- 2/5/2021
- 5 minutes de lecture
-
- r
À propos de l’EAR
Le ministère américain du Commerce applique la réglementation sur l’administration des exportations (EAR) par le biais du Bureau de l’industrie et de la sécurité (BIS). L’EAR régit de manière générale et impose des contrôles sur l’exportation et la réexportation de la plupart des biens commerciaux, des logiciels et des technologies, y compris les articles à « double usage » qui peuvent être utilisés à la fois à des fins commerciales et militaires et certains articles de défense.
Les orientations du BIS soutiennent que, lorsque des données ou des logiciels sont téléchargés sur le cloud ou transférés entre des nœuds d’utilisateurs, le client, et non le fournisseur de cloud, est l' »exportateur » qui a la responsabilité de s’assurer que les transferts, le stockage et l’accès à ces données ou logiciels sont conformes à l’EAR.
Selon le BIS, l’exportation fait référence au transfert de technologies ou de données techniques protégées vers une destination étrangère ou à leur remise à une personne étrangère aux États-Unis (également appelée exportation présumée). L’EAR régit de manière générale :
- Les exportations des États-Unis.
- Les réexportations ou les retransferts d’articles d’origine américaine et de certains articles d’origine étrangère comportant plus qu’une portion de minimis de contenu d’origine américaine.
- Transferts ou divulgations à des personnes d’autres pays.
Les articles soumis à l’EAR se trouvent sur la liste de contrôle du commerce (CCL) où chaque article se voit attribuer un numéro de classification de contrôle des exportations (ECCN) unique. Les articles qui ne figurent pas sur la CCL sont désignés comme EAR99 et la plupart des produits commerciaux EAR99 ne nécessiteront pas de licence pour être exportés. Cependant, selon la destination, l’utilisateur final ou l’utilisation finale de l’article, même un article EAR99 peut nécessiter une licence d’exportation du BIS.
La règle finale, publiée en juin 2016, a précisé que les exigences de licence EAR ne s’appliqueraient pas non plus à la transmission et au stockage de données techniques et de logiciels non classifiés s’ils étaient chiffrés de bout en bout à l’aide de modules cryptographiques validés FIPS 140-2 et n’étaient pas stockés intentionnellement dans un pays soumis à un embargo militaire ou dans la Fédération de Russie.
Microsoft et l’EAR
Les technologies, produits et services de Microsoft sont soumis à la réglementation américaine sur l’administration des exportations (EAR). Bien qu’il n’existe pas de certification de conformité pour l’EAR, Microsoft Azure, Microsoft Azure Government et Microsoft Office 365 Government (environnements GCCHigh et DoD) offrent des fonctionnalités et des outils importants pour aider les clients éligibles soumis à l’EAR à gérer les risques liés au contrôle des exportations et à répondre à leurs exigences de conformité.
Le département du commerce américain, qui applique l’EAR, a adopté la position selon laquelle les clients, et non les fournisseurs de services cloud tels que Microsoft, sont considérés comme des exportateurs de leurs propres données clients. Bien que la plupart des données des clients ne soient pas considérées comme de la « technologie » ou des « données techniques » soumises aux contrôles des exportations EAR, les services cloud Microsoft dans le champ d’application sont structurés de manière à aider les clients à gérer et à atténuer considérablement les risques potentiels de contrôle des exportations auxquels ils sont confrontés. Microsoft recommande généralement, mais pas exclusivement, l’utilisation de ses services en nuage gouvernementaux aux clients éligibles. Avec une planification appropriée, les clients peuvent utiliser les outils suivants et leurs propres procédures internes pour aider à assurer une conformité totale avec les contrôles des exportations américaines.
