LU - Law 27 June 2018 on export control

“Des contrôles efficaces des échanges de biens à double usage — biens, logiciels et technologies — sont essentiels pour prévenir les risques associés à la prolifération des armes de destruction massive (ADM) et à l'accumulation déstabilisatrice des armes conventionnelles. Les entreprises actives sur les marchés des biens à double usage sont tenues de respecter les exigences stratégiques applicables au contrôle des échanges établies en vertu des législations et réglementations de l'Union européenne et de ses États membres. Elles doivent s'abstenir de prendre part aux transactions dans lesquelles il est à craindre que des biens puissent être utilisés à des fins de prolifération.

Compte tenu des rapides avancées scientifiques et technologiques, de la complexité des chaînes d'approvisionnement actuelles et de l'importance sans cesse croissante des acteurs non étatiques, l'efficacité du contrôle des échanges dépend dans une large mesure de la vigilance dont font preuve les «entreprises» et des efforts qu'elles déploient activement pour se conformer aux restrictions en matière d'échanges. À cette fin, les entreprises mettent généralement en place une série de procédures et de politiques internes, également connues sous le nom de «programme interne de conformité» (PIC), pour assurer la conformité avec les législations et les réglementations des États membres et de l'Union en matière de contrôle des échanges de biens à double usage. Le champ d'application et la portée de ces politiques et procédures sont traditionnellement déterminés par la taille et les activités commerciales de l'entreprise concernée."

Le contrôle des exportations est une responsabilité partagée entre l'industrie et les autorités. Le chapitre d'introduction de la Recommandation de la Commission européenne de 2019, tel qu'il a été partiellement reproduit ci-avant, met également l'accent sur les efforts des entreprises privées pour être conscientes et respecter les restrictions commerciales. Le Programme interne de conformité (PIC) est ici présenté comme un outil permettant d'assurer le respect des lois et réglementations européennes et nationales en matière de contrôle commercial.

Les PIC ne sont pas nouveaux dans le domaine du contrôle du commerce international et des exportations. Le règlement (CE) n° 428/2009 du 5 mai 2009, principale référence légale (et directement applicable) pour les

biens à double usage, oblige déjà les États membres de l'UE, lorsqu'ils évaluent une demande d'autorisation globale d'exportation, à prendre en considération "la mise en oeuvre par l'exportateur de moyens proportionnés et appropriés ainsi que de procédures permettant d’assurer la conformité avec les dispositions et les objectifs du présent règlement et avec les conditions de l'autorisation" (article 12.2).

La Commission européenne, dans sa proposition COM(2016) 0616 final du 28 septembre 2016 visant à modifier le règlement (CE) n° 428/2009, a suggéré de remplacer le membre de phrase "la mise en œuvre ... de moyens proportionnés et appropriés permettant d’assurer la conformité" par "l’application ... d'un programme interne de conformité efficace" (article 10.4.).

Au regard de ces règles européennes, le législateur luxembourgeois, dans la nouvelle loi du 27 juin 2018 relative au contrôle des exportations, oblige les opérateurs qui soumettent une demande d'autorisation globale pour des biens à double usage à disposer « d'un programme interne de conformité, ainsi que de toutes pièces justifiant l’application et l'exécution d'un tel programme qui assure la mise en œuvre du règlement (CE) n° 428/2009 » (article 5).

Au cours de l'application de la législation luxembourgeoise sur le contrôle des exportations, composée de la loi modifiée du 27 juin 2018 et du règlement grand-ducal modifié du 14 décembre 2018, des questions ont été soulevées par des sociétés établies au Luxembourg concernant le contenu du programme interne de conformité.

Les ministres chargés respectivement du Commerce extérieur et des Affaires étrangères, en tant que membres du Gouvernement compétents pour délivrer les autorisations sur la base de la loi du 27 juin 2018, et l’Office du contrôle des exportations, importations et du transit (OCEIT) qui les soutient dans cette tâche, ont pu entre-temps, dans le cadre d'activités de sensibilisation auprès des entreprises exportatrices, traiter les questions et points se rapportant aux PIC.

Le présent document a pour but de communiquer l'approche des autorités luxembourgeoises chargées de l'octroi des licences lors de l'évaluation des programmes internes de conformité introduits par les exportateurs en tant que document justificatif des demandes d'autorisation globale. Leur approche s'appuie très étroitement sur deux recommandations de la Commission européenne, auxquelles elles adhèrent entièrement, raison pour laquelle le lecteur trouvera, au début de chacun des chapitres suivants, une référence détaillée aux lignes directrices de l'UE publiées au Journal officiel de l'Union européenne. Ces lignes directrices européennes fournissent une norme pour tous les PIC relatifs à la législation du commerce extérieur.

En matière des biens à double usage, la recommandation (UE) 2019/1318 de la Commission européenne du 30 juillet 2019 (ci-après dénommée « Lignes directrices de l’UE sur les biens à double usage (2019) ») invite les États membres de l'UE à tenir compte du document d’orientation inclus en annexe de la recommandation afin de satisfaire aux obligations qui leur incombent au titre du règlement (CE) 428/2009. Il fournit un cadre permettant d’aider les exportateurs à détecter, à gérer et à atténuer les risques associés au contrôle des échanges de biens à double usage, mais aussi pour épauler les autorités dans leur analyse des risques, dans l'exercice de la responsabilité qui leur incombe de prendre des décisions relatives aux autorisations individuelles, globales ou générales nationales.

Afin d'être aussi pratique et transparent que possible, cette référence est complétée par une brève explication et/ou une référence à la situation ou au contexte luxembourgeois, si nécessaire, d'une part, et une liste de contrôle et des aspects pratiques, d'autre part.

La liste de contrôle a deux objectifs. Elle n'affiche pas seulement les différentes étapes suivies par les autorités compétentes pour la délivrance des licences lorsqu’elles évaluent un programme interne de conformité, et elle est donc transparente pour les demandeurs. EIle constitue en même temps un outil précieux pour guider les entreprises dans leurs efforts de rédaction de leur PIC et peut, à ce titre, être suivie par les entreprises désireuses de s'assurer que leur PIC respecte l'approche et les directives des autorités.

Le présent document a un caractère non contraignant et ne doit pas être considéré comme un avis juridique. Les présentes orientations s’entendent sans préjudice des décisions relatives aux autorisations, qui relèvent de la responsabilité des ministres responsables du Commerce extérieur et des Affaires étrangères, qui sont les autorités compétentes en vertu de la loi du 27 juin 2018 et du règlement (CE) n° 428/2009. Il ne fournit pas (à ce stade) de conseils spécifiques pour les différents secteurs et acteurs concernés.

Aux fins du présent document, le terme "entreprise" ou "entreprises" doit être entendu dans un sens large. Il comprend les institutions de recherche, les universités et les autres personnes et entités qualifiées d' »exportateurs » en vertu de la loi du 27 juin 2018.

Raison d’être du PIC

Comme le souligne la Commission européenne dans son Document d'orientation, le programme interne de conformité permet aux entreprises d'utiliser une approche fondée sur les risques pour se conformer aux contrôles à l'exportation. Il assure le respect des sanctions multilatérales et unilatérales, en particulier la vérification des clients et des fournisseurs pour les risques de réputation et de sécurité et renforce la diligence raisonnable pour sécuriser les chaînes d'approvisionnement ou les matières premières et semi-transformées afin de garantir le respect des réglementations internationales.

Grâce à des lignes directrices volontaires et à d'autres systèmes de diligence raisonnable, il aide à concevoir des mesures visant à limiter les violations des sanctions, les atteintes aux droits de l'homme et les autres violations du droit international humanitaire. Il traite de la formation et de l'éducation du personnel des entreprises en ce qui concerne les dispositions des sanctions multilatérales et unilatérales et tous les aspects de l'application des sanctions, du respect des obligations et des pratiques de diligence raisonnable.

Le PIC crée une base de connaissances précieuse pour le personnel interne chargé de la conformité et de l'exportation et devrait servir de base de travail pour les audits et les évaluations des risques.

Finalement, le PIC démontre, non seulement à l'OCEIT et au Gouvernement luxembourgeois, mais aussi aux fournisseurs, clients et partenaires commerciaux, le respect de la législation en matière de contrôle des exportations.

D'un point de vue pratique, il permet de solliciter et d'obtenir des autorisations globales valables pour 3 ans (renouvelables pour 18 mois), alors qu'une autorisation individuelle a une durée de validité de 1 an (renouvelable pour 6 mois). Une fois validé, il simplifie donc la gestion des licences au niveau de l'entreprise exportatrice et présente des avantages pratiques supplémentaires, particulièrement utiles pour les entreprises impliquées avec un grand nombre de partenaires étrangers et effectuant un grand nombre d'exportations soumises à autorisation.

Les avantages offerts par les autorisations globales sont associés à des exigences plus élevées pour les exportateurs en termes de fiabilité, par rapport aux licences individuelles. Ces exigences doivent être incorporées dans le PIC.

Le PIC est un document interne sur mesure

Un PIC doit rester pertinent pour l'organisation et les activités de l'entreprise. Il doit intégrer des processus internes faciles à comprendre et à suivre, et saisir les opérations et les procédures quotidiennes.

Les exigences et caractéristiques individuelles d'un PIC dépendront de la taille, de la structure et du champ de l'activité commerciale spécifique de l'entreprise, mais aussi de la nature stratégique de ses produits et des utilisations finales ou utilisateurs finaux possibles, de la présence géographique de ses clients et de la complexité des processus internes d'exportation.

L'accent est mis en particulier sur le fait que le document doit être lisible et utilisable par les employés de l'entreprise, mais qu'il doit aussi contenir tous les éléments que les autorités responsables de la délivrance des autorisations considèrent essentiels à un programme réussi.

Le PIC devrait être souple et adaptable à l'évolution des règles, du personnel, des activités et de la technologie. Les règles de contrôle du commerce international changent souvent soudainement en fonction des préoccupations internationales ou locales. Les entreprises doivent suivre l'évolution de la réglementation et être prêtes à réagir rapidement. Les programmes réussis ne devraient pas dépendre du personnel spécifique pour leur fonctionnement.

Il va sans dire que le PIC doit être régulièrement mis à jour, non seulement en fonction de l'évolution des produits, des clients ou des pays de destination de l'entreprise, mais aussi parce que les règles de contrôle des exportations changent constamment, sans parler des sanctions et des embargos contre les États et les entités exposées qui changent potentiellement chaque jour et exigent des mesures spécifiques pour assurer une conformité permanente.

Notes préliminaires

Chaque entreprise a des risques différents et des tolérances au risque différentes.
Il n'existe pas de formule simple et claire pour créer un programme de conformité efficace.
Pas de "copier-coller" des PIC d'autres entreprises.
Une analyse adéquate des risques constitue la base d'un programme adéquat et proportionné.
Le PIC est un programme intégré. Chaque élément devrait s'appuyer sur toutes les autres parties du programme et s'y rattacher.
Chaque organisation devrait déterminer les procédures à appliquer pour chaque élément afin d'assurer le PIC le plus efficace et le plus efficient possible en fonction de ses objectifs.

