Conformément à l’article 5 du règlement (UE) 2021/821 (ci-après le « Règlement »), l’exportation de biens de cybersurveillance peut être contrôlée bien que ceux-ci ne soient pas repris au sein de l’annexe I dudit Règlement.
En effet, l’article 5, paragraphe 1, prévoit que « l’exportation des biens de cybersurveillance non énumérés à l’annexe I est soumise à autorisation si l’autorité compétente a informé l’exportateur que les produits en question sont ou peuvent être destinés, entièrement ou en partie, à une utilisation impliquant la répression interne et/ou la commission de violations graves et systématiques des droits de l’homme et du droit humanitaire international ».
Par ailleurs, les biens de cybersurveillance sont définis au point 20 de l’article 2 du Règlement: « les biens à double usage conçus spécifiquement pour permettre la surveillance discrète de personnes physiques par la surveillance, l’extraction, la collecte ou l’analyse de données provenant de systèmes d’information et de télécommunications ».
Les notions contenues au sein de ces articles pouvaient conduire un certain nombre d’opérateurs à s’interroger sur l’application de ces mesures à leurs produits.
C’est dans ce contexte que la Commission européenne a publié, le 16 octobre 2024, la recommandation (UE) 2024/2659 (ci-après la « Recommandation ») qui a pour but d’orienter les exportateurs et de leur permettre une application efficiente du contrôle des exportations de biens de cybersurveillance. Nous rappelons, à ce titre, qu’une recommandation n’est pas contraignante pour les opérateurs et a pour seul but de leur suggérer une ligne de conduite.
La Recommandation définit notamment les notions de « conçus spécifiquement » et de « surveillance discrète » qui sont ici étayées, mais précise également les éléments que les exportateurs doivent prendre en compte afin de déterminer si leurs produits sont destinés à être utilisés à des fins de répressions internes ou pour la commission de violations graves et systématiques des droits de l’Homme et du droit humanitaire international.
Notons également que la Recommandation fait aussi référence à l’article 5, paragraphe 2, qui prévoit que : « Si un exportateur a connaissance, d’après les résultats des procédures de vigilance, de ce que des biens de cybersurveillance qui ne sont pas énumérés à l’annexe I et qu’il entend exporter sont destinés, en tout ou partie, à l’un des usages visés au paragraphe 1 du présent article, l’exportateur en informe l’autorité compétente ».
La Recommandation précise ainsi les notions de « connaissance » et « sont destinés à » tout en insistant sur les mesures de vigilance devant être mises en place par les exportateurs. Il est notamment précisé que ces derniers doivent réaliser les diligences nécessaires pour évaluer les risques liés à chaque transaction, cette évaluation devant être réalisée au cas par cas afin de tenir compte des circonstances propres à chaque projet d’exportation.
- La Recommandation est accessible ici.
Nos experts se tiennent à votre disposition pour vous aider dans vos démarches relatives à vos flux d’exports.
