Contexte : pourquoi un registre central pour les passeports numériques de produits ?
Le passeport numérique de produit (DPP) est la pierre angulaire du règlement européen sur l'écoconception des produits durables (ESPR), en vigueur depuis juillet 2024. Il oblige les fabricants à fournir des enregistrements de données lisibles par machine pour un nombre croissant de catégories de produits — des batteries aux textiles en passant par l'électronique. Mais où sont réellement hébergées les références vers ces enregistrements ? C'est précisément ce que traite le nouveau règlement d'exécution.
Le 29 avril 2026, la Commission européenne a publié un projet de règlement d'exécution relatif au registre des DPP, désormais ouvert à la consultation publique. Le document décrit comment un registre centralisé stockera des identifiants uniques de produits et les reliera à des données de produit hébergées de manière décentralisée. Il ne s'agit pas d'une base de données contenant les données de produit elles-mêmes — il s'agit d'un annuaire de références.
Ce choix architectural est délibéré : l'UE ne souhaite pas créer un silo de données monolithique, mais plutôt un réseau interopérable de systèmes de fabricants pouvant être découverts via un nœud central partagé.
Ce que le projet exige réellement
Structure : registre central, données décentralisées
Le principe fondamental du projet est clair : le registre ne stocke que les identifiants uniques (UID) et les points d'accès de résolution associés — c'est-à-dire les URL auxquelles les données réelles du DPP peuvent être récupérées. Les données de produit elles-mêmes restent chez le fabricant ou chez un opérateur de données désigné.
Ce modèle est conceptuellement très proche de GS1 Digital Link, la norme ouverte qui relie les GTIN à des URI web structurées. Un scanner ou une autorité de surveillance du marché peut utiliser l'entrée du registre central pour localiser le résolveur responsable et y récupérer l'ensemble des données du passeport.
Obligations d'enregistrement pour les opérateurs économiques
Le projet établit que les fabricants et les importateurs sont tenus d'enregistrer leurs produits dans le registre avant leur mise sur le marché. Plus précisément, ils doivent :
- soumettre l'identifiant unique du produit (UID),
- fournir le point d'accès de résolution (URL) auquel le DPP peut être consulté,
- communiquer des métadonnées sur la catégorie de produit et sur l'opérateur économique responsable.
L'enregistrement doit s'effectuer via une API standardisée, dont la spécification technique est encore en cours d'élaboration par ECLASS et d'autres organismes de normalisation. Le projet renvoie aux travaux en cours du CEN/CENELEC JTC 24, chargé d'harmoniser les modèles de données.
Droits d'accès et protection des données
L'un des points de controverse centraux de la consultation sera probablement la question de savoir qui peut accéder à quelles données du registre. Le projet distingue trois catégories d'acteurs :
| Acteur | Accès en lecture | Accès en écriture | Remarques |
|---|---|---|---|
| Public / Consommateurs | URL du résolveur, catégorie de produit | Non | Aucune donnée commerciale sensible |
| Autorités de surveillance du marché | Entrée complète, métadonnées comprises | Non | Uniforme dans toute l'UE |
| Opérateurs économiques (fabricants, importateurs) | Leurs propres entrées | Oui | Authentification via EU Login |
Les informations commercialement sensibles — telles que les relations avec les fournisseurs ou les prix d'achat — ne doivent explicitement pas être stockées dans le registre. Pour cela, le projet renvoie à la possibilité de définir des niveaux d'accès (Access Rights) au sein du DPP lui-même, comme le prévoit déjà le règlement délégué ESPR relatif aux batteries.
Implications techniques pour les fabricants et les prestataires informatiques
Intégration d'API et enregistrement en masse
Pour les entreprises disposant de vastes portefeuilles de produits, la question de l'enregistrement en masse est cruciale. Le projet décrit une API REST permettant de soumettre des UID par lots. Voici un exemple simplifié de la structure que pourrait avoir un tel appel d'enregistrement :
POST /registry/v1/products
Content-Type: application/json
Authorization: Bearer <EU-Login-Token>
{
"uid": "https://id.gs1.org/01/04012345678901/21/ABC123",
"resolverEndpoint": "https://dpp.example.com/resolver",
"productCategory": "ESPR:TextileUpperGarment",
"economicOperator": {
"eori": "DE123456789",
"name": "Muster GmbH"
}
}
L'UID lui-même doit être conforme à un système d'identification reconnu — le projet cite explicitement les GTIN GS1 ainsi que les codes conformes à la norme ISO/IEC 15459. Les systèmes propriétaires sont autorisés, mais ils doivent être globalement uniques et résolus de manière permanente.