- Contrôles de la localisation des données. Les clients ont une visibilité sur l’endroit où leurs données sont stockées et ont accès à des outils robustes pour restreindre leur stockage. Ils peuvent donc s’assurer que leurs données sont stockées aux États-Unis et minimiser le transfert de technologies ou de données techniques contrôlées en dehors des États-Unis. En outre, les données des clients ne sont pas stockées dans un lieu non conforme, conformément aux interdictions de l’EAR concernant le lieu de » stockage intentionnel » des données : aucun centre de données Azure n’est situé dans l’un des 25 pays du groupe D:5 ou dans la Fédération de Russie.
- Cryptage de bout en bout. En profitant de la sphère de sécurité du chiffrement de bout en bout pour les emplacements de stockage physique spécifiés dans l’EAR, les services cloud Microsoft dans le champ d’application offrent des fonctions de chiffrement qui peuvent aider à se protéger contre les risques liés au contrôle des exportations. Ils offrent également aux clients un large éventail d’options pour le cryptage des données en transit et au repos, ainsi que la flexibilité de choisir parmi les options de cryptage.
- Outils et protocoles pour empêcher l’exportation réputée non autorisée. L’utilisation du cryptage aide également à se protéger contre une potentielle exportation présumée (ou réexportation présumée) en vertu de l’EAR, car même si une personne non américaine a accès aux données cryptées, rien n’est révélé si elle ne peut pas lire ou comprendre les données pendant qu’elles sont cryptées ; il n’y a donc pas de « libération » de données contrôlées.
Services cloud Microsoft dans le champ d’application
- Azure et Azure Government
- Office 365 Government (GCC-High et DoD)
- Intune
Comment mettre en œuvre
Vue d’ensemble des contrôles américains à l’exportation et conseils pour les clients évaluant leurs obligations en vertu de l’EAR.
- Azure
- Office 365
Frequently asked questions
Que dois-je faire pour me conformer aux contrôles à l’exportation lorsque j’utilise les services cloud de Microsoft ?
Selon l’EAR, lorsque des données sont téléchargées sur un serveur cloud tel que le cloud Microsoft, le client propriétaire des données – et non le fournisseur de services cloud – est considéré comme l’exportateur. Pour cette raison, le propriétaire des données – c’est-à-dire le client Microsoft – doit évaluer soigneusement comment son utilisation du nuage Microsoft peut impliquer des contrôles d’exportation américains et déterminer si les données qu’il souhaite utiliser ou stocker peuvent être soumises aux contrôles EAR, et si oui, quels contrôles s’appliquent. Découvrez comment les services cloud Azure et Office 365 peuvent aider les clients à assurer leur pleine conformité avec les contrôles américains des exportations.
Les technologies, produits et services Microsoft sont-ils soumis à l’EAR ?
La plupart des technologies, produits et services Microsoft soit :
- ne sont pas soumis à l’EAR et ne figurent donc pas sur la liste de contrôle du commerce et n’ont pas d’ECCN ;
- soit ils sont EAR99 ou 5D992 Mass Market-éligibles à l’auto-classification par Microsoft et peuvent être exportés vers des pays non soumis à un embargo sans licence en tant que No License Required (NLR).
Cela dit, quelques produits Microsoft se sont vus attribuer un ECCN qui peut ou non nécessiter une licence. Consultez l’EAR ou un conseiller juridique pour déterminer le type de licence approprié et les pays éligibles à des fins d’exportation.
Quelle est la différence entre l’EAR et l’International Traffic in Arms Regulations (ITAR) ?
Les principaux contrôles américains à l’exportation ayant l’application la plus large sont l’EAR, administré par le ministère américain du Commerce. L’EAR est applicable aux articles à double usage qui ont des applications commerciales et militaires, ainsi qu’aux articles ayant des applications purement commerciales.
Les États-Unis disposent également de réglementations distinctes et plus spécialisées en matière de contrôle des exportations, telles que l’ITAR, qui régit les articles et les technologies les plus sensibles. Administrées par le département d’État américain, elles imposent des contrôles sur l’exportation, l’importation temporaire, la réexportation et le transfert de nombreux articles militaires, de défense et de renseignement (également appelés « articles de défense »), y compris les données techniques connexes.