Le règlement (UE) 2021/821 sur les biens à double usage
Date : 11 juin 2021
Règlement (UE) 2021/821 du Parlement européen et du Conseil du 20 mai 2021 instituant un régime de l’Union de contrôle des exportations, du courtage, de l’assistance technique, du transit et des transferts en ce qui concerne les biens à double usage (refonte)
Le règlement (UE) 2021/821 du Parlement européen et du Conseil du 20 mai 2021 est paru au JOUE L 206 du 11 juin 2021.
Ce règlement refond et abroge le règlement 428/2009 relatif aux biens à double usage (BDU) – (Biens conçus à des fins civiles mais susceptibles d’avoir une utilisation tant civile que militaire). Il est applicable depuis le 9 septembre 2021.
Si les modifications apportées au règlement (CE) 428/2009 ne changent pas les principes fondamentaux du contrôle du commerce de ces BDU ni l’économie générale dudit Règlement, elles entraîneront néanmoins quelques changements des « règles du jeu » actuelles.
Après quatre ans de négociations entre la Commission, le Parlement européen et le Conseil de l’Union européenne sur une proposition de la Commission de septembre 2016, un accord politique préliminaire sur le texte du règlement a été conclu le 9 novembre 2020. Le Parlement a donné son accord en première lecture le 25 mars 2021, suivi par le Conseil le 10 mai 2021.
Le texte du Règlement prévoit son entrée en vigueur au terme d’une période transitoire de 90 jours suite à sa parution au JOUE du 11 juin 2021, soit le 10 septembre 2021.
Cela signifie que les dispositions pertinentes du règlement (CE) no 428/2009 restent applicables pour les demandes d’autorisation d’exportation introduites avant le 9 septembre 2021.
Ces changements de « règles du jeu » sont brièvement exposés ici et concernent en premier lieu de nouvelles définitions ou des révisions de définitions.
L’« exportateur »
La définition d’exportateur a été revue au point 3) de l’article 2 du Chapitre I « Objet et Définitions » du Règlement.
A été premièrement précisé, le moment où cette définition doit être analysée, à savoir le « moment où la déclaration d’exportation ou de réexportation ou la déclaration sommaire de sortie est acceptée ». Dans l’ancienne version, on visait « le moment où la déclaration est acceptée ».
Pour rappel, la définition d’un exportateur au regard du Règlement est la suivante : l’exportateur est la personne (physique ou morale) habilitée à décider de l’exportation du produit (voir 3) a)). Auparavant les termes étaient plus imprécis car l’exportateur était « la personne qui a la faculté de décider de l’envoi » ; la notion de « faculté » a pu faire l’objet d’interprétations variées.
Dans le prolongement de cette règle, l’exportateur ne peut qu’être résident ou établi dans l’UE. En effet, si la personne habilitée à décider de l’exportation du produit n’est pas dans l’UE, alors selon le contrat sur lequel l’exportation est fondée, l’exportateur est réputé être la partie contractante qui réside ou est établie dans l’UE.
Quid si la personne habilitée à décider de l’exportation est non seulement résidente ou établie hors de l’UE mais aussi tierce au contrat d’exportation ?
Certes, cette personne n’est pas exportatrice au sens du Règlement, mais cela signifie-t-il pour autant que la transaction qui concerne des biens contrôlés au sens dudit Règlement échappe à tout contrôle ?
Les transferts par voie électronique sont eux aussi visés et précisés par le Règlement au point b) du 3):
« toute personne physique ou morale ou tout partenariat qui décide de transmettre des logiciels ou des technologies par voie électronique, y compris par télécopieur, téléphone, courrier électronique ou tout autre moyen électronique vers une destination à l’extérieur du territoire douanier de l’Union, ou de mettre à disposition sous forme électronique des logiciels et des technologies à l’intention de personnes physiques ou morales ou de partenariats à l’extérieur du territoire douanier de l’Union [nouveau] ».
