Tests RED requis (santé, CEM, spectre, cybersécurité)
RED · Pilier
Les essais RED couvrent quatre familles selon les articles 3.1 à 3.3 de la directive. Cette page détaille chaque famille, méthodes, équipements, limites, avec un focus particulier sur l'article 3.3 cybersécurité activé depuis août 2025, le sujet le moins maîtrisé en 2026.
Article 3.1(a): Santé et sécurité (exposition RF)
Section intitulée « Article 3.1(a): Santé et sécurité (exposition RF) »Limites européennes
Section intitulée « Limites européennes »Les limites d'exposition aux champs électromagnétiques sont définies par la recommandation 1999/519/CE du Conseil, basée sur les guidelines ICNIRP. Pour le public général :
| Grandeur | Plage | Valeur de référence |
|---|---|---|
| Champ électrique | 100 kHz – 10 MHz | 87/√f V/m |
| Champ électrique | 10 MHz – 400 MHz | 28 V/m |
| Champ électrique | 400 MHz – 2 GHz | 1,375·√f V/m |
| Champ électrique | 2 GHz – 300 GHz | 61 V/m |
| Densité de puissance | 10 MHz – 300 GHz | f/200 W/m² (max 10 W/m²) |
| SAR tête/tronc localisé | , | 2,0 W/kg (moyenné sur 10 g, 6 min) |
| SAR membres localisé | , | 4,0 W/kg (moyenné sur 10 g, 6 min) |
| SAR corps entier | , | 0,08 W/kg (moyenné sur la masse) |
Méthode SAR pour équipements portés
Section intitulée « Méthode SAR pour équipements portés »Pour les produits utilisés à moins de 20 cm du corps (téléphones, montres connectées, certains capteurs portables), l'essai SAR est obligatoire :
- Préparation : équipement chargé à pleine batterie, configuré en émission maximale.
- Phantom : modèle anatomique liquide simulant les tissus à la fréquence évaluée.
- Mesure : sonde dosimétrique robotisée balayant le phantom, mesure du champ électrique converti en SAR.
- Évaluation : SAR moyenné sur 10 g, comparé à la limite.
Méthodes : EN 50360 (tête), EN 50566 (corps), EN 62209-1/-2/-3 (générales).
Coût typique : €4 000 à €10 000 par configuration testée. Pour un téléphone multi-bandes, compter 4 à 8 configurations.
Équipements fixes ou non portés
Section intitulée « Équipements fixes ou non portés »Pour les équipements fixes ou installés à distance (caméras IP, routeurs, capteurs muraux), EN 62311 permet une évaluation documentaire. Méthode :
- Calcul de la densité de puissance à la distance d'usage prévue.
- Calcul du champ électrique correspondant.
- Comparaison avec les limites publiques.
Pour un point d'accès Wi-Fi à PIRE 20 dBm, le champ à 30 cm est typiquement de 2-3 V/m, très en dessous des 28 V/m autorisés. L'évaluation prend la forme d'un rapport technique inclus au dossier ; pas de mesure physique en laboratoire requise.
Article 3.1(b): Compatibilité électromagnétique radio
Section intitulée « Article 3.1(b): Compatibilité électromagnétique radio »La série EN 301 489 définit les essais CEM spécifiques aux équipements radio. Particularités par rapport à la CEM générique :
- Essais réalisés en émission active ET en réception (deux configurations distinctes).
- Critère de performance dégradée pendant l'immunité (perte temporaire de communication acceptée pour les radios non critiques).
- Bande de fréquences étendue : 30 MHz à 18 GHz pour les produits radio (au lieu de 30 MHz – 1 GHz en CEM classique).
