Us Export Administration Regulations (EAR)

À propos de l’EAR

Le département du commerce des États-Unis applique la réglementation relative à l’administration des exportations (EAR) par l’intermédiaire du Bureau of Industry and Security (BIS). L’EAR régit et impose largement des contrôles sur l’exportation et la réexportation de la plupart des biens commerciaux, logiciels et technologies, y compris les articles à double usage que vous pouvez utiliser à la fois à des fins commerciales et militaires et certains articles de défense.

Les conseils bis indiquent que lorsque vous chargez des données ou des logiciels dans le cloud ou que vous les transférez entre des nœuds utilisateur, vous êtes l'« exportateur » et avez la responsabilité de vous assurer que les transferts, le stockage et l’accès à ces données ou logiciels sont conformes à l’EAR.

Selon la BRI, l’exportation désigne le transfert d’une technologie ou de données techniques protégées vers une destination étrangère ou leur libération à une personne étrangère dans le États-Unis (également appelé exportation réputée). L’EAR régit globalement :

• Exporte à partir du États-Unis.
• Réexportations ou retransférations d’articles d’origine américaine et de certains articles d’origine étrangère avec plus d’une partie de minimis du contenu d’origine américaine.
• Transferts ou divulgations à des personnes provenant d’autres pays ou régions.

Vous trouverez des éléments soumis à l’EAR dans la liste de contrôle du commerce (CCL) où chaque élément se voit attribuer un numéro de classification de contrôle d’exportation (ECCN) unique. Les articles non répertoriés sur la liste de contrôle de contrôle sont désignés comme EAR99 et la plupart des produits commerciaux EAR99 ne nécessitent pas de licence pour être exportés. Toutefois, selon la destination, l’utilisateur final ou l’utilisation finale de l’élément, même un élément EAR99 peut nécessiter une licence d’exportation BIS.

La règle finale, publiée en juin 2016, a précisé que les exigences de licence EAR ne s’appliquent pas non plus à la transmission et au stockage de données techniques et de logiciels non classifiés s’ils sont chiffrés de bout en bout à l’aide de modules de chiffrement validés FIPS 140-2 et ne sont pas stockés intentionnellement dans un pays ou une région sous embargo militaire ou dans la Fédération de Russie.

Microsoft et l’EAR

Les technologies, produits et services Microsoft sont soumis à la réglementation américaine sur l’administration des exportations (EAR). Bien qu’il n’existe aucune certification de conformité pour l’EAR, Microsoft Azure, Microsoft Azure Government et Microsoft Office 365 Government (environnements GCC High et DoD) offrent des fonctionnalités et des outils importants pour aider les clients éligibles soumis à l’EAR à gérer les risques de contrôle des exportations et à répondre à leurs exigences de conformité.

Le département du Commerce des États-Unis, qui applique l’EAR, considère que les clients, et non les fournisseurs de services cloud tels que Microsoft, sont considérés comme des exportateurs de leurs propres données client. Bien que la plupart des données client ne soient pas considérées comme des « technologies » ou des « données techniques » soumises aux contrôles d’exportation EAR, les services cloud dans l’étendue de Microsoft sont structurés pour aider les clients à gérer et atténuer considérablement les risques potentiels de contrôle des exportations auxquels ils sont confrontés. Microsoft recommande généralement, mais pas exclusivement, l’utilisation de ses services cloud gouvernementaux pour les clients éligibles. Avec une planification appropriée, les clients peuvent utiliser les outils suivants et leurs propres procédures internes pour garantir une conformité totale avec les contrôles d’exportation américains.