L’ « assistance technique »
L’assistance technique est désormais définie au point 9) de l’article 2 du Chapitre I « Objet et Définitions » du Règlement comme : « tout appui technique en liaison avec la réparation, le développement, la fabrication, le montage, les essais, l’entretien ou tout autre service technique, qui peut prendre la forme d’instructions, de conseils, de formation, de transmission de connaissances ou de qualifications opérationnelles ou encore de services de consultance, y compris par voie électronique ainsi que par téléphone ou toute autre forme d’assistance fournie de vive voix ».
Le fournisseur d’assistance technique est également défini au point 10) et il est intéressant de constater que la notion recouvre non seulement toute personne fournissant une assistance depuis l’UE vers un territoire tiers mais aussi toute personne qui « réside ou est établi dans l’UE qui fournit une assistance technique à un résident d’un pays tiers temporairement présent sur le territoire douanier de l’Union ». Cette définition ressemble au « deemed export » américain qui permet de contrôler les échanges d’informations techniques contrôlées dès lors qu’elles se font sur le territoire américain. Néanmoins, dans le cas de figure européen, il est nécessaire que le fournisseur d’assistance technique soit établi ou réside dans l’UE.
Ceci signifie que la fourniture d’une assistance technique en rapport avec des biens à double usage énumérés dans l’Annexe au Règlement sera soumise à autorisation s’il existe des indications d’une utilisation finale sensible ou si l’autorité compétente a été informée d’une telle utilisation finale.
Les « biens de cybersurveillance »
Les biens de cybersurveillance sont ainsi définis au point 20) de l’article 2 du Chapitre I « Objet et Définitions » du Règlement comme : « des biens à double usage conçus spécifiquement pour permettre la surveillance discrète de personnes physiques par la surveillance, l’extraction, la collecte ou l’analyse de données provenant de systèmes d’information et de télécommunications. »
Contrairement à ce qui avait été envisagé, il n’y aura pas de catégorie spécifique pour les biens de cybersurveillance (catégorie 11).
Toutefois, le Règlement prévoit l’introduction de contrôles plus stricts en matière d’exportation des technologies de surveillance numérique. Désormais, une clause attrape-tout vise l’exportation de technologies de surveillance et d’interception numériques non répertoriées.
L’exportation de ces biens sera soumise à autorisation si l’exportateur a été informé par l’autorité compétente que les biens concernés sont ou peuvent être destinés, en totalité ou en partie, à être utilisés à des fins de répression interne ou dans le cadre de la commission de violations graves des droits de l’homme ou du droit humanitaire.
Si, de son côté, un exportateur se rend compte, à la suite d’une « information de diligence raisonnable« , que des biens de cybersurveillance non répertoriés sont destinés à l’une des utilisations critiques susmentionnées, il aura désormais le devoir d’en informer l’autorité compétente.
Le « programme interne de conformité » (« PIC »)
Le principe de diligence raisonnable implique l’évaluation des risques liés aux transactions concernées par le présent Règlement au moyen de mesures d’examen analytique des transactions dans le cadre d’un programme interne de conformité (« PIC »).
À cet égard, la taille et la structure organisationnelle des exportateurs doivent en particulier être prises en compte lors de l’élaboration et de la mise en œuvre des PIC.
Le PIC défini au point 21) de l’article 2 du Chapitre I « Objet et Définitions » du Règlement devient nécessaire mais n’est pas unique : il n’existe pas de « one size fits all » en la matière.
Obligation de licence pour raisons de sécurité publique ou relatives aux droits de l’homme
Si un État membre de l’Union inscrit des biens à double usage supplémentaires sur une liste de contrôle nationale et que cette liste est publiée au Journal officiel de l’UE, cela pourra également entraîner une obligation de procédure de licence dans d’autres États membres de l’UE si l’autorité compétente (dans le ressort de l’Etat membre de l’exportateur) a informé l’exportateur que l’exportation des biens en question est préoccupante pour des raisons de sécurité publique (notamment la prévention d’actes terroristes) ou au regard des droits de l’homme.