Éléments de base d'un PIC

Sur la base du Document d'orientation de l'UE de 2019 sur les biens à double usage et des 7 éléments essentiels qui y sont inclus, nous avons défini dans les pages qui suivent 10 chapitres qui pourraient servir de structure au programme interne de conformité.

Tous ces éléments peuvent être considérés comme les pierres angulaires du PIC sur mesure d'une entreprise et visent à aider les entreprises dans leurs réflexions sur les moyens et procédures les plus appropriés pour se conformer aux lois et réglementations de contrôle du commerce international de l'UE et du Luxembourg. Ils offrent un cadre de base et générique pour la conformité des entreprises et doivent être considérés comme des "éléments constitutifs" pour la préparation des PIC par les entreprises impliquées dans le commerce de biens à double usage et/ou d'autres produits sensibles. Chaque entreprise devrait décrire dans son propre PIC sur mesure comment elle met en œuvre les éléments pertinents en tenant compte de sa situation particulière. Les entreprises peuvent s'écarter de ces lignes directrices si elles justifient qu'il existe des raisons spécifiques à l'entreprise de le faire.

Champ d’application du présent document

Le présent document concerne seulement les autorisations globales relatives aux opérations d’exportation, d’importation, de transfert, de transit et de courtage portant sur des biens à double usage.

Il ne porte pas sur les produits liés à la défense et autres biens régis par la loi du 27 juin 2018, ni sur les opérations d'assistance technique et de transfert intangible de technologie, pour autant que ceux-ci soient soumis à la loi de 2018 sur le contrôle des exportations.

Rappelons toutefois que l'expression "programme interne de conformité interne" apparaît une deuxième fois dans la loi sur le contrôle des exportations du 27 juin 2018 dans le contexte des produits liés à la défense. La fiabilité du destinataire de ces produits est évaluée en fonction, notamment, d'une description du programme interne de conformité ou du système de gestion des transferts et des exportations mis en œuvre dans l'entreprise. Cette description détaille les ressources humaines, organisationnelles et techniques affectées à la gestion des transferts et des exportations, la chaîne des responsabilités dans l'entreprise, les procédures de vérification interne, les mesures de sensibilisation et de formation du personnel, les mesures de sécurité physiques et techniques, la traçabilité des transferts et des exportations, ainsi que les modalités du contrôle exercé par l'administrateur sur le personnel des unités chargées des exportations et transferts... (article 25.3., point 6).

Pour les produits liés à la défense, la Commission européenne a également publié la recommandation 2011/24/UE du 11 janvier 2011 relative à la certification des entreprises de défense conformément à l’article 9 de la directive 2009/43/CE (ci-après dénommée « Lignes directrices de l’UE sur les produits liés à la défense (2011) »). L’annexe I expose les questions et lignes directrices relatives à la description des programmes internes de conformité et à leur évaluation ultérieure. Les Etats membres de l’UE peuvent ajouter d’autres questions, pour autant qu’elles aient trait au processus d’évaluation de la certification.

Dans le domaine particulier du transfert intangible de technologie, la réglementation luxembourgeoise exige que les demandes d’autorisation soient accompagnées de : ... un descriptif des moyens mis en œuvre ou à mettre en œuvre pour assurer la sécurité des informations, tant au niveau du fournisseur du savoir-faire qu'à celui de la relation entre fournisseur et bénéficiaire du savoir-faire ; ... l'identification des risques associés à l'opération de transfert ; et... une présentation détaillée des moyens organisationnels, humains et techniques mis en œuvre pour parer à ces risques (article 11, paragraphes 2, 4 et 5 du règlement grand-ducal du 14 décembre 2018).

Ces domaines particuliers feront l’objet de communications séparées. Des entreprises traitant de tels produits ou se livrant à telles opérations pourront cependant, d’ores et déjà, s’inspirer du présent document lorsqu’elles élaborent un PIC portant sur les biens et opérations en cause.

Quand présenter un PIC aux autorités chargées de l'octroi des licences ?

Un programme interne de conformité (PIC) peut être soumis à tout moment à l'OCEIT. Les entreprises n'ont pas à attendre une demande de licence globale particulière, mais peuvent prendre l'initiative de fournir à l'OCEIT leur programme dès sa validation par le conseil d'administration de l'entreprise ou la direction générale.

Les entreprises devraient tenir compte du fait que, si un PIC est présenté en même temps qu'une demande de licence globale, le délai de 60 jours ouvrables (qui peut être renouvelé une seule fois pour 30 jours ouvrables supplémentaires) qui s'applique à l'OCEIT et aux deux ministres pour traiter la demande de licence peut ne pas être suffisant pour évaluer le PIC en même temps. Afin d'éviter le risque de ne pas obtenir l’autorisation globale parce que le processus d'évaluation du PIC est toujours en cours, il est recommandé de fournir à l'OCEIT le PIC bien avant les demandes de licence.

Il ne faut pas oublier que l'OCEIT et les ministres peuvent, au cours de l'évaluation du PIC, s'adresser à l'entreprise requérante pour demander des documents complémentaires, des informations spécifiques en rapport avec des points particuliers du PIC ou des rencontres personnelles avec des représentants de l'entreprise. Cela peut avoir une incidence sur la durée du processus d'évaluation.

Il est recommandé de transmettre le PIC (y compris toutes les pièces jointes) en deux versions originales sur papier, et d'envoyer en même temps une copie électronique par courriel à oceit@eco.etat.lu

Chapitre 1 - Engagement de la direction à l'égard de la conformité

Lignes directrices de l’UE sur les biens à double usage (2019)

Les PIC efficaces sont le reflet d'un processus descendant par lequel la direction de l'entreprise accorde de l'importance et de la légitimité aux engagements et à la culture de l'entreprise en matière de conformité et y consacre des ressources organisationnelles, humaines et techniques.

Quels sont les résultats escomptés?

L'engagement des dirigeants vise à instaurer un mode de direction axée sur la conformité (diriger par l'exemple) et une culture de la conformité dans l'entreprise aux fins du contrôle des échanges de biens à double usage. Une déclaration écrite de soutien aux procédures internes de conformité émanant de la direction montre que l'entreprise est sensibilisée aux objectifs de contrôle des échanges de biens à double usage et de conformité avec les législations et réglementations pertinentes des États membres et de l'Union. L'engagement témoigne d'une participation et d'un soutien clairs, solides et continus de la direction et se traduit par l'octroi de ressources organisationnelles, humaines et techniques suffisantes pour respecter l'engagement de l'entreprise à l'égard de la conformité. La direction mène à propos de l'engagement de l'entreprise une politique de communication claire et régulière à l'intention des salariés afin d'encourager une culture de la conformité.

Quelle est la marche à suivre?

Rédigez une déclaration sur l'engagement de l'entreprise indiquant que celle-ci satisfait à l'ensemble des législations et réglementations des États membres et de l'Union en matière de contrôle des échanges de biens à double usage. Définissez les attentes précises de la direction en matière de conformité et soulignez l'importance et l'intérêt de disposer de procédures de conformité efficaces. Transmettez clairement et régulièrement la déclaration sur l'engagement de l'entreprise à tous les salariés (y compris à ceux qui ne jouent pas de rôle dans le contrôle des échanges de biens à double usage) afin de favoriser une culture de la conformité.

L'engagement de la direction au plus haut niveau mentionné dans les lignes directrices de l'UE est l'un des facteurs les plus importants pour déterminer son succès. Ce soutien est essentiel pour s'assurer que le programme interne de conformité reçoit les ressources adéquates et qu'il est pleinement intégré aux activités quotidiennes de l'entreprise.

Un PIC qui n'est pas légitimé par la direction, qui n'engage pas le personnel de l'entreprise et qui ne favorise pas une culture de conformité au sein de l'entreprise ne vaut pas le papier sur lequel il est écrit. Au contraire, le personnel interne et les autorités gouvernementales doivent constater à la lecture de ce document qu'il existe un engagement clair de respecter et de se conformer aux règles du contrôle des échanges commerciaux et de s'assurer que toute mesure de conformité est efficace et soutenue de façon permanente.

La direction doit vraiment adhérer et s'engager à la réussite du programme et, par cette déclaration, donner le ton à l'ensemble du personnel et favoriser une culture d'intégrité, de transparence et de conformité. Dans le même temps, elle doit promouvoir une ouverture à l'auto-déclaration d'éventuelles violations des règles de contrôle des exportations.

Il n'existe pas de modèle général à recommander aux exportateurs lors de la rédaction du texte de l'engagement de la direction. Il s'agit d'un exercice sensible au cas par cas, qui tient compte du risque associé aux activités de l'entreprise, à ses produits, à ses services, à ses clients et à sa structure organisationnelle.

Les autorités gouvernementales évalueront l'engagement de la direction à travers un certain nombre de points qu'elles souhaitent voir figurer dans l'engagement (voir la liste de contrôle ci-dessous).

Liste de contrôle

Engagement de la direction au plus haut niveau, énonçant clairement l'engagement de l'entreprise à l'égard des contrôles du commerce international applicables aux produits et services sensibles.
Explication de l'objectif fondamental des contrôles à l’exportation, à savoir que le respect des dispositions en matière d'exportation est essentiel pour protéger la sécurité nationale et les intérêts de la politique étrangère du Grand-Duché de Luxembourg, et que les transferts non autorisés de technologies, même de faible niveau, peuvent mettre en danger la sécurité nationale et la poursuite du développement des armes de destruction massive.
Engagement clair de la direction qu'en aucun cas les ventes ne seront effectuées en violation des règles pertinentes en matière de contrôle des exportations, y compris la déclaration selon laquelle la conformité à l'exportation est bonne pour les affaires et le respect des lois et règlements en matière d'exportation, et que la politique d'exportation de l'entreprise ne sera pas compromise pour des gains commerciaux.
Déclaration selon laquelle il est de la responsabilité de l'entreprise et de ses employés de se familiariser avec les contrôles à l'exportation et de s'y conformer.
Énumération des risques particuliers liés aux produits, à la technologie, aux destinations et aux activités de l'entreprise, à titre de mesure préventive pour aider les employés à comprendre les scénarios possibles de non-conformité.
Description des sanctions en cas de non-conformité, à savoir les amendes et pénalités commerciales, y compris les peines d'emprisonnement, à l'encontre de l'entreprise et des employés, la perte éventuelle des privilèges et autorisations d’exportation et/ou la résiliation du contrat des employés.
Affirmation de l'engagement de la Direction à fournir les ressources appropriées pour assurer le respect des contrôles à l'exportation.
Désignation d'une personne (nom, titre, téléphone, courriel) responsable de la mise à jour de la lettre d’engagement et de sa diffusion au sein de l'entreprise.
Désignation du responsable approprié (nom, titre, téléphone, courriel) à qui toute question concernant la légitimité d'une transaction ou d'une violation potentielle doit être adressée.
Indication des moyens que la direction utilisera pour créer une culture d'entreprise omniprésente axée sur la conformité et un environnement dans lequel les employés ont le sentiment d'aider l'entreprise en exprimant leurs préoccupations concernant les problèmes éventuels liés aux transactions d'exportation.
Indiquer les moyens par lesquels les employés auront accès à l'engagement de la direction et au PICI, et reconnaître leur engagement envers la politique et les procédures de conformité à l'exportation de l'entreprise à l'appui des efforts de conformité de l'entreprise.

