Devenir conforme à l'ITAR pour les exportateurs de défense
Si votre entreprise exporte des articles liés à la défense ou à l’espace, vous devez être conforme à l’ITAR. Sinon, vous pourriez être condamné à payer des amendes de plusieurs centaines de milliers de dollars.
Que signifie être conforme à l’ITAR ? Être conforme aux Réglementations Internationales sur le Trafic d’Armes signifie que votre entreprise est enregistrée auprès de la Direction des Contrôles Commerciaux de la Défense du Département d’État des États-Unis et a respecté toutes les réglementations ITAR nécessaires pour les exportations de la Liste des Munitions des États-Unis.
Qu’est-ce que l’ITAR et pourquoi une organisation souhaiterait-elle être conforme ?
Les Réglementations Internationales sur le Trafic d’Armes est un organisme réglementaire et un cadre utilisé pour contrôler les importations et exportations d’armes et de munitions dans l’intérêt de protéger la sécurité nationale des États-Unis et les priorités de politique étrangère.
L’ITAR fait explicitement référence à la Liste des Munitions des États-Unis (USML), qui est une liste de services, technologies et articles désignés comme “liés à la défense et à l’espace.” C’est un inventaire d’armes, d’équipements militaires et de données liées à la défense définis comme “munitions.” Étant donné que les États-Unis commercent souvent des armes (en tant qu’acheteur ou vendeur), le gouvernement doit tenir des registres méticuleux concernant son équipement. De même, parce que la chaîne d’approvisionnement de la défense comprend un réseau d’agences et de sous-traitants (connus sous le nom de Base Industrielle de la Défense), ces organisations doivent répondre aux exigences instituées pour gérer les munitions des États-Unis.
L’ITAR et la Loi sur le Contrôle des Exportations d’Armes ont été promulguées en 1976 pendant la Guerre Froide pour répondre aux craintes que les armes américaines tombent entre les mains d’agents de l’URSS ou de gouvernements satellites. En 1999, la gestion et l’application des règles et réglementations sous l’ITAR et la Loi sur le Contrôle des Exportations d’Armes (AECA) ont été confiées au Département d’État des États-Unis.
Sous l’ITAR, les “articles de défense” sont divisés en deux grandes catégories : l’équipement physique et les données techniques sur l’équipement existant ou futur. Au sein de ces deux catégories se trouvent des catégories plus spécifiques aux utilisateurs:
- Armes à feu, armes d’assaut rapprochées et fusils de chasse
- Matériaux, produits chimiques, micro-organismes et toxines
- Munitions et Ordonnances
- Véhicules de lancement, missiles guidés et balistiques, roquettes, torpilles, bombes et mines
- Explosifs et matériaux énergétiques, propulseurs, agents incendiaires et leurs constituants
- Navires de guerre et équipement naval spécial
- Chars et véhicules militaires
- Aéronefs et équipement associé
- Équipement d’entraînement militaire
- Équipement de protection individuelle
- Électronique militaire
- Équipement de contrôle du feu, télémètres, optique, guidage et équipement de contrôle
- Équipement militaire auxiliaire
- Agents toxicologiques, y compris agents chimiques, agents biologiques et équipement associé
- Systèmes spatiaux et équipement associé
- Armes nucléaires, conception et articles liés aux essais
- Articles classifiés, données techniques et services de défense non autrement énumérés
- Armes à énergie dirigée
- Moteurs à turbine à gaz
- Vaisseaux submersibles, équipement océanographique et associé
- Articles, données techniques et services de défense non autrement énumérés
Toutes les armes militaires et les informations sur ces armes relèvent de l’une de ces catégories. Toute organisation qui effectue de la fabrication, de la recherche ou des exportations liées aux articles relevant de ces catégories doit s’enregistrer auprès de la Direction des Contrôles Commerciaux de la Défense (DDTC) et suivre les réglementations ITAR.
4 Différences entre l’ITAR et l’EAR
L’ITAR (Réglementations Internationales sur le Trafic d’Armes) et l’EAR (Réglementations sur l’Administration des Exportations) sont toutes deux des réglementations du gouvernement des États-Unis qui régissent l’exportation d’articles ayant des applications civiles et militaires.
Il existe cependant quelques différences claires entre les deux réglementations :
- Portée : L’ITAR couvre l’exportation d’articles et de services de défense, tandis que l’EAR couvre l’exportation d’articles à double usage pouvant avoir des applications militaires et civiles.
- Juridiction : L’ITAR est administré par le Département d’État, tandis que l’EAR est administré par le Département du Commerce.
- Processus de Licence : Le processus de licence pour l’ITAR est généralement plus complexe et prend plus de temps que pour l’EAR. L’ITAR nécessite une demande formelle et un processus d’approbation, tandis que l’EAR dispose d’un processus plus rationalisé pour la plupart des exportations.
- Pénalités : Les pénalités pour violation de l’ITAR peuvent être sévères, incluant des amendes, des peines d’emprisonnement et la perte des privilèges d’exportation. Les pénalités EAR peuvent également être significatives mais sont généralement moins sévères que les pénalités pour violation de l’ITAR.
Comment une organisation peut-elle se conformer à l’ITAR ?
Il y a quelques étapes clés que toute organisation doit suivre pour répondre aux exigences de conformité à l’ITAR :
- S’inscrire auprès du DDTC : Cette étape précède toutes les autres et est nécessaire pour effectuer tout travail gérant des articles de l’USML de quelque manière que ce soit. Selon le site web du DDTC, tous les “fabricants, exportateurs, importateurs temporaires et courtiers d’articles de défense (y compris les données techniques)” relevant de l’USML doivent s’inscrire auprès du DDTC.
