Le 19 juillet 2026, le Registre central des passeports de produits numériques de l’Union européenne doit entrer en service — le délai légal fixé par l’article 13 du Règlement (UE) 2024/1781, le Règlement écodesign pour les produits durables (ESPR). C’est une véritable étape des infrastructures, et elle sera largement mal interprétée. Ce qui s’ouvre le 19 juillet est un résolveur. La couche de confiance — la gouvernance des acteurs qui exploiteront les services DPP, et toute vérification indépendante de la véracité des données de passeport — ne s’ouvre pas sur elle.

Registres, résolveurs, données fédérées, parties responsables : le vocabulaire sera familier à quiconque a conçu une infrastructure de partage de données. Ce qui est moins familier, c’est de voir un projet à l’échelle du continent être mis en place alors que son cadre de fiducie est encore un document de consultation. C’est cet écart — pas la date de lancement — qui fait l’histoire.

Un résolveur n’est pas un magasin de données

L’architecture du Registre est délibérément mince. À l’exception des identifiants principaux et d’un lien web, les données de passeport ne sont pas stockées de manière centralisée : elles restent auprès de l’opérateur économique ou de son prestataire de services, et le Registre définit un identifiant de produit à la position décentralisée des données. Le contraste avec EPREL — la base de données européenne sur les étiquettes énergétiques, qui héberge les informations sur les produits — est explicite et intentionnel. Le propre DPP Q&A (janvier 2026) décrit le Registre comme le système central d’indexation pour tous les DPP, et place l’interconnexion douanière permettant des contrôles automatisés des frontières dans les quatre ans suivant le lancement — ce qui la situe autour de 2029.

Pour un lectorat qui a passé des années à construire des schémas de partage fédéré de données, voici le schéma reconnaissable : les données restent à la source, sous le contrôle du parti responsable, et la couche centrale ne contient que des identifiants et des pointeurs. C’est la conception adéquate pour l’échelle et la souveraineté des données. Il a aussi une conséquence souvent sous-estimée : un résolveur hérite de la fiabilité de ce qu’il pointe. Le Registre peut confirmer qu’un passeport existe, où il se trouve et qu’il est structurellement bien constitué. Il ne peut pas rendre vrai ce qu’il y trouve.

Le lancement lui-même est organisé. Selon le projet de règlement d’application (Ares(2026)4424976), présenté lors du webinaire CIRPASS-2 EWG1 du 17 juin 2026, le Registre commence avec le Passeport à batterie, un environnement de test reste en ligne au moins jusqu’en février 2027, et tous les composants ne seront pas prêts dès le premier jour. (CIRPASS-2 est une action de coordination et de soutien financée par la Commission européenne, et non par un organisme de normalisation ou de certification ; Je contribue à ses groupes de travail d’experts EWG1 et EWG3.)

La lecture correcte du 19 juillet est donc étroite : un indice est mis en ligne, à temps, par étapes. Nécessaire. Pas suffisant.

Le règlement du Registre n’est pas encore une loi

Voici le détail que la plupart des couvertures manqueront. Au moment de la rédaction de ces lignes — le 8 juillet 2026 — le Règlement d’application établissant le fonctionnement du Registre n’a pas été adopté et n’a pas été publié dans le Journal officiel. Il existe sous forme de projet, référence Arès(2026)4424976, dont la consultation publique a ouvert le 27 avril 2026 et s’est clôturée le 27 mai 2026. Onze jours avant la date limite légale du Registre, ses règles de fonctionnement restent un document de consultation. Ce n’est pas une note de bas de page sur le lancement ; C’est un résumé juste de la position de l’ensemble du cadre.

Le projet reste précis quant à ce que le Registre vérifiera. Selon l’article 6 du projet, la vérification lors de l’enregistrement est automatique et structurelle : que les attributs obligatoires des données existent et soient conformes sémantiquement ; que le niveau de granularité — modèle, lot ou article — correspond à ce que les actes délégués applicables en vertu du Règlement (UE) 2024/1781 exigent ; que le code des marchandises se situe dans la plage autorisée pour le groupe de produits ; que le lien vers la sauvegarde tierce est présent lorsque cela est pertinent ; et que le passeport porte une signature électronique qualifiée ou un sceau selon le cadre eIDAS. Ce sont les bons critères pour un indice : la complétude sémantique est vérifiable par une machine à l’échelle continentale, et la vérité substantielle ne l’est pas.

