skip to main content
  • 29 janvier 2025

Naviguer dans les nouveaux contrôles d’IA américains : conseils pratiques et études de cas pour les entreprises des pays de « niveau intermédiaire »

29 janvier 2025 – Le 13 janvier, le Département du Commerce des États-Unis a annoncé un nouveau cadre réglementaire de l’IA (sous la forme d’une règle finale provisoire) qui améliore les contrôles sur certaines puces informatiques avancées et les poids des modèles d’IA, tout en ajoutant de nouvelles exceptions de licence et en révisant le processus d’obtention de l’autorisation VEU (Data Center Validated End-User Authorization).

La nouvelle règle adopte un système mondial de rationnement — similaire à celui adopté par les puissances alliées pendant la Première Guerre mondiale — qui répartit les pays en trois catégories : (1) un groupe dirigé par les États-Unis disposant d’un accès pratiquement illimité à la technologie américaine avancée ; (2) la Chine, la Russie, l’Iran et d’autres pays soumis à un embargo sur les armes sans accès ; et (3) des dizaines de pays situés dans ce que nous appellerons le « niveau intermédiaire », soumis à des plafonds cumulatifs à l’échelle nationale sur la performance totale de traitement (TPP)1 pour les opérateurs situés dans les pays qui ne détiennent pas l’autorisation VEU. Ces pays de niveau intermédiaire incluent, par exemple, l’Inde, Israël, la Pologne et les Émirats arabes unis.

Cela place les entreprises ayant leur siège dans un pays de niveau intermédiaire dans une position très désavantageuse, à moins qu’elles ne puissent obtenir une nouvelle certification National Validated End-User (NVEU) délivrée par le Bureau of Industry and Security (BIS) du Département du Commerce. Nous expliquons dans cette alerte client ce que ces entreprises peuvent faire pour y parvenir.

Points clés :

  • Les entreprises de niveau intermédiaire peuvent débloquer l’accès à plus de six fois le PTP autorisé pour l’ensemble de leur pays si elles obtiennent la certification NVEU. S’ils ne le font pas, la nouvelle règle déclenche une course entre eux et les autres importateurs locaux pour le quota disponible.
  • La certification NVEU exige de revoir les programmes de conformité et de réévaluer les entreprises avec les pays soumis à un embargo sur les armes.
  • La certification NVEU exige également de comprendre et d’appliquer le nouveau paradigme de sécurité nationale — la norme de « haute probabilité » — à la conformité, car la certification NVEU exige le respect à la fois des anciennes et nouvelles réglementations qui appliquent la norme.
    • Cela inclut des interdictions universelles de longue date américaines concernant les ventes à des utilisateurs finaux militaires ou du renseignement militaire, la règle sur les investissements sortants du département du Trésor américain, ainsi que toute règle relevant du régime des services informatiques et des technologies de l’information (ICTS) du Département du Commerce.

Analyse

Contexte géopolitique

Comme mentionné dans la discussion de fond sur la règle, les modèles avancés d’IA représentent des menaces considérables pour la sécurité nationale et la politique étrangère des États-Unis et ont le potentiel de débloquer des avantages économiques et sociaux extraordinaires. L’IA avancée devrait accroître l’accès mondial aux soins de santé, à l’éducation et à l’alimentation, et aider à résoudre des questions complexes comme le changement climatique. Mais l’IA peut aussi être dirigée par des acteurs malveillants vers des opérations cybernétiques offensives sophistiquées et des violations des droits humains.

Aperçu

Reconnaissant à la fois le potentiel et les dangers des modèles avancés d’IA, le « Cadre pour la diffusion de l’IA » crée une voie permettant aux centres de données situés dans des pays alliés et non soumis à embargo sur les armes d’augmenter le PTP de leur base installée cumulative de circuits intégrés (CI) d’informatique avancée couverts, à condition que ces entreprises maintiennent également des programmes de contrôle des exportations vérifiés et robustes qui protègent adéquatement la sécurité nationale américaine et s’engagent à respecter les règles américaines sur l’investissement sortant et les TIC — se soumettant effectivement volontairement à la juridiction extraterritoriale américaine en échange d’un accès à la frontière de la technologie IA.

