Rejoignez Gary Staley pour démêler l'écheveau de l'histoire. de l'ITAR, de l'EAR et des mesures de cybersécurité, fournissant des informations précieuses pour une mise en conformité efficace dans un paysage mondial en évolution rapide.
Nielsonsmith : Gary, tout d'abord, je voudrais vous remercier de nous avoir parlé aujourd'hui et d'avoir partagé vos connaissances avec notre public.
Gary: Merci. Je pense que nous avons beaucoup de choses à nous dire cette année. De mémoire récente, cette année a probablement été l'une des plus passionnantes pour les praticiens du contrôle des exportations, tant il s'est passé de choses. Et il n'y a pas que des bonnes choses ; nous pourrons en parler au fur et à mesure.
Nielsonsmith : Oui, alors pourquoi ne pas plonger dans le vif du sujet ? La première question que nous avons à vous poser est la suivante : pourriez-vous nous donner un bref aperçu des principaux changements et développements intervenus dans le domaine de l'ITAR et de l'EAR au cours de l'année écoulée ?
Gary: The difficult part for me is to provide a BRIEF overview; I could talk for hours on this. Most of the readers of this interview probably know that the United States has two systems of export controls: the U.S. Department of State’s International Traffic in Arms Regulations (ITAR) and the U.S. Department of Commerce’s Export Administration Regulations (EAR). And, of course, there’s also the U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC), which administers U,S. sanctions, although EAR export controls and OFAC sanctions continue to converge, with EAR controls looking more and more like sanctions in terms of targeting specific individuals and entities rather than whole countries. Of course, targeting specific individuals and entities is what U.S. sanctions have done for a long time.
But let’s start with the ITAR. Interestingly, there’s not a whole lot of earth-shaking developments regarding the ITAR over the past year. I think, in part, that’s because from May of 2023, when Deputy Assistant Secretary Mike Miller announced that he was leaving for a position at the US Department of Defense, until just recently, there has not been a formally-appointed Deputy Assistant Secretary to lead the Directorate of Defense Trade Controls. During that time, DDTC has had a series of Acting Deputy Assistant Secretaries drawn from the office directors within DDTC. When you have that situation, I think that somewhat chills initiatives within that office; they don’t want to undertake major developments or changes to the ITAR without having the formal appointment of a new Deputy Assistant Secretary. There were tweaks to the ITAR for the most part. The ITAR Reorg rule got finalized; there was an extension of the Open General Licenses, which we can talk about, and there were a few other developments, but again, nothing earthshaking.
Je n'ai encore rencontré aucune entreprise au Royaume-Uni, en Australie ou au Canada qui admette utiliser les licences générales ouvertes ; elles semblent une fois de plus être un programme mort à l'arrivée. C'est dommage, car ces licences générales ouvertes permettent, en théorie, de retransférer dans ces pays, et de réexporter entre ces trois pays, des articles contrôlés par ITAR sans licence, sans approbation préalable, à condition de remplir toutes les conditions de ces licences générales ouvertes.
Le supplément n° 1 de la partie 126 d'ITAR a été mis à jour, ce qui a permis d'augmenter le nombre d'articles pouvant bénéficier de l'exemption canadienne et des traités de contrôle du commerce de défense du Royaume-Uni et de l'Australie. Mais encore une fois, ces traités étaient morts à l'arrivée sous l'administration Bush. Je n'ai encore rencontré aucune entreprise qui admette utiliser l'un ou l'autre de ces traités.
Le DDTC a poursuivi la suspension du statut de pays proscrit de Chypre dans le cadre de l'ITAR. Chypre était un pays proscrit en raison du conflit entre les communautés grecque et turque de l'île, mais le statut de pays proscrit au titre de l'ITAR 126.1 a été suspendu pour l'instant. Encore une fois, il s'agit d'ajustements.
