La Commission européenne a adopté le 30 juillet 2019 une Recommandation 2019/1318 relative aux programmes internes de conformité aux fins du contrôle des échanges de biens à double usage en vertu du règlement (CE) no. 428/2009 du Conseil. Les « biens à double usage » sont les produits, y compris les logiciels et les technologies, susceptibles d'avoir une utilisation tant civile que militaire. Les télécommunications sont, à titre d'exemple, inclus dans cette définition. Si, de prime abord, l'objet de cette recommandation semble assez ciblé, son contenu est en réalité bien plus large, et peut intéresser tout acteur ayant recours aux programmes de conformité interne (Internal Compliance Programs – ICP).
La recommandation est fondée sur sept principes clés. Pour chacun d'entre eux, la Commission établit, d'une part, les attentes auxquelles les professionnels du secteur doivent pouvoir répondre de façon efficace et proactive, et d'autre part, les étapes nécessaires pour y arriver. La recommandation contient en annexe des questions-types permettant de rapidement identifier les points d'attention, ainsi qu'une série de signaux d'alerte qui devraient attirer l'attention de l'exportateur prudent et diligent. En cas de soupçon, ce dernier est selon le cas invité ou tenu de communiquer toute information pertinente aux autorités compétentes.
Engagement de la direction
La mise en place d'un ICP efficace requiert une culture d'entreprise empreinte de rigueur et de discipline. Les personnes occupant une place hiérarchique élevée doivent mener par l'exemple en adoptant une attitude irréprochable, respectueuse des réglementations européennes et nationales en vigueur. Elles doivent également favoriser une communication effective avec leur personnel concernant les objectifs de leur société en matière d'ICP et assurer une allocation des ressources organisationnelles, humaines et techniques adéquate pour mener leur politique de bonne conformité.
Structure de l'organisation, responsabilités et ressources
Cette allocation adéquate des ressources requiert une organisation structurée, par écrit, permettant l'identification d'une ou plusieurs personnes responsable(s) de façon globale. Le personnel doit être en nombre suffisant pour répondre aux besoins des clients, et un membre en particulier doit être chargé de vérifier le suivi des ICP. Le cas échéant, le personnel doit être capable d'arrêter toute transaction suspecte. Les conflits d'intérêts doivent être évités et l'accès aux textes législatifs pertinents les plus récents doit être assuré.
Formation et sensibilisation
Que ce soit à travers des séminaires internes ou externes, ou encore des formations spécialisées, une bonne formation/sensibilisation du personnel est essentielle en matière d'ICP, et ce de manière continue, à tous les niveaux pertinents.
Processus et procédures d'examen analytique des opérations
Les processus et procédures d'examen analytique des opérations consiste à mettre en place une série de procédures permettant de vérifier la conformité des opérations. La Commission propose des mesures concrètes, telles que :
- la classification des biens, logiciels et technologies ;
- l'analyse des risques inhérents à la transaction ; et
- des contrôles postérieurs à l'octroi de la licence.
Évaluation des performances, audits, notifications et mesures correctives
Un ICP performant inclut des procédures de notification claires concernant les mesures de communication et de remontée de l'information que peuvent prendre les membres du personnel en cas d'incidents de non-conformité, suspectés ou avérés. Dans le cadre d'une culture de la conformité, les membres du personnel doivent se sentir en confiance et rassurés lorsqu'ils soulèvent des questions ou notifient de bonne foi leurs inquiétudes relatives à la conformité.
Enregistrement et documentation
La recommandation contient des critères d'enregistrement et de documentation des opérations. Ces processus doivent être proportionnés, précis et de nature à garantir la traçabilité des activités liées au contrôle des échanges de biens à double usage. Pareil système global d'enregistrement est destiné à aider l'entreprise à réaliser les audits et les évaluations des performances, à respecter les exigences nationales et européennes en matière de conservation des documents, et facilitera la coopération avec les autorités compétentes en cas de demande relative au contrôle des échanges de biens à double usage.
Sécurité physique et de l'information
Le contrôle des échanges de biens à double usage, en ce compris des logiciels et des technologies poursuit des objectifs de sécurité et de politique étrangère. Les mesures de sécurité appropriées contribuent à limiter les risques d'enlèvement non autorisé de biens soumis à contrôle ou d'accès non autorisé à ceux-ci. Les mesures de sécurité physique sont importantes. Par ailleurs, en raison de leur nature, des logiciels ou des technologies sous forme électronique soumis à contrôle peuvent nécessiter des mesures de sécurité de l'information additionnelles.
L'ensemble de ces mesures, qui font partie intégrante d'un programme de conformité, constituent également une source d'inspiration au titre de bonnes pratiques en vue d'assurer la conformité à d'autres obligations légales auxquelles sont soumises toute entreprise exportatrice, par exemple en matière de respect des sanctions économiques et embargos.