Aspects pratiques

L'engagement de la Direction doit porter les signatures originales des cadres supérieurs de l'entreprise, habilités à engager légalement l'entreprise.
L'engagement doit être intégré sous forme d'original ou de document PDF dans le document du PIC, au début du document.

Chapitre 2 - Législation applicable

Même si les lignes directrices de l'UE ne fournissent pas d'orientations spécifiques sur ce point, l'élaboration d'un chapitre spécifique traitant de la législation applicable remplit un objectif important.

D'une part, étant donné que le PIC est un document de travail interne destiné à être utilisé dans les opérations quotidiennes, il devrait fournir aux utilisateurs du PIC un aperçu complet et détaillé du cadre juridique en matière de contrôle à l’exportation, avec des références juridiques précises où trouver les lois et règlements auxquels l’entreprise est soumise et, surtout, des réponses (légalement justifiées) aux questions précises.

D'autre part, le PCI doit montrer aux autorités responsables pour la délivrance des licences que le PIC repose sur des bases solides et que l'entreprise est au courant des règles régissant le contrôle des exportations et des sanctions auxquelles elle peut être exposée en cas de violation des lois et règlements. En même temps, il doit démontrer que l'entreprise a analysé et intégré dans le PIC la législation pertinente des pays autres que le Grand-Duché de Luxembourg, parce qu'ils sont des pays de destination de produits ou de services, ou de localisation géographique de sociétés affiliées ou d'agences commerciales, ou de localisation de clients ou de partenaires commerciaux et ont donc un impact sur la conformité globale, mondiale.

Les autorités gouvernementales évalueront le présent chapitre à travers les points suivants:

Liste de contrôle

Explication détaillée des lois et règlements de contrôle des exportations du Grand-Duché de Luxembourg.
Explication détaillée de la législation pertinente de l'Union européenne en matière de contrôle des exportations.
Explication détaillée de la législation en matière de contrôle des exportations d'autres pays où l’entreprise a des entités commerciales, des filiales, des relations ou des liens, et qui sont susceptibles de s'appliquer à l’entreprise, à ses produits et/ou services.
Description des sanctions administratives et pénales pour les infractions aux règles de contrôle des exportations.

Aspects pratiques

L'intégration dans le PIC de textes juridiques complets, par exemple la loi du 27 juin 2018 et le règlement grand-ducal du 14 décembre 2018, est utile (dans ce cas, de préférence en annexe au document principal du PIC, en raison du volume), mais certainement pas suffisante. Il faudra retrouver dans le document principal une explication des textes juridiques, rédigée dans un langage simple pour être comprise par tout le personnel interne, qui n'est généralement pas juriste.
L'explication doit toujours contenir des références à des textes juridiques qui peuvent être trouvés à d'autres endroits dans ou en annexe au document du PIC (par exemple : "Loi du 27 juin 2018, art. 26 (3), voir page 157 du document PIC", ou "Règlement européen 428/2009 sur les biens à double usage, art. 9 (2), voir Annexe 09 du document PIC").
Les textes juridiques complets doivent être fournis à tout moment dans leur dernière version coordonnée. Les références juridiques doivent toujours être faites conformément au texte actuellement en vigueur.
Toute modification des lois, règlements et règles applicables en matière de contrôle des exportations doit donner lieu à une mise à jour du document du ICP.
L'intégration d'une rubrique FAQ (questions fréquemment posées) pour les points juridiques dans une section spécifique de ce chapitre du PCI constituerait un exemple de bonne pratique commerciale.
Un exemple de description des règles juridiques applicables pourrait être l'établissement d'un tableau à 4 colonnes : la première portant sur les biens (double usage, militaire, civil...), la seconde sur les différentes opérations (exportation, importation, transit, courtage...), et la troisième sur les restrictions possibles (autorisation préalable obligatoire, interdiction, aucune restriction) pour chaque produit ou opération. La quatrième colonne indiquerait la base juridique de chacun des résultats. Des notes supplémentaires, nécessaires pour expliquer en outre les étapes ou préciser le sens des termes juridiques, pourraient être affichées dans une section de notes ou dans des notes de bas de page.

Chapitre 3 - Analyse de risque

Lignes directrices de l’UE sur les biens à double usage (2019)

Le PIC doit être adapté à la taille et à la structure de l'entreprise, au domaine dont elle relève, ainsi que, en particulier, à son activité commerciale spécifique et aux risques connexes. Par conséquent, si une entreprise

souhaite élaborer ou modifier son programme de conformité aux fins du contrôle des échanges de biens à double usage, elle devrait commencer par réaliser une analyse des risques afin de déterminer son profil de risque spécifique en matière d'échanges de biens à double usage. Cette analyse aidera l'entreprise à déterminer quelles branches de son activité doivent faire l'objet du PIC et à adapter celui-ci à ses circonstances spécifiques.

L'analyse des risques doit évaluer avec soin la gamme de produits, la clientèle et l'activité commerciale concernées par le contrôle des échanges de biens à double usage ou susceptibles de l'être. Elle doit permettre de cerner les points faibles et les risques pertinents afin que l'entreprise puisse intégrer dans le PIC des moyens de les atténuer. Bien que cette analyse des risques ne puisse pas détecter l'intégralité des points faibles et des risques auxquels votre entreprise pourrait faire face à l'avenir, elle lui fournira une base plus solide pour élaborer ou revoir son PIC.

Il n'est pas rare que des entreprises disposent déjà de procédures de contrôle interne et par conséquent, elles ne doivent pas commencer de zéro la conception de leur PIC. L'analyse des risques permet d'aider l'entreprise à évaluer ses politiques et ses procédures internes au regard des risques liés au contrôle des exportations et à élaborer un plan d'action pour les adapter, le cas échéant. En outre, le renforcement des synergies entre les politiques existantes et les exigences en matière de contrôle des exportations doit également être envisagé dès le départ. Par exemple, l'insertion de références croisées aux principes et exigences en matière de contrôle des exportations dans le code de conduite de l'entreprise, lorsqu'un tel code existe, constitue une bonne pratique.

Les résultats de l'analyse des risques influeront sur les mesures nécessaires et sur les solutions adéquates pour élaborer ou mettre en œuvre les procédures de conformité spécifiques de l'entreprise.

Une entreprise peut essayer de profiter autant que possible des avantages découlant des solutions trouvées à l'échelon international, au niveau du groupe, pour le PIC, mais elle doit toujours satisfaire à l'ensemble des législations et réglementations applicables des États membres et de l'Union.

L'analyse de risque est à la base de l'élaboration d'un PIC efficace. Il constitue le premier chapitre sur lequel il faut travailler et servira à adapter le PIC à la structure organisationnelle et à la situation de risque propres à l'entreprise.

Bien qu'il n'existe pas de modèle unique, l'évaluation des risques devrait examiner l'entreprise de fond en comble et évaluer ses points de contact avec le monde extérieur. L'objectif est d'identifier les zones de risque potentielles.

Elle devrait au moins :

décrire le profil et la structure de l'entreprise, y compris sa localisation, ses activités ou ses partenariats commerciaux hors du Luxembourg ;
indiquer l'activité commerciale et le type de clients, la chaîne d'approvisionnement, les intermédiaires, les destinataires et les utilisateurs finaux;
préciser l'emplacement géographique des clients et la destination des exportations ou des services fournis ;
décrire (tous) les biens et services traités ou fournis par l'entreprise, même ceux qui ne figurent pas dans les listes de contrôle des exportations pertinentes (clause "attrape-tout" (catch-all));
exposer l'utilisation finale (militaire/civile/double usage) des produits de l'entreprise ;
décrire comment l'entreprise a organisé son processus d'exportation (de la demande initiale du client jusqu'à l'expédition) ;
indiquer comment l'entreprise a mis en place et assuré le respect de la réglementation en matière de contrôle des exportations dans le pays de son siège social et à l'étranger (pays de destination des exportations et des services, localisation des partenaires commerciaux).

Lors de la mise en œuvre de cette évaluation des risques, il est recommandé d'être transparent et de mieux montrer les risques et les mesures prises ou à mettre en œuvre pour les maîtriser, que de cacher les informations pertinentes. Afin de permettre aux autorités luxembourgeoises chargées de l'octroi des licences d'avoir une vue d'ensemble réelle et complète de l'entreprise, de ses produits et de ses clients, elle gagne à être complète (concernant les sociétés faisant partie du groupe, les clients, les partenaires commerciaux, les marchandises.....).

Comme l'analyse des risques sera le premier chapitre qui sera lu par les autorités, l'entreprise doit ici faire preuve d'une approche professionnelle afin de gagner la confiance, être concrète et ne pas utiliser une formulation générale qui pourrait faire partie du PIC d'une quelconque autre entreprise.

Les autorités gouvernementales évalueront le présent chapitre à travers les points suivants :

Liste de contrôle

(A) Profil de l'entreprise

Description de la structure de l'entreprise.
Extrait récent de RCS.
Organigramme (graphique et rédactionnel) indiquant les actionnaires, la composition des organes de l’entreprise, le lieu du siège social, l’emplacement des divisions opérationnelles, des installations de fabrication, des filiales et des sociétés affiliées nationales et étrangères.
Liste des ressources humaines dédiées au groupe d'entreprises dans les différentes divisions et implantations.
Autorisation d'établissement délivrée par le Ministre de l'Economie.
Liste de tous les divisions/bureaux/installations nationaux et étrangers qui ont un rôle à jouer dans les transactions d'exportation.

(B) Profil de l'activité commerciale

Description du secteur d'activité et du type d'entreprise (fabricant, détaillant, distributeur, société commerciale, agent d'achat, OEM, intégrateur système, agent de service, transitaire, autre).
Description des services sur le terrain fournis par l'entreprise.
Pourcentage du chiffre d'affaires (annuel) dépendant des exportations et des opérations relatives aux biens soumis à licence.
Nombre annuel d'exportations et d'opérations portant sur des biens soumis à autorisation.

(C) Profil des clients

Description du type d'activité des clients et des utilisateurs finaux, et de leur relation avec l'entreprise.
Liste des emplacements potentiels des clients (par zone géographique et par pays).

(D) Profil des biens

Description et numéros de classification à l'exportation des biens et/ou services à exporter (marchandises, logiciels avec ou sans cryptage, données techniques avec ou sans cryptage, services p.ex. réparation, assistance technique, courtage).
Description des risques militaires et/ou à double usage et/ou des restrictions à l'exportation liés aux biens et/ou services de l'entreprise.
Indication des spécifications techniques des produits de l'entreprise, s'ils sont mentionnés dans la législation en tant que biens à double usage ou biens militaires (si oui, la catégorie sur les listes de contrôle de laquelle les produits relèvent), s'ils sont mentionnés dans les règlements de sanctions contre certains pays.

(E) Profil d'utilisation finale

Description de la façon dont les clients utilisent les produits et/ou services de l'entreprise.
Analyse si les produits de l'entreprise peuvent être utilisés pour des activités de prolifération (armes chimiques, biologiques ou nucléaires, technologie pour développer des systèmes destructeurs).

