Jocelyn Pitet
December 4, 2024
Temps de lecture : 15 min

Exportez-vous des biens de cybersurveillance sans le savoir ?

English version available here
Vous êtes une entreprise innovante spécialisée dans l’édition de logiciels, l’intelligence artificielle ou la cybersécurité, et vos activités s’ouvrent à l’international ?
Certains de vos produits pourraient relever de la catégorie dit des biens de cybersurveillance. Il peut s’agir, par exemple, d’équipements de sécurité réseau, de technologies de reconnaissance faciale ou émotionnelle, ou encore de dispositifs de localisation destinés à analyser les flux de déplacement dans des zones commerciales.
Dans cet article, nous vous expliquons ce que cela signifie concrètement, les règles à respecter en matière d’exportation, et les démarches à suivre pour sécuriser vos opérations. 

Biens à double usage : un contrôle de leur exportation et des investissements étrangers

Les biens à double usage, dont font partie les biens de cybersurveillance, ne sont pas des produits comme les autres. Ce sont des technologies, logiciels ou équipements qui, bien qu’initialement conçus pour un usage civil, peuvent aussi être utilisés dans des contextes militaires ou pour porter atteinte à des droits humains.
Par exemple, un logiciel de cryptographie peut protéger des données sensibles dans un cadre commercial, mais aussi servir à chiffrer des communications militaires.
Pour cette raison, l’exportation de ces biens est soumise à un cadre juridique strict, notamment au Règlement (UE) 2021/821. Des autorisations d'exportation doivent ainsi être obtenue auprès des autorités compétentes, qui repose sur une évaluation approfondie de la nature des biens, de leur usage déclaré et de leur destination finale.
En France, c’est le Service des biens à double usage (SBDU) qui est chargé d’accorder les autorisations nécessaires d'exportation. 
Leur exportation sans autorisation est passible de sanctions sévères, incluant notamment des peines d’emprisonnement, des amendes, ou encore la confiscation des marchandises concernées. 
La majorité des biens à « double usage » est listé dans l'annexe I du Règlement (UE) 2021/821. 
En outre, le régime français de contrôle des investissements étrangers s'applique également à certaines entreprises ayant des activités de recherche et développement portant sur des biens à double usage. Leur prise de contrôle, leur acquisition ou leur augmentation significative de participation par un investisseur étranger est soumise à une autorisation préalable du ministère de l’Économie.
Une méconnaissance de ces règles pourrait donc compromettre vos projets d'investissements, vos exportations et entraîner de lourdes sanctions. 

Que faut-il comprendre par « exportation » ?

Contrairement à ce que l’on pourrait penser, la notion d’exportation ne se limite pas à l’envoi définitif de marchandises physiques vers l’étranger. Le Règlement (UE) 2021/821 s’applique à plusieurs situations, parfois inattendues, qui peuvent inclure :
  • Les exportations temporaires. Imaginez qu’un de vos ingénieurs se rende dans un autre pays pour une démonstration produit. Si le bien présenté est classé comme « à double usage », cela peut être considéré comme une exportation temporaire soumise à autorisation.
  • La réexportation. Ce cas concerne les biens qui transitent par l’Union européenne avant d’être envoyés vers une destination hors UE.
  • Le perfectionnement passif. Ce régime permet à des biens d'être exporté temporairement en vue de les soumettre à des opérations de perfectionnement à l'étranger. 
  • La transmission électronique. C’est sans doute l’aspect le moins intuitif. La transmission de logiciels ou de technologies, par voie électronique, y compris par télécopieur, téléphone, courrier électronique ou tout autre moyen électronique peut être considéré comme une exportation soumise à contrôle.

Biens de cybersurveillance : une catégorie clé pour les entreprises innovantes

Parmi ces biens à double usage, une attention particulière est portée aux « biens de cybersurveillance ».  
Certains de ces biens sont répertoriés dans l’Annexe I, qui établit la liste des biens à double usage soumis à des contrôles d'exportation. Cependant, d’autres technologies, non mentionnées dans cette annexe, peuvent également entrer dans le champ d’application du règlement.
En effet, l’article 5 