CIRPASS-2 publie l’architecture de référence des DPP européens

CIRPASS-2 propose une architecture de référence pour le système DPP européen

Publié : 17 juin 2026
|
Lecture : 6 min
|
Source :

CIRPASS-2 a publié un projet d’architecture de référence pour le système européen de passeport numérique des produits. Ses 25 recommandations portent sur l’interopérabilité, l’identité, l’intégrité des données, l’identification des produits et l’accès, afin de fournir une base technique aux futures infrastructures DPP.

CIRPASS-2 teste les DPP dans des environnements réels

CIRPASS-2 est un projet d’innovation financé dans le cadre du programme Europe numérique de la Commission européenne. Coordonné par l’institut de recherche français CEA-List, le projet se déroule de mai 2024 à avril 2027.

Ses 13 projets pilotes phares testent des passeports numériques des produits dans les secteurs du textile, des équipements électriques et électroniques, des pneumatiques et des matériaux de construction. Le projet réunit des fabricants, des organismes de recherche, des organisations de normalisation et des fournisseurs de technologies.

Le 10 juin 2026, CIRPASS-2 a publié la version actualisée de son architecture de référence D4.1 pour le système européen de passeport numérique des produits. Le dossier de publication comprend également une fiche récapitulative des recommandations datée du 9 juin et une analyse complémentaire des risques et mesures d’atténuation datée du 5 juin.

Les documents visent à combler l’écart entre le règlement sur l’écoconception pour des produits durables, ou ESPR, et les organisations qui développent les composants techniques des systèmes DPP.

L’architecture définit les rôles et les blocs fonctionnels

L’architecture de référence décrit le système DPP comme une combinaison de services techniques, de fonctions de gouvernance et de composants de données interopérables.

Ces blocs fonctionnels sont associés à différents rôles, notamment les opérateurs économiques responsables, les autorités publiques, les prestataires de services DPP, les organismes émetteurs de justificatifs, les acteurs de la chaîne d’approvisionnement et les utilisateurs finaux.

Le document constitue une proposition exploratoire du consortium CIRPASS-2. Il ne s’agit ni d’une spécification européenne contraignante ni d’une exigence émise par le CEN-CENELEC JTC 24.

Les 25 recommandations couvrent six domaines : l’interopérabilité, la gestion des identités et des accès, l’intégrité des DPP, l’accès aux DPP, la gestion des données et l’affichage des informations.

JSON-LD et API pour l’interopérabilité

CIRPASS-2 recommande JSON-LD comme format par défaut pour l’échange de données DPP. Le projet propose également des modèles DPP modulaires et extensibles afin de favoriser l’interopérabilité sémantique entre les groupes de produits et les plateformes logicielles.

Pour la gestion du cycle de vie, les systèmes devraient utiliser les API principales standardisées définies dans la prEN 18222. Lorsqu’aucune spécification de référence n’existe, le rapport recommande de s’aligner sur des interfaces ouvertes déjà établies.

Les produits intégrant des composants disposant de leur propre passeport devraient fournir des liens persistants vers ces sous-DPP, plutôt que de s’appuyer uniquement sur des données copiées.

Verifiable Credentials et contrôle des accès

L’architecture recommande l’utilisation de Verifiable Credentials pour les identités organisationnelles, les rôles authentifiés et les enregistrements DPP. Les justificatifs de rôle devraient être délivrés ou garantis par des organismes de confiance.

L’accès aux informations DPP protégées devrait être géré au moyen d’un contrôle d’accès fondé sur les rôles. Les données publiques et les jeux de données réservés à certains rôles pourraient être fournis sous la forme de Verifiable Credentials JSON-LD interconnectés.

La proposition distingue les justificatifs d’identité délivrés par des tiers de confiance des justificatifs de données DPP émis par l’opérateur économique responsable.

Intégrité, mises à jour et disponibilité à long terme

CIRPASS-2 recommande de traiter le passeport d’origine et toutes les mises à jour ultérieures comme des enregistrements immuables. Les modifications devraient créer de nouvelles entrées horodatées au lieu d’écraser les informations existantes.

Les systèmes devraient fournir des reçus signés pour les mises à jour et conserver des preuves cryptographiques indépendantes de l’authenticité. Un mécanisme de signalement devrait permettre aux parties autorisées de signaler des DPP incorrects ou invalides.

Les prestataires de sauvegarde devraient répliquer l’ensemble des données DPP, rester synchronisés avec le système principal et appliquer les mêmes règles d’accès.

Accès persistant grâce aux identifiants de produit

L’opérateur économique responsable devrait exploiter un service de redirection reliant l’identifiant unique du produit à l’emplacement actuel de son DPP.

Cette approche sépare l’identifiant permanent du produit d’un emplacement de données susceptible d’évoluer au cours de son cycle de vie. CIRPASS-2 recommande également un service européen indépendant de redirection de secours.

Les produits nécessitant des mises à jour tout au long de leur cycle de vie, par exemple pour enregistrer des réparations, devraient recevoir des identifiants au niveau de l’unité. Les utilisateurs ayant besoin d’un accès fréquent ou en volume, notamment les autorités et les réseaux de réparation, pourraient recourir à la mise en cache ou à des référentiels locaux.

Les risques dépassent la cybersécurité

L’analyse complémentaire couvre les données incorrectes, les identifiants copiés, les supports de données manipulés, les mises à jour non autorisées, les pannes de service, le suivi des produits et la divulgation d’informations commerciales sensibles.

Les mesures proposées comprennent le chiffrement, l’authentification, le contrôle des accès, la limitation du débit, les journaux de mise à jour, les signatures cryptographiques, des supports de données robustes et des services de secours.

Le rapport souligne également que l’intégrité technique ne garantit pas qu’une déclaration sur un produit soit factuellement correcte. Certains risques, notamment les manipulations physiques ou les abus commis par des parties autorisées, peuvent donc subsister.

Pour les intégrateurs de systèmes, les fournisseurs de solutions et les fabricants, l’architecture fournit un cadre permettant d’évaluer les modèles de données, les API, les systèmes d’identité, la résolution des identifiants et les mises à jour du cycle de vie avant un déploiement à grande échelle des DPP.

Découvrez l’architecture de référence complète de CIRPASS-2, les 25 recommandations et l’analyse détaillée des risques : https://cirpass2.eu/project-results/

CIRPASS-2 propose une architecture de référence pour le système DPP européen

CIRPASS-2 teste les DPP dans des environnements réels

L’architecture définit les rôles et les blocs fonctionnels

JSON-LD et API pour l’interopérabilité

Verifiable Credentials et contrôle des accès

Intégrité, mises à jour et disponibilité à long terme

Accès persistant grâce aux identifiants de produit

Les risques dépassent la cybersécurité

Les technologies mobiles ont généré 240 milliards $ en Afrique en 2025

Morse Micro lance un module Wi-Fi HaLow haute puissance pour l'Amérique

Apulse lance des lecteurs UHF RFID pour l'IoT industriel

Gwen révèle une solution BLE sans batterie pour détection intérieure