(F) Profil de traitement des commandes

Description des étapes du processus de commande à l'exportation de l'entreprise.
Indication de la façon dont les commandes sont reçues et suivront les itinéraires de traitement.
Fonctions et responsabilités au sein de l'entreprise (p. ex. achats, ingénierie, gestion de projet, expédition).

(G) Profil d'expédition

Indication de la façon dont les produits sont livrés et leur réception est suivie.

Aspects pratiques

Il constitue une bonne pratique de conclure ce chapitre par une évaluation globale des risques liés au contrôle des exportations, qui pourrait être visualisée au moyen d'une matrice indiquant le domaine à risque faible, moyen ou élevé dans lequel se situent les différents éléments évalués.

Chapitre 4 - Structure de l'organisation, responsabilités et ressources

Lignes directrices de l’UE sur les biens à double usage (2019)

Des ressources organisationnelles, humaines et techniques suffisantes sont essentielles pour élaborer et mettre en œuvre des procédures de conformité de manière efficace. Faute d'une structure organisationnelle claire et de responsabilités précisément établies, un PIC risque de pâtir d'un manque de supervision et de l'absence de rôles bien définis. La présence d'une structure solide aide les organisations à résoudre les problèmes qui surviennent et à prévenir la réalisation de transactions non autorisées.

Quels sont les résultats escomptés?

L'entreprise présente une structure organisationnelle interne consignée (dans un organigramme, par exemple) et permettant la réalisation de contrôles internes de conformité. Elle détermine et nomme la ou les personnes globalement responsables de garantir le respect des engagements de l'entreprise. Veuillez noter que, dans certains États membres, cette personne doit faire partie de l'encadrement supérieur.
Toutes les fonctions, obligations et responsabilités liées à la conformité sont définies, attribuées et interconnectées dans un ordre qui garantit à la direction que l'entreprise est globalement conforme. Lorsque cela est approprié, voire nécessaire, les fonctions et/ou les obligations liées au contrôle des exportations (mais pas la responsabilité globale) peuvent être déléguées au sein de l'entité ou réparties entre au moins deux sociétés établies dans l'Union.
L'entreprise nomme de manière adéquate des personnes dont il est avéré qu'elles possèdent les compétences requises, dans l'ensemble des domaines d'activité en lien avec les échanges de biens à double usage. Dans l'entreprise, au moins une personne est responsable (pas nécessairement de manière exclusive) d'une fonction liée au contrôle des échanges de biens à double usage. Cette fonction peut être répartie entre plusieurs sociétés établies dans l'Union, à condition qu'un niveau approprié de contrôle soit maintenu. Veuillez toutefois noter que cette possibilité peut ne pas être offerte dans certains États membres de l'Union, dès lors que la législation nationale relative au contrôle des exportations exige qu'une personne soit expressément nommée à cette fin à l'échelon local.
Il convient de protéger autant que possible le personnel affecté au contrôle des échanges de biens à double usage contre les conflits d'intérêts. Ces membres du personnel sont autorisés à informer directement la ou les personnes globalement responsables du contrôle des échanges de biens à double usage et devraient de surcroît être habilités à interrompre les transactions.
Le personnel responsable du contrôle des échanges de biens à double usage doit pouvoir accéder aux textes législatifs pertinents, y compris aux dernières listes des biens soumis à contrôle et aux listes des destinations et entités soumises à un embargo ou sanctionnées. Les processus et les procédures opérationnels et organisationnels appropriés, pertinents pour le contrôle des échanges de biens à double usage, sont documentés, compilés et transmis à l'ensemble du personnel concerné.
L'entreprise doit disposer d'un recueil actualisé des processus et des procédures documentés (dans un manuel de conformité, par exemple). En fonction de sa taille et de son volume d'affaires, l'entreprise doit examiner la nécessité de disposer d'un service d'assistance informatique aux fins des procédures internes de conformité.

Quelle est la marche à suivre?

Déterminez le nombre de salariés nécessaires au contrôle des échanges de biens à double usage, en tenant compte des aspects juridiques et techniques devant être traités. Chargez au moins une personne de l'entreprise de la conformité de cette dernière en matière d'échanges de biens à double usage et veillez à ce qu'un suppléant tout aussi qualifié puisse prendre sa relève en cas d'absence (maladie, congés, etc.). En fonction du volume moyen des commandes, il est possible que cette personne doive uniquement gérer les tâches liées au contrôle des exportations de biens à double usage sur la base d'un temps partiel.
Recensez, définissez et attribuez de manière claire toutes les fonctions, obligations et responsabilités se rapportant à la conformité, éventuellement dans un organigramme. Dans la mesure du possible, déterminez clairement les fonctions de soutien.
Veillez à ce que la structure organisationnelle interne du contrôle des échanges de biens à double usage soit connue dans toute l'organisation et à ce que les relevés internes de ces attributions soient couramment actualisés et transmis aux salariés. Transmettez aux membres de l'entreprise les coordonnées de la personne responsable des questions liées au contrôle des échanges de biens à double usage. Si les obligations relatives au contrôle des échanges sont sous-traitées, l'interface et la communication avec l'entreprise doivent être organisées.
Définissez les connaissances et les compétences nécessaires aux membres du personnel juridique et technique responsable du contrôle des échanges de biens à double usage. Il est recommandé d'inclure des descriptions de poste.
Veillez à ce que le personnel affecté au contrôle des échanges de biens à double usage soit protégé autant que possible contre les conflits d'intérêts. En fonction de la taille de l'entreprise, la responsabilité de la conformité peut être attribuée à un département ou à une division ad hoc. Exemple: la ou les personnes décidant de manière définitive de l'envoi ou non des biens ne relèvent pas du département des ventes, mais du département juridique. Permettez à ces employés de travailler en tant que conseillers spécialisés afin d'aiguiller les décisions de l'entreprise de manière à aboutir à des transactions conformes.
Documentez la série de politiques et de procédures portant sur le contrôle des échanges de biens à double usage et diffusez ces informations à l'ensemble du personnel concerné.
Envisagez de réunir la documentation sur ces politiques et procédures sous la forme d'un manuel de conformité.

L'organisation interne chargée du respect des contrôles à l'exportation suit l'évaluation des risques décrite dans le chapitre 3 du PIC.

Le degré de sophistication des contrôles internes de conformité d'une entreprise dépendra de la nature et de l'ampleur de ses activités. Ce qui est essentiel, c'est que les politiques, les procédures et les contrôles soient soigneusement réfléchis, clairement établis par écrit et communiqués efficacement à tous les employés, agents et partenaires commerciaux.

L'entreprise doit faire preuve d'un soin particulier lors de la sélection des employés chargés du contrôle des exportations. Tous les secteurs d'activité liés au commerce extérieur doivent être dotés d'un personnel possédant les compétences spécialisées requises (juridiques et techniques) et être fiables sur le plan personnel. Les responsabilités individuelles en matière de conformité devraient être expressément incluses dans les descriptions de travail et les évaluations du rendement du personnel, le cas échéant.

Le PIC doit démontrer que l'agent de conformité aux contrôles à l'exportation (ou une personne ayant une fonction similaire) communique directement avec le conseil d'administration et la haute direction, connaît bien les règlements internationaux et nationaux applicables et a une bonne connaissance pratique des produits, services, technologies, fournisseurs et clientèle de l'entreprise. Il devrait avoir toute l'autorité voulue pour examiner toutes les questions liées à la conformité et mettre sur pied une équipe de projet chargée d'examiner et de résoudre les problèmes lorsqu'ils surviennent. La responsabilité devrait s'étendre à la surveillance quotidienne des annonces officielles et des communiqués de presse des organismes de réglementation, aux développements ou aux mesures d'application qui pourraient avoir une incidence sur le secteur d'activité de l’entreprise ou ses fournisseurs, et à la communication des changements apportés aux règlements, politiques ou procédures au personnel de l’entreprise au moyen de courriels internes, bulletins, annonces ou avis affichés sur son intranet.

Les autorités de délivrance des licences apprécieraient que la personne ainsi désignée soit seule responsable de la gestion des communications avec les organismes de réglementation pour toutes les questions liées à la conformité et que, pour la nécessité d'une communication efficace, elle soit située au Luxembourg.

Les autorités gouvernementales évalueront le présent chapitre à travers les points suivants :

Liste de contrôle

Organigramme permettant d'effectuer des contrôles internes de conformité.
Nomination de la (des) personne(s) chargée(s) de la responsabilité globale de veiller au respect des engagements de conformité de l'entreprise (y compris le titre - par exemple Export Control Compliance Officer (ECCO) -, les qualifications, la description du poste, les coordonnées).
Organisation de la relation entre le personnel chargé du contrôle des exportations et la direction, par exemple en ce qui concerne l'échange d'informations.
Désignation d'un remplaçant également qualifié qui peut assumer la tâche en cas d'absence (y compris les connaissances et les compétences en matière de contrôles commerciaux, et la description du poste).
Nomination (y compris les coordonnées) de la ou des personnes chargées de répondre aux questions des employés sur les procédures de conformité de l'entreprise, sur une démarche suspecte ou sur d'éventuelles violations.
Description des connaissances et des compétences du personnel affecté au contrôle des exportations.
Description des fonctions du personnel de contrôle des exportations
Indication de la manière d'éviter les situations de conflit d'intérêts et de garantir l'indépendance du personnel chargé du contrôle des exportations (y compris l'autorisation accordée au personnel chargé du contrôle des exportations d'arrêter une transaction ou d'informer directement le responsable de la conformité lorsqu'il doit obtenir l'autorisation d'arrêter une transaction).
Description de l'interaction avec les autres services de l'entreprise
En cas d'externalisation de la gestion de la conformité du contrôle des exportations, organisation de l'interaction des fournisseurs externes avec le personnel interne.
Description des moyens d'accès aux textes législatifs pertinents, y compris les listes les plus récentes des biens contrôlés et les listes concernant les destinations et entités sous embargo ou faisant l'objet de sanctions.
Indication du support informatique pour les procédures internes de conformité.

Aspects pratiques

Pour démontrer que le personnel chargé du contrôle des exportations possède les connaissances et les compétences requises, il est conseillé d’inclure des portraits, des descriptions de poste détaillées (dans le document principal) et un curriculum vitae (en annexe), l'accent étant mis sur les études, qualifications et formations dans le domaine de la gestion du contrôle des exportations.

Chapitre 5 - Formation et sensibilisation

Lignes directrices de l’UE sur les biens à double usage (2019)

La formation et la sensibilisation au contrôle des échanges de biens à double usage sont essentielles pour que le personnel exécute dûment les tâches qui lui sont confiées et pour qu'il assume sérieusement ses obligations en matière de conformité.

Quels sont les résultats escomptés?

Par la formation, l'entreprise s'assure que le personnel affecté au contrôle des échanges de biens à double usage a connaissance de tous les règlements pertinents en matière de contrôle des exportations ainsi que du PIC de l'entreprise et de toutes les modifications qui y sont apportées. Des séminaires externes, l'inscription à des séances d'information proposées par les autorités compétentes, des actions de formation interne, etc., sont autant d'exemples d'outils de formation.
En outre, l'entreprise organise des activités de sensibilisation pour les salariés à tous les niveaux pertinents.

Quelle est la marche à suivre?