Dates d’entrée en vigueur et réactions anticipées de la nouvelle administration

En règle finale provisoire, elle est en vigueur à compter du 13 janvier. Mais la règle retarde l’application de 120 jours pour permettre des commentaires publics et inclut un délai de 365 jours pour certaines exigences de sécurité des centres de données.

À la date de cette alerte client, certains s’émettent que la nouvelle administration accueillera favorablement la promotion des entreprises américaines par la règle et observera qu’elle redirige effectivement, plutôt que limite, les ventes des technologies couvertes par les fabricants de puces. 2 Il y avait cependant une forte opposition de la part de nombreuses entreprises américaines au processus d’élaboration des règles et aux nouvelles restrictions. 3

En supposant que la nouvelle administration maintienne les mises à jour du programme d’autorisation VEU des centres de données et les récompenses significatives liées à l’adoption de la technologie américaine plutôt que celle de la Chine, compte tenu des exigences actuelles, les entreprises désireuses de se qualifier devraient commencer à se positionner pour le faire dès maintenant, compte tenu probablement des améliorations substantielles nécessaires au programme de planification et de conformité nécessaires pour y être éligible.

Programme d’autorisation VEU des centres de données mis à jour

Bien que le cadre exige une licence pour exporter, réexporter ou transférer (sur place) des CI et poids de modèles qualifiés pour l’informatique avancée à tout utilisateur final, où qu’il se trouve, de nouvelles exceptions de licence et des autorisations VEU ont été créées pour faciliter les transactions présentant un faible risque. Les présomptions appliquées aux applications de licence et à la disponibilité des exceptions et de l’autorisation VEU varient selon l’emplacement où l’utilisateur final est basé et où se trouve la puissance de calcul de l’IA.

À une extrémité du spectre se trouvent des entités dont le siège est situé dans l’une des 19 destinations à faible risque. 4 Ces entités sont éligibles à l’autorisation IAd’exception de licence 5 et peuvent demander l’autorisation VEU universelle (UVEU). Une fois approuvée en tant qu’UVEU, une entreprise est autorisée à recevoir tout article éligible qui sera utilisé dans des centres de données spécifiques partout dans le monde, à l’exception des pays soumis à un embargo américain sur les armes ou de Macao,6 sous réserve de certaines limitations de quotas pour les installations dans des pays non inclus parmi les 19 destinations à faible risque. 7

À l’autre extrémité du spectre se trouvent les pays soumis à un embargo sur les armes américains (notamment la Chine et la Russie) et Macao. Les entreprises et utilisateurs finaux dans ces destinations ne sont pas éligibles aux exceptions de licence ni aux autorisations VEU, et leurs demandes de licence sont soumises à une politique de refus.

Impact 

Les entités de tous les autres pays de niveau intermédiaire sont éligibles à des exemptions de nouvelle licence pour certaines exportations telles que le « développement », la production ou le stockage ... avant l’exportation, la réexportation ou le transfert (dans le pays) à l’utilisateur final final" ou pour les exportations ou réexportations jusqu’à 26,9 millions de TPP par an. 9 demandes de licence pour ces pays seront examinées sous présomption d’approbation pouvant atteindre une allocation par pays de 790 millions de PTP cumulés. 10

Cependant, les entreprises de ces pays peuvent également demander l’autorisation NVEU. L’autorisation NVEU permet à l’utilisateur final de recevoir tous les éléments éligibles destinés à être utilisés dans les centres de données, mais contrairement à l’autorisation UVEU, l’autorisation est limitée à chaque pays spécifique pour lequel l’autorisation est demandée et est soumise à un plafond par NVEU et par pays sur le TPP installé. L’allocation cumulative par NVEU et par pays commence à 633 millions de TPP au premier trimestre 2025, augmente progressivement chaque trimestre pour atteindre un peu plus de 5 milliards de TPP d’ici 2027 et, peut-être plus important encore, n’est pas soumise à l’allocation par pays plus restrictive de chaque pays. 11

Processus et exigences

Les centres de données basés dans la plupart des pays peuvent demander soit une autorisation UVEU, soit une autorisation NVEU. L’autorisation UVEU est réservée à certains pays à faible risque — y compris l’Australie, l’Irlande et le Japon — et l’autorisation NVEU est disponible pour tous les autres pays de niveau intermédiaire, mais pas pour les pays soumis à un embargo américain sur les armes (notamment la Chine et la Russie) ou Macao.