Pour les entreprises qui utilisent déjà des outils comme l'import en masse de qr3.app, le principe sous-jacent ne change pas fondamentalement : une livraison structurée en CSV ou JSON d'UID et d'URL de résolution peut être mise en correspondance avec l'API du registre. Le véritable défi réside dans la gouvernance — qui, au sein de l'organisation, est responsable de la maintenance des entrées lorsque les URL de résolution changent ou que des produits sont retirés du marché ?
Gestion du cycle de vie : rappels et archivage
Le projet aborde également le cycle de vie du produit après sa mise sur le marché. Les fabricants sont tenus de mettre à jour les entrées du registre lorsque :
- le point d'accès de résolution change,
- le produit est rappelé (l'entrée doit alors être marquée comme « rappelée » mais non supprimée),
- l'entreprise est dissoute ou transférée.
L'obligation d'archivage est fixée à au moins 10 ans après la dernière mise sur le marché du produit — une exigence qui constitue un défi particulier pour les PME dépourvues de leur propre infrastructure informatique.
Calendrier et prochaines étapes
La consultation publique sur le projet devrait se poursuivre jusqu'à la fin du mois de juin 2026. Les commentaires peuvent être soumis via le portail « Donnez votre avis » de l'UE. La Commission a indiqué son intention d'adopter le règlement d'exécution définitif avant la fin de 2026, afin de s'aligner sur les premiers règlements délégués ESPR spécifiques aux produits — au premier rang desquels les textiles (prévus pour 2027).
Pour le règlement sur les batteries, contraignant depuis février 2024, un dispositif particulier s'applique : le système de passeport de batterie fonctionne dans un premier temps via un mécanisme distinct, mais il est destiné à être intégré au registre central à moyen terme.
Ce que les entreprises devraient faire dès maintenant
Même si le règlement n'est pas encore définitif, certaines mesures préparatoires peuvent être prises dès aujourd'hui :
- Définissez votre stratégie d'UID : décidez si vous vous appuyez sur les GTIN GS1 ou sur un système alternatif. GS1 Digital Link présente l'avantage que l'identifiant fait simultanément office d'URI web résoluble.
- Mettez en place votre infrastructure de résolution : le point d'accès de résolution doit être accessible en permanence et versionné. Utilisez des URL de base stables — et non des URL courtes dynamiques.
- Définissez les processus de maintenance des données : qui, dans votre organisation, est responsable des mises à jour du registre lorsque des produits changent ou sont rappelés ?
- Suivez la consultation : le règlement définitif pourra différer du projet — notamment en ce qui concerne les spécifications d'API et les droits d'accès.
Évaluation : ce que fait le registre — et ce qu'il ne fait pas
Le registre central des DPP n'est ni un certificat de qualité ni une évaluation de conformité. Il s'agit d'un service d'annuaire — comparable à un DNS pour les identifiants de produits. L'exactitude des données du DPP demeure de la responsabilité des opérateurs économiques et est vérifiée par les autorités de surveillance du marché.
Des critiques du secteur — dont BusinessEurope — ont déjà fait observer que la double structure d'un registre central et d'un stockage de données décentralisé accroît les coûts de mise en conformité sans améliorer significativement la protection des données. Les partisans, parmi lesquels des organisations environnementales comme le Bureau européen de l'environnement, font valoir à l'inverse que seul un point d'entrée central peut garantir l'applicabilité par les autorités.
La phase de consultation révélera si la Commission maintient l'architecture hybride ou y apporte des ajustements. Pour les entreprises qui entament dès maintenant leurs préparatifs techniques, l'enseignement clé est le suivant : les principes fondamentaux — identifiants uniques, résolveurs stables, métadonnées structurées — resteront valables quel que soit le texte réglementaire définitif.
Sources
- Règlement (UE) 2024/1781 établissant un cadre pour la fixation d'exigences en matière d'écoconception
- Proposed EU Rules Clarify Operation of Digital Product Passport Registry
- CEN/CENELEC JTC 24 - Digital Product Passport
- Règlement (UE) 2023/1542 relatif aux batteries et aux déchets de batteries
- Les normes GS1 au service du DPP de l'UE