Dispensez une formation périodique obligatoire à l'ensemble du personnel affecté au contrôle des échanges de biens à double usage pour veiller à ce qu'ils disposent des connaissances nécessaires pour se conformer aux règlements et au PIC de l'entreprise.
Par la formation, veillez à ce que tous les salariés concernés aient connaissance de l'ensemble des législations, des réglementations et des politiques pertinentes en matière de contrôle des échanges de biens à double usage, des listes de contrôle et de toutes les modifications qui y sont apportées dès leur publication par les autorités compétentes. Si possible, envisagez des formations personnalisées.
Renforcez la sensibilisation générale de tous les salariés et organisez des activités de formation spécialisées, notamment en ce qui concerne l'achat, l'ingénierie, la gestion de projets, l'envoi, l'assistance aux clients et la facturation.
Le cas échéant, envisagez de recourir aux initiatives nationales ou à celles de l'Union européenne en matière de contrôle des échanges de biens à double usage.
Lorsque cela est possible, intégrez les enseignements tirés des évaluations des performances, des audits, des notifications et des mesures correctives dans vos programmes de formation ou de sensibilisation à l'exportation.

Pour le respect des contrôles à l'exportation, la formation régulière des employés est essentielle, en raison de la nature dynamique des réglementations internationales et locales en matière de contrôle du commerce international, des sanctions et des embargos.

Toutes les politiques, procédures et " meilleures pratiques " de conformité en vigueur dans le monde n'ont de valeur que si elles sont connues, correctement comprises et suivies par les employés. Pire encore, ils peuvent créer un sentiment de fausse sécurité.

Bien que le filtrage automatisé ne puisse aider qu'à détecter les infractions aux sanctions, des employés formés et avertis repéreront les signaux d'alarme et les incohérences que les logiciels ne peuvent pas détecter.

Les programmes de formation en entreprise doivent veiller à ce que la formation du personnel soit donnée régulièrement et assez souvent, à ce que les échéances pour terminer ou renouveler la formation soient respectées, à ce que le contenu de la formation soit mis à jour et à ce qu'un test ou un questionnaire soit utilisé pour vérifier l’assimilation des connaissances.

Les autorités chargées de l'octroi des licences se référeront à la liste de contrôle suivante pour évaluer les efforts et les mesures de l'entreprise en matière de formation et de sensibilisation.

Liste de contrôle

Nomination de la ou des personnes responsables de la supervision de la formation sur la conformité au contrôle à l'exportation.
Nomination de la ou des personnes responsables de la formation sur la conformité au contrôle à l'exportation.
Indication du personnel à former (inclure un calendrier pour les nouveaux employés et les employés existants).
Indication des types de formation sur mesure à dispenser.
Définition des thèmes de la formation à dispenser aux cadres supérieurs, à tous les nouveaux employés (formation d'introduction), aux employés occupant des emplois liés à l'exportation (formation intermédiaire) et au personnel chargé de la conformité du contrôle à l'exportation (formation avancée).
Mesures visant à mettre en œuvre des activités de sensibilisation.
Description de la fréquence à laquelle la formation sera offerte ou requise.
Description des moyens de documenter la formation et de tenir à jour les dossiers de formation.
Description des moyens à mettre en œuvre pour que le matériel de formation reste pertinent et à jour.
Mesures visant à intégrer les examens du rendement, les vérifications, les rapports et les mesures correctives dans les programmes de formation ou les programmes de sensibilisation à la conformité au contrôle du commerce international.

Aspects pratiques

Dans le cas où le PCI a été validé par les autorités compétentes pour l'octroi d'autorisations globales, le suivi à démontrer aux autorités sur la mise en œuvre du PCI incluera des documents justificatifs sur les formations (ordre du jour, thèmes, matériels, liste des participants). Il est donc recommandé de tenir des dossiers détaillés et structurés sur les activités de formation et de sensibilisation menées au niveau de l'entreprise.

Chapitre 6 - Processus et procédures d’examen analytique des transactions

Lignes directrices de l’UE sur les biens à double usage (2019)

Sur le plan de la mise en œuvre opérationnelle, l'examen analytique des transactions constitue l'élément le plus critique d'un PIC. Il inclut les mesures internes de l'entreprise visant à garantir qu'aucune transaction n'est effectuée sans la licence nécessaire ou en violation de toute interdiction ou restriction commerciale pertinente. Les procédures d'examen analytique des transactions permettent de collecter et d'analyser les informations pertinentes relatives à la classification, à l'analyse des risques inhérents à une transaction, à la détermination et à la demande d'une licence, ainsi qu'aux contrôles postérieurs à l'octroi de la licence. Les mesures d'examen analytique des transactions permettent également à l'entreprise d'établir et de maintenir un certain degré de diligence dans le traitement des demandes ou des commandes suspectes.

Quels sont les résultats escomptés?

L'entreprise met au point un processus permettant de déterminer si une transaction incluant des biens à double usage est soumise ou non à un contrôle national ou européen relatif aux échanges de biens à double usage, et de définir les processus et procédures applicables. En cas de transactions récurrentes, l'examen analytique des transactions doit être réalisé de manière périodique. Cet élément clé est divisé comme suit:

classification des biens logiciels et technologies,
analyse des risques inhérents à la transaction, y compris:
contrôles relatifs aux «destinations et entités sensibles», frappées de sanctions ou soumises à un embargo commercial,
examen analytique de l'utilisation finale et des parties concernées déclarées,
examen analytique des risques de détournement,
contrôles au sens large pour les biens à double usage non répertoriés,
détermination des exigences en matière de licence et demande de licence le cas échéant, y compris pour les activités de courtage, de transfert et de transit, et
contrôles postérieurs à l'octroi de la licence, y compris le contrôle des envois et du respect des conditions de l'autorisation.

En cas de doute ou de soupçon au cours du processus d'examen analytique des transactions, notamment en ce qui concerne les résultats de l'examen analytique de l'utilisation finale et des parties concernées déclarées ou des risques de détournement, veuillez consulter l'autorité compétente de l'État membre de l'Union dans lequel votre entreprise est établie.
L'examen analytique des transactions peut s'effectuer manuellement ou à l'aide d'outils automatisés, en fonction des besoins de votre entreprise et des ressources disponibles.

6.1. Classification des biens

Lignes directrices de l’UE sur les biens à double usage (2019)

Quelle est la marche à suivre?

La classification permet de déterminer si les biens sont répertoriés ou non. Les entreprises effectuent cette opération en comparant les caractéristiques techniques d'un bien au regard des listes de contrôle des États membres et de l'Union concernant les biens à double usage. Le cas échéant, déterminez si un bien est soumis à des mesures restrictives (y compris à des sanctions) imposées par l'Union européenne ou par l'État membre de l'Union au sein duquel votre entreprise est établie.
N'oubliez pas que les biens à double usage, qu'il s'agisse de produits physiques, de logiciels ou de technologies, pourraient nécessiter une licence pour plusieurs raisons.
Accordez une attention particulière à la classification des composants et pièces de rechange à double usage ainsi qu'à la classification des logiciels et des technologies à double usage pouvant être transférés par courrier électronique ou rendus disponibles par un service «en nuage» à l'étranger notamment.
Rassemblez des informations concernant les utilisations détournées possibles de vos biens à double usage, par exemple dans le contexte de la prolifération des ADM et des matériels de guerre conventionnels. Partagez ces informations au sein de l'entreprise.
Nous vous conseillons de demander à votre ou vos fournisseurs de vous transmettre des informations sur la classification en tant que biens à double usage des matériaux, composants et sous-systèmes gérés ou intégrés par votre entreprise, y compris des machines utilisées dans le cadre de la production. Il reste de la responsabilité de votre entreprise de vérifier la classification communiquée par votre ou vos fournisseurs.
Conformément à l'article 22, paragraphe 10, du règlement (CE) no 428/2009 relatif aux biens à double usage, mentionnez — en renvoyant à la législation pertinente — dans les documents commerciaux relatifs au transfert intra-UE que la transaction comprend des biens à double usage répertoriés et que ces biens sont soumis à des contrôles s'ils sont exportés en dehors de l'Union.

Une classification correcte du produit constitue souvent le point de départ du programme de conformité. L'évaluation du caractère "contrôlé" d'un produit, c'est-à-dire inscrit sur la liste européenne et/ou nationale des biens à double usage, exige une parfaite connaissance des caractéristiques techniques du produit, la capacité de comparer ces caractéristiques avec les descriptions des codes pertinents (pas toujours faciles à lire) dans les listes de contrôle et une bonne compréhension des principes et règles du contrôle des exportations.

La table de corrélation publiée par la Commission européenne indique les codes « double usage » potentiellement associées à la nomenclature douanière TARIC. Cette table n’est cependant donnée qu’à titre indicatif et il ne s’agit que d’une aide. Les entreprises voudront donc, après avoir déterminé le code TARIC, vérifier l’un après l’autre les codes « double usage » figurant dans la colonne C de la table de corrélation, qui est régulièrement mise à jour, et documenter dans la fiche de classification les éléments sur lesquels il y a (ou non) corrélation entre les caractéristiques techniques de leurs produits et les critères figurant dans le descriptif technique du code « double usage ». Elles ne devront toutefois pas oublier de s’assurer que leur produit n’est pas repris sous un (ou plusieurs) autre(s) code(s) « double usage » de la liste.

La classification est de la responsabilité de l'entreprise. Les autorités de délivrance des licences vérifient la classification lorsqu'elles traitent les demandes de licence, mais ne se substituent pas à l'entreprise dans ce processus de classification.

La question est d'autant plus importante lorsque l'on sait que même les produits non listés doivent être pris en compte lors de la détermination de l'exigence d'une autorisation, étant donné l'impact des dispositions attrape-tout (« catch-all » désormais pleinement mises en œuvre dans la législation luxembourgeoise sur le contrôle des exportations.

Les points suivants de la liste de contrôle seront évalués par les autorités responsables de l'octroi des licences :

Liste de contrôle

Indication de la (des) personne(s) (technique(s), juridique(s), contrôle des exportations) responsable(s) de la classification des biens.
Reproduction de la fiche de classification du produit utilisée en interne à des fins de classification.
Résultats du processus de classification des produits : nombre de produits fabriqués et/ou exportés par l’entreprise, leur classification au regard des listes de contrôle des exportations.
Indication si les produits de l'entreprise font l'objet de mesures restrictives (y compris des sanctions) imposées par l'UE ou le Luxembourg.
Description des logiciels et technologies contrôlés et/ou non listés qui peuvent être transférés par e-mail ou mis à disposition via un service "Cloud".
Description des méthodes utilisées pour établir la classification des biens (auto-classification, classification par le fabricant, classification externe).
Système électronique de traitement des données en place pour enregistrer la classification des produits reçus ou fabriqués par l'entreprise.
Description des moyens permettant de traduire les modifications apportées aux listes de contrôle nationales et européennes dans les procédures de classification de l'entreprise.

