État des lieux : une loi contraignante rencontre les premières normes
Depuis l'adoption du règlement ESPR (UE) 2024/1781, le passeport numérique de produit (DPP) n'est plus un projet pilote — c'est une obligation inscrite dans le droit de l'UE. Ce qui manquait encore, c'étaient les normes techniques précisant comment un DPP doit concrètement être mis en œuvre. Cette lacune se comble progressivement depuis la fin du mois de mai 2026.
Le CEN et le CENELEC ont publié les premières normes européennes harmonisées, élaborées par le comité technique JTC 24. Parmi celles-ci :
- EN 18219:2026 — Identifiants uniques
- EN 18220:2026 — Supports de données (y compris les QR codes et la RFID)
- EN 18222:2026 — API et formats d'échange de données
Lors de la conférence DPP4EU 2026 à Bruxelles, début juin, ces normes ont été présentées publiquement pour la première fois — aux côtés d'environnements de test open source conçus pour permettre la vérification de conformité des implémentations. Le Fraunhofer IPK, qui a participé aux travaux de normalisation, a décrit cet ensemble comme un « cadre technologiquement neutre » qui accueille explicitement divers systèmes d'identification — y compris le GS1 Digital Link.
Le projet du JRC pour l'acier : il donne le cap à toutes les industries
Deux niveaux de données, une décision d'architecture claire
Le Centre commun de recherche (JRC) de la Commission européenne a publié un projet de DPP pour les produits semi-finis en fer et en acier. Ce projet présente un intérêt qui dépasse largement la seule industrie sidérurgique, et ce pour plusieurs raisons : c'est le premier document à distinguer de manière formelle et systématique les données au niveau du lot et les données au niveau du produit (numéro de série).
| Niveau | Identifiant | Exemples de données |
|---|---|---|
| Niveau du lot | Numéro de lot | Contenu recyclé, composition de l'alliage, PCF |
| Niveau du produit | Numéro de série | Dimensions, certifications, déclarations de conformité |
Cette distinction est déterminante pour les architectes de bases de données et les intégrateurs de systèmes. Si vous planifiez aujourd'hui une infrastructure DPP, vous devez décider quels points de données sont gérés à quel niveau de granularité — et quelle stratégie d'identifiants soutient ce choix. Lors de l'import en masse de données produit, par exemple, la question de savoir si un enregistrement est rattaché à un lot ou à un numéro de série est loin d'être théorique : elle détermine le schéma de votre base de données et votre logique de mise à jour.
Empreinte carbone : la norme ISO 14067 comme référence
Le traitement de l'empreinte carbone propre au produit (PCF) est particulièrement remarquable. Le projet du JRC la rattache au niveau du lot — ce qui est logique sur le plan technique, puisque la PCF dépend de paramètres de production qui varient d'un lot à l'autre. La méthode de calcul renvoie à des approches compatibles avec la norme ISO 14067.
À titre de comparaison : le règlement sur les batteries (UE) 2023/1542 — actuellement le seul acte sectoriel contraignant assorti de ses propres obligations DPP — implique déjà cette distinction lot/produit sans la formaliser aussi explicitement. Le projet pour le secteur de l'acier devrait donc servir de modèle aux futurs règlements d'exécution.
CIRPASS-2 : des critiques sur l'architecture du registre
Ce que le document de position remet en cause
Le consortium CIRPASS-2, financé par l'UE, a soumis son document de position concernant le projet de registre central des DPP. Les critiques sont de fond :
Structure de gouvernance du registre : le consortium fait valoir qu'il reste flou de savoir qui sera responsable de l'exploitation du registre central à long terme, et selon quelles règles les droits d'accès seront accordés.
Souveraineté des données dans les chaînes d'approvisionnement transfrontalières : lorsque les données produit sont conservées de manière décentralisée par le fabricant — comme le prévoit l'architecture actuelle —, des questions se posent quant à la juridiction applicable à ces données dès lors que les chaînes d'approvisionnement s'étendent à des pays tiers.
