Aller au contenu

Tests RED requis (santé, CEM, spectre, cybersécurité)

RED · Pilier

Les essais RED couvrent quatre familles selon les articles 3.1 à 3.3 de la directive. Cette page détaille chaque famille, méthodes, équipements, limites, avec un focus particulier sur l'article 3.3 cybersécurité activé depuis août 2025, le sujet le moins maîtrisé en 2026.

Article 3.1(a): Santé et sécurité (exposition RF)

Section intitulée « Article 3.1(a): Santé et sécurité (exposition RF) »

Les limites d'exposition aux champs électromagnétiques sont définies par la recommandation 1999/519/CE du Conseil, basée sur les guidelines ICNIRP. Pour le public général :

GrandeurPlageValeur de référence
Champ électrique1 MHz – 10 MHz87/√f V/m
Champ électrique10 MHz – 400 MHz28 V/m
Champ électrique400 MHz – 2 GHz1,375·√f V/m
Champ électrique2 GHz – 300 GHz61 V/m
Densité de puissance400 MHz – 2 GHzf/200 W/m²
Densité de puissance2 GHz – 300 GHz10 W/m²
SAR tête/tronc localisé,2,0 W/kg (moyenné sur 10 g, 6 min)
SAR membres localisé,4,0 W/kg (moyenné sur 10 g, 6 min)
SAR corps entier,0,08 W/kg (moyenné sur la masse)

Pour les produits utilisés à moins de 20 cm du corps (téléphones, montres connectées, certains capteurs portables), l'essai SAR est obligatoire :

  1. Préparation : équipement chargé à pleine batterie, configuré en émission maximale.
  2. Phantom : modèle anatomique liquide simulant les tissus à la fréquence évaluée.
  3. Mesure : sonde dosimétrique robotisée balayant le phantom, mesure du champ électrique converti en SAR.
  4. Évaluation : SAR moyenné sur 10 g, comparé à la limite.

Méthodes : EN 50360 (tête), EN 50566 (corps), EN 62209-1/-2/-3 (générales).

Coût typique : €4 000 à €10 000 par configuration testée. Pour un téléphone multi-bandes, compter 4 à 8 configurations.

Pour les équipements fixes ou installés à distance (caméras IP, routeurs, capteurs muraux), EN 62311 permet une évaluation documentaire. Méthode :

  1. Calcul de la densité de puissance à la distance d'usage prévue.
  2. Calcul du champ électrique correspondant.
  3. Comparaison avec les limites publiques.

Pour un point d'accès Wi-Fi à PIRE 20 dBm, le champ à 30 cm est typiquement de 2-3 V/m, très en dessous des 28 V/m autorisés. L'évaluation prend la forme d'un rapport technique inclus au dossier ; pas de mesure physique en laboratoire requise.

Article 3.1(b): Compatibilité électromagnétique radio

Section intitulée « Article 3.1(b): Compatibilité électromagnétique radio »

La série EN 301 489 définit les essais CEM spécifiques aux équipements radio. Particularités par rapport à la CEM générique :

  • Essais réalisés en émission active ET en réception (deux configurations distinctes).
  • Critère de performance dégradée pendant l'immunité (perte temporaire de communication acceptée pour les radios non critiques).
  • Bande de fréquences étendue : émissions CEM mesurées au-delà de 1 GHz selon les règles de fréquence interne d'EN 55032 (typiquement jusqu'à 6 GHz) ; les émissions parasites radio vont plus loin encore au titre des normes article 3.2 (jusqu'à plusieurs dizaines de GHz pour les radios 5 et 6 GHz).
PhénomèneMéthodeLimite typique
Émissions conduites (alimentation)LISN + analyseur 150 kHz – 30 MHzClasse B
Émissions rayonnées (boîtier)Antenne 30 MHz – 6 GHzClasse B avec exemptions bande utilisée
Émissions spurious de l'émetteurMesure spectre étenduLimites par bande EN 301 489-X
PhénomèneNiveauCritère typique
ESD ± 8 kV contact / ± 15 kV airEN 61000-4-2B (récupération auto)
RF rayonnée 3 V/mEN 61000-4-3A en réception, B en émission
EFT ± 2 kVEN 61000-4-4B
Surge ± 2 kV / ± 4 kVEN 61000-4-5B
RF conduite 3 VEN 61000-4-6A/B

Coût d'une campagne CEM radio typique : €5 000 à €15 000.

C'est la famille d'essais la plus visible. Pour chaque bande et chaque technologie, la norme harmonisée définit des limites strictes.