• Contrôles sur l’emplacement des données. Les clients ont une visibilité sur l’emplacement où leurs données sont stockées et ont accès à des outils robustes pour restreindre leur stockage. Ils peuvent s’assurer que leurs données sont stockées dans le États-Unis et réduire le transfert de technologies contrôlées ou de données techniques en dehors du États-Unis. En outre, les données client ne sont pas stockées dans un emplacement non conforme, conformément aux interdictions de l’EAR sur l’endroit où les données sont « stockées intentionnellement » : aucun centre de données Azure n’est situé dans les 25 pays/régions du Groupe D :5 ou dans la Fédération de Russie.
• Chiffrement de bout en bout. En tirant parti de la sphère de sécurité de chiffrement de bout en bout pour les emplacements de stockage physique spécifiés dans l’EAR, les services cloud dans l’étendue de Microsoft offrent des fonctionnalités de chiffrement qui peuvent vous aider à vous protéger contre les risques liés au contrôle des exportations. Ils offrent également aux clients un large éventail d’options pour chiffrer les données en transit et au repos, ainsi que la possibilité de choisir parmi les options de chiffrement. Pour en savoir plus, reportez-vous à la rubrique :
  • Vue d’ensemble du chiffrement Azure
  • Protection des données Microsoft Purview
  • Chiffrement au niveau du locataire avec la clé client
• Outils et protocoles pour empêcher l’exportation non autorisée. L’utilisation du chiffrement permet également de se protéger contre une exportation potentielle (ou une réexportation réputée) dans le cadre de l’EAR, car même si une personne non américaine a accès aux données chiffrées, rien n’est révélé si elle ne peut pas lire ou comprendre les données pendant qu’elles sont chiffrées ; il n’y a donc pas de « libération » de données contrôlées.

Plateformes et services cloud microsoft dans l’étendue

• Azure et Azure Government
• Office 365 Secteur Public (GCC-High et DoD)
• Intune

Questions fréquentes (FAQ)

Que dois-je faire pour me conformer aux contrôles d’exportation lors de l’utilisation des services cloud Microsoft ?

Sous l’EAR, lorsque vous chargez des données sur un serveur cloud tel que le cloud Microsoft, vous, en tant que client et propriétaire des données, êtes considéré comme l’exportateur, et non comme le fournisseur de services cloud. Pour cette raison, vous devez évaluer soigneusement comment votre utilisation du cloud Microsoft peut impliquer des contrôles d’exportation américains. Déterminez si les données que vous souhaitez utiliser ou stocker dans le cloud sont soumises aux contrôles EAR et, si c’est le cas, identifiez les contrôles applicables. En savoir plus sur la façon dont Azure et Office 365 services cloud peuvent vous aider à garantir une conformité totale avec les contrôles d’exportation américains. Pour plus d’informations, consultez la section Forum aux questions sur le cloud de la page Forum aux questions sur l’exportation de produits Microsoft.

Les technologies, produits et services Microsoft sont-ils soumis à l’EAR ?

La plupart des technologies, produits et services Microsoft :

• Ne sont pas soumis à l’EAR et ne sont donc pas sur la liste de contrôle du commerce et n’ont pas d’ECCN ;
• Ou ils sont EAR99 ou 5D992 Grand Marché éligible à l’auto-classification par Microsoft et peuvent être exportés vers des pays ou régions sans embargo sans licence en tant que NLR (Aucune licence requise).

Cela dit, quelques produits Microsoft se sont vu attribuer un ECCN qui peut nécessiter une licence. Consultez l’EAR ou un conseiller juridique pour déterminer le type de licence approprié et les pays ou régions éligibles à des fins d’exportation.

Quelle est la différence entre l’EAR et le Règlement international sur le trafic des armes (ITAR) ?

Les principaux contrôles à l’exportation aux États-Unis avec l’application la plus large sont les EAR, administrés par le département du commerce des États-Unis. L’EAR s’applique aux articles à double usage qui ont des applications commerciales et militaires, ainsi qu’aux articles ayant des applications purement commerciales.

Le États-Unis a également des règlements distincts et plus spécialisés sur le contrôle des exportations, comme l’ITAR, qui régissent les articles et les technologies les plus sensibles. Administrés par le Département d’État des États-Unis, ces règlements imposent des contrôles sur l’exportation, l’importation temporaire, la réexportation et le transfert de nombreux articles militaires, de défense et de renseignements (également appelés « articles de défense »), y compris les données techniques connexes.

Ressources

• Exportation de produits Microsoft
• Restrictions d’exportation sur le chiffrement
• Microsoft et FIPS 140-2
• Microsoft et ITAR
• Conformité sur le site Microsoft Trust Center