Rejoignez Gary Staley pour démêler l'écheveau de l'histoire. de l'ITAR, de l'EAR et des mesures de cybersécurité, fournissant des informations précieuses pour une mise en conformité efficace dans un paysage mondial en évolution rapide.
Nielsonsmith : Gary, tout d'abord, je voudrais vous remercier de nous avoir parlé aujourd'hui et d'avoir partagé vos connaissances avec notre public.
Gary: Merci. Je pense que nous avons beaucoup de choses à nous dire cette année. De mémoire récente, cette année a probablement été l'une des plus passionnantes pour les praticiens du contrôle des exportations, tant il s'est passé de choses. Et il n'y a pas que des bonnes choses ; nous pourrons en parler au fur et à mesure.
Nielsonsmith : Oui, alors pourquoi ne pas plonger dans le vif du sujet ? La première question que nous avons à vous poser est la suivante : pourriez-vous nous donner un bref aperçu des principaux changements et développements intervenus dans le domaine de l'ITAR et de l'EAR au cours de l'année écoulée ?
Gary: La difficulté pour moi est de fournir un bref aperçu ; je pourrais en parler pendant des heures. La plupart des lecteurs de cet entretien savent probablement que les États-Unis disposent de deux systèmes de contrôle des exportations : les International Traffic in Arms Regulations (ITAR) du Département d'État américain et les Export Administration Regulations (EAR) du Département du commerce américain. Il y a aussi, bien sûr, l'Office of Foreign Assets Control (OFAC) du département du Trésor des États-Unis, qui administre les sanctions américaines, bien que les contrôles à l'exportation de l'EAR et les sanctions de l'OFAC continuent de converger, les contrôles de l'EAR ressemblant de plus en plus à des sanctions en termes de ciblage d'individus et d'entités spécifiques plutôt que de pays entiers. Bien entendu, les sanctions américaines ciblent depuis longtemps des personnes et des entités spécifiques.
Mais commençons par l'ITAR. Il est intéressant de noter qu'il n'y a pas eu beaucoup d'événements bouleversants concernant les ITAR au cours de l'année écoulée. Je pense que c'est en partie dû au fait que depuis mai 2023, lorsque le secrétaire adjoint Mike Miller a annoncé qu'il quittait son poste pour celui du ministère américain de la défense, jusqu'à tout récemment, il n'y a pas eu de secrétaire adjoint officiellement nommé pour diriger la direction des contrôles commerciaux de la défense. Pendant cette période, la DDTC a eu une série de sous-secrétaires adjoints intérimaires choisis parmi les directeurs de bureau de la DDTC. Dans une telle situation, je pense que les initiatives au sein de ce bureau sont quelque peu freinées ; ils ne veulent pas entreprendre de développements ou de changements majeurs de l'ITAR sans la nomination officielle d'un nouveau sous-secrétaire adjoint. Pour l'essentiel, l'ITAR a fait l'objet d'ajustements. La règle ITAR Reorg a été finalisée ; il y a eu une extension des licences générales ouvertes, dont nous pouvons parler, et il y a eu quelques autres développements, mais encore une fois, rien d'extraordinaire.
Je n'ai encore rencontré aucune entreprise au Royaume-Uni, en Australie ou au Canada qui admette utiliser les licences générales ouvertes ; elles semblent une fois de plus être un programme mort à l'arrivée. C'est dommage, car ces licences générales ouvertes permettent, en théorie, de retransférer dans ces pays, et de réexporter entre ces trois pays, des articles contrôlés par ITAR sans licence, sans approbation préalable, à condition de remplir toutes les conditions de ces licences générales ouvertes.
Le supplément n° 1 de la partie 126 d'ITAR a été mis à jour, ce qui a permis d'augmenter le nombre d'articles pouvant bénéficier de l'exemption canadienne et des traités de contrôle du commerce de défense du Royaume-Uni et de l'Australie. Mais encore une fois, ces traités étaient morts à l'arrivée sous l'administration Bush. Je n'ai encore rencontré aucune entreprise qui admette utiliser l'un ou l'autre de ces traités.
Le DDTC a poursuivi la suspension du statut de pays proscrit de Chypre dans le cadre de l'ITAR. Chypre était un pays proscrit en raison du conflit entre les communautés grecque et turque de l'île, mais le statut de pays proscrit au titre de l'ITAR 126.1 a été suspendu pour l'instant. Encore une fois, il s'agit d'ajustements.
Qu'est-ce qui nous attend ? Eh bien, pour l'instant, il semble qu'il y ait encore des ajustements, à l'exception d'AUKUS. Et AUKUS va être très intéressant. AUKUS est une proposition visant à permettre au Royaume-Uni et au Canada de bénéficier d'un traitement similaire à celui de l'exemption canadienne ITAR, à condition, comme l'ont déclaré plusieurs fonctionnaires du département d'État devant le Congrès, que le Royaume-Uni et l'Australie disposent de systèmes de contrôle des exportations comparables à ceux des États-Unis. La différence la plus flagrante entre les États-Unis, le Royaume-Uni et l'Australie est que les États-Unis imposent des contrôles sur les réexportations et les retransferts. L'Australie a récemment apporté des modifications à sa législation sur le contrôle des exportations qui pourraient imposer certaines exigences en matière de contrôle des réexportations. En ce qui concerne le Royaume-Uni, j'ai participé à une conférence en septembre dernier à Londres où j'ai posé la question "Le Royaume-Uni est-il prêt à se doter d'un système comparable ? à un représentant de l'une des principales associations commerciales britanniques. Il s'est empressé de répondre que nous disposions déjà d'un système comparable, et il avait clairement préparé ses arguments pour expliquer pourquoi c'était le cas. Le Royaume-Uni n'a pas de contrôle sur les réexportations ; il sera donc intéressant de voir comment cela se passera.
J'invite également les gens à prêter attention aux dispositions relatives aux contrôles des exportations dans ce qu'on appelle la loi d'autorisation de la défense nationale pour l'année fiscale 2024. Parmi ces dispositions figure l'autorisation de négocier des exemptions pour l'Australie et le Royaume-Uni, ainsi qu'une libéralisation supplémentaire des échanges avec le Canada en ce qui concerne l'ITAR. Il sera intéressant de voir comment tout cela va se dérouler.
Pour le reste, il s'agit là encore de quelques ajustements. Nous attendons toujours une règle finale concernant la définition des ressortissants de pays doubles ou tiers. Je crois qu'il y a environ deux ans, le département d'État a proposé de modifier la définition de "détenez-vous une nationalité" à "avez-vous détenu une nationalité". À l'heure actuelle, la définition est "détenir", ce qui signifie que même le pays de naissance d'une personne peut faire d'elle un double national, mais que signifie "détenir" ? Si vous êtes né en Iran, que vous êtes parti enfant lorsque le Shah a été déposé, que vous n'y êtes jamais retourné, que vous n'avez pas de famille là-bas, mais que vous n'êtes sagement pas allé dans une ambassade iranienne pour dire "où est le formulaire à remplir pour renoncer à ma nationalité iranienne", cette personne est-elle toujours "détentrice" de la nationalité iranienne ? Au moins dans la règle proposée par l'État, il n'y a pas eu de clarification à ce sujet. Nous verrons bien.
En ce qui concerne l'EAR, l'essentiel est bien sûr d'essayer d'accroître la pression sur la Russie, le Belarus et la Chine par le biais de contrôles à l'exportation. L'année dernière, les semi-conducteurs et les équipements de fabrication de semi-conducteurs ont été l'un des principaux sujets abordés. Il semble que toutes les deux semaines, nous ayons des ajouts à la liste des entités, qui est l'un des principaux moyens utilisés par le département du commerce pour imposer, une fois de plus, ce qui équivaut à des sanctions aux entreprises russes et aux entités d'autres pays qui sont perçues comme aidant la Russie.
L'autre grande nouveauté est l'importance accrue accordée à l'application de la législation. Le département d'État a publié un nouveau guide du programme de conformité. Il a également publié une matrice de conformité qui mérite d'être examinée. Elle est très utile. Le département d'État a continué d'engager des procédures d'application ; en particulier, un accord a été publié la semaine dernière, imposant une pénalité civile de $51 millions de dollars à Boeing, bien que cette pénalité soit loin d'être la plus élevée jamais imposée à des entreprises. Il est intéressant de noter que l'accord de consentement de Boeing fait référence à l'un des responsables du contrôle des exportations de Boeing qui aurait fabriqué des licences DSP-5. On se dit alors : "Ouah !" Comment est-ce possible ? J'ai donc trouvé cela intéressant. Environ la moitié de la pénalité de $51 millions est autorisée à être appliquée à des mesures correctives.
En ce qui concerne l'EAR et les sanctions, nous avons vu beaucoup plus d'efforts d'application multi-agences et, je dirais, multi-pays. Du côté américain, nous avons depuis mars 2022 ce que l'on appelle la Task Force KleptoCapture, dirigée par le ministère de la justice, qui rassemble le FBI, le US Marshals Service, l'Internal Revenue Service, le US Postal Inspection Service, l'Immigration and Customs Enforcement, etc. pour appliquer les sanctions contre les oligarques russes. En février 2023, la justice et le commerce ont lancé ce qu'ils appellent la "Disruptive Technology Strike Force". Il s'agit là encore d'un effort conjoint visant à réunir le FBI, la sécurité intérieure et des groupes de travail au sein de chaque bureau de procureur des États-Unis dans les différents États, afin de renforcer l'application des contrôles et des sanctions à l'exportation des États-Unis.
Il est intéressant de noter que depuis l'administration Obama, il existe un organisme appelé Export Enforcement Coordination Center (E2C2), qui était censé faire la même chose. Pourquoi donc ce nouveau groupe de travail sur les technologies de rupture est-il nécessaire ? L'E2C2 a-t-il été un échec ? Les esprits curieux veulent le savoir ! Mais il ne fait aucun doute que la pression est forte pour que des affaires soient portées devant les tribunaux.
Cela m'amène à un sujet sur lequel je suis impatient de dialoguer avec les participants à la conférence. Nous faisons-nous des illusions sur l'efficacité des sanctions et des contrôles à l'exportation ?
Le New York Times a publié un article très intéressant au début de la semaine dernière, je crois, dans lequel sept tableaux expliquent pourquoi les sanctions n'ont pas été efficaces contre la Russie, et l'un des principaux facteurs, bien sûr, est que la Russie s'est tournée vers la Chine pour une grande partie de ses échanges commerciaux. Mais une grande partie de ce commerce illicite provient également du Moyen-Orient : EAU, Bahreïn, certains autres États du Golfe. Selon toute apparence, les sanctions n'ont pas réussi à mettre la Russie à genoux.
Nielsonsmith : C'était l'une des questions à l'ordre du jour d'aujourd'hui, à savoir dans quelle mesure vous pensez qu'ils sont efficaces ; eh bien, voici les réponses.
Gary: Plusieurs grands journaux américains ont publié des articles sur les raisons pour lesquelles les sanctions ne sont pas plus efficaces la semaine dernière ou à la fin de la semaine précédente, lorsque nous avons célébré le deuxième anniversaire de la guerre en Ukraine. Je pense que l'une des choses qui se passe, c'est que le processus de sanctions n'est tout simplement pas assez souple. Il a toujours été question de jouer à pile ou face. Dès que l'on identifie et que l'on frappe un canal de commerce illicite, cinq autres apparaissent. Les autorités américaines abordent les sanctions d'une manière très légaliste ; il s'agit de monter des dossiers susceptibles d'être poursuivis devant les tribunaux américains. Et le temps que cela se fasse, une grande partie du commerce illicite a déjà eu lieu. Il y a une autre chose que je ne comprends pas, et j'aimerais bien que quelqu'un me l'explique : pourquoi les États-Unis ont-ils présenté ce grand train de sanctions supplémentaires pour le deuxième anniversaire de la guerre ? Les autorités ont annoncé qu'elles sanctionnaient 500 personnes et entités supplémentaires en Russie, au Belarus et dans des pays tiers. Qu'attendaient-ils ? Cinq cents ? Vous saviez qu'ils étaient impliqués dans le commerce illicite et vous attendiez pour les sanctionner ? Je ne comprends pas.
Nielsonsmith : Nous avons couvert une bonne partie du sujet, mais j'aimerais revenir sur AUKUS de manière un peu plus détaillée. Quelles implications cela peut-il avoir pour le respect des règles commerciales ?
Gary: Je suis un Thomas dubitatif à ce sujet. En partie parce que, encore une fois, toutes ces initiatives semblent faire couler beaucoup d'encre et se révèlent ensuite peu efficaces. J'ai mentionné l'initiative de la licence générale ouverte, il y a environ trois ans. Elles n'affectent pas les contrôles américains sur les réexportations applicables au commerce de la défense à partir, par exemple, du Royaume-Uni vers des pays autres que le Canada et l'Australie. À l'heure actuelle, les chaînes d'approvisionnement mondiales sont tellement imbriquées. BAE travaille au Royaume-Uni sur un programme de défense américain qui serait soumis à l'ITAR ; BAE a probablement des fournisseurs dans toute l'Europe, voire dans le monde entier. Ainsi, même si nous obtenons une exemption pour le commerce avec le Royaume-Uni, BAE ne devra-t-elle pas obtenir une autorisation de réexportation pour traiter avec ses fournisseurs en Allemagne, en France et en Inde, le cas échéant. Je pense donc que cela pourrait faire une certaine différence mais, une fois encore, étant donné le fonctionnement de la chaîne d'approvisionnement mondiale, je me demande quelle sera l'efficacité de cette mesure.
Et si AUKUS incite les entreprises britanniques, canadiennes et australiennes à s'isoler davantage et à ne pas utiliser les chaînes d'approvisionnement mondiales, est-ce vraiment une bonne chose pour nos positions de défense respectives ? Les États-Unis, le Royaume-Uni, l'Australie et le Canada n'ont plus le monopole des meilleures technologies. Par conséquent, si la création d'une exemption pour ces pays dissuade les BAE et les Rolls-Royce du monde entier d'utiliser une meilleure technologie disponible en Allemagne pour un projet du ministère américain de la défense, est-ce une bonne chose ? Là encore, nous verrons.
En ce qui concerne l'impact plus large pour les entreprises légitimes, j'espère qu'elles intensifient leurs efforts de conformité avec les tiers pour s'assurer qu'elles ne traitent pas avec, qu'elles n'exportent pas vers quelqu'un où les articles vont finir en Russie ou en tant qu'exportations illicites vers la Chine. Je ne vois pas comment on peut faire cela en 2024 sans automatisation. Il faut un logiciel d'automatisation du commerce pour y parvenir.
Nielsonsmith : La cybersécurité est un sujet très important en ce moment. Ma question suivante est donc la suivante : quels sont les derniers développements concernant le programme de certification du modèle de maturité de la cybersécurité du ministère de la Défense des États-Unis ?
Gary: Il est intéressant de noter que le DoD a attendu le 26 décembre, alors que tout le monde était en vacances, pour publier non seulement les règles proposées concernant la CMMC 2.0, mais aussi un certain nombre de documents d'orientation supplémentaires qui s'appliqueraient à la CMMC 2.0. La Commission semble donc vouloir poursuivre son programme. Il semble que nous finirons par avoir trois niveaux, et si vous êtes dans le commerce de la défense, vous serez au niveau 2 parce que vous traiterez des informations contrôlées à l'exportation.
La grande question que je me pose pour les entreprises européennes est que le CMMC prévoit un audit, un audit par un tiers, pour vérifier que les programmes de cybersécurité sont conformes aux exigences du CMMC, telles qu'elles sont définies dans la publication spéciale 800-171 du National Institute of Standards and Technologies et dans ses différentes variantes. Comment cet audit va-t-il se dérouler à l'étranger ? Le Canada est en train d'élaborer son propre programme de cybersécurité, à l'instar de la CMMC, avec un élément de certification, et il est en pourparlers avec les États-Unis en vue d'une réciprocité, i.eSi nous certifions qu'une entreprise canadienne est conforme à notre programme, reconnaîtrez-vous qu'elle est conforme au CMMC et n'exigerez-vous pas un audit distinct ? Je pense que le Royaume-Uni travaille sur un projet de ce type. Je n'ai pas entendu beaucoup de nouvelles de ce genre en provenance d'autres pays européens ; alors, où en sont leurs entreprises dans la chaîne d'approvisionnement du ministère américain de la défense, où les exigences du CMMC entreraient en vigueur ? Il est encore très vague de savoir si et quand le programme CMMC accréditera des auditeurs dans des pays tiers pour effectuer cet audit. S'il ne le fait pas pendant les deux - trois - quatre - cinq premières années suivant l'entrée en vigueur de la CMMC, l'audit devra être effectué par des entreprises américaines. Je ne peux pas imaginer que les entreprises françaises ou néerlandaises seront ravies de devoir payer des auditeurs américains pour qu'ils viennent chez elles. J'ai même entendu des réserves de la part d'entreprises européennes, et il ne s'agit pas d'une théorie du complot, sur le fait que des auditeurs américains examinent leurs programmes de cybersécurité. Les informations recueillies seront-elles transmises à notre Agence nationale de sécurité pour lui permettre d'espionner leurs programmes ? Il reste donc beaucoup à déterminer au sujet du CMMC 2.0, mais il avance et les entreprises de la chaîne d'approvisionnement du ministère américain de la défense seraient bien avisées, si elles n'ont pas encore examiné tout cela, de le faire.
Nielsonsmith : Merci d'avoir partagé tant de connaissances aujourd'hui. Pour terminer, j'aimerais vous demander dans quelle mesure vous pensez qu'il est important que les entreprises investissent dans la formation de leurs responsables de la conformité et quelles sont les ressources qu'elles devraient utiliser.
Gary: Je ne saurais trop insister sur le fait que la formation est l'un des trois éléments clés d'un programme de conformité efficace. Si vous n'avez pas formé vos employés aux exigences en vigueur, comment voulez-vous qu'ils s'y conforment ? Et surtout, si vous n'avez pas fourni de ressources de formation à vos responsables du contrôle des exportations, comment sont-ils censés gérer vos programmes de conformité ? C'est ce que je constate à maintes reprises. Je vais avoir une vidéoconférence aujourd'hui avec une entreprise que j'assiste dans le cadre d'une importante divulgation volontaire au Département d'État, et elle continue d'embaucher des responsables du contrôle des exportations qui n'ont ni formation, ni expérience. Ils apprennent sur le tas, mais d'après mon expérience de plus de 40 ans, ce n'est qu'une possibilité. Beaucoup de ces personnes ne font pas le travail nécessaire pour apprendre les exigences en matière de contrôle des exportations.
Il ne s'agit pas d'un cours de cinquième année ; il s'agit de règles très sophistiquées qui demandent beaucoup de temps et d'efforts pour être apprises, et dans de nombreux cas, je ne vois pas cela. Mais la bonne nouvelle, Alisa, c'est qu'en moyenne, je trouve que les responsables européens du contrôle des exportations sont mieux formés et mieux informés que les responsables américains.
Nielsonsmith : Merci beaucoup pour votre temps, Gary, et je suis sûr que les connaissances que vous avez partagées aujourd'hui sont très appréciées par nos lecteurs.
Gary Stanley est le Président des services juridiques mondiaux, PCun cabinet d'avocats basé à Washington, DC, qui se concentre sur la conformité commerciale et d'autres questions liées au commerce international.
M. Stanley représente, entre autres, de nombreuses entreprises américaines, canadiennes et européennes sur les questions de contrôle des exportations de défense.
Par exemple, M. Stanley a :
- A conseillé de nombreuses entreprises de défense américaines sur l'obtention d'approbations de licences, ainsi que de licences de fabrication et d'accords d'assistance technique, en vertu des parties 123 et 124 de la réglementation sur le trafic international d'armes ("ITAR") et sur l'utilisation des exemptions ITAR, y compris l'exemption canadienne prévue à l'article 126.5 de l'ITAR.
- Conseils à plusieurs entreprises sur les divulgations volontaires au titre de l'article 127.12 des ITAR.
- Assistance à de nombreuses entreprises de défense pour l'enregistrement et l'octroi de licences à leurs courtiers en vertu de la partie 129 de l'ITAR.
- Il a dispensé des formations sur le contrôle des exportations à diverses entreprises de défense américaines, britanniques et canadiennes, ainsi qu'à des responsables du contrôle des exportations du gouvernement russe et à diverses agences du gouvernement canadien, notamment le ministère canadien de la défense nationale, le ministère canadien des affaires étrangères et du commerce international et l'Agence spatiale canadienne. De février 2004 à février 2005, M. Stanley a occupé le poste d'agent spécial de conformité chargé de superviser le programme de conformité en matière de contrôle des exportations d'une grande entreprise de défense, conformément à un accord de consentement conclu par l'entreprise avec le département d'État américain. Les fonctionnaires chargés de l'application de la loi avaient engagé des poursuites contre la société en vertu de la théorie de la responsabilité du successeur pour des violations qu'une autre société, dont la plupart des actifs avaient été acquis par cette société, avait prétendument commises.
Outre la représentation d'entreprises privées, M. Stanley a également été consultant auprès du gouvernement américain et de groupes industriels. Par exemple, il a été le principal expert externe en matière de contrôle des exportations pour le maître d'œuvre Booz Allen Hamilton Inc. dans le cadre de la phase II du Transatlantic Secure Collaboration Program (programme de collaboration transatlantique sécurisée). Ce programme était un consortium de dix entreprises de défense américaines, canadiennes et européennes, dont Lockheed Martin, EADS, Northrop Grumman et Boeing, cherchant à établir des lignes directrices sur les "meilleures pratiques" pour l'échange électronique d'informations exclusives non classifiées et d'informations dont l'exportation est contrôlée.
M. Stanley a obtenu son diplôme de premier cycle à l'université Emory en 1975 et son diplôme de droit à la faculté de droit de Harvard en 1978. Il a été élu en première année à Phi Beta Kappa. M. Stanley est actuellement secrétaire-trésorier et administrateur de l'Institut des aspects procéduraux du droit international.
Pour plus d'informations sur M. Stanley et son cabinet juridique, Global Legal Services, appelez-le au (202) 686-4854 ou envoyez-lui un courriel à l'adresse gstanley@glstrade.com.
SERVICES JURIDIQUES MONDIAUX
Événements connexes