Pour libérer les avantages substantiels liés au statut de VEU — y compris, en ce qui concerne la NVEU, plus largement disponible, la capacité d’obtenir une puissance de calcul cumulative bien supérieure telle que mesurée dans leTPP 12 — les entreprises devront investir dans la conformité et reconsidérer — et dans de nombreux cas abandonner — les liens avec la Chine et d’autres pays soumis à un embargo sur les armes, du moins en ce qui concerne l’IA. Le « Cadre pour la diffusion de l’IA » est fortement conçu pour inciter les VEU à choisir entre les États-Unis et la Chine pour la fourniture d’équipements et de technologies couverts.

Norme de haute probabilité

La pierre angulaire de l’obtention du statut de VEU est le nouveau paradigme de sécurité nationale, la norme de « haute probabilité » pour la sensibilisation. Cette norme donne aux autorités américaines un levier pour contester les allégations d’absence de connaissance réelle des circonstances disqualifiantes et des liens politiques ou commerciaux, et exige que les entreprises adoptent cette norme lors de la conception ou, si nécessaire, d’amélioration des programmes de conformité fondés sur le risque afin de se qualifier. Par exemple, pour être qualifié de VEU :

  • Une entreprise — y compris toutes les filiales et entités mères — devrait démontrer sa liberté de se libérer de tout lien avec des utilisateurs finaux militaires ou du renseignement militaire, en se référant aux définitions générales de ces termes selon les Règlement de l’Administration des exportations américaines (EAR) (c’est-à-dire non limités aux utilisateurs issus de pays sous embargo), y compris les accords de recherche et développement (R&D) et les « activités conjointes ». 13
  • Une entreprise devrait respecter la même règle14 sur les investissements sortants américains émise par le département du Trésor le 28 octobre 2024, tout comme une entreprise américaine. Cette règle applique également la norme de « forte probabilité » lors de l’évaluation de la « connaissance » de l’entreprise quant à l’interdiction de l’investissement sortant, dépassant ce qui pourrait être réellement connu. 15
  • De plus, les entreprises éligibles au VEU doivent respecter toutes les règles émises dans le cadre du programme TIC du Département du Commerce. Les règles initiales proposées dans le cadre de ce programme incluent l’adoption de la même norme de « haute probabilité » que celle de l’EAR et de la règle sur les investissements sortants du département du Trésor, et le bureau ICTS a indiqué que la future réglementation suivra le cadre établi lors de l’élaboration précoce des règles.

Accord gouvernement-à-gouvernement

En fin de compte, pour les pays de niveau intermédiaire, il faudra également un « accord » gouvernemental à gouvernement encore indéfini entre le gouvernement d’origine et les États-Unis, sans lequel ni un NVEU local ni un UVEU cherchant à opérer dans le pays ne pourraient bénéficier de cette règle. 16

Résumé

Il existe donc de nombreux défis pour obtenir et maintenir le statut NVEU. Mais pour les entreprises prêtes à revoir leurs relations commerciales et leurs liens et à intégrer la norme de « haute probabilité » dans leurs propres programmes de conformité, ces avantages sont des vérités majeures tant pour les entreprises autorisées par la NVEU que pour leurs pays d’origine — notamment vis-à-vis de leurs concurrents commerciaux et géopolitiques.

Étude de cas

Que signifie cette nouvelle règle provisoire pour une entreprise hypothétique dont le siège social et les centres de données fonctionnent dans l’un des nombreux pays éligibles à l’autorisation NVEU ?