Interopérabilité avec les systèmes existants : le consortium est particulièrement critique à l'égard du flou entourant l'articulation avec les systèmes d'identification existants. CIRPASS-2 recommande explicitement d'intégrer la norme EN 18219 comme référence contraignante dans le règlement d'exécution — légitimant ainsi le GS1 Digital Link en tant que mécanisme d'identifiant conforme.
Ce que le registre stocke réellement
Idée reçue fréquente : le registre central des DPP n'est pas un référentiel central de données produit. Il ne stocke que des identifiants uniques et des adresses web pointant vers des passeports hébergés de manière décentralisée. La gestion des données reste de la responsabilité du fabricant. C'est judicieux sur le plan architectural — mais cela signifie que les fabricants ont besoin de leur propre infrastructure d'hébergement stable et durable pour leurs données DPP.
Mise en œuvre technique : RFID, GS1 et l'échéance Sunrise 2027
RAIN RFID et GS1 Digital Link
Parallèlement aux évolutions réglementaires, le mouvement est perceptible du côté de la mise en œuvre. TEKLYNX a mis à jour son logiciel CODESOFT pour prendre en charge les schémas d'encodage GS1 « ++ » (EPC++ et ISO BD), permettant d'écrire directement des URL web dans la mémoire des étiquettes RAIN RFID — une exigence qui découle de la combinaison de la norme EN 18220 (supports de données) et du standard GS1 Digital Link.
Ce n'est pas un sujet de niche : la norme EN 18220 définit quels supports de données physiques sont admissibles pour les applications DPP. La RFID y est explicitement incluse. Si vous imprimez aujourd'hui des étiquettes RFID en recourant à des schémas d'URL propriétaires, vous risquez de devoir effectuer des adaptations rétroactives dès l'entrée en vigueur des règlements d'exécution sectoriels.
Le GS1 Digital Link comme standard de fait
Lors du GS1 Connect 2026, Antares Vision Group et Driscoll's ont présenté un pilote de sérialisation au niveau de l'article pour les produits frais — en utilisant le GS1 Digital Link comme protocole de support de données. Cet exemple démontre que la convergence entre les exigences DPP et l'infrastructure GS1 existante n'est pas un construit théorique ; elle est déjà testée en pratique.
GS1 US a également publié des lignes directrices sur la responsabilité élargie du producteur (REP) recommandant les GTIN et les GLN comme outils de normalisation des données d'emballage — preuve supplémentaire que les identifiants GS1 se positionnent comme des instruments de conformité, y compris en dehors de l'UE.
Microplastiques REACH : une obligation de déclaration parallèle à partir de mai 2026
Sans lien direct avec le DPP, mais pertinent pour les entreprises manufacturières : en mai 2026, l'ECHA a publié des orientations sur l'obligation de déclaration au titre de REACH pour les microparticules de polymères synthétiques. La première échéance de déclaration pour les fabricants et les utilisateurs industriels en aval de granulés, paillettes et poudres de polymères a pris effet en mai 2026.
Pour les entreprises qui doivent simultanément satisfaire aux obligations DPP et aux exigences de déclaration REACH, cela crée une double charge de conformité. La question de savoir si les futurs règlements d'exécution DPP pour les produits en plastique intégreront les données REACH comme champ obligatoire reste ouverte — mais ce serait une étape logique du point de vue de l'efficacité.
Conclusion : c'est maintenant qu'il faut décider de l'architecture
Le paysage réglementaire se consolide rapidement. Les normes techniques (EN 18219 et suivantes) ont été publiées. Le projet du JRC pour l'acier montre comment les règlements d'exécution seront structurés. Le document de position du CIRPASS-2 identifie les vulnérabilités encore ouvertes en matière de gouvernance du registre et de souveraineté des données.
Pour les fabricants et les intégrateurs de systèmes, cela signifie une chose : le moment des décisions d'architecture fondamentales, c'est maintenant — et non lorsque le premier règlement d'exécution sectoriel entrera en vigueur. Si, à ce moment-là, vous en êtes encore à délibérer sur les stratégies d'identifiants, l'infrastructure d'hébergement et la compatibilité des supports de données, vous aurez déjà pris du retard.
