Biens à double usage  : l'exportation des technologies de cybersécurité sous surveillance

OPINION. La règlementation européenne sur les biens à double usage évolue vers une approche plus globale de la sécurité pour « recouvrir l'ensemble des nouvelles technologies émergentes, notamment en matière de cybersécurité. (*) Sabine Naugès, avocate associée cabinet McDermott Will & Emery, décrypte les enjeux de cette évolution.

6 mn

Les biens à double usage (BDU) sont les biens et les équipements - y compris les technologies, logiciels, le savoir-faire immatériel ou intangible - susceptibles d'avoir une utilisation tant civile que militaire ou pouvant, entièrement ou en partie, contribuer au développement, à la production, au maniement, au fonctionnement, à l'entretien, au stockage, à la détection, à l'identification, à la dissémination d'armes de destruction massive (ADM - nucléaires, biologiques, chimiques, etc.).

La dualité d'usage de ces biens sensibles, dans la plupart des cas destinés à des applications civiles, peuvent toutefois être utilisés à des fins militaires ou de répression. Il s'agit donc bien d'une véritable source de préoccupation. C'est la raison pour laquelle, l'exportation de ces BDU a justifié la mise en œuvre de régimes internationaux de contrôle et d'autorisations préalables.

Un cadre bien établi

Pour les pays de l'Union européenne, le règlement européen du 5 mai 2009 institue un régime de contrôle des exportations, du courtage, de l'assistance technique, du transit et des transferts de ces BDU.

En France, la mise en œuvre de cette réglementation fait notamment intervenir le service des biens à double usage au sein de la Direction générale des entreprises, autorité compétente pour délivrer les autorisations d'exportation, également appelée licences, et la Direction générale des Douanes et Droits indirects). Rappelons que les contrôles s'appliquent à toutes les exportations vers des territoires extérieurs à l'Union européenne. Les transferts à l'intérieur du territoire de l'Union, quant à eux, ne sont pas soumis à ces contrôles - à l'exception de certains biens très sensibles inscrits sur une liste spécifique annexée au règlement.

Une évolution attendue

Depuis 12 ans, cette réglementation a évolué pour « recouvrir l'ensemble des nouvelles technologies émergentes, notamment en matière de cybersécurité. »

Ainsi dès 2014, soucieuses de s'adapter de manière significative à l'évolution rapide de l'environnement technologique, économique et politique, les institutions de l'Union européenne ont acté la nécessité de renforcer et de moderniser le dispositif de contrôle des exportations. La portée du régime a été élargie, afin d'adjoindre l'enjeu de la sécurité humaine et de la prévention du terrorisme à celui de la sécurité interétatique.

En septembre 2016, la Commission a présenté une proposition de règlement révisé visant à actualiser et à étendre les règles en vigueur. Un accord provisoire signé le 9 novembre 2020 était salué par Peter Altmaier, ministre fédéral allemand de l'économie et de l'énergie et président du Conseil : « L'accord conclu aujourd'hui sur le commerce des biens à double usage contribue grandement à rendre l'Union européenne adaptée aux défis modernes en matière de commerce. Les nouvelles règles établissent un juste équilibre entre le renforcement de la compétitivité de l'UE, la garantie de nos intérêts en matière de sécurité et la promotion des droits de l'homme. Grâce à ces nouvelles règles, nous serons à l'avenir mieux équipés pour permettre le bon déroulement du commerce légitime, mais aussi pour mettre l'accent sur le contrôle de certaines technologies, en particulier les technologies de cyber-surveillance, qui peuvent être détournées dans le cadre de violations des droits de l'homme. En outre, nous renforçons notre approche commune européenne en prévoyant davantage de moyens permettant aux États membres de coopérer dans le domaine du contrôle des exportations. »

C'est donc au terme d'un long processus interinstitutionnel qu'une refonte du règlement a été adoptée par le Parlement européen et le Conseil de l'Union européenne le 10 mai 2021. Ce texte entrera en vigueur 90 jours après sa publication au JOUE, qui est intervenue le 11 juin dernier.