Faits : Supposons que la société Y soit une société dont le siège est à Mumbai, en Inde. La société Y souhaite exploiter de grands centres de données au Kenya et en Israël en utilisant des puces informatiques avancées d’origine américaine. La société Y pose les quatre questions suivantes :

1. L’entreprise Y est-elle éligible à demander une autorisation VEU ?

Oui. La société Y est éligible à demander une autorisation NVEU car son siège social est en Inde. Le BIS du Département du Commerce spécifiait que les centres de données ayant leur siège, ayant un siège parent ultime ou situés dans un pays listé dans les groupes A, B ou D :1-D :4 du supplément n° 1 à la partie 740 de l’EAR, à l’exception de Macao et des pays soumis à un embargo américain sur les armes (groupe de pays D :5 du supplément n° 1 à la partie 740), sont éligibles pour demander le statut NVEU. 17 Puisque l’Inde, dont la société Y est basée à son siège, est répertoriée dans les groupes de pays A et B, la société Y est éligible pour demander le statut NVEU.

2. Si la société Y obtient le statut NVEU, la société Y pourra-t-elle importer des puces informatiques américaines pour être utilisées dans ses centres de données situés au Kenya et en Israël ?

La société Y devra obtenir des autorisations individuelles de la NVEU pour chaque pays dans lequel elle opère, y compris le Kenya et Israël. Les autorisations NVEU sont spécifiques à chaque pays, ce qui signifie que l’autorisation d’opérer en tant que NVEU dans un pays ne constitue pas une autorisation de le faire dans un autre pays. 18 Cela diffère de l’autorisation UVEU, qui accorde à l’utilisateur final la permission d’opérer dans plusieurs pays sans obtenir d’autorisations validées supplémentaires.

3. Quels sont les avantages d’obtenir l’autorisation NVEU ?

Les centres de données avec une autorisation NVEU bénéficient de deux avantages principaux par rapport aux centres de données sans statut VEU.

  • Premièrement, les NVEU peuvent acheter des quantités significativement plus importantes de technologie IA américaine que les centres de données qui ne disposent pas d’autorisation VEU. Pour assurer la prévisibilité, le BIS a défini le montant de TPP que certains utilisateurs finaux pourraient installer pour la période de 2025 jusqu’à fin 2027. Les NVEU reçoivent chaque trimestre une allocation de base installée par entreprise et par pays, commençant par 633 millions au premier trimestre 2025 et atteignant cumulativement un maximum de cinq milliards au premier trimestre 2027. 19 Inversement, les centres de données qui ne disposent pas d’une autorisation VEU doivent être éligibles à une exception de licence ou se soumettre au processus traditionnel de demande de licence, qui, pour toute la période 2025-2027, prévoit une allocation maximale totale de 790 millions de TPP pour tous les utilisateurs finaux de tout le pays durant cette période de trois ans, environ 15 % des cinq milliards cumulés disponibles pour les NVEU individuelles. 20
    • Pour les non-VEU, ce plafond par pays signifie que la règle finale intérimaire est le coup de départ d’une course pour obtenir une part du quota. Les retardataires ou les startups pourraient se retrouver dans une situation où il n’y a plus d’espace disponible sous le plafond. Une fois le plafond atteint, seuls les NVEU (jusqu’à leur limite par entreprise) et les UVEU pourront en recevoir plus.
  • Deuxièmement, les NVEU seront probablement considérés comme des acheteurs plus attractifs pour les exportateurs et bénéficieront d’un accès prioritaire à la technologie IA. Après avoir reçu l’autorisation NVEU, le centre de données sera publiquement inscrit comme NVEU dans l’EAR, mettant les exportateurs en alerte que le centre de données peut facilement acheter et recevoir de grosses commandes dans un pays donné, contrairement aux centres de données qui pourraient encore devoir passer la procédure de demande de licence et sont limités à passer de petites commandes.