Aspects pratiques

Un modèle de fiche de classification des produits est reproduit à l'annexe 1 du présent document. Il indique les différentes étapes qui doivent être suivies au cours du processus de classification. Il est bien entendu que ce document n'est fourni qu'à titre de référence et pourrait être adapté à la situation, aux besoins et aux processus informatiques internes de chaque entreprise.
Au cours du processus de classification, les informations obtenues d'un fournisseur au sujet de la classification à double usage ou militaire des matériaux, composants, sous-systèmes qui sont traités ou intégrés par l'entreprise, y compris les machines utilisées dans la production, doivent être vérifiées à nouveau. Toute pièce justificative obtenue ou consultée doit être jointe à la fiche de classement.
Le PIC pourrait contenir une description du classement NC et les moyens de déterminer si le produit fait l'objet d'une restriction, sur la base du code NC. Il en va de même pour la classification des biens à double usage, militaires et de torture.
Les fiches de classification interne des produits pourraient être jointes au manuel du PIC. En plus de fournir des informations complètes et transparentes aux autorités chargées d'évaluer le PIC, cela aurait l'avantage d'éviter de présenter à nouveau les fiches de classification pertinentes comme pièce justificative avec chaque demande de licence.

6.2. Analyse des risques inhérents à la transaction

Lignes directrices de l’UE sur les biens à double usage (2019)

Contrôles relatifs aux destinations et entités sensibles, frappées de sanctions ou soumises à un embargo
Veillez à ce qu'aucune des parties concernées (intermédiaires, acheteur, destinataire ou utilisateur final) ne soit soumise à des mesures restrictives (sanctions) en consultant les listes actualisées des sanctions.

Examen analytique de l'utilisation finale et des parties concernées déclarées
Renseignez-vous sur vos clients et sur l'utilisation finale qu'ils font de vos produits. Consultez les informations fournies par votre autorité compétente en ce qui concerne les exigences et règles nationales et de l'Union relatives aux déclarations d'utilisation finale. Même en l'absence d'une obligation nationale de présenter une déclaration d'utilisation finale dûment complétée et signée, une telle déclaration peut s'avérer utile pour contrôler la fiabilité de l'utilisateur final/du destinataire, et ces informations peuvent être utilisées pour déterminer si une autorisation est nécessaire pour des biens à double usage non répertoriés lorsque l'utilisation finale déclarée soulève des préoccupations au titre de l'article 4 du règlement (CE) no 428/2009.

Soyez attentif aux indicateurs de risques de détournement et aux signes indiquant des demandes ou commandes suspectes. Par exemple, évaluez si l'utilisation finale déclarée correspond aux activités et/ou aux marchés de l'utilisateur final. L'annexe 2 contient une liste de questions destinées à faciliter l'examen analytique de l'utilisation finale et des parties concernées déclarées.

Examen analytique des risques de détournement
Soyez attentif aux indicateurs de risques de détournement et aux signes indiquant des demandes ou commandes suspectes. L'annexe 2 contient une liste de questions destinées à faciliter l'examen analytique des risques de détournement. Accordez une attention particulière aux contrôles au sens large pour les biens à double usage non répertoriés, si l'examen analytique de l'utilisation finale ou des parties concernées déclarées ou celui des risques de détournement fournissent des informations préoccupantes au titre de l'article 4 du règlement (CE) no 428/2009.

Contrôles au sens large pour les biens à double usage non répertoriés
Veillez à ce que l'entreprise dispose de procédures en vigueur pour déterminer si elle «a connaissance» de l'existence d'informations préoccupantes concernant l'utilisation finale déclarée [au titre de l'article 4 du règlement (CE) no 428/2009]. Si l'exportateur en «a connaissance», l'entreprise s'assure qu'aucune exportation n'a lieu sans notification préalable à l'autorité compétente et avant d'avoir reçu la décision finale de cette dernière. Pour les cas où les autorités compétentes «informent» l'exportateur de l'existence d'informations préoccupantes concernant l'utilisation finale déclarée [aux termes de l'article 4 du règlement (CE) no 428/2009], il convient que l'entreprise dispose de procédures garantissant la transmission rapide d'informations et l'interruption immédiate de l'exportation. Il y a lieu de s'assurer que l'exportation n'intervient pas sans l'autorisation préalable de l'autorité compétente.

Les autorités chargées de l'octroi des licences évalueront ce chapitre à travers les points suivants :

Liste de contrôle

A) Procédures de screening

Définition de la responsabilité pour le maintien des procédures de contrôle.
Répartition des responsabilités pour l'exécution des contrôles.
Planification des contrôles tout au long du système de traitement et d’exécution des commandes.
Indication du ou des outils utilisés pour assurer la réalisation des contrôles au cours du processus d'approbation des clients et des transactions.
Indication des outils d'audit de conformité utilisés.
Reproduction de la documentation de profilage client utilisé par l’entreprise.
Désignation de la ou des personne(s) responsable(s) de la formation sur les screenings.
Instructions concernant le traitement des transactions ou activités douteuses, y compris les méthodes de résolution.
Description des précautions prises contre la livraison de produits non autorisés ou la livraison de produits autorisés à des destinataires non autorisés.
Procédures de traitement des résultats positifs et négatifs de l'évaluation du risque de transaction.
Description des moyens de résolution des résultats "faux positifs" (c'est-à-dire un résultat préoccupant inutile) de l'évaluation du risque de transaction.
Instructions au personnel pour le traitement des situations de transfert intangible de technologie et d’assistance technique (visites, conférences et séminaires) en relation avec les biens à double usage.

(B) Contrôles des destinations et entités sous embargo, sanctionnées ou sensibles

Description des processus garantissant qu'aucune des parties concernées (intermédiaires, acheteur, destinataire ou utilisateur final) ne fait l'objet de mesures restrictives (sanctions).

(C) Examen de l'utilisation finale déclarée et des parties concernées ;

Description des processus de connaissance de client et des contrôles de l'utilisation finale des produits par les clients.
Définition du screening périodique des clients existants.
Description des moyens mis en œuvre en ce qui concerne les indicateurs de risque de détournement et la signalisation des démarches ou des commandes suspectes, en veillant à ce que tout le personnel prenne en compte les signaux d'alerte et documente la résolution de ces signaux.
Définition des procédures de contrôle de l'utilisation finale, de l'utilisateur final et de la destination finale.

(D) Screening du risque de détournement

Description des moyens mis en œuvre en ce qui concerne les contrôles attrape-tout (clause « catch-all ») pour les biens non inscrits sur la liste, si l'examen préalable des utilisations finales et des parties concernées ou l'examen préalable des risques de détournement fournissent des informations préoccupantes.

(E) Contrôles « attrape-tout »(« catch-all ») pour les biens à double usage non listés

Description des procédures en place pour déterminer si l'entreprise « sait » qu'il y a des renseignements préoccupants au sujet de l'utilisation finale déclarée.
Description des procédures en place pour les cas où l'exportateur est « informé » par les autorités compétentes qu'il existe des informations préoccupantes concernant l'utilisation finale déclarée, lorsqu'il est nécessaire d'assurer le flux rapide d'informations et l'arrêt immédiat de l'exportation jusqu'à ce que l'autorisation requise ait été obtenue.

Aspects pratiques

Les moyens mis en œuvre pour s'assurer que les articles, les clients, les utilisateurs finaux et les transactions font l'objet d'un contrôle afin d'assurer le respect des procédures liées à l'exportation devraient être intégrés dans un organigramme de processus interne, indiquant les contrôles pertinents sur une base chronologique. Ce tableau devrait être intégré dans le manuel du PIC.

Lignes directrices de l’UE sur les biens à double usage (2019)

Signaux d'alerte relatifs aux demandes suspectes

Pour prévenir les risques de prolifération des armes de destruction massive, leurs modes d'acheminement et l'accumulation déstabilisatrice des armes conventionnelles, il est capital d'être attentif aux signes indiquant des demandes ou commandes suspectes. Le partage de telles informations avec votre autorité compétente est vivement recommandé voire, dans certains cas, exigé en vertu des législations et réglementations des États membres et de l'Union européenne. En cas de doute, adressez-vous à l'autorité compétente. La liste non exhaustive des signaux d'alerte fournie ci-après repose sur les bonnes pratiques existantes et découle des éléments suivants:

la liste des questions consultatives pour le secteur provenant de l'Arrangement de Wassenaar (convenue lors de la plénière de 2003, révision convenue lors de la plénière de 2018),
le code des bonnes pratiques en matière de conformité de 2010 (département des affaires, de l'innovation et des compétences, Royaume-Uni), et
les approches des autorités compétentes d'autres États membres de l'Union à l'égard du PIC. Sur la base de l'expérience de votre entreprise, des ajouts ou des modifications peuvent être apportés à la liste ci-après. Vous êtes le mieux placé pour repérer les éléments suspects dans votre domaine d'activité. Votre entreprise doit faire preuve de vigilance si au moins un des signaux d'alerte ci-après est détecté.

Votre/vos produits:

votre produit est toujours en cours d'élaboration ou n'a pas encore trouvé de nombreux clients sur votre marché national,
les caractéristiques de votre produit sont techniquement supérieures à celles des produits de concurrents établis,
votre client a demandé une personnalisation inhabituelle d'un produit standard, ou des demandes de modification soulèvent des préoccupations relatives aux utilisations potentielles du produit personnalisé,
votre produit a une utilisation à double usage, militaire ou sensible avérée.

Utilisation finale et utilisateur final:

le client n'est que récemment entré en contact avec votre entreprise et les informations que vous détenez à son égard sont incomplètes ou incohérentes, ou il est difficile de trouver des informations le concernant dans des sources ouvertes,
l'utilisateur final déclaré est une entreprise commerciale, une société de distribution ou une entité établie dans une zone franche de sorte qu'il se peut que votre entreprise n'ait pas connaissance de la destination finale de votre ou de vos produits,
l'utilisateur final est lié à l'armée, à l'industrie de la défense ou à un organisme de recherche public, alors que l'utilisation finale déclarée est civile,
le client semble ne pas bien connaître le produit et ses caractéristiques de performance (un manque criant de connaissances techniques, par exemple),
le client demande un produit qui semble bien trop performant pour l'utilisation prévue,
les coordonnées (numéros de téléphone, adresses électroniques et adresses postales) fournies dans les demandes renvoient à des pays autres que celui dans lequel l'entreprise déclarée est établie, ou ont été modifiées en ce sens au fil du temps,
la raison sociale de l'entreprise est dans une langue étrangère (dans une langue inattendue pour le pays au sein duquel se situe le siège social, par exemple),
le contenu du site internet de l'entreprise est limité par rapport à ce que l'on retrouve normalement sur le site internet d'une entreprise légitime,
le client hésite à fournir des informations relatives à l'utilisation finale des biens (au moyen d'une déclaration d'utilisateur final, par exemple), à donner des réponses claires à des questions techniques ou commerciales courantes dans le cadre de négociations normales ou à produire une déclaration d'utilisateur final,
une explication peu convaincante est fournie quant à la raison pour laquelle les biens sont demandés, au regard de l'activité traditionnelle du client ou de la sophistication technique des biens.

Envoi:

des modalités d'envoi, de conditionnement ou d'étiquetage inhabituelles sont demandées; des incoterms habituels pour l'envoi et le scellage de conteneurs/camions et l'accusé de réception par le destinataire/l'utilisateur final sont refusés.