Mais la limite doit être énoncée aussi clairement que la conception : le Registre ne vérifie pas — par construction, et non par omission — si les données contenues dans un passeport sont correctes. Un passeport déclarant 40 % de contenu recyclé et sémantiquement complet s’enregistre aussi facilement qu’un passeport vrai.

La couche manquante est la couche fournisseur

L’article 3(f) du même projet énumère un registre des fournisseurs de services DPP comme composante formelle du Registre. Le composant est dans le plan ; la gouvernance qui le sous-tend ne l’est pas. Les exigences que ces prestataires doivent remplir — les critères qui distingueraient un opérateur sérieux d’un opérateur improvisé — sont encore en consultation publique. J’ai répondu à cette consultation en tant qu’expert CIRPASS-2, et je peux témoigner que les questions posées sont les bonnes. Ce ne sont aussi, pour l’instant, que des questions.

La séance de questions-réponses de la Commission reconnaît le point plus profond par écrit (Q25) : il n’existe actuellement aucune exigence universelle de certification ou d’évaluation de conformité par un tiers des informations divulguées dans un DPP. De telles exigences peuvent arriver plus tard, groupe par groupe de produits, par des actes délégués — si les études approfondies les jugent nécessaires.

Mets les deux ensemble. La couche infrastructure arrive à une date fixe, soutenue par une date légale. La couche acteur-gouvernance est une enquête ouverte. Entre eux se trouve un marché.

Sélection défavorable, par construction

L’économie de ce marché n’est pas nouvelle. Lorsque les acheteurs ne peuvent pas observer la qualité avant l’achat, les vendeurs qui investissent dans l’apparence surpassent ceux qui investissent dans la substance — le classique problème du citron, transplanté dans l’infrastructure de conformité. Sans vérification indépendante, un acheteur ne peut pas distinguer un fournisseur avec une véritable architecture de vérification d’un fournisseur avec une page d’atterrissage. Les prix de la façade apprécient l’architecture, et généralement en dessous, car les façades sont peu coûteuses à construire.

Les PME paient d’abord, et le cadre lui-même explique pourquoi. La séance de questions-réponses de la Commission oriente les petits opérateurs vers les fournisseurs de services DPP précisément pour assumer la charge technique — y compris la sauvegarde des données tierces légalement imposée (Q8 ; Article 10(4) de l’ESPR). Le fournisseur est censé être le raccourci de l’expert à travers la complexité. Mais une PME qui choisit un fournisseur aujourd’hui s’oppose à des critères qui ne sont pas encore fixés légalement, sans aucune mention d’accréditation à vérifier et sans registre à consulter. La partie la moins équipée pour auditer l’architecture d’un fournisseur est celle que le framework envoie en premier pour les achats.

J’ai décrit le modèle économique résultant en mai comme « fais semblant jusqu’à ce que tu y arrives » : codes QR se résolvant en PDF, tableaux Excel passeports renommés, conformité promise maintenant et conçue plus tard. Dans une application grand public, c’est une stratégie de croissance. Dans une déclaration légale selon le droit de l’UE, il s’agit d’un transfert de responsabilité — du bilan du fournisseur vers celui du client. Le séquençage actuel ne pénalise pas ce modèle. Cela le subventionne.

L’application de l’application qui arrive en premier est fragmentée

Alors que la couche de données DPP se centralise, la couche d’application des réclamations se fragmente. La directive (UE) 2024/825, la directive sur l’autonomisation des consommateurs — une base juridique distincte de l’article 13 de l’ESPR — s’applique à partir du 27 septembre 2026 et interdit les allégations environnementales non fondées sur l’ensemble du marché unique. (Ce n’est pas la directive sur les revendications vertes ; cette proposition a été retirée en 2025, et les deux sont encore régulièrement confondues.) Italie transférée anticipément : le décret législatif 30/2026, publié le 9 mars 2026, constitue une réclamation verte non documentée une pratique commerciale déloyale appliquée par l’autorité de la concurrence AGCM, avec des pénalités atteignant 4 % du chiffre d’affaires. L’Allemagne a modifié sa loi sur la concurrence déloyale. Et le 28 mai 2026, la Commission a émis des lettres de notification formelle — première étape de la procédure de contrefaçon, et non une constatation de violation — à 20 États membres ayant manqué le délai de transposition, y compris la France et les Pays-Bas.