ParamètreLimite
PIRE maximale20 dBm (100 mW)
Densité spectrale10 dBm / MHz
Medium Utilisation (non adaptatif)≤ 10 %
Mécanisme d'accèsAdaptativité (LBT / saut de fréquence adaptatif) ou limite MU
Émissions hors bande-10 dBm/MHz au-delà des bords de bande
Spurious-36 dBm sous 1 GHz, -30 dBm au-dessus

Essais : mesure PIRE, masque spectral, durée d'occupation, comportement face aux interférences. Coût typique : €6 000 à €15 000.

Deux sous-bandes principales :

  • 5150-5350 MHz : PIRE 23 dBm (200 mW), DFS et TPC requis sur la portion 5250-5350 MHz.
  • 5470-5725 MHz : PIRE 30 dBm (1 W), DFS obligatoire pour éviter les radars météo.

Essais : PIRE, masque, DFS (détection de radar et basculement de canal), TPC (contrôle dynamique de puissance).

Sous-bandes G1 à G4 avec limites différentes (voir Normes RED). Pour la sous-bande G3 (868-868,6 MHz, la plus utilisée pour LoRa) :

  • PIRE 25 mW
  • Duty cycle 1 %
  • Émissions hors bande conformes au masque

Les essais cellulaires sont les plus coûteux car ils utilisent des stations de base simulées et exigent une conformité aux suites de tests 3GPP. Bandes typiques en Europe :

  • 2G : 900 MHz (B8), 1800 MHz (B3)
  • 3G : 2100 MHz (B1), 900 MHz (B8)
  • 4G LTE : B1, B3, B7, B8, B20, B28
  • 5G NR : n1, n3, n7, n8, n20, n28, n78, n79

Coût d'une campagne LTE/5G complète : €15 000 à €60 000 selon le nombre de bandes.

Tous les essais article 3.2 sont réalisés dans une chambre anéchoïque RF calibrée :

  • Distance de mesure : 3 m typique pour les bandes basses, plus court pour les bandes hautes.
  • Antenne de mesure étalonnée pour la plage utilisée.
  • Plate-forme rotative pour la mesure en azimut.
  • Mât d'antenne ajustable en hauteur pour la mesure en élévation.

Les laboratoires accrédités ISO/IEC 17025 avec portée RED article 3.2 se comptent sur les doigts d'une main par pays (TÜV, DEKRA, Bureau Veritas, INTERTEK, NCC, CETECOM, 7Layers en Europe).

Les normes EN 18031 ne définissent pas de niveaux d'assurance (basic / substantial / high relèvent du cadre du Cybersecurity Act). Elles introduisent une méthodologie par arbres de décision évaluée conforme ou non conforme :

  • Des arbres de décision par exigence déterminent son applicabilité au produit.
  • Chaque mécanisme de sécurité applicable reçoit une évaluation conceptuelle (justification documentée) plus des évaluations de complétude fonctionnelle et de suffisance fonctionnelle.
  • L'auto-évaluation (module A) est possible quand les normes sont appliquées intégralement et qu'aucune restriction de la citation JOUE fixée par la décision d'exécution (UE) 2025/138 n'est déclenchée (clauses d'absence de mot de passe, contrôle parental pour jouets et garde d'enfants dans EN 18031-2, mise à jour sécurisée des actifs financiers dans EN 18031-3) ; sinon l'organisme notifié s'impose (module B + C).

L'évaluation suit toujours 6 étapes :

  1. Analyse de l'architecture de sécurité, diagramme des composants, flux de données, frontières de confiance.
  2. Identification des risques, menaces, vulnérabilités, impacts.
  3. Inventaire des contrôles, mécanismes d'authentification, chiffrement, journalisation, etc.
  4. Vérification de l'implémentation, revue de code, tests fonctionnels, audit de configuration.
  5. Tests de robustesse, tests négatifs, fuzzing, scénarios d'attaque (selon les mécanismes concernés).
  6. Documentation et conclusion, rapport d'évaluation, plan de maintenance.

Couvre la protection des réseaux contre les attaques originaires de l'équipement. Contrôles évalués :

  • Authentification de l'équipement auprès du réseau (certificats, clés pré-partagées)
  • Limitation des connexions sortantes non sollicitées
  • Protection contre l'usurpation d'identité
  • Mises à jour de sécurité documentées, signées, vérifiables
  • Désactivation par défaut des services non nécessaires
  • Journalisation des événements de sécurité
  • Documentation utilisateur sur la gestion du cycle de vie

Méthode d'évaluation : revue de l'architecture réseau, tests d'authentification, vérification des canaux de mise à jour.

EN 18031-2 : protection des données personnelles (3.3(e))

Section intitulée « EN 18031-2 : protection des données personnelles (3.3(e)) »

Couvre la confidentialité et l'intégrité des données. Contrôles évalués :

  • Chiffrement des communications sensibles : TLS 1.2+ recommandé, AES-128 minimum pour le payload, perfect forward secrecy
  • Stockage chiffré des secrets : clés, mots de passe, tokens
  • Gestion d'authentification : mots de passe forts par défaut, MFA pour fonctions sensibles
  • Effacement sécurisé lors de la réinitialisation ou de la fin de vie
  • Documentation des données collectées (type, finalité, durée de conservation)
  • Mise à jour cryptographique : algorithmes obsolètes désactivables

Méthode : analyse du flux de données, vérification du chiffrement, tests d'effacement.

Couvre l'intégrité des transactions financières. Contrôles évalués :

  • Authentification forte pour les opérations financières
  • Intégrité et non-répudiation des transactions
  • Protection contre les rejeux (nonces, horodatages signés)
  • Audit trail des opérations
  • Conformité aux standards PCI DSS / EMV / 3DS le cas échéant

Méthode : revue des protocoles de transaction, tests de manipulation, vérification de l'audit trail.

Voie de conformitéCoût typiqueDélai
Auto-évaluation (module A)0 € (interne) à €8 000 (assistance externe)4-8 semaines
Campagne en laboratoire tiers accrédité€15 000 – €40 0008-16 semaines
Voie organisme notifié avec essais de sécurité€40 000 – €100 000+16-24 semaines

Les laboratoires spécialisés en cybersécurité RED restent rares en 2026, seules quelques entités en Europe disposent d'une portée d'accréditation EN 18031. CETECOM, Element, INTERTEK et SGS ont été parmi les premiers à se positionner.

Comme pour les autres directives, la stratégie efficace est de pré-tester en interne pour dégrossir, puis de valider en laboratoire externe.

FamillePré-test interne possible ?Conditions
Émissions conduitesOuiAnalyseur de spectre + LISN
Émissions rayonnéesDifficileChambre semi-anéchoïque ou tests partiels
Immunité ESDOuiPistolet ESD calibré
Immunité RF rayonnéeNonChambre + amplificateur
Article 3.2 (spectre)PartielMesure PIRE conduite possible, rayonnée non
SARNonSystème robotisé spécialisé
Cybersécurité EN 18031Oui (auto-évaluation)Revue architecture, scan automatisé
Cellulaire 3GPPNonStation de base simulée requise

Pour un produit IoT Wi-Fi/BLE + LoRa avec cybersécurité 3.3 auto-évaluée :

Semaine 1-2 : Pré-tests internes (CEM, radio PIRE, sécurité électrique)
Semaine 3-4 : Corrections de conception
Semaine 5 : Envoi au laboratoire externe
Semaine 6 : Essais CEM et radio (5 jours)
Semaine 7 : Essais sécurité LVD (3 jours)
Semaine 8 : Évaluation EN 18031-1/-2 (5 jours)
Semaine 9 : Réception rapports préliminaires
Semaine 10 : Corrections + retests si nécessaire
Semaine 11 : Rapports finaux signés
Semaine 12 : Constitution dossier + DoC

Total : 12 semaines pour un produit standard, hors retests majeurs.

CampagneFourchette HT
SAR (par configuration)4 000 – 10 000 €
CEM radio (EN 301 489 + EN 301 489-X)5 000 – 15 000 €
Wi-Fi 2,4 GHz (EN 300 328)6 000 – 15 000 €
Wi-Fi 5 GHz (EN 301 893)8 000 – 18 000 €
Sub-GHz 868 MHz (EN 300 220)4 000 – 10 000 €
Cellulaire LTE/5G complet15 000 – 60 000 €
Sécurité LVD (EN 62368-1)5 000 – 15 000 €
Cybersécurité auto-évaluée (EN 18031)0 – 8 000 €
Cybersécurité laboratoire tiers15 000 – 40 000 €
Cybersécurité voie organisme notifié + pentest40 000 – 100 000 €

Une certification RED complète d'un produit IoT Wi-Fi/BLE avec cybersécurité auto-évaluée se situe typiquement entre €25 000 et €60 000. Un produit cellulaire avec évaluation cybersécurité par un tiers monte facilement à €100 000 à €150 000.

Sources & références

  1. Recommandation 1999/519/CE du Conseil, limites d'exposition CEM publique , Conseil de l'UE eur-lex.europa.eu/eli/reco/1999/519/oj
  2. ICNIRP Guidelines 2020 , ICNIRP www.icnirp.org/
  3. EN 18031 series: Cybersecurity for radio equipment , CENELEC www.cenelec.eu/