Émissions radio (article 3.1(b))
Section intitulée « Émissions radio (article 3.1(b)) »| Phénomène | Méthode | Limite typique |
|---|---|---|
| Émissions conduites (alimentation) | LISN + analyseur 150 kHz – 30 MHz | Classe B |
| Émissions rayonnées (boîtier) | Antenne 30 MHz – 6 GHz | Classe B avec exemptions bande utilisée |
| Émissions spurious de l'émetteur | Mesure spectre étendu | Limites par bande EN 301 489-X |
Immunité radio
Section intitulée « Immunité radio »| Phénomène | Niveau | Critère typique |
|---|---|---|
| ESD ± 8 kV contact / ± 15 kV air | EN 61000-4-2 | B (récupération auto) |
| RF rayonnée 3 V/m | EN 61000-4-3 | A en réception, B en émission |
| EFT ± 2 kV | EN 61000-4-4 | B |
| Surge ± 2 kV / ± 4 kV | EN 61000-4-5 | B |
| RF conduite 3 V | EN 61000-4-6 | A/B |
Coût d'une campagne CEM radio typique : €5 000 à €15 000.
Article 3.2: Utilisation efficace du spectre
Section intitulée « Article 3.2: Utilisation efficace du spectre »C'est la famille d'essais la plus visible. Pour chaque bande et chaque technologie, la norme harmonisée définit des limites strictes.
Wi-Fi 2,4 GHz: EN 300 328
Section intitulée « Wi-Fi 2,4 GHz: EN 300 328 »| Paramètre | Limite |
|---|---|
| PIRE maximale | 20 dBm (100 mW) |
| Densité spectrale | 10 dBm / MHz |
| Occupation spectrale | < 10 % par période de 50 ms |
| Mécanisme d'accès | AFH, LBT ou APC requis |
| Émissions hors bande | -10 dBm/MHz au-delà des limites |
| Spurious | < -40 dBm typique |
Essais : mesure PIRE, masque spectral, durée d'occupation, comportement face aux interférences. Coût typique : €6 000 à €15 000.
Wi-Fi 5 GHz: EN 301 893
Section intitulée « Wi-Fi 5 GHz: EN 301 893 »Deux sous-bandes principales :
- 5150-5350 MHz : PIRE 23 dBm (200 mW), TPC obligatoire au-delà de 20 dBm.
- 5470-5725 MHz : PIRE 30 dBm (1 W), DFS obligatoire pour éviter les radars météo.
Essais : PIRE, masque, DFS (détection de radar et basculement de canal), TPC (contrôle dynamique de puissance).
Sub-GHz 868 MHz: EN 300 220
Section intitulée « Sub-GHz 868 MHz: EN 300 220 »Sous-bandes G1 à G4 avec limites différentes (voir Normes RED). Pour la sous-bande G3 (868-868,6 MHz, la plus utilisée pour LoRa) :
- PIRE 25 mW
- Duty cycle 1 %
- Émissions hors bande conformes au masque
Cellulaire 2G/3G/4G/5G
Section intitulée « Cellulaire 2G/3G/4G/5G »Les essais cellulaires sont les plus coûteux car ils utilisent des stations de base simulées et exigent une conformité aux suites de tests 3GPP. Bandes typiques en Europe :
- 2G : 900 MHz (B8), 1800 MHz (B3)
- 3G : 2100 MHz (B1), 900 MHz (B8)
- 4G LTE : B1, B3, B7, B8, B20, B28
- 5G NR : n1, n3, n7, n8, n20, n28, n78, n79
Coût d'une campagne LTE/5G complète : €15 000 à €60 000 selon le nombre de bandes.
Mesures réalisées en chambre anéchoïque RF
Section intitulée « Mesures réalisées en chambre anéchoïque RF »Tous les essais article 3.2 sont réalisés dans une chambre anéchoïque RF calibrée :
- Distance de mesure : 3 m typique pour les bandes basses, plus court pour les bandes hautes.
- Antenne de mesure étalonnée pour la plage utilisée.
- Plate-forme rotative pour la mesure en azimut.
- Mât d'antenne ajustable en hauteur pour la mesure en élévation.