- Mettre en place un programme de conformité à l’ITAR. Les exigences de l’ITAR spécifient que les organisations doivent avoir un programme de conformité à l’ITAR documenté qui décrit le suivi, le traçage et l’audit des données techniques de l’USML qui relèvent de la juridiction de l’ITAR. De plus, le DDTC recommande de marquer les matériaux sensibles avec une désignation ITAR pour soutenir la conformité parmi les employés.
- Implémenter la sécurité ITAR : La conformité suivra le niveau de sécurité des données. Supposons que les informations gérées dans le cadre de l’ITAR soient classifiées. Dans ce cas, elles porteront très probablement leurs propres exigences de conformité à la sécurité (y compris l’utilisation de réseaux de routeurs spécifiques comme le Secret Internet Protocol Router Network). Si, cependant, une organisation gère des informations non classifiées contrôlées (CUI)—informations sensibles liées à l’armement et à la défense qui ne sont pas classifiées—alors la conformité à la sécurité peut suivre le National Institute of Standards and Technology Special Publication 800-171.
Qu’est-ce que l’enregistrement ITAR ?
L’enregistrement ITAR est le processus d’enregistrement auprès du DDTC pour la conformité à l’ITAR. Il est obligatoire pour tous les fabricants, exportateurs et courtiers d’articles de défense, de services de défense ou de données techniques couverts par l’ITAR. Le processus d’enregistrement comprend la complétion d’une demande, le paiement d’une taxe et la fourniture d’informations détaillées sur l’entreprise, sa propriété et ses opérations. Une fois enregistrées, les entreprises doivent se conformer à toutes les exigences de l’ITAR, y compris l’obtention de licences pour l’exportation d’articles restreints, la tenue de registres et le signalement de toute violation ou incident.
L’enregistrement ITAR est une étape cruciale pour les entreprises impliquées dans l’industrie de la défense, car il assure la conformité avec les réglementations conçues pour protéger les intérêts de sécurité nationale des États-Unis. Le non-respect de l’enregistrement ou des réglementations ITAR peut entraîner de lourdes sanctions, y compris des amendes, des peines d’emprisonnement et la perte des privilèges d’exportation. Par conséquent, les entreprises doivent comprendre l’importance de l’enregistrement ITAR et les exigences strictes pour maintenir la conformité.
Comment l’ITAR s’applique-t-elle aux entreprises technologiques ?
La dépendance croissante des agences de défense envers les sous-traitants tiers a créé une dépendance parallèle à l’infrastructure informatique fournie par les fournisseurs pour ces agences et leurs sous-traitants partenaires. Ces types d’infrastructures incluent les applications Software-as-a-Service (SaaS), le stockage cloud, les solutions gouvernementales, et des technologies cruciales pour la plupart des organisations.
Étant donné que des systèmes comme le stockage cloud sont si critiques pour les opérations des sous-traitants et agences de défense, il est également important que tout système gérant des “articles, données techniques et services de défense” (classifiés ou non) réponde aux exigences minimales de conformité.
Cela se manifeste de deux manières différentes. En termes de CUI ou de données classifiées, une organisation doit suivre les réglementations pour protéger ces formes spécifiques de données. De plus, selon les exigences de l’ITAR, ces organisations étaient, avant 2020, tenues de s’assurer que les centres de données étaient gérés uniquement par des citoyens américains situés aux États-Unis.
Quelles sont les sanctions pour non-conformité à l’ITAR ?
Selon la documentation ITAR sur le site web du DDTC, il est considéré comme illégal de faire l’une des actions suivantes :
- Exporter, importer ou conspirer pour importer ou exporter des articles de défense des États-Unis sans l’approbation du Département d’État
- Importer, exporter ou intermédier l’échange d’articles de défense sans la licence appropriée
- Fabriquer des articles de défense en partenariat avec le gouvernement sans se conformer aux réglementations de licence et de sécurité
- Commettre une fraude dans le but d’obtenir la conformité ITAR, une licence ou toute autre approbation pour l’exportation, l’importation ou l’intermédiation d’articles de défense
Les sanctions sont résolues par ce qu’on appelle un “accord de consentement,” où une organisation en violation de l’ITAR subit une surveillance et une remédiation aux côtés de sanctions financières à travers un processus pouvant durer de trois à quatre ans.
Selon le site web du DDTC, il existe deux niveaux de sanctions :
- Sanctions Civiles : Les sanctions civiles sont régies par l’article 128 de l’ITAR et incluent des sanctions d’au moins 1M$ par violation et une éventuelle interdiction, au moins pendant une période de remédiation régie par un accord de consentement. Les sanctions civiles sont généralement considérées comme involontaires ou correctibles, permettant un accord de consentement.
- Sanctions Pénales : Les sanctions pénales sont régies par l’AECA 22 U.S.C. 2778(c) et s’appliquent généralement aux organisations violant sciemment et volontairement l’ITAR. Les sanctions sont d’un minimum de 1M$ par violation ou jusqu’à 20 ans de prison et d’interdiction.
Maintien de systèmes sûrs et d’informations sécurisées ITAR
Les organisations travaillant dans la chaîne d’approvisionnement du Département de la Défense gèrent déjà des données importantes et sensibles. Celles qui gèrent des informations techniques dans le cadre de la gestion de la U.S. Munitions List ont encore plus de responsabilités pour garantir que ces informations ne tombent pas entre de mauvaises mains. C’est pourquoi il est important de travailler avec des systèmes de gestion de données et de cloud capables de répondre à des exigences de sécurité strictes, au sein et en dehors de l’industrie de la défense.
Inscrivez-vous pour une démonstration gratuite dès aujourd’hui pour voir comment la plateforme Kiteworks peut répondre à vos besoins de sécurité et de conformité.