Le texte prend explicitement acte de ce que les technologies de cybersurveillance et, plus généralement, les biens à double usage sont susceptibles de porter gravement atteinte aux droits de l'Homme en dehors du territoire de l'Union européenne et en tire les conséquences. Certaines des modifications du Règlement appellent une attention particulière.

Nouveaux types de BDU et personnes physiques visés par le règlement refondu

Le règlement révisé tient compte de l'apparition de nouveaux types de BDU comme les technologies de cyber surveillance. Ces technologies peuvent représenter un risque pour la sécurité des personnes et pour la protection de droits humains fondamentaux, comme le droit à la vie privée et à, la protection des données à caractère personnel, la liberté d'expression, la liberté d'association, ainsi que la protection contre l'arrestation et la détention arbitraires, ou le droit à la vie.

Le règlement a également modifié les termes "exportation"et "exportateur", afin de préciser que les contrôles s'appliquent aussi aux personnes physiques, qui peuvent être des "exportateurs", en particulier dans le cas des transferts de technologies (fournisseurs de services, chercheurs, consultants, par exemple, voire personnes téléchargeant une "technologie soumise à contrôle").

L'implication des entreprises renforcée

Le règlement introduit également un régime d'interdiction "attrape-tout" - une « catch-all » clause - pour toutes les technologies qui n'ont pas fait l'objet d'une autorisation de l'autorité compétente.

Les exportateurs, s'ils ont connaissance de l'existence d'un risque de double usage de leur technologie, notamment à des fins de répression interne, doivent notifier leurs exportations à leur autorité compétente. Toutefois, cela ne devrait pas être le cas des technologies utilisées à des fins purement commerciales - comme la facturation. Pour ce faire, des procédures internes de conformité doivent être mises en place sur les finalités des biens de cybersurveillance exportés. L'implication des entreprises est ainsi renforcée, puisque repose désormais sur elles une obligation de vigilance afin de veiller à ce que l'utilisation de leur technologie soit compatible avec la Charte des droits fondamentaux de l'Union européenne. Les petites et moyennes entreprises doivent se plier aux mêmes dispositifs de contrôles à l'exception de certaines dispositions, notamment relatives aux programmes internes de conformité.

Coordination, harmonisation, mais pas forcément simplification

Par ailleurs, dans le but d'améliorer le dispositif, le règlement prévoit également un mécanisme de coordination facultatif au niveau de l'Union européenne afin de permettre des échanges plus réguliers entre États membres et une actualisation plus fluide des listes de contrôle nationales.

Véritable nouveauté, une disposition relative aux "contrôles transmissibles" autorise un État membre à introduire des contrôles à l'exportation sur la base de la législation établie par un autre État membre. L'objectif est ici de remédier à l'asymétrie des régimes de contrôle des exportations entre les États membres.

Pour réduire la charge administrative des entreprises et des autorités chargées de délivrer les licences, le règlement ajoute deux nouvelles autorisations générales d'exportation couvrant les transferts intragroupes de logiciels, de technologies et d'articles de cryptage contrôlés. La Chine, la Russie et les Etats du Golfe étant exclus de ces deux autorisations générales. En outre, un régime d'autorisation harmonisé est mis en place pour la fourniture d'assistance technique.

 Enfin, le règlement instaure de nouvelles dispositions en matière d'établissement de rapports dans le but d'accroître la transparence du commerce des BDU tout en respectant la confidentialité des secrets d'entreprise et des intérêts nationaux en matière de sécurité et de protection des données à caractère personnel.

6 mn

Sommet du Grand Paris

Sujets les + lus

|

Sujets les + commentés

Commentaire 1
à écrit le 26/07/2021 à 12:55
Signaler
Je ne connaissais pas cette notion mais du coup et pour nos politiciens à double usage à savoir servir leurs intérêts propres et ceux de ceux qui détruisent la planète et l'humanité en ronflant, existe t'il des textes de lois également ?

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.