Qu'est-ce qui nous attend ? Eh bien, pour l'instant, il semble qu'il y ait encore des ajustements, à l'exception d'AUKUS. Et AUKUS va être très intéressant. AUKUS est une proposition visant à permettre au Royaume-Uni et au Canada de bénéficier d'un traitement similaire à celui de l'exemption canadienne ITAR, à condition, comme l'ont déclaré plusieurs fonctionnaires du département d'État devant le Congrès, que le Royaume-Uni et l'Australie disposent de systèmes de contrôle des exportations comparables à ceux des États-Unis. La différence la plus flagrante entre les États-Unis, le Royaume-Uni et l'Australie est que les États-Unis imposent des contrôles sur les réexportations et les retransferts. L'Australie a récemment apporté des modifications à sa législation sur le contrôle des exportations qui pourraient imposer certaines exigences en matière de contrôle des réexportations. En ce qui concerne le Royaume-Uni, j'ai participé à une conférence en septembre dernier à Londres où j'ai posé la question "Le Royaume-Uni est-il prêt à se doter d'un système comparable ? à un représentant de l'une des principales associations commerciales britanniques. Il s'est empressé de répondre que nous disposions déjà d'un système comparable, et il avait clairement préparé ses arguments pour expliquer pourquoi c'était le cas. Le Royaume-Uni n'a pas de contrôle sur les réexportations ; il sera donc intéressant de voir comment cela se passera.
J'invite également les gens à prêter attention aux dispositions relatives aux contrôles des exportations dans ce qu'on appelle la loi d'autorisation de la défense nationale pour l'année fiscale 2024. Parmi ces dispositions figure l'autorisation de négocier des exemptions pour l'Australie et le Royaume-Uni, ainsi qu'une libéralisation supplémentaire des échanges avec le Canada en ce qui concerne l'ITAR. Il sera intéressant de voir comment tout cela va se dérouler.
Other than that, again, some tweaking. We are still waiting on a final rule regarding the definition of dual/third country nationals. I believe two years or so ago the State Department proposed to change the definition from “do you hold a nationality” to “have you held a nationality.” Right now, the definition is “hold” which means that even someone’s country of birth can make the person a dual national, But what does “hold” mean? If you were born in Iran and you left as a child when the Shah was deposed, and you’ve never been back, and you don’t have any family there, but you wisely have not gone into an Iranian Embassy and said, “where’s the form for me to fill out for me to renounce my Iranian citizenship?”, does the person still “hold” Iranian citizenship. At least in State’s proposed rule, they didn’t clarify that. So, we’ll see.
En ce qui concerne l'EAR, l'essentiel est bien sûr d'essayer d'accroître la pression sur la Russie, le Belarus et la Chine par le biais de contrôles à l'exportation. L'année dernière, les semi-conducteurs et les équipements de fabrication de semi-conducteurs ont été l'un des principaux sujets abordés. Il semble que toutes les deux semaines, nous ayons des ajouts à la liste des entités, qui est l'un des principaux moyens utilisés par le département du commerce pour imposer, une fois de plus, ce qui équivaut à des sanctions aux entreprises russes et aux entités d'autres pays qui sont perçues comme aidant la Russie.
The other big development is the significantly increased emphasis on enforcement. The State Department came out with a new compliance program guide. They also published a compliance matrix, which is well worth reviewing. It is very useful. State has continued to bring enforcement cases; particularly, there was a Consent Agreement that came out just last week imposing a $51 million dollars civil penalty on Boeing, although that’s far from the highest civil penalty that has previously been assessed against companies. Interestingly, in the Boeing Consent Agreement, there was a reference to one of the Boeing export control managers fabricating DSP-5 licenses. And you kind of go, “Wow!” How’s that possible? So, I thought that was interesting. About half of the $51 million penalty is allowed to be applied toward remedial measures.
En ce qui concerne l'EAR et les sanctions, nous avons vu beaucoup plus d'efforts d'application multi-agences et, je dirais, multi-pays. Du côté américain, nous avons depuis mars 2022 ce que l'on appelle la Task Force KleptoCapture, dirigée par le ministère de la justice, qui rassemble le FBI, le US Marshals Service, l'Internal Revenue Service, le US Postal Inspection Service, l'Immigration and Customs Enforcement, etc. pour appliquer les sanctions contre les oligarques russes. En février 2023, la justice et le commerce ont lancé ce qu'ils appellent la "Disruptive Technology Strike Force". Il s'agit là encore d'un effort conjoint visant à réunir le FBI, la sécurité intérieure et des groupes de travail au sein de chaque bureau de procureur des États-Unis dans les différents États, afin de renforcer l'application des contrôles et des sanctions à l'exportation des États-Unis.
Il est intéressant de noter que depuis l'administration Obama, il existe un organisme appelé Export Enforcement Coordination Center (E2C2), qui était censé faire la même chose. Pourquoi donc ce nouveau groupe de travail sur les technologies de rupture est-il nécessaire ? L'E2C2 a-t-il été un échec ? Les esprits curieux veulent le savoir ! Mais il ne fait aucun doute que la pression est forte pour que des affaires soient portées devant les tribunaux.
Cela m'amène à un sujet sur lequel je suis impatient de dialoguer avec les participants à la conférence. Nous faisons-nous des illusions sur l'efficacité des sanctions et des contrôles à l'exportation ?
Le New York Times a publié un article très intéressant au début de la semaine dernière, je crois, dans lequel sept tableaux expliquent pourquoi les sanctions n'ont pas été efficaces contre la Russie, et l'un des principaux facteurs, bien sûr, est que la Russie s'est tournée vers la Chine pour une grande partie de ses échanges commerciaux. Mais une grande partie de ce commerce illicite provient également du Moyen-Orient : EAU, Bahreïn, certains autres États du Golfe. Selon toute apparence, les sanctions n'ont pas réussi à mettre la Russie à genoux.
Nielsonsmith : C'était l'une des questions à l'ordre du jour d'aujourd'hui, à savoir dans quelle mesure vous pensez qu'ils sont efficaces ; eh bien, voici les réponses.
Gary: Plusieurs grands journaux américains ont publié des articles sur les raisons pour lesquelles les sanctions ne sont pas plus efficaces la semaine dernière ou à la fin de la semaine précédente, lorsque nous avons célébré le deuxième anniversaire de la guerre en Ukraine. Je pense que l'une des choses qui se passe, c'est que le processus de sanctions n'est tout simplement pas assez souple. Il a toujours été question de jouer à pile ou face. Dès que l'on identifie et que l'on frappe un canal de commerce illicite, cinq autres apparaissent. Les autorités américaines abordent les sanctions d'une manière très légaliste ; il s'agit de monter des dossiers susceptibles d'être poursuivis devant les tribunaux américains. Et le temps que cela se fasse, une grande partie du commerce illicite a déjà eu lieu. Il y a une autre chose que je ne comprends pas, et j'aimerais bien que quelqu'un me l'explique : pourquoi les États-Unis ont-ils présenté ce grand train de sanctions supplémentaires pour le deuxième anniversaire de la guerre ? Les autorités ont annoncé qu'elles sanctionnaient 500 personnes et entités supplémentaires en Russie, au Belarus et dans des pays tiers. Qu'attendaient-ils ? Cinq cents ? Vous saviez qu'ils étaient impliqués dans le commerce illicite et vous attendiez pour les sanctionner ? Je ne comprends pas.
Nielsonsmith : Nous avons couvert une bonne partie du sujet, mais j'aimerais revenir sur AUKUS de manière un peu plus détaillée. Quelles implications cela peut-il avoir pour le respect des règles commerciales ?
Gary: Je suis un Thomas dubitatif à ce sujet. En partie parce que, encore une fois, toutes ces initiatives semblent faire couler beaucoup d'encre et se révèlent ensuite peu efficaces. J'ai mentionné l'initiative de la licence générale ouverte, il y a environ trois ans. Elles n'affectent pas les contrôles américains sur les réexportations applicables au commerce de la défense à partir, par exemple, du Royaume-Uni vers des pays autres que le Canada et l'Australie. À l'heure actuelle, les chaînes d'approvisionnement mondiales sont tellement imbriquées. BAE travaille au Royaume-Uni sur un programme de défense américain qui serait soumis à l'ITAR ; BAE a probablement des fournisseurs dans toute l'Europe, voire dans le monde entier. Ainsi, même si nous obtenons une exemption pour le commerce avec le Royaume-Uni, BAE ne devra-t-elle pas obtenir une autorisation de réexportation pour traiter avec ses fournisseurs en Allemagne, en France et en Inde, le cas échéant. Je pense donc que cela pourrait faire une certaine différence mais, une fois encore, étant donné le fonctionnement de la chaîne d'approvisionnement mondiale, je me demande quelle sera l'efficacité de cette mesure.
Et si AUKUS incite les entreprises britanniques, canadiennes et australiennes à s'isoler davantage et à ne pas utiliser les chaînes d'approvisionnement mondiales, est-ce vraiment une bonne chose pour nos positions de défense respectives ? Les États-Unis, le Royaume-Uni, l'Australie et le Canada n'ont plus le monopole des meilleures technologies. Par conséquent, si la création d'une exemption pour ces pays dissuade les BAE et les Rolls-Royce du monde entier d'utiliser une meilleure technologie disponible en Allemagne pour un projet du ministère américain de la défense, est-ce une bonne chose ? Là encore, nous verrons.
En ce qui concerne l'impact plus large pour les entreprises légitimes, j'espère qu'elles intensifient leurs efforts de conformité avec les tiers pour s'assurer qu'elles ne traitent pas avec, qu'elles n'exportent pas vers quelqu'un où les articles vont finir en Russie ou en tant qu'exportations illicites vers la Chine. Je ne vois pas comment on peut faire cela en 2024 sans automatisation. Il faut un logiciel d'automatisation du commerce pour y parvenir.
Nielsonsmith : La cybersécurité est un sujet très important en ce moment. Ma question suivante est donc la suivante : quels sont les derniers développements concernant le programme de certification du modèle de maturité de la cybersécurité du ministère de la Défense des États-Unis ?
Gary: Il est intéressant de noter que le DoD a attendu le 26 décembre, alors que tout le monde était en vacances, pour publier non seulement les règles proposées concernant la CMMC 2.0, mais aussi un certain nombre de documents d'orientation supplémentaires qui s'appliqueraient à la CMMC 2.0. La Commission semble donc vouloir poursuivre son programme. Il semble que nous finirons par avoir trois niveaux, et si vous êtes dans le commerce de la défense, vous serez au niveau 2 parce que vous traiterez des informations contrôlées à l'exportation.
La grande question que je me pose pour les entreprises européennes est que le CMMC prévoit un audit, un audit par un tiers, pour vérifier que les programmes de cybersécurité sont conformes aux exigences du CMMC, telles qu'elles sont définies dans la publication spéciale 800-171 du National Institute of Standards and Technologies et dans ses différentes variantes. Comment cet audit va-t-il se dérouler à l'étranger ? Le Canada est en train d'élaborer son propre programme de cybersécurité, à l'instar de la CMMC, avec un élément de certification, et il est en pourparlers avec les États-Unis en vue d'une réciprocité, i.eSi nous certifions qu'une entreprise canadienne est conforme à notre programme, reconnaîtrez-vous qu'elle est conforme au CMMC et n'exigerez-vous pas un audit distinct ? Je pense que le Royaume-Uni travaille sur un projet de ce type. Je n'ai pas entendu beaucoup de nouvelles de ce genre en provenance d'autres pays européens ; alors, où en sont leurs entreprises dans la chaîne d'approvisionnement du ministère américain de la défense, où les exigences du CMMC entreraient en vigueur ? Il est encore très vague de savoir si et quand le programme CMMC accréditera des auditeurs dans des pays tiers pour effectuer cet audit. S'il ne le fait pas pendant les deux - trois - quatre - cinq premières années suivant l'entrée en vigueur de la CMMC, l'audit devra être effectué par des entreprises américaines. Je ne peux pas imaginer que les entreprises françaises ou néerlandaises seront ravies de devoir payer des auditeurs américains pour qu'ils viennent chez elles. J'ai même entendu des réserves de la part d'entreprises européennes, et il ne s'agit pas d'une théorie du complot, sur le fait que des auditeurs américains examinent leurs programmes de cybersécurité. Les informations recueillies seront-elles transmises à notre Agence nationale de sécurité pour lui permettre d'espionner leurs programmes ? Il reste donc beaucoup à déterminer au sujet du CMMC 2.0, mais il avance et les entreprises de la chaîne d'approvisionnement du ministère américain de la défense seraient bien avisées, si elles n'ont pas encore examiné tout cela, de le faire.
Nielsonsmith : Merci d'avoir partagé tant de connaissances aujourd'hui. Pour terminer, j'aimerais vous demander dans quelle mesure vous pensez qu'il est important que les entreprises investissent dans la formation de leurs responsables de la conformité et quelles sont les ressources qu'elles devraient utiliser.
Gary: I can’t emphasize enough that training is one of the three key components to an effective compliance program. If you haven’t trained your employees about what the requirements are, how do you expect them to adhere to those requirements? And particularly, if you haven’t provided training resources to your dedicated export control managers, how are they supposed to administer your compliance programs? I see that time and time and time again. I’m going to be having a videoconference today with a company I’m assisting with a major voluntary disclosure to the Department of State, and they continue to go out and hire people to be export control managers that have no training, no experience. Well, they’re learning on the job, but in my experience over 40 years, that only may happen. A lot of these folks do not put the homework that is required into learning export control requirements.
Il ne s'agit pas d'un cours de cinquième année ; il s'agit de règles très sophistiquées qui demandent beaucoup de temps et d'efforts pour être apprises, et dans de nombreux cas, je ne vois pas cela. Mais la bonne nouvelle, Alisa, c'est qu'en moyenne, je trouve que les responsables européens du contrôle des exportations sont mieux formés et mieux informés que les responsables américains.
Nielsonsmith : Merci beaucoup pour votre temps, Gary, et je suis sûr que les connaissances que vous avez partagées aujourd'hui sont très appréciées par nos lecteurs.
Gary Stanley est le Président des services juridiques mondiaux, PCun cabinet d'avocats basé à Washington, DC, qui se concentre sur la conformité commerciale et d'autres questions liées au commerce international.
M. Stanley représente, entre autres, de nombreuses entreprises américaines, canadiennes et européennes sur les questions de contrôle des exportations de défense.
Par exemple, M. Stanley a :
- A conseillé de nombreuses entreprises de défense américaines sur l'obtention d'approbations de licences, ainsi que de licences de fabrication et d'accords d'assistance technique, en vertu des parties 123 et 124 de la réglementation sur le trafic international d'armes ("ITAR") et sur l'utilisation des exemptions ITAR, y compris l'exemption canadienne prévue à l'article 126.5 de l'ITAR.
- Conseils à plusieurs entreprises sur les divulgations volontaires au titre de l'article 127.12 des ITAR.
- Assistance à de nombreuses entreprises de défense pour l'enregistrement et l'octroi de licences à leurs courtiers en vertu de la partie 129 de l'ITAR.
- Il a dispensé des formations sur le contrôle des exportations à diverses entreprises de défense américaines, britanniques et canadiennes, ainsi qu'à des responsables du contrôle des exportations du gouvernement russe et à diverses agences du gouvernement canadien, notamment le ministère canadien de la défense nationale, le ministère canadien des affaires étrangères et du commerce international et l'Agence spatiale canadienne. De février 2004 à février 2005, M. Stanley a occupé le poste d'agent spécial de conformité chargé de superviser le programme de conformité en matière de contrôle des exportations d'une grande entreprise de défense, conformément à un accord de consentement conclu par l'entreprise avec le département d'État américain. Les fonctionnaires chargés de l'application de la loi avaient engagé des poursuites contre la société en vertu de la théorie de la responsabilité du successeur pour des violations qu'une autre société, dont la plupart des actifs avaient été acquis par cette société, avait prétendument commises.
Outre la représentation d'entreprises privées, M. Stanley a également été consultant auprès du gouvernement américain et de groupes industriels. Par exemple, il a été le principal expert externe en matière de contrôle des exportations pour le maître d'œuvre Booz Allen Hamilton Inc. dans le cadre de la phase II du Transatlantic Secure Collaboration Program (programme de collaboration transatlantique sécurisée). Ce programme était un consortium de dix entreprises de défense américaines, canadiennes et européennes, dont Lockheed Martin, EADS, Northrop Grumman et Boeing, cherchant à établir des lignes directrices sur les "meilleures pratiques" pour l'échange électronique d'informations exclusives non classifiées et d'informations dont l'exportation est contrôlée.
M. Stanley a obtenu son diplôme de premier cycle à l'université Emory en 1975 et son diplôme de droit à la faculté de droit de Harvard en 1978. Il a été élu en première année à Phi Beta Kappa. M. Stanley est actuellement secrétaire-trésorier et administrateur de l'Institut des aspects procéduraux du droit international.
Pour plus d'informations sur M. Stanley et son cabinet juridique, Global Legal Services, appelez-le au (202) 686-4854 ou envoyez-lui un courriel à l'adresse gstanley@glstrade.com.
SERVICES JURIDIQUES MONDIAUX
Événements connexes