Ces deux capitales compressent ce schéma en une seule juridiction : activisme national unilatéral sur une voie, retard sur la voie harmonisée. La France, en défaut de transposition, a adopté sa propre loi anti-fast-fashion le 29 juin 2026 — pas encore promulguée, une mesure nationale autonome plutôt qu’une transposition, et déjà restreint après deux avis détaillés émis par la Commission le 29 septembre 2025 dans le cadre de la procédure de notification TRIS. Les Pays-Bas appliquent depuis le 1er juillet 2023 un régime contraignant de responsabilité élargie des producteurs pour les textiles (UPV Textiel) — une augmentation des objectifs de réutilisation et de recyclage, avec un passage de 25 % à 33 % de recyclage fibre-fibres — et ont reçu la même lettre du 28 mai sur la directive 2024/825. Un résolvant centralisé à Bruxelles ; Vingt-sept régimes d’application se déplaçant à différentes vitesses, certains sur des pistes nationales parallèles. Le fournisseur de façade opère exactement dans cette étendue.

L’écart est l’opportunité

Pour les opérateurs, le même écart se lit différemment. Rien dans le règlement à venir n’empêche un fournisseur de construire aujourd’hui ce que le cadre exigera à terme — et les composants ne sont ni exotiques ni spéculatifs.

Passeports délivrés comme identifiants vérifiables, avec des preuves cryptographiques ancrées à des identifiants résolubles publicement, afin que tout vérificateur conforme puisse vérifier l’émetteur et l’intégrité des données sans recourir à l’API propriétaire du fournisseur. Vérification du bilan massif par unité, car l’écart entre certification et déclaration est structurel : les systèmes de certification certifient les volumes — kilogrammes de matière sur une fenêtre de temps — tandis qu’un passeport est une déclaration par produit, et concilier les deux est un problème algorithmique qui quantifie, unité par unité, la quantité de volume certifié qui soutient réellement la revendication. J’ai mesuré ce qui se passe lorsque personne ne lance cette conciliation : lors d’un audit de trois ans portant sur 656 309 yards de documents certifiés, chaque certificat de transaction était formellement valide — et 44,21 % du volume a échoué à la vérification du bilancier massif par unité par rapport à la source principale (jeu de données public sur Zenodo, DOI 10.5281/zenodo.19206500). Et des données du cycle de vie générées comme sous-produit d’un véritable suivi de la chaîne d’approvisionnement, assemblées à partir d’événements déjà capturés, plutôt que reconstruites rétroactivement comme un exercice de conseil distinct.

La loi déléguée textile dans le cadre de l’ESPR n’a pas encore été adoptée — et c’est précisément là le point. L’attendre produit d’autres façades. Construire une architecture vérifiable transforme désormais le vide de responsabilité en une position défendable : lorsque les exigences des fournisseurs deviendront loi, les opérateurs qui considéraient la vérification comme une architecture s’y conformeront déjà, et ceux qui l’ont considérée comme du marketing auront un produit à reconstruire.

Pour quiconque conseille un acheteur cette année, un test falsifiable coupe le silence : demander au prestataire de démontrer, sur une infrastructure active, comment une affirmation déclarée est vérifiée par rapport aux preuves — et ce que le système rapporte lorsque les preuves sont épuisées. La réponse vous dira tout ce que vous devez savoir.

Le registre ouvrira à l’heure prévue. La couche de confiance ne le fera pas. En septembre, je reviendrai sur la seconde moitié de cette histoire : ce que signifie la vague d’application de la directive (UE) 2024/825 pour l’infrastructure de confiance — et qui sera prêt à y répondre.


Stefano Cipriani est membre expert CIRPASS-2 (EWG1/EWG3) et le fondateur de Reeco.