Sécurité générale des produits : nouveaux enjeux de conformité pour les acteurs du secteur de la santé

Dans un paysage réglementaire en constante évolution, l’Union européenne continue de renforcer la protection des consommateurs face aux risques liés aux produits.

Le Règlement (UE) 2023/988, plus connu sous le nom de Règlement sur la Sécurité Générale des Produits (RSGP), entré en vigueur le 13 décembre 2024, abroge la directive 2001/95/CE et instaure un cadre harmonisé pour la sécurité des produits de consommation non alimentaires.

Bien que de portée générale (tous produits non alimentaires destinés aux consommateurs), ce texte revêt une importance particulière pour les acteurs du secteur santé, dont les portefeuilles incluent de plus en plus de produits situés à la frontière des cadres sectoriels classiques : dispositifs de bien-être, objets connectés de suivi de santé, solutions de santé numérique, applications mobiles, équipements à usage domestique, ou encore outils intégrant des fonctionnalités d’intelligence artificielle.

Le 21 novembre 2025, la Commission européenne a publié, dans sa communication C/2025/6233, ses lignes directrices sur les obligations applicables aux différents opérateurs économiques, accompagnées de modèles de documentation et de checklists pratiques.

Une obligation générale de sécurité renforcée, incluant certains produits de santé

Le RSGP impose une obligation générale de sécurité : tous les produits mis sur le marché doivent être sûrs, c’est-à-dire ne pas présenter de risques inacceptables dans des conditions d’utilisation normales ou raisonnablement prévisibles.

Champ d'application étendu

Le champ d’application couvre tous les produits destinés aux consommateurs sur le marché de l’UE, y compris les biens numériques (applications, logiciels, chatbots...), neufs, d’occasion, réparés ou reconditionnés, ainsi que les produits initialement professionnels apparus sur le marché grand public.

Exclusions et articulation avec les cadres sectoriels

Sont exclus du champ du RSGP notamment : les médicaments, les denrées alimentaires, les aliments pour animaux, les plantes et animaux vivants (y compris OGM en confinement), les sous-produits animaux, les produits phytopharmaceutiques, et les services en tant que tels (sans préjudice des produits fournis dans le cadre d’un service).

Pour les produits soumis à des règles sectorielles (dispositifs médicaux, cosmétiques, directive basse tension…), le RSGP s’applique de manière complémentaire, uniquement pour les risques non couverts par ces cadres spécifiques. Sont visés : les risques liés à la cybersécurité, les fonctionnalités évolutives ou fondées sur l’IA, les impacts sur la santé mentale, certains risques environnementaux affectant la santé/sécurité des consommateurs.

‍

Apports majeurs des lignes directrices pour le secteur de la santé

Notion élargie de sécurité, incluant la santé mentale

Un produit est considéré comme sûr s’il garantit un niveau élevé de protection de la santé physique et mentale, cette dernière étant appréciée au sens de l’OMS (absence de risques pour les capacités cognitives, d’anxiété, de dépression ou de troubles du sommeil).
Cette approche est particulièrement structurante pour les solutions numériques de santé, applications de suivi, objets connectés ou outils d’IA conversationnelle.‍

Gestion des rappels et relation consommateur

Lorsqu’un opérateur met en place un système d’enregistrement volontaire ou un programme de fidélisation permettant d’identifier précisément le produit acheté, il doit proposer un opt-in distinct exclusivement dédié aux alertes de sécurité :

• case à cocher séparée,
•  information claire,
• absence d’usage marketing,
• politique de conservation limitée.

Objectif : maximiser l’efficacité des rappels, en cohérence avec le RGPD.

En cas de rappel, les consommateurs doivent se voir proposer au moins deux recours parmi la réparation, le remplacement équivalent et le remboursement intégral, dans des conditions rapides, efficaces et gratuites.

‍Principales obligations des opérateurs économiques

Les opérateurs économiques doivent notamment :

• ‍Évaluer et documenter les risques tout au long du cycle de vie du produit (y compris usages détournés, consommateurs vulnérables, cybersécurité, IA, attractivité pour les enfants) ;
• ‍Assurer une traçabilité complète et une information claire, incluant l’identification du produit, les coordonnées de la personne responsable établie dans l’UE et des avertissements visibles avant l’achat en ligne ;‍
• Mettre en place des processus robustes de gestion des incidents et rappels, incluant :
  • la notification obligatoire des accidents graves via le Safety Business Gateway,
  • des mesures correctives immédiates,
  • la communication directe aux consommateurs concernés (prioritaire),
  • l’information rapide des autres opérateurs de la chaîne
  • une conservation des données personnelles strictement limitée (maximum 5 ans).

Les fournisseurs d’une place de marché en ligne et les prestataires de service d’exécution des commande sont considérés comme des opérateurs économiques avec des obligations spécifiques (coopération pour retraits/rappels).

‍Obligations par catégorie d’acteur

Ces obligations n’ont vocation à s’appliquer qu’en complément de certaines réglementations sectorielles existantes, lorsqu’elles ne couvrent pas intégralement les risques en cause.

• ‍Fabricants : analyse de risques étendue (cyber, IA, santé mentale), documentation technique actualisée, canaux de réclamation, identification produit, instructions en langue locale… ;
• Importateurs : vérification de la conformité, personne responsable si fabricant hors UE, conservation documentation 10 ans… ;
• Distributeurs : contrôles avant distribution, procédures internes, obligation de notification en cas de danger ;
• Fournisseurs d’une place de marché en ligne : point de contact unique, réaction rapide aux injonctions (2 jours),traitement des alertes sécurité (3 jours), intégration des alertes Safety Gate, suspension des vendeurs récidivistes, notification immédiate des accidents graves … ;
• Prestataires de service d’exécution des commandes : obligations renforcées et possible qualification de personne responsable par défaut en l’absence d’autre acteur établi dans l’UE.

Mesures à prendre immédiatement pour les entreprises santé concernées

Concrètement, pour vérifier que vos pratiques sont conformes aux nouvelles exigences du RSGP, il est nécessaire :

• d’intégrer les nouveaux concepts de sécurité prévus par le RSGP et les Guidelines de la Commission, tels que les risques cyber, IA ou liés à la santé mentale, dès la conception des produits et dans les systèmes de vigilance post-commercialisation ;
• de vérifier et, le cas échéant, compléter les mentions de sécurité et de traçabilité sur les produits et supports de vente en ligne;
• de revoir les politiques d’enregistrement ou de programme de fidélisation des clients afin de permettre un opt-in dédié aux alertes de sécurité ;
• de mettre à jour les procédures internes de gestion des incidents et rappels, incluant la maîtrise du Safety Business Gateway et la coordination avec les partenaires de distribution et de logistique.