Lorsque l’on pense aux contrôles à l’exportation, on imagine généralement des biens matériels : armes, ordinateurs ou machines industrielles. Pourtant, dans l’économie numérique actuelle, certains des transferts les plus réglementés s’effectuent sans aucun conteneur ni expédition physique : une simple pièce jointe envoyée par courriel ou un téléversement sur le cloud peut suffire.
Qu’est-ce qu’un « bien immatériel » ?
Les réglementations en matière de contrôle des exportations encadrent le transfert de biens, de technologies et d’informations au-delà des frontières nationales, y compris les logiciels. Juridiquement, les biens immatériels soumis à contrôle comprennent notamment les logiciels, le code source, les données techniques, les algorithmes et, de plus en plus, les poids de modèles d’intelligence artificielle (« AI model weights »). L’élément déterminant n’est pas la forme physique du bien, mais son caractère stratégique.
En droit de l’Union européenne, les « biens à double usage » sont définis comme des biens susceptibles d’être utilisés à des fins à la fois civiles et militaires, y compris les logiciels et les technologies. Ainsi, l’envoi d’un logiciel contrôlé par courrier électronique ou son partage via un service de stockage cloud avec une personne située à l’étranger peut constituer une exportation réglementée.
Les cadres réglementaires américain et européen
Aux États-Unis, deux principaux régimes s’appliquent. Les Export Administration Regulations (EAR), administrés par le Bureau of Industry and Security (BIS), ainsi que les International Traffic in Arms Regulations (ITAR), couvrent tous deux les données techniques et les logiciels. Les logiciels présentant un potentiel d’utilisation militaire, notamment les outils cryptographiques, relèvent fréquemment des catégories de biens à double usage.
Du côté européen, le règlement (UE) 2021/821, dit « règlement refondu sur les biens à double usage », entré en vigueur en septembre 2021, a remplacé le cadre de 2009. Il couvre les biens, services, logiciels et technologies sensibles susceptibles d’être utilisés à des fins civiles comme militaires. Les contrôles européens à l’exportation s’appliquent aussi bien aux exportations matérielles qu’aux exportations immatérielles de biens contrôlés.
Le défi du suivi des transferts numériques
Comme nous le savons déjà, les transferts immatériels sont particulièrement difficiles à surveiller. Les équipes conformité doivent désormais intégrer le contrôle de ces transferts dans leurs procédures internes, notamment en ce qui concerne les accès à distance, les outils d’ingénierie hébergés dans le cloud ou encore les collaborations en recherche et développement. Il s’agit de domaines qui n’étaient traditionnellement pas, ou très peu, pris en compte dans les programmes de conformité à l’exportation.
La notion même d’« exportation » a été conçue à une époque dominée par les expéditions physiques, et non pour un monde dans lequel un centre de données situé en Allemagne peut être consulté à distance par un ingénieur basé à Shanghai. C’est précisément sur ce point que le cadre réglementaire rencontre aujourd’hui ses plus grandes difficultés d’adaptation.
Le Remote Access Security Act et la « faille du cloud »
Si les États-Unis interdisent l’exportation d’une puce vers la Chine, mais qu’une entreprise chinoise peut accéder à cette même puce via un service cloud alors qu’elle est physiquement installée dans un centre de données aux Pays-Bas, l’efficacité du contrôle à l’exportation s’en trouve considérablement réduite. C’est dans ce contexte qu’a été élaboré le Remote Access Security Act (RASA) à Washington.
Présenté en décembre 2025 et adopté par la Chambre des représentants le 12 janvier, le texte est désormais en attente d’examen par la Senate Banking Committee. Le projet de loi modifie l’Export Control Reform Act de 2018 afin d’étendre les contrôles à l’exportation existants à l’accès à distance aux technologies américaines contrôlées via des infrastructures cloud. L’accès à distance y est défini comme l’accès, par une personne étrangère préoccupante (foreign person of concern), à des biens contrôlés figurant sur la Commerce Control List au moyen de services cloud tels que des serveurs, des processeurs ou des espaces de stockage.
S’il était adopté, le RASA obligerait les exportateurs à obtenir une licence d’exportation délivrée par le BIS avant d’autoriser un accès à distance à des technologies contrôlées au profit d’entités étrangères. Les entreprises exploitant des centres de données, des plateformes cloud ou des infrastructures d’intelligence artificielle disposant d’une clientèle internationale devraient alors contrôler non seulement les expéditions physiques, mais également les accès provenant de pays soumis à restrictions.
Perspectives : les contrôles à l’exportation à l’ère numérique
Les contrôles à l’exportation étaient autrefois une préoccupation essentiellement réservée aux industriels de la défense. À l’ère de l’intelligence artificielle, du cloud computing et des logiciels sans frontières, ils concernent désormais un public bien plus large. Qu’il s’agisse d’un développeur partageant du code avec un collègue étranger ou d’une entreprise accordant un accès cloud à un client non américain, des obligations en matière de contrôle des exportations peuvent être déclenchées sans même que les acteurs concernés en aient conscience.
S’il est adopté, le RASA constituerait une évolution majeure du droit américain des contrôles à l’exportation à l’ère numérique et confirmerait qu’un programme interne de conformité robuste, associé à une veille réglementaire continue, n’est plus une option mais une nécessité.
Rédigé par : Zilene PESSÔA, Chef de Projet Trade Compliance, MyTower
Vous recherchez une solution adaptée à votre entreprise ?