Conditions financières et contractuelles:

des conditions de paiement inhabituellement favorables, telles que le paiement d'un prix déraisonnablement élevé, un paiement intégral à l'avance ou un paiement intégral immédiat en espèces, sont proposées,
le paiement est effectué par des parties tierces, et non par le client ou les intermédiaires déclarés, et suit un itinéraire différent de celui des produits,
des services d'installation, de formation ou de maintenance courants sont refusés,
le site d'installation se trouve dans une zone soumise à un contrôle strict de sécurité ou dans une zone dont l'accès est considérablement limité,
le site d'installation est inhabituel au regard du secteur d'activité de l'exportateur ou du type d'équipements installés,
les destinations finales, les clients ou les spécifications des biens font l'objet d'exigences de confidentialité excessives et inhabituelles,
des pièces de rechange sont demandées en quantité excessive ou le client ne témoigne aucun intérêt pour ces pièces.

Le partage des informations relatives aux demandes suspectes avec votre autorité compétente est vivement recommandé et constitue une bonne pratique commerciale. En outre, le cas échéant, le partage d'informations au sein de la chaîne d'approvisionnement des entreprises et avec d'autres exportateurs peut s'avérer utile, compte tenu du risque que les proliférateurs transmettent des demandes à différentes entreprises en espérant que l'une de ces demandes aboutisse ou en vue d'acquérir une quantité critique de matériel à partir de différentes sources (scénario dans lequel chaque demande prise individuellement n'éveillerait aucun soupçon à ce stade). En cas de doute, adressez-vous à l'autorité compétente.

6.3. Détermination et demande de la licence, y compris pour les activités de courtage, de transfert et de transit

Lignes directrices de l’UE sur les biens à double usage (2019)

Quelle est la marche à suivre?

Assurez-vous que votre entreprise dispose des coordonnées de l'autorité de contrôle compétente en matière d'exportations.

Recueillez et diffusez les informations relatives à l'éventail de types de licences (y compris les licences individuelles, globales et générales) et d'activités soumises à contrôle (y compris l'exportation, le courtage, les transferts et le transit) ainsi qu'aux procédures de demande de licence liées au contrôle national et de l'Union applicables aux échanges de biens à double usage. Informez-vous sur les types d'exportations moins ouvertement soumises à contrôle (telles que les exportations par l'intermédiaire des services «en nuage» ou des bagages personnels d'un individu) et sur les mesures de contrôle des échanges de biens à double usage pour les activités autres que l'exportation, telles que l'assistance technique ou le courtage.

Pour savoir si une autorisation est requise pour une opération déterminée, plusieurs critères entrent en jeu, notamment la classification du produit, la nature de la transaction, le profil et la localisation du client et/ou de l'utilisateur final, l'utilisation finale du produit, et le mode d’acheminement. Le PIC devra montrer le processus interne que l’entreprise adopte pour s’assurer qu’en tout temps, aucune exportation ou opération quelconque ne soit entamée ou exécutée sans qu’une autorisation gouvernementale ait été demandée et accordée dans les cas où celle-ci est requise.

Les autorités chargées de l'octroi des licences évalueront ce chapitre à travers les points suivants :

Liste de contrôle

Description des procédures internes permettant de déterminer si une licence est requise sur la base des lois et règlements applicables.
Description de la réglementation applicables aux demandes d’autorisation et à la délivrance des autorisations, y compris les types d’autorisation et les délais dont disposent les autorités pour traiter les demandes.
Indication des autorités et de l'administration compétentes pour l'octroi des licences.

Aspects pratiques

Dans le descriptif de la réglementation en matière des demandes d’autorisation, le PIC doit expliquer la différence entre les autorisations individuelles / globales / générales, indiquer les informations à fournir à l'appui des demandes de licence et se référer aux différents formulaires de demande d’autorisation tels que définis par le règlement grand-ducal du 14 décembre 2018, et publiés sur www.guichet.lu/oceit.

6.4. Contrôles postérieurs à l'octroi de la licence, y compris le contrôle des envois et du respect des conditions de l'autorisation

Lignes directrices de l’UE sur les biens à double usage (2019)

Quelle est la marche à suivre ?

Avant de procéder à l'envoi proprement dit, il convient de procéder à un contrôle final pour s'assurer que toutes les étapes assurant la conformité ont été dûment suivies. C'est le moment opportun pour vérifier que les biens sont classifiés correctement, qu'aucun signal d'alerte n'a été lancé, que l'examen analytique des entités a été dûment réalisé et que l'envoi est assorti d'une licence valide.
Il convient d'effectuer une analyse finale des risques inhérents à la transaction en cas de modification, entre-temps, de la législation pertinente, notamment si le bien est désormais répertorié comme un bien à double usage ou si l'utilisateur final est à présent frappé de sanctions.
Mettez en œuvre une procédure permettant d'interrompre ou de suspendre l'échange de biens si l'une des exigences n'est pas remplie ou si des signaux d'alerte sont lancés. Seule une personne responsable de la conformité est habilitée à libérer les biens.
Veillez à ce que les conditions de la licence aient été respectées (y compris la notification).
Veuillez noter que toute modification apportée aux coordonnées de l'entreprise exportatrice (telles que la raison sociale, l'adresse et le statut juridique), à celles de l'utilisateur final et/ou des intermédiaires ainsi qu'aux informations relatives aux biens autorisés peut influer sur la validité de votre licence.

Les autorités chargées de l'octroi des licences évalueront ce chapitre à travers les points suivants :

Liste de contrôle

Description des procédures internes permettant de s'assurer qu'un contrôle final de conformité est effectué avant l'expédition proprement dite.
Description de la procédure par laquelle les produits peuvent être arrêtés ou mis en attente lorsque l'une des exigences n'est pas satisfaite, ou lorsque des "signaux d'alarme" sont émis.
Définition des moyens de s'assurer que les conditions de l’autorisation ont été respectées (y compris les rapports).

Chapitre 7 - Enregistrement et documentation

Lignes directrices de l’UE sur les biens à double usage (2019)

L'enregistrement proportionné, précis et garantissant la traçabilité des activités liées au contrôle des échanges de biens à double usage est essentiel aux efforts de conformité déployés par votre entreprise. Un système global d'enregistrement aidera votre entreprise à réaliser les audits et les évaluations des performances, à respecter les exigences nationales et/ou de l'Union en matière de conservation des documents, et facilitera la coopération avec les autorités compétentes en cas de demande relative au contrôle des échanges de biens à double usage.

Quels sont les résultats escomptés?

L'enregistrement consiste en l'ensemble des procédures et lignes directrices applicables au stockage de documents juridiques, à la gestion des relevés et à la traçabilité des activités liées au contrôle des échanges de biens à double usage. L'enregistrement de certains documents est exigé par la loi, mais il peut également être dans l'intérêt de votre entreprise de conserver des relevés de certains autres documents (un document interne décrivant la décision technique relative à la classification d'un bien, par exemple). Lorsque tous les relevés sont recueillis et dûment classés, l'efficacité de la recherche et de l'extraction se voit renforcée dans le cadre des activités quotidiennes de contrôle des échanges de biens à double usage, ainsi qu'au cours des audits périodiques.

Quelle est la marche à suivre?

Vérifiez les dispositions juridiques applicables à l'enregistrement (période de conservation, portée des documents, etc.) dans la législation pertinente de l'Union et de l'État membre de l'Union au sein duquel votre entreprise est établie.

Afin de garantir que toute la documentation pertinente est disponible, pensez à définir des exigences applicables à la conservation des relevés dans les contrats avec les intermédiaires, y compris les expéditeurs et les distributeurs.

Créez un système adéquat de classement et d'extraction pour le contrôle des échanges de biens à double usage. Des fonctionnalités performantes d'indexation et de recherche sont essentielles tant pour les systèmes papier que pour les systèmes électroniques.

Veillez à ce que les documents relatifs au contrôle des exportations soient conservés de manière cohérente et à ce qu'ils puissent rapidement être mis à la disposition de l'autorité compétente ou d'autres parties externes en cas d'inspection ou d'audit.

Nous vous recommandons de garder une trace des contacts entretenus antérieurement avec l'autorité compétente, également en ce qui concerne le contrôle de l'utilisation finale et des utilisateurs finaux de biens à double usage non répertoriés et les conseils prodigués en matière de classification technique.

Un système solide de tenue de documents devrait définir les responsabilités et appliquer des normes qui englobent tous les formats de documents, y compris, mais sans s'y limiter, les documents sur support papier et électronique, les documents provenant de sites Web, les systèmes d'information de gestion, la correspondance électronique et les documents dans des espaces de travail individuels et partagés. Des programmes continus de formation et de sensibilisation devraient assurer et promouvoir la saisie, la récupération et la gestion efficaces des documents.

Ce système devrait préciser qui conservera les dossiers, en particulier la liste des dossiers qui doivent être conservés et dans quel format, et décrire en détail les systèmes et les procédures de classement et de récupération. Il devrait préciser le délai de conservation des documents et déterminer les méthodes de vérification de la conformité aux exigences en matière de tenue de documents.

Dans ce domaine, il y a lieu d’identifier publiquement les personnes ou fonctions désignées responsables de la tenue de documents.

Tous les documents requis devraient être saisis et classés correctement afin de permettre une recherche et une récupération efficaces en effectuant des vérifications périodiques du système de tenue de documents. Les documents devraient être conservés sous une forme et à un endroit faciles à retrouver, et le système de classement, qu'il s'agisse d'une copie papier ou électronique, devrait permettre d'apparier facilement, pour toute transaction particulière, les factures, les bons de livraison, les connaissements aériens, les connaissements, les bordereaux d'expédition et les registres, comme les registres des données techniques, et que des examens internes réguliers des registres soient effectués afin de garantir le respect des procédures et pratiques appropriées.

L'entreprise devrait également montrer comment elle gère le risque de perte de documents en décrivant le site d'entreposage physique, les mesures de protection et de récupération des dossiers et systèmes électroniques et les procédures d’élimination des données.

La liste de contrôle suivante guidera les autorités responsables de l'octroi des autorisations dans leur évaluation :

Liste de contrôle

Description de la politique à l'échelle de l'entreprise définissant les responsabilités et appliquant des normes qui englobent tous les formats de documents, y compris, mais sans s'y limiter, les supports papier et électroniques, les documents provenant de sites Web, les systèmes d'information de gestion, la correspondance électronique et les documents dans les espaces de travail individuels et partagés.
Description des systèmes de classement, de gestion, de sauvegarde et de protection des dossiers.
Description des journaux pour le suivi des exportations, des importations, des transits et des réexportations.
Description de la tenue des dossiers des visiteurs étrangers dans les installations de l'entreprise dans le cadre de la maîtrise des risques attachés au transfert intangible de technologie portant sur des biens à double usage.
Description de la tenue des dossiers des communications avec les gouvernements et les autorités publiques.

Aspects pratiques

Les exigences légales en matière d'archivage sont contenues dans la loi du 27 juin 2018, en particulier les articles 4, 7, 8, 13, 24, 39, 40, 41, 48 et 49. Le PIC devrait contenir une référence à ces dispositions et les expliquer d'une manière facilement compréhensible.
Des sanctions spécifiques s'appliquent en cas de manquement en matière de tenue des registres. Le type d'infraction et les références à la loi du 27 juin 2018 (article 61) doivent être mentionnés dans le PIC.

