme 3.2 est partiellement appliquée ou si une restriction de la citation JOUE des EN 18031 est déclenchée (option sans mot de passe, contrôle parental pour jouets et garde d'enfants, mise à jour sécurisée des actifs financiers).
- Combien de temps faut-il prévoir entre le démarrage de la phase 4 et la mise sur le marché ?
- Entre 8 et 14 semaines pour un produit standard sans retest majeur: 4 à 6 semaines de laboratoire, 2 à 3 semaines de consolidation du dossier, 1 à 2 semaines de production des premières unités marquées. Un produit cellulaire avec ON ajoute 8 à 16 semaines.
- Quels livrables conserver pour les 10 ans d'archivage ?
- L'intégralité du dossier annexe V (description, plans, BOM, configurations radio, analyses de risques), tous les rapports d'essais signés, la DoC, toutes les versions de firmware distribuées, les logs de mises à jour OTA, les analyses de vulnérabilités et leurs corrections, et la traçabilité de production permettant un rappel ciblé.
- Comment gérer une mise à jour firmware qui modifie les paramètres radio après mise sur le marché ?
- La phase 6 doit prévoir une procédure de gestion des modifications. Toute modification firmware impactant puissance, modulation, bande ou mécanisme d'accès au spectre déclenche une réévaluation article 3.2, une mise à jour du dossier technique et l'émission d'une nouvelle DoC datée. Le numéro de DoC est incrémenté.