Les laboratoires accrédités ISO/IEC 17025 avec portée RED article 3.2 se comptent sur les doigts d'une main par pays (TÜV, DEKRA, Bureau Veritas, INTERTEK, NCC, CETECOM, 7Layers en Europe).
Article 3.3: Cybersécurité (depuis août 2025)
Section intitulée « Article 3.3: Cybersécurité (depuis août 2025) »Logique d'évaluation
Section intitulée « Logique d'évaluation »Les normes EN 18031 introduisent une méthodologie d'évaluation par niveaux d'assurance inspirée des Common Criteria :
- Basic, auto-évaluation documentée par le fabricant, niveau attendu pour la plupart des produits IoT grand public.
- Substantial, évaluation par un tiers indépendant, niveau attendu pour les produits manipulant des données sensibles.
- High, évaluation rigoureuse avec essais de pénétration, niveau attendu pour les produits critiques.
L'évaluation suit toujours 6 étapes :
- Analyse de l'architecture de sécurité, diagramme des composants, flux de données, frontières de confiance.
- Identification des risques, menaces, vulnérabilités, impacts.
- Inventaire des contrôles, mécanismes d'authentification, chiffrement, journalisation, etc.
- Vérification de l'implémentation, revue de code, tests fonctionnels, audit de configuration.
- Tests de robustesse, tests négatifs, fuzzing, scénarios d'attaque (selon niveau).
- Documentation et conclusion, rapport d'évaluation, plan de maintenance.
EN 18031-1 : protection du réseau (3.3(d))
Section intitulée « EN 18031-1 : protection du réseau (3.3(d)) »Couvre la protection des réseaux contre les attaques originaires de l'équipement. Contrôles évalués :
- Authentification de l'équipement auprès du réseau (certificats, clés pré-partagées)
- Limitation des connexions sortantes non sollicitées
- Protection contre l'usurpation d'identité
- Mises à jour de sécurité documentées, signées, vérifiables
- Désactivation par défaut des services non nécessaires
- Journalisation des événements de sécurité
- Documentation utilisateur sur la gestion du cycle de vie
Méthode d'évaluation : revue de l'architecture réseau, tests d'authentification, vérification des canaux de mise à jour.
EN 18031-2 : protection des données personnelles (3.3(e))
Section intitulée « EN 18031-2 : protection des données personnelles (3.3(e)) »Couvre la confidentialité et l'intégrité des données. Contrôles évalués :
- Chiffrement des communications sensibles : TLS 1.2+ recommandé, AES-128 minimum pour le payload, perfect forward secrecy
- Stockage chiffré des secrets : clés, mots de passe, tokens
- Gestion d'authentification : mots de passe forts par défaut, MFA pour fonctions sensibles
- Effacement sécurisé lors de la réinitialisation ou de la fin de vie
- Documentation des données collectées (type, finalité, durée de conservation)
- Mise à jour cryptographique : algorithmes obsolètes désactivables
Méthode : analyse du flux de données, vérification du chiffrement, tests d'effacement.
EN 18031-3 : protection contre la fraude (3.3(f))
Section intitulée « EN 18031-3 : protection contre la fraude (3.3(f)) »Couvre l'intégrité des transactions financières. Contrôles évalués :
- Authentification forte pour les opérations financières
- Intégrité et non-répudiation des transactions
- Protection contre les rejeux (nonces, horodatages signés)
- Audit trail des opérations
- Conformité aux standards PCI DSS / EMV / 3DS le cas échéant
Méthode : revue des protocoles de transaction, tests de manipulation, vérification de l'audit trail.
Coûts et délais cybersécurité
Section intitulée « Coûts et délais cybersécurité »| Niveau | Coût typique | Délai |
|---|---|---|
| Basic (auto-évaluation) | 0 € (interne) à €8 000 (assistance externe) | 4-8 semaines |
| Substantial (tiers) | €15 000 – €40 000 | 8-16 semaines |
| High (avec pentest) | €40 000 – €100 000+ | 16-24 semaines |
Les laboratoires spécialisés en cybersécurité RED sont rares en 2026, moins de 10 entités en Europe disposent d'une portée d'accréditation EN 18031. CETECOM, Element, INTERTEK et SGS ont été les premiers à se positionner.
