Us Export Administration Regulations (EAR)

À propos de l’EAR

Le département du commerce des États-Unis applique la réglementation relative à l’administration des exportations (EAR) par l’intermédiaire du Bureau of Industry and Security (BIS). L’EAR régit et impose largement des contrôles sur l’exportation et la réexportation de la plupart des biens, logiciels et technologies commerciaux, y compris les articles à double usage qui peuvent être utilisés à des fins commerciales et militaires et certains articles de défense.

Les recommandations bis indiquent que, lorsque des données ou des logiciels sont chargés dans le cloud ou transférés entre des nœuds utilisateur, le client, et non le fournisseur de cloud, est l'« exportateur » qui a la responsabilité de s’assurer que les transferts, le stockage et l’accès à ces données ou logiciels sont conformes à l’EAR.

Selon la BRI, l’exportation désigne le transfert d’une technologie ou de données techniques protégées vers une destination étrangère ou leur libération à une personne étrangère dans le États-Unis (également appelé exportation réputée). L’EAR régit globalement :

• Exporte à partir du États-Unis.
• Réexportations ou retransférations d’articles d’origine américaine et de certains articles d’origine étrangère avec plus d’une partie de minimis du contenu d’origine américaine.
• Transferts ou divulgations à des personnes provenant d’autres pays.

Les éléments soumis à l’EAR se trouvent dans la liste de contrôle du commerce (CCL) où chaque élément se voit attribuer un numéro de classification de contrôle d’exportation (ECCN) unique. Les articles non répertoriés sur la liste de contrôle de contrôle sont désignés comme EAR99 et la plupart des produits commerciaux EAR99 ne nécessitent pas de licence pour être exportés. Toutefois, selon la destination, l’utilisateur final ou l’utilisation finale de l’article, même un article EAR99 peut nécessiter une licence d’exportation BIS.

La règle finale, publiée en juin 2016, a précisé que les exigences de licence EAR ne s’appliqueraient pas non plus à la transmission et au stockage de données techniques et de logiciels non classifiés s’ils étaient chiffrés de bout en bout à l’aide de modules de chiffrement validés FIPS 140-2 et n’étaient pas stockés intentionnellement dans un pays sous embargo militaire ou dans la Fédération de Russie.

Microsoft et l’EAR

Les technologies, produits et services Microsoft sont soumis à la réglementation américaine sur l’administration des exportations (EAR). Bien qu’il n’existe aucune certification de conformité pour l’EAR, Microsoft Azure, Microsoft Azure Government et Microsoft Office 365 Government (environnements GCC High et DoD) offrent des fonctionnalités et des outils importants pour aider les clients éligibles soumis à l’EAR à gérer les risques de contrôle des exportations et à répondre à leurs exigences de conformité.

Le département du Commerce des États-Unis, qui applique l’EAR, a adopté la position selon laquelle les clients, et non les fournisseurs de services cloud tels que Microsoft, sont considérés comme des exportateurs de leurs propres données client. Bien que la plupart des données client ne soient pas considérées comme des « technologies » ou des « données techniques » soumises aux contrôles d’exportation EAR, les services cloud dans l’étendue de Microsoft sont structurés pour aider les clients à gérer et atténuer considérablement les risques potentiels de contrôle des exportations auxquels ils sont confrontés. Microsoft recommande généralement, mais pas exclusivement, l’utilisation de ses services cloud gouvernementaux pour les clients éligibles. Avec une planification appropriée, les clients peuvent utiliser les outils suivants et leurs propres procédures internes pour garantir une conformité totale avec les contrôles d’exportation américains.

