La Commission européenne publie de nouvelles directives sur la portée des contrôles fourre-tout et les exigences de diligence raisonnable pour les exportateurs d’articles de cybersurveillance non listés
Points clés :
- Les contrôles fourre-tout de l’UE sur les articles de cybersurveillance non inscrits sont complexes et étendus, obligeant donc les exportateurs européens à effectuer un examen et une évaluation approfondis avant toute exportation de ces articles.
- Avant chaque transaction impliquant des articles de cybersurveillance non listés, les exportateurs de l’UE doivent classifier l’article, examiner le potentiel d’utilisation abusive de l’article à des fins de répression interne et/ou de violations graves des droits de l’homme et du droit international humanitaire, évaluer les parties prenantes impliquées dans la transaction et prévenir et atténuer les impacts négatifs potentiels futurs.
Le 16 octobre 2024, la Commission européenne (« Commission ») a publié des lignes directrices (les « Lignes directrices ») pour l’exportation vers des pays tiers d’articles de cybersurveillance qui ne figurent pas dans l’annexe I du Règlement européen sur la double utilisation (Règlement du Conseil 821/2021) mais pouvant être utilisés en lien avec la répression interne et/ou les violations graves des droits de l’homme et du droit international humanitaire (voir la recommandation de la Commission 2024/2659). Bien que ces Lignes directrices ne soient pas juridiquement contraignantes pour les exportateurs de l’Union européenne (« UE »), elles apportent des éclaircissements précieux sur la portée des contrôles et l’étendue des efforts de diligence raisonnable attendus concernant les exportations de tels articles.
I. Contexte et contexte
En 2021, l’UE a adopté une version révisée du règlement européen sur la double utilisation, le cadre définissant les règles communes de l’UE pour l’exportation des biens à double usage (c’est-à-dire des biens pouvant avoir à la fois des applications civiles et militaires) hors du territoire européen. Le Règlement sur la double utilisation définit principalement les contrôles « basés sur des listes » et exige que les exportateurs de l’UE obtiennent une autorisation de l’autorité compétente nationale (« NCA ») de leur État membre avant l’exportation des biens à double usage listés dans son Annexe I (article 3). L’annexe I contient plusieurs éléments de cybersurveillance répartis en deux catégories différentes, dont l’exportation est soumise à une autorisation préalable de la NCA (Annexe I, Catégories 4 et 5).
Contrôles fourre-tout à double usage de l’UE sur les articles de cybersurveillance non répertoriés
Le Règlement européen révisé sur la double utilisation a introduit de nouveaux contrôles dits « fourre-tout » sur les exportations d’articles de cybersurveillance qui ne figurent pas dans l’Annexe I (« articles de cybersurveillance non listés ») (article 5). Bien que ces objets puissent avoir des usages civils légitimes (par exemple, forces de l’ordre, surveillance réseau) ils pourraient présenter un potentiel d’abus en lien avec la répression interne, ainsi que de graves violations des droits de l’homme ainsi que du droit international humanitaire. Les nouveaux contrôles visent à garantir le respect des obligations et engagements internationaux de l’UE et de ses États membres en matière de paix, de sécurité, de stabilité régionale et de respect des droits de l’homme ainsi que du droit international humanitaire.
Cependant, les nouveaux contrôles sur les articles de cybersurveillance non cotés imposent en partie aux exportateurs de l’UE la charge d’identifier les articles contrôlés et d’évaluer le potentiel d’abus en fonction de leurs conclusions de diligence raisonnable à chaque transaction individuelle. De plus, un document d’information de novembre 2023 du Parlement européen a mis en lumière le risque d’interprétation divergente entre les 27 États membres, notamment en ce qui concerne les points soumis à ces contrôles et les attentes de diligence raisonnable associées.
Obligation d’obtenir une autorisation préalable ou de les informer avant l’exportation d’articles de cybersurveillance non listés
Reconnaissant les dommages importants que les articles de cybersurveillance non listés pourraient causer en cas d’utilisation abusive, le Règlement sur la double utilisation exige que les exportateurs européens, avant l’exportation de ces articles, :
- Obtenir une autorisation préalable de leur NCA où ils ont été informés par la NCA du potentiel d’un tel usage abusif (Article 5(1)) ; ou
- Notifier leur NCA lorsqu’ils ont eux-mêmes identifié un usage potentiel d’abus sur la base de leurs propres constatations de diligence raisonnable (Article 5(2)). La NCA peut alors décider de soumettre l’exportation concernée à une autorisation préalable.
Les États membres peuvent également adopter ou maintenir une législation nationale imposant des autorisations préalables pour les exportations dont ils soupçonnent que certains articles peuvent être utilisés à de telles fins (article 5(3)). Cependant, à ce jour, l’étendue et l’étendue des efforts de diligence et de la sensibilisation requises des exportateurs de l’UE restent floues.
II. Clarifications significatives concernant la portée des contrôles fourre-tout en cybersurveillance et les exigences de diligence raisonnable associées au titre des nouvelles directives de l’UE
Les lignes directrices sont publiées conformément à l’obligation de l’UE de fournir des orientations aux exportateurs européens sur la manière de mettre en œuvre l’obligation de l’article 5 (article 26), dans le cadre du « pilier de protection » de la stratégie de sécurité économique de l’UE, qui vise à protéger l’UE contre les risques de sécurité économique communément identifiés, en déployant mieux les outils déjà existants, comme les contrôles à l’exportation. Ces lignes directrices sont basées sur les retours des consultations du Groupe d’experts en technologies de surveillance de l’UE, ainsi que sur les retours d’une consultation publique tenue au deuxième trimestre 2023.