La création de deux nouvelles autorisations générales
Deux nouvelles autorisations générales sont créées :
- EU007 : Pour les exportations intragroupes de logiciels et de technologies
- Les biens visés sont tous ceux de l’annexe I sauf 4A005, 4D004, 4E001.c, 5A001.f et 5A001.j
- Les destinations visées sont : Afrique du Sud, Argentine, Brésil, Chili, Corée du Sud, Inde, Indonésie, Israël, Jordanie, Malaisie, Maroc, Mexique, Philippines, Singapour, Thaïlande, Tunisie.
- EU008: Pour certains articles contenant de la cryptographie
- Les biens visés sont les suivants : 5A002.a.2, 5A002.a.3, certains biens couverts par 5A002.b, certains logiciels couverts par 5D002.a.1, certains logiciels couverts par 5D002.b, certains logiciels couverts par 5D002.c.1 et certaines technologies couvertes par 5E002.b.
- Ils doivent répondre à certaines conditions cumulatives :
- Utiliser uniquement des normes cryptographiques publiées ou commerciales approuvées ou adoptées par des organismes de normalisation internationalement reconnus ;
- Ne pas utiliser de normes conçues pour un usage par les pouvoirs publics ;
- Ne pas être modifié facilement par l’utilisateur.
- Toutes destinations exceptées :
- Afghanistan, Arabie saoudite, Arménie, Azerbaïdjan, Biélorussie, Cambodge, République centrafricaine, Chine (y compris Hong Kong et Macao), République démocratique du Congo, Congo, Corée du Nord, Égypte, Émirats arabes unis, Érythrée, Géorgie, Iran, Iraq, Israël, Kazakhstan, Kirghizstan, Liban, Libye, Malaisie, Mali, Maurice, Mongolie, Myanmar/Birmanie, Oman, Ouzbékistan, Pakistan, Qatar, Russie, Somalie, Soudan du Sud, Soudan, Syrie, Tadjikistan, Turkménistan, Venezuela, Yémen, Zimbabwe
- Pays soumis à un embargo sur les armes ou visés par des mesures restrictives de l’UE applicables aux BDU.
En France, certains biens contenant de la cryptographie sont contrôlés par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et nécessitent une déclaration ou une demande d’autorisation auprès de l’Autorité afin de pouvoir être importés, transférés ou exportés.
En Allemagne, par exemple, l’utilisation de l’autorisation générale nationale allemande 16 (télécommunications et sécurité de l’information) restera possible.
La création d’une autorisation applicable à un grand projet
Une licence (qui peut être individuelle ou globale) pour les grands projets est introduite avec une durée de validité maximale de quatre ans en principe (la durée de validité pouvant même être supérieure à 4 ans dans des cas dûment justifiés découlant de la durée du projet). Elle est octroyée à un exportateur particulier pour un type ou une catégorie de BDU, qui peut être valable pour des exportations vers un ou plusieurs utilisateurs finals spécifiques dans un ou plusieurs pays tiers spécifiques aux fins d’un projet à grande échelle précis.
L’échange d’informations entre les autorités nationales et la Commission, mais aussi entre les autorités chargées de l’octroi des licences et les autorités douanières des États membres de l’UE, est renforcé.
En France la mise en place de GUN permet, depuis plusieurs années maintenant, une connaissance partagée et transparente des dossiers BDU par le SBDU et la DGDDI ; le dépôt d’une simple demande hors licence auprès du SBDU étant ainsi visible par la douane.
Tous les codes douaniers susceptibles de correspondre à un BDU font l’objet d’une attention particulière tant au niveau déclaratif par l’opérateur (voir base RITA & CANA à indiquer en case 44 de la déclaration d’exportation) que de la surveillance par la DGDDI.
Paris, le 11 juin 2021