Pré-tests internes vs. laboratoire externe
Section intitulée « Pré-tests internes vs. laboratoire externe »Comme pour les autres directives, la stratégie efficace est de pré-tester en interne pour dégrossir, puis de valider en laboratoire externe.
| Famille | Pré-test interne possible ? | Conditions |
|---|---|---|
| Émissions conduites | Oui | Analyseur de spectre + LISN |
| Émissions rayonnées | Difficile | Chambre semi-anéchoïque ou tests partiels |
| Immunité ESD | Oui | Pistolet ESD calibré |
| Immunité RF rayonnée | Non | Chambre + amplificateur |
| Article 3.2 (spectre) | Partiel | Mesure PIRE conduite possible, rayonnée non |
| SAR | Non | Système robotisé spécialisé |
| Cybersécurité EN 18031 | Oui (basic) | Revue architecture, scan automatisé |
| Cellulaire 3GPP | Non | Station de base simulée requise |
Plan-type d'une campagne RED complète
Section intitulée « Plan-type d'une campagne RED complète »Pour un produit IoT Wi-Fi/BLE + LoRa + cybersécurité 3.3 basic :
Semaine 1-2 : Pré-tests internes (CEM, radio PIRE, sécurité électrique)Semaine 3-4 : Corrections de conceptionSemaine 5 : Envoi au laboratoire externeSemaine 6 : Essais CEM et radio (5 jours)Semaine 7 : Essais sécurité LVD (3 jours)Semaine 8 : Évaluation EN 18031-1/-2 niveau basic (5 jours)Semaine 9 : Réception rapports préliminairesSemaine 10 : Corrections + retests si nécessaireSemaine 11 : Rapports finaux signésSemaine 12 : Constitution dossier + DoCTotal : 12 semaines pour un produit standard, hors retests majeurs.
Coûts indicatifs
Section intitulée « Coûts indicatifs »| Campagne | Fourchette HT |
|---|---|
| SAR (par configuration) | 4 000 – 10 000 € |
| CEM radio (EN 301 489 + EN 301 489-X) | 5 000 – 15 000 € |
| Wi-Fi 2,4 GHz (EN 300 328) | 6 000 – 15 000 € |
| Wi-Fi 5 GHz (EN 301 893) | 8 000 – 18 000 € |
| Sub-GHz 868 MHz (EN 300 220) | 4 000 – 10 000 € |
| Cellulaire LTE/5G complet | 15 000 – 60 000 € |
| Sécurité LVD (EN 62368-1) | 5 000 – 15 000 € |
| Cybersécurité basic (EN 18031) | 0 – 8 000 € |
| Cybersécurité substantial | 15 000 – 40 000 € |
| Cybersécurité high + pentest | 40 000 – 100 000 € |
Une certification RED complète d'un produit IoT Wi-Fi/BLE + cybersécurité basic se situe typiquement entre €25 000 et €60 000. Un produit cellulaire avec cybersécurité substantial monte facilement à €100 000 à €150 000.
Pour aller plus loin
Section intitulée « Pour aller plus loin »- Procédure RED: modules d'évaluation et organismes notifiés
- Documentation technique: annexe V et SDR
- Pièges courants: erreurs récurrentes en radio
- Normes harmonisées: tableau complet des normes
Sources & références
- Recommandation 1999/519/CE du Conseil, limites d'exposition CEM publique , Conseil de l'UE eur-lex.europa.eu/eli/reco/1999/519/oj
- ICNIRP Guidelines 2020 , ICNIRP www.icnirp.org/
- EN 18031 series: Cybersecurity for radio equipment , CENELEC www.cenelec.eu/