4. Comment l’entreprise Y peut-elle s’assurer de soumettre une demande solide ?

La société Y doit renforcer son programme de formation au contrôle des exportations et son programme de conformité afin de répondre aux normes élevées énoncées dans le supplément n° 10 à la partie 748 de l’EAR. Les conditions strictes pour l’approbation correspondent à l’esprit des directives publiées fin 2024, dans lesquelles la BIS soulignait que les entreprises sans contrôles suffisants seraient non seulement responsables de l’évasion qu’elles connaissaient, mais aussi de celles ayant une « forte probabilité » de se produire. 21 Les centres de données devraient donc envisager de développer et de mettre en œuvre une méthodologie pour identifier les transactions comportant une « forte probabilité » de détournement et, pour de telles transactions, s’assurer qu’une diligence raisonnable renforcée basée sur le risque soit réalisée. À cette fin, la société Y peut commencer par intégrer les mesures suivantes :

  • Politiques d’utilisation acceptable. La BIS a établi des usages acceptables et inacceptables pour la technologie d’IA d’origine américaine. Pour obtenir le statut NVEU et rester en conformité, la société Y doit élaborer des politiques écrites indiquant clairement les pays où l’entreprise Y peut entraîner certains modèles d’IA et stocker ou transférer des poids de modèles. Et compte tenu de la norme de forte probabilité, l’entreprise Y devrait mettre en place des contrôles garantissant que le personnel respecte strictement ces politiques. Par exemple, des mesures de diligence raisonnable devraient être mises en place pour s’assurer que l’entreprise Y n’engage pas des sociétés tierces connues pour l’évasion. L’entreprise Y devrait aussi former le personnel à l’identification et à la déclaration de documents falsifiés, afin que l’IA indiquée comme stockée dans un pays autorisé ne soit en réalité pas stockée en Russie ou en Chine.
  • Exigences en matière de documentation, d’audit et de rapport. La société Y doit établir des processus de tenue de dossiers précis pour se conformer à l’obligation semestrielle de déclaration de la BIS, selon laquelle la société Y devra divulguer une puce complète spécifique à chaque installation, comptant pour elle-même et toutes les entités mères et filiales. La surveillance, l’évaluation et la diligence raisonnable des utilisateurs finaux doivent être continues, et les registres doivent être tenus pendant cinq ans. Les dossiers doivent documenter pour toutes les entités mères et filiales, entre autres détails : (i) tous les éléments d’IA reçus par le centre de données,installés 22 et transférés, y compris les dates23 et quantités pertinentes ; (ii) clients actuels et potentiels ; 24 (iii) liens avec des organisations gouvernementales et militaires ; 25 et (iv) l’utilisation des objets soumis à l’EAR. 26
  • Exigences de sécurité. L’entreprise Y devrait mettre en place des mesures robustes de sécurité physique, cybernétique et du personnel. Ces mesures incluent, sans s’y limiter, (i) le respect des normes de sécurité de la propriété afin de garantir qu’il n’existe aucune propriété, contrôle ou facteur d’influence étranger lié à Macao ou à une destination sous embargo ; (ii) évaluer et préparer la divulgation de la viabilité financière de la société Y, ses préoccupations de contre-espionnage et tout facteur démontrant la capacité des intérêts étrangers à contrôler ou influencer la société ; et (iii) élaborer un plan de gestion des risques de la chaîne d’approvisionnement afin de limiter l’entrée de certains équipements originaires de Chine dans l’environnement et la chaîne d’approvisionnement du centre de données. 27

Comme mentionné ci-dessus, la société Y devra également concevoir et mettre en œuvre des contrôles pour garantir le respect des règles américaines qui ne s’appliqueraient pas autrement à ses activités, y compris les contrôles fourre-tout à l’exportation concernant les utilisateurs finaux militaires et militaires, la règle sur les investissements sortants du Département du Trésor, et les règles émises dans le cadre du régime ICTS du Département du Commerce.

* * * *

Bien qu’il y ait des contraintes pour obtenir la certification NVEU, les conséquences pour les entreprises de niveau intermédiaire (sièges) d’être laissées pour compte dans la course à la technologie IA par des concurrents locaux ou par des UVEU opérant dans le pays pourraient être existentielles.

Nous anticipons depuis plusieurs années les tendances actuelles dans l’application des contrôles à l’exportation et avons des décennies d’expérience à aider les entreprises à comprendre et à naviguer dans des régimes d’application basés sur la « haute probabilité », tels que la loi américaine sur les pratiques de corruption étrangères.