Chapitre 8 - Sécurité physique et de l'information

Lignes directrices de l’UE sur les biens à double usage (2019)

Le contrôle des échanges de biens à double usage, y compris des logiciels et des technologies, est réalisé pour des raisons de sécurité (inter)nationale et pour satisfaire à des objectifs de politique étrangère. En raison de leur nature sensible, les biens à double usage devraient donc être «protégés». En outre, disposer de mesures de sécurité appropriées contribue à limiter les risques d'enlèvement non autorisé de biens soumis à contrôle ou d'accès non autorisé à ceux-ci. Les mesures de sécurité physique sont importantes mais, en raison de la nature même des logiciels ou des technologies sous forme électronique soumis à contrôle, assurer la conformité avec les règlements régissant l'échange de biens à double usage peut s'avérer particulièrement complexe et nécessite de surcroît des mesures de sécurité de l'information.

Quels sont les résultats escomptés?

La sécurité physique et la sécurité de l'information renvoient à l'ensemble des procédures internes destinées à prévenir l'accès non autorisé à des biens à double usage ou l'enlèvement non autorisé de ces biens par des salariés, des contractants, des fournisseurs ou des visiteurs. Ces procédures nourrissent une culture de la sécurité au sein de l'entreprise et garantissent que les biens à double usage, y compris les logiciels et les technologies, ne se perdent pas, ne sont pas facilement volés ni ne sont exportés sans licence valide.

Quelle est la marche à suivre?

1. Sécurité physique

Conformément à l'analyse des risques de l'entreprise, veillez à ce que les biens à double usage soumis à contrôle soient protégés contre un enlèvement non autorisé par des salariés ou des tiers. Les mesures envisageables incluent notamment la préservation physique des biens, l'établissement de zones à accès limité et de contrôles à l'entrée ou à la sortie du personnel.

2. Sécurité de l'information

Mettez en place des procédures et des mesures de protection de base garantissant la sécurité du stockage des logiciels ou des technologies sous forme électronique soumis à contrôle, ou de l'accès à ceux-ci, y compris des contrôles au moyen d'antivirus, le cryptage de fichiers, les registres et les pistes d'audit, le contrôle de l'accès des utilisateurs et les pare-feu. Si cela concerne votre entreprise, envisagez des mesures de protection applicables au téléchargement de logiciels ou de technologies dans les services «en nuage», à leur stockage dans ces services ou à leur transmission via ces derniers.

Les points suivants sont évalués par les autorités luxembourgeoises chargées de l'octroi des autorisations :

Liste de contrôle

Description des procédures internes garantissant la prévention de l'accès non autorisé ou du retrait de biens sensibles (en ce qui concerne la protection physique des biens, l'établissement de zones d'accès restreint et les contrôles d'accès ou de sortie du personnel).
Description des mesures et procédures de stockage sécurisé et d'accès aux logiciels ou technologies contrôlés sous forme électronique
Description, le cas échéant, des mesures de protection des logiciels ou des technologies à télécharger, à stocker ou à transmettre dans le « cloud » dans le cadre de la maîtrise des risques attachés au transfert intangible de technologie portant sur des biens à double usage.

Chapitre 9 - Évaluation des performances et audits

Lignes directrices de l’UE sur les biens à double usage (2019)

Un PIC n'est pas un train de mesures statique et, le cas échéant, il convient donc de l'évaluer, de le tester et de le réviser afin d'en préserver la conformité. Les évaluations des performances et les audits permettent de vérifier si le PIC est mis en œuvre de manière satisfaisante sur le plan opérationnel et s'il est conforme aux exigences nationales et de l'Union applicables en matière de contrôle des exportations. Les évaluations des performances, les audits (…) sont conçus pour repérer les incohérences afin de clarifier et réviser les méthodes si elles entraînent une non-conformité (ou sont susceptibles de le faire).

Quels sont les résultats escomptés?

L'entreprise met au point des procédures d'évaluation des performances afin de contrôler les travaux menés au quotidien au sein de l'entreprise en matière de conformité et afin de déterminer si les opérations de contrôle des exportations sont exécutées de manière appropriée au regard du PIC. L'évaluation des performances est effectuée en interne. Elle permet de détecter de manière précoce les cas de non-conformité et d'élaborer des mesures de suivi pour limiter les dégâts. Cette évaluation permet donc de réduire les risques auxquels s'expose l'entreprise.

L'entreprise a mis sur pied des procédures d'audits, à savoir des inspections systématiques, ciblées et documentées visant à confirmer que le PIC est dûment mis en œuvre. Les audits peuvent être réalisés en interne ou par des professionnels externes qualifiés.

La notification correspond à l'ensemble des procédures relatives aux mesures de

Quelle est la marche à suivre?

Prévoyez des mécanismes de contrôle aléatoires dans le cadre des opérations quotidiennes visant à surveiller le déroulement du contrôle des échanges au sein de l'entreprise afin de vous assurer que toutes les actions fautives sont détectées à un stade précoce. Une autre approche consiste à recourir au «principe du double regard», méthode par laquelle les décisions relatives au contrôle des échanges sont contrôlées et font l'objet d'une double vérification.

Prévoyez et réalisez des audits afin de contrôler la conception, la pertinence et l'efficacité du PIC.

Assurez-vous que l'audit inclut tous les aspects du PIC.

Outre un programme écrit et documenté, un programme de conformité réussi exige des contrôles internes efficaces qui mettent en œuvre ce programme. Il appartient à l’entreprise de déterminer elle-même, en vertu de son profil de risque et de sa structure organisationnelle, le caractère, l’ampleur et l’intensité de ces contrôles.

Ces mécanismes comprennent des contrôles de types différents : contrôles dans le cadre des opérations quotidiennes, audits réguliers et contrôles aléatoires.

Au cours des opérations quotidiennes, les produits seront libérés selon le principe des 4 yeux. Des inspections aléatoires auront lieu chaque fois que cela sera nécessaire afin de s'assurer que les procédures opérationnelles de toutes les divisions et de tous les sites liés à l'exportation de l'entreprise reflètent le PIC de l'entreprise et les règlements d'exportation gouvernementaux.

Afin de maintenir et de maximiser l'efficacité du PIC, il est conseillé de procéder à un audit interne à intervalles réguliers. Cela fait partie d'un processus d'amélioration continue des processus d'affaires internes. Selon le profil de l'entreprise, il est également possible de confier l'audit à un spécialiste externe.

L’entreprise doit évaluer l'efficacité de ses efforts de conformité en vérifiant/évaluant officiellement tous les éléments de son programme de conformité. Tous les critères de vérification doivent être précisés par écrit au préalable et les résultats des audits doivent être documentés.

Les autorités chargées de l'octroi des licences évalueront ce chapitre en se référant à la liste de contrôle suivante:

Liste de contrôle

Description des examens aléatoires mis en œuvre dans le cadre des procédures d'exploitation quotidienne de l'entreprise.
Description du programme d’audit interne (calendrier, contenu).
Démonstration du niveau de qualification et d'expérience, et le programme de formation, du personnel d'audit (interne et/ou externe).
Description des procédures et des pratiques en matière de rapports d'audit.
Description des procédures de mise en œuvre des recommandations d'audit et de suivi des mesures correctives prises.

Aspects pratiques

Dans le cas où le PIC a été validé par les autorités compétentes pour l'octroi d'autorisations globales, le suivi à démontrer aux autorités sur la mise en œuvre du PIC doit inclure des pièces justificatives sur les audits (calendrier, composition des équipes d'audit, rapports d'audit). Il est donc recommandé de tenir des dossiers détaillés et structurés sur les audits, y compris les examens aléatoires.

Chapitre 10 - Notifications et mesures correctives

Lignes directrices de l’UE sur les biens à double usage (2019)

Un PIC performant inclut des procédures de notification claires concernant les mesures de communication et de remontée de l'information que peuvent prendre les salariés en cas d'incidents de non-conformité, suspectés ou avérés. Dans le cadre d'une solide culture de la conformité, les salariés doivent se sentir en confiance et rassurés lorsqu'ils soulèvent des questions ou notifient de bonne foi leurs inquiétudes relatives à la conformité. (…)les procédures de notification sont conçus pour repérer les incohérences afin de clarifier et réviser les méthodes si elles entraînent une non-conformité (ou sont susceptibles de le faire).

Quels sont les résultats escomptés?

La notification correspond à l'ensemble des procédures relatives aux mesures de communication et de remontée de l'information à prendre en cas d'incidents, suspectés ou avérés, de non-conformité en matière d'échanges de biens à double usage, dont disposent le personnel affecté au contrôle des échanges de biens à double usage et les autres salariés concernés. Elle ne renvoie pas aux obligations de notification externes, par exemple si votre entreprise est enregistrée pour l'utilisation d'une autorisation générale d'exportation de l'Union au sens du règlement (CE) no 428/2009.

Les mesures correctives constituent l'ensemble des mesures qui visent à garantir la bonne mise en œuvre du PIC et l'élimination des points faibles détectés dans le cadre des procédures de conformité.

Quelle est la marche à suivre?

Veillez à ce que les salariés se sentent en confiance et rassurés lorsqu'ils soulèvent des questions ou notifient de bonne foi leurs inquiétudes relatives à la conformité.

Établissez des procédures d'alerte éthique et de remontée de l'information régissant les mesures que peuvent prendre les salariés en cas d'incident, suspecté ou avéré, de non-conformité en matière d'échange de biens à double usage. Les tiers peuvent également bénéficier de cette option.

Documentez par écrit tous les soupçons de violation de la législation nationale et de l'Union relative au contrôle des biens à double usage, ainsi que les mesures correctives connexes.

Prenez des mesures correctives efficaces afin d'adapter les opérations de contrôle des exportations ou le PIC aux résultats de l'évaluation des performances, de l'audit du système du PIC ou de la notification. Nous vous recommandons de partager ces résultats, notamment la révision des procédures et des mesures correctives, avec le personnel affecté au contrôle des échanges de biens à double usage et avec la direction. Une fois les mesures correctives mises en œuvre, nous vous conseillons de communiquer les procédures modifiées à l'ensemble des salariés concernés.

Le dialogue avec votre autorité compétente peut contribuer à limiter les dégâts et à déterminer différentes façons de renforcer le contrôle des exportations effectué par l'entreprise.

L'objectif ici est de fournir des directives claires aux employés de l'entreprise concernant la notification, l'escalade et les mesures correctives en cas de problèmes ou de soupçons de problèmes liés aux opérations d'exportation.

Le PIC doit décrire, lorsqu'une violation de la réglementation de contrôle des exportations ou des procédures du PIC se produit, de quelle manière un rapport est fait à la personne responsable des contrôles à l'exportation et les mesures correctives sont mises en œuvre pour s'assurer que des infractions semblables seront évitées à l’avenir.

La liste de contrôle suivante sera utilisée par les autorités au cours du processus de validation du PIC :

Liste de contrôle

Instructions sur l'endroit où les incidents présumés de non-conformité liés à l'exportation doivent être signalés.
Identification du bureau ou de la ou des personnes (y compris le nom, le numéro de téléphone et l'adresse électronique) à qui l'on a confié la responsabilité de rédiger les rapports.
Description des procédures internes à suivre lorsqu'un incident présumé de non-conformité liée à l'exportation a été signalé.