• Contrôles sur l’emplacement des données. Les clients ont une visibilité sur l’emplacement où leurs données sont stockées et ont accès à des outils robustes pour restreindre leur stockage. Ils peuvent donc s’assurer que leurs données sont stockées dans le États-Unis et minimiser le transfert de technologies contrôlées ou de données techniques en dehors du États-Unis. En outre, les données client ne sont pas stockées dans un emplacement non conforme, ce qui est conforme aux interdictions ear sur l’endroit où les données sont « stockées intentionnellement » : aucun centre de données Azure n’est situé dans les 25 pays du Groupe D :5 ou dans la Fédération de Russie.
• Chiffrement de bout en bout. En tirant parti de la sphère de sécurité de chiffrement de bout en bout pour les emplacements de stockage physique spécifiés dans l’EAR, les services cloud dans l’étendue de Microsoft offrent des fonctionnalités de chiffrement qui peuvent vous aider à vous protéger contre les risques liés au contrôle des exportations. Ils offrent également aux clients un large éventail d’options pour chiffrer les données en transit et au repos, ainsi que la possibilité de choisir parmi les options de chiffrement. Pour en savoir plus, reportez-vous à la rubrique :
  • Vue d’ensemble du chiffrement Azure
  • Protection de l'information Microsoft Purview
  • Chiffrement au niveau du locataire avec la clé client
• Outils et protocoles pour empêcher l’exportation non autorisée. L’utilisation du chiffrement permet également de se protéger contre une exportation potentielle (ou une réexportation réputée) dans le cadre de l’EAR, car même si une personne non américaine a accès aux données chiffrées, rien n’est révélé si elle ne peut pas lire ou comprendre les données pendant qu’elles sont chiffrées ; il n’y a donc pas de « libération » de données contrôlées.

Plateformes et services du cloud computing de Microsoft dans le champ d’application

• Azure et Azure Government
• Office 365 Secteur Public (GCC-High et DoD)
• Intune

Modalités de mise en œuvre

Vue d’ensemble des contrôles à l’exportation aux États-Unis et des conseils pour les clients qui évaluent leurs obligations dans le cadre de l’EAR.

• Azure
• Office 365

Questions fréquentes (FAQ)

Que dois-je faire pour me conformer aux contrôles d’exportation lors de l’utilisation des services cloud Microsoft ?

Sous l’EAR, lorsque des données sont chargées sur un serveur cloud tel que le cloud Microsoft, le client propriétaire des données, et non le fournisseur de services cloud, est considéré comme l’exportateur. Pour cette raison, le propriétaire des données , c’est-à-dire le client Microsoft, doit évaluer soigneusement comment son utilisation du cloud Microsoft peut impliquer des contrôles d’exportation américains et déterminer si les données qu’il souhaite utiliser ou stocker là peuvent être soumises à des contrôles EAR et, le cas échéant, quels contrôles s’appliquent. Découvrez comment Azure et Office 365 services cloud peuvent aider les clients à garantir leur conformité totale aux contrôles d’exportation américains.

Les technologies, produits et services Microsoft sont-ils soumis à l’EAR ?

La plupart des technologies, produits et services Microsoft :

• Ne sont pas soumis à l’EAR et ne sont donc pas sur la liste de contrôle du commerce et n’ont pas d’ECCN ;
• Ou ils sont EAR99 ou 5D992 Grand Marché éligible à l’auto-classification par Microsoft et peuvent être exportés vers des pays sans embargo sans licence en tant que NLR (Aucune licence requise).

Cela dit, quelques produits Microsoft se sont vu attribuer un ECCN qui peut ou non nécessiter une licence. Consultez l’EAR ou un conseiller juridique pour déterminer le type de licence approprié et les pays éligibles à l’exportation.

Quelle est la différence entre l’EAR et le Règlement international sur le trafic des armes (ITAR) ?

Les principaux contrôles à l’exportation aux États-Unis avec l’application la plus large sont les EAR, administrés par le département du commerce des États-Unis. L’EAR s’applique aux articles à double usage qui ont des applications commerciales et militaires, ainsi qu’aux articles ayant des applications purement commerciales.

Le États-Unis a également des règlements distincts et plus spécialisés en matière de contrôle des exportations, comme l’ITAR, qui régissent les articles et les technologies les plus sensibles. Administrés par le département d’État des États-Unis, ils imposent des contrôles sur l’exportation, l’importation temporaire, la réexportation et le transfert de nombreux articles militaires, de défense et de renseignements (également appelés « articles de défense »), y compris les données techniques connexes.

Ressources

• Exportation de produits Microsoft
• Restrictions d’exportation sur le chiffrement
• Microsoft et FIPS 140-2
• Microsoft et ITAR
• Conformité sur le site Microsoft Trust Center