Clarification de la définition des « éléments de cybersurveillance non listés »
Selon le Règlement sur la double utilisation, les articles de cybersurveillance sont généralement définis comme « des objets à double usage spécialement conçus pour permettre la surveillance secrète des personnes naturelles en surveillant, extrayant, collectant ou analysant des données issues des systèmes d’information et de télécommunications. » (Article 2(20).) Compte tenu de l’évolution rapide de telles technologies, la définition est large par conception, mais a en pratique rendu difficile pour les exportateurs de l’UE d’évaluer avec certitude quels articles relèvent de ces contrôles. Les clarifications des nouvelles Lignes directrices concernant plusieurs termes clés fournissent donc des orientations précieuses aux exportateurs de l’UE qui cherchent à déterminer si leurs produits sont soumis aux contrôles :
Les Lignes directrices fournissent également des exemples de produits et de technologies susceptibles de faire l’objet de surveillance qui méritent une vigilance particulière de la part des exportateurs de l’UE. Cela inclut la technologie de reconnaissance faciale et émotionnelle, les dispositifs de localisation et les systèmes de vidéosurveillance. Inversement, et conformément au considérant 8 du règlement à double usage, les éléments utilisés à des fins purement commerciales (par exemple, facturation, marketing, services de qualité, satisfaction des utilisateurs ou sécurité réseau) sont généralement considérés comme non soumis aux contrôles prévus par l’article 5.
Clarification de la portée de l’obligation de notifier la NCA d’un éventuel usage abusif d’éléments de cybersurveillance non listés
Les exportateurs de l’UE sont tenus de notifier leurs NCA respectifs lorsqu’ils sont « conscients » que les articles de cybersurveillance non listés peuvent être « destinés » à une « répression interne » ou à des « violations graves des droits de l’homme et du droit international humanitaire ». Ces termes ne sont pas définis dans le Règlement sur la double utilisation, et les nouvelles directives comblent cette lacune en fournissant les définitions suivantes :
Les Lignes directrices prévoient généralement que les références à la « répression interne » ou à la commission de « violations graves des droits de l’homme et du droit international humanitaire » doivent être interprétées conformément à la définition de ces termes dans la Position commune 944/2008 du Conseil de l’UE, son Guide d’utilisation et les Lignes directrices du Comité international de la Croix-Rouge (« CICR »).
- Selon la position commune de l’UE, la répression interne couvre notamment « la torture et autres traitements ou peines cruels, inhumains et dégradants, les exécutions sommaires ou arbitraires, les disparitions, les détentions arbitraires et d’autres violations majeures des droits de l’homme et des libertés fondamentales telles que prévues dans les instruments internationaux pertinents des droits de l’homme, y compris la Déclaration universelle des droits de l’homme et le Pacte international relatif aux droits civils et politiques.« Le Guide d’utilisation fournit des indications sur les critères d’évaluation qui peuvent inclure le dossier actuel et passé de l’utilisateur final et du pays de destination en matière de respect des droits de l’homme.
- Selon le Guide d’utilisation, les violations des droits humains sont considérées comme « graves » lorsque la nature et les conséquences de cette violation sont déterminantes, pouvant inclure des violations systématiques et généralisées.
- Selon les Lignes directrices du CICR, les violations du droit international humanitaire sont considérées comme « graves » si elles mettent en danger des personnes protégées (y compris des civils, des prisonniers de guerre, des blessés et des malades) ou des objets (y compris des objets civils ou des infrastructures) ou s’ils font une brèche des valeurs universelles importantes.
En revanche, les Directives ne fournissent aucun détail concernant la procédure de notification aux NCA en cas de connaissance d’une utilisation potentielle abusive d’articles de cybersurveillance non listés. En particulier, il reste incertain quelles informations doivent être fournies à la NCA, ni si oui, la date limite pour ces informations.
Nouvelle approche étape par étape pour mener une diligence raisonnable concernant les éléments de cybersurveillance non listés
Pour se conformer à leur exigence de notification, les exportateurs de l’UE doivent effectuer une diligence raisonnable sur les transactions individuelles (c’est-à-dire le contrôle des transactions) pouvant impliquer des éléments de cybersurveillance non listés. Le Règlement sur la double utilisation ne décrit pas l’étendue ni le contenu des mesures de diligence raisonnable requises en lien avec les exportations d’articles de cybersurveillance non cotés, et les Lignes directrices contiennent une approche pratique en quatre étapes de la diligence raisonnable à effectuer par les exportateurs de l’UE, résumée dans le tableau ci-dessous.
Il est important de noter que les exportateurs de l’UE peuvent également s’appuyer sur les recommandations existantes de la Commission concernant les programmes internes de conformité à double usage (« ICP ») lorsqu’ils évaluent les risques potentiels d’utilisation abusive des articles de cybersurveillance non listés. En effet, la Commission a publié par le passé deux ensembles complets de recommandations : (i) les PCI généraux de 2019 pour les contrôles commerciaux à double usage et (ii) les PCI de 2021 sur le contrôle de la recherche impliquant des articles à double usage, dans le cadre du Règlement sur le Double Usage. Les deux ensembles de recommandations fournissent des directives supplémentaires concernant le « processus et procédures de contrôle des transactions » qui pourraient aider les exportateurs d’articles de cybersurveillance non listés.
Expertises Avocats concernés
Restez informé
Inscrivez-vous pour recevoir des mises à jour pratiques, des analyses récentes et des conseils utiles, directement dans votre boîte de réception.
Inscrivez-vous pour recevoir les analyses rédigées par des professionnels.