Veuillez nous contacter pour en savoir plus sur la manière dont nous pouvons aider votre entreprise à naviguer dans ces vents contraires géopolitiques dynamiques et difficiles.

1. En termes techniques, « Performance totale de traitement » ('TPP') est de 2 × 'MacTOPS' × 'longueur de bits de l’opération', agrégée sur toutes les unités de traitement du circuit intégré... MacTOPS est le nombre théorique de pic d’opérations Tera (10¹¹) par seconde pour le calcul par multiplication (D = A × B + C). » Voir la U.S. Commerce Control List (« CCL »), notes techniques à 3A090.a et 3A090.b.

2. Voir, par exemple, Gregory C. Allen & Andrew Schwartz, Center for Strategic & International Studies (« CSIS »), The AI Policy Podcast, AI Diffusion Framework – Emergency Podcast (13 janvier 2025).

3. Voir, par exemple, Stephanie Palazzolo et Anissa Gardizy, Why the Final Chip Chip de Biden a provoqué un tollé, The Information (14 janvier 2025).

4. Pour une liste complète, voir 15 C.F.R. § 740, Supp. 5 ¶ (a).

5. Id. à § 740.27.

6. Id. à § 748.15(b)(2)(i) ; pour une liste complète des pays soumis à un embargo américain sur les armes, voir Groupe de pays D :5 de 15 C.F.R. § 740, Supp. 1.

7. 15 C.F.R. § 748, Supp. 10 ¶ 6.

8. Id. à § 740.28.

9. Id. à § 740.29.

10. Id. à § 742.6(b)(10)(iii)(B)(1).

11. Le BIS réévaluera l’allocation cumulative des PTP installés.

12. La performance totale de traitement est définie dans l’ECCN 3A090 du supplément 1 à la partie 774.

13. 15 C.F.R. § 748, Supp. 10 ¶ (2)(b).

14. Voir 31 C.F.R. Partie 850 (« Dispositions relatives aux investissements américains dans certaines technologies et produits de sécurité nationale dans les pays concernés »).

15. 15 C.F.R. § 748, Supp. 10 ¶ 3.

16. Id. à § 748, Supp. 10 ¶ 12.

17. Id. à § 748.15(d) n. 1.

18. Id. à § 748.15(b)(2)(ii).

19. Id. à § 748.15(a)(2)(iii)(B) ; Tableau 1 à ¶(a)(2)(iii)(B).

20. PDF page 30, Cadre pour la diffusion de l’intelligence artificielle, dossier n° 250107-0007.

21. LE BUREAU DE L’INDUS. ET LE SEC., LE BUREAU DE L’INDUS ET LA SEC. PUBLIENT DE NOUVELLES DIRECTIVES AUX INSTITUTIONS FINANCIÈRES SUR LES MEILLEURES PRATIQUES DE CONFORMITÉ AUX EXPORT ADMINISTRATION REGULATIONS 2 (2024), https://www.bis.gov/media/documents/guidance-financial-institutions-best-practices-compliance-export-administration.

22. 15 C.F.R. § 748, Supp. 10 ¶ 10.

23. 15 C.F.R. § 748.15(f)(1)(ii).

24. 15 C.F.R. § 748.15(f)(1)(ii) ; 15 C.F.R. §748, Supp. 8 ¶ (B)(6).

25. 15 C.F.R. § 748, Supp. 8 ¶ (B)(6) ; 15 C.F.R. §748, Supp. 10 ¶¶ (2)(a)-(b).

26. 15 C.F.R. § 748, Supp. 10 ¶ (9).

27. 15 C.F.R. § 748, Supp. 10 ¶¶ (13)-(16).

Expertises associées

Voir toutes nos expertises
Enquêtes internes, Défense et Conformité Sanctions économiques, Contrôles à l’export et Lutte contre le blanchiment de capitaux
Voir toutes nos expertises

Restez informé

Inscrivez-vous pour recevoir des mises à jour pratiques, des analyses récentes et des conseils utiles, directement dans votre boîte de réception.

Inscrivez-vous pour recevoir les analyses rédigées par des professionnels.

Stay up to Date