Skip to content
InfoDPP Logo
InfoDPP
ESPR knowledge hub
technology

Qui peut exploiter un DPP ? Règles de l'UE pour les prestataires

Ce que l'UE prépare pour les prestataires DPP : certification, interopérabilité, règles de sauvegarde et gouvernance des plateformes.

· 9 min de lecture · InfoDPP

Pourquoi ce sujet est important maintenant

La Commission européenne ne discute plus du Passeport Numérique des Produits uniquement comme outil de conformité au niveau du produit. Elle prépare également des règles pour les entreprises qui exploiteront l’infrastructure autour du DPP.

C’est significatif car un prestataire DPP n’est pas un simple fournisseur de logiciels. En pratique, un tel prestataire peut héberger des données produit, gérer les droits d’accès, maintenir des copies de sauvegarde, assurer l’interopérabilité, exposer des API et veiller à ce que les données du passeport restent disponibles lorsque les produits circulent sur le marché.

Pour les entreprises qui choisissent une plateforme DPP, la question passe de « Ce fournisseur peut-il générer un QR code ? » à « Cette architecture restera-t-elle fonctionnelle lorsque les règles de gouvernance de l’UE deviendront plus spécifiques ? »

Ce que la Commission prépare concrètement

La Commission européenne a lancé une initiative dédiée sur les règles applicables aux prestataires DPP dans le cadre du règlement ESPR. L’initiative indique clairement que la Commission entend adopter un acte délégué fixant les règles de fonctionnement des prestataires DPP en tant que composante essentielle de la gouvernance élargie du DPP.

Le processus suit un calendrier déjà visible :

  • appel à contributions : 12 novembre – 10 décembre 2024
  • consultation publique : 8 avril – 1er juillet 2025
  • projet d’acte : en préparation
  • adoption par la Commission : prévue au T4 2026

Le cadre juridique final n’est pas encore publié, mais la direction n’est plus abstraite. La Commission a déjà posé au marché des questions précises sur le stockage des données, la gestion des données et le besoin éventuel d’un système de certification pour les prestataires.

Ce qui est déjà clair aujourd’hui

Même avant la publication de l’acte délégué final, plusieurs points sont suffisamment clairs.

1. Les prestataires DPP seront traités comme un rôle de gouvernance distinct

La Commission ne traite pas l’infrastructure DPP comme un détail technique invisible. Elle la considère comme une fonction pouvant nécessiter des règles dédiées, car les prestataires se situent à l’intersection des opérateurs économiques, des régulateurs, des consommateurs, des systèmes douaniers et des autorités de surveillance du marché.

2. Le débat ne porte pas sur la nécessité de règles de gouvernance

Le débat porte sur la forme que ces règles doivent prendre. C’est une distinction importante. Le socle de gouvernance est déjà sur la table. Les questions ouvertes concernent la certification, la séparation des rôles, la propriété des données et les exigences techniques.

3. L’interopérabilité est centrale, pas optionnelle

Dans les contributions de la consultation, un thème revient sans cesse : les prestataires DPP ne doivent pas enfermer les entreprises dans des systèmes propriétaires. Standards ouverts, identifiants portables et transférabilité entre prestataires figurent parmi les demandes les plus récurrentes.

4. Sauvegarde et continuité seront importantes

Le cadre ESPR contient déjà le principe que les données DPP doivent rester disponibles même si l’opérateur d’origine ou l’acteur économique disparaît. Le débat sur les prestataires rend cela opérationnel : qui stocke les copies de sauvegarde, quand elles sont libérées et si la sauvegarde doit constituer un rôle séparé.

Ce que le registre des contributions montre

L’appel à contributions a attiré 178 réponses — provenant de fournisseurs de plateformes, de fabricants, d’organismes de normalisation, d’associations professionnelles, d’initiatives d’espaces de données et d’organismes d’évaluation de la conformité.

L’interopérabilité et la lutte contre le verrouillage sont le plus fort dénominateur commun

Les répondants de secteurs très différents soutiennent que les prestataires DPP devraient reposer sur des standards ouverts et internationalement reconnus et éviter les architectures qui rendent le changement de prestataire inutilement difficile.

Pourquoi cela compte en pratique :

En pratique, cela signifie :

  • les entreprises doivent pouvoir exporter leurs données produit sous forme exploitable
  • les identifiants et liens ne doivent pas se briser lors d’un changement de prestataire
  • les prestataires ne doivent pas dépendre de protocoles fermés créant des barrières de sortie
  • un DPP doit rester portable entre plateformes et systèmes

La gouvernance décentralisée bénéficie d’un large soutien

Un autre point récurrent : les données DPP ne devraient pas être automatiquement concentrées dans un dépôt central propriétaire contrôlé par un opérateur externe. Un large éventail de répondants s’est prononcé pour un modèle plus décentralisé dans lequel l’opérateur économique conserve le contrôle de ses données.

Cela ne signifie pas que chaque entreprise hébergera elle-même ses données. Cela signifie que le modèle de gouvernance doit laisser de la place à :

  • une propriété claire des données par l’opérateur économique
  • un hébergement de plateforme sans transfert implicite de contrôle
  • des registres portables et des structures exportables
  • des rôles de sauvegarde limités et clairement définis

La certification est à l’ordre du jour, mais non encore tranchée

La consultation montre clairement que certains acteurs souhaitent un modèle de certification ex ante formelle, tandis que d’autres préfèrent un contrôle plus souple ou plus flexible. Des références à la maturité en sécurité de l’information (type ISO 27001) comme niveau d’exigence pratique sont visibles.

  • certains acteurs plaident pour une certification formelle et indépendante avant qu’un prestataire puisse opérer
  • d’autres soutiennent une certification volontaire ou des critères de sécurité de base plutôt qu’un filtrage lourd
  • plusieurs réponses pointent vers une gestion de la sécurité de l’information d’un niveau proche d’ISO 27001 comme attente pratique minimale

Une forme de fiabilité et de gouvernance démontrables est probable, mais le mécanisme juridique exact n’est pas encore finalisé.

Les copies de sauvegarde ne sont pas une question triviale de stockage

Les parties prenantes posent des questions précises :

  • la sauvegarde doit-elle être opérée par le même prestataire ou par un tiers séparé ?
  • doit-elle contenir un miroir en temps réel ou seulement le dernier état valide ?
  • qui peut y accéder et dans quelles conditions ?
  • comment la continuité fonctionne-t-elle si l’opérateur économique ou le prestataire cesse d’exister ?

Cela compte parce qu’un prestataire conçu uniquement pour l’affichage en façade pourrait ensuite avoir du mal à respecter des règles plus structurées de continuité et de libération des données.

Ce qui reste ouvert

C’est ici que la prudence s’impose. Plusieurs questions importantes restent non résolues et l’article ne doit pas prétendre le contraire.

1. Le modèle de certification final n’est pas publié

On ne sait pas encore si l’acte délégué exigera une certification ex ante complète, une évaluation de conformité allégée, une certification volontaire ou un modèle hybride.

2. La frontière entre hébergement principal et sauvegarde est floue

La distinction juridique et opérationnelle entre une plateforme servant activement un DPP et un prestataire ne conservant qu’une copie de continuité est encore en discussion.

3. Les exigences techniques finales ne sont pas encore codifiées

La direction politique est clairement pro-interopérabilité, mais l’acte délégué n’a pas encore défini la pile de standards exacte, les obligations systémiques ou les mécanismes de vérification pour les prestataires.

4. Les barrières financières et organisationnelles ne sont pas réglées

Certains répondants ont averti que des exigences trop lourdes pourraient exclure les sociétés européennes de logiciels plus petites.

Ce que les entreprises peuvent faire dès maintenant en toute sécurité

Le fait que l’acte délégué final ne soit pas encore publié ne signifie pas que les entreprises doivent attendre passivement. Cela signifie qu’elles devraient privilégier les décisions qui resteront utiles même si certains détails évoluent.

1. Privilégier des données produit ouvertes et portables

Ne construisez pas votre processus autour d’une plateforme qui rend les exports difficiles, obscurcit les identifiants ou complique la migration. La portabilité est l’une des hypothèses les plus sûres.

2. Interroger les prestataires sur la propriété et la logique de sortie

Un prestataire DPP sérieux doit déjà pouvoir répondre à des questions comme :

  • à qui appartiennent les données produit ?
  • comment les exporter ?
  • que se passe-t-il si le service prend fin ?
  • comment les sauvegardes et la continuité sont-elles gérées ?

Si ces réponses restent vagues aujourd’hui, elles ne deviendront probablement pas plus simples après l’adoption de l’acte délégué.

3. Traiter la gouvernance comme un critère de sélection du prestataire

N’évaluez pas les prestataires uniquement sur les fonctionnalités d’interface. Évaluez leur approche des droits d’accès, de la traçabilité, de la séparation des rôles, des données structurées et de la maintenabilité à long terme.

4. Éviter les architectures difficiles à adapter par la suite

La meilleure préparation ne consiste pas à deviner la règle finale exacte. Elle consiste à ne pas construire sur des hypothèses déjà contestées dans les consultations — en particulier le verrouillage propriétaire et la faible portabilité.

Pourquoi cela compte pour les acheteurs d’OriginPass

Pour les fabricants, importateurs et propriétaires de marques, la conclusion clé n’est pas qu’ils doivent devenir des experts en rédaction d’actes délégués. La conclusion clé est que le choix du prestataire devient une décision architecturale liée à la conformité.

Le signal le plus fort du processus actuel indique que le modèle DPP gagnant ne sera probablement pas :

  • fermé
  • opaque
  • difficile à exporter
  • négligent sur les sauvegardes et la logique d’accès

La direction la plus probable est un modèle construit autour de :

  • données structurées
  • identifiants portables
  • frontières de propriété claires
  • interopérabilité
  • gouvernance pouvant être expliquée et auditée

Lire ensuite

Sources officielles

Le choix d’une plateforme DPP n’est plus seulement une décision logicielle. Mieux vaut travailler avec un opérateur qui suit déjà de près les questions de prestataires, d’interopérabilité et de gouvernance pendant que les règles de l’UE se précisent. C’est ainsi qu’OriginPass aborde des registres produit structurés et des workflows DPP portables.

← Retour au Blog
OriginPass

Préparez vos données produit pour l'ESPR

Commencez à construire votre Passeport Numérique du Produit — structurez vos données, cartographiez les identifiants et soyez prêt avant l'arrivée des actes délégués. Offre gratuite disponible.

Commencer gratuitement sur OriginPass →
Mise en place rapide

Sans carte bancaire · Offre gratuite disponible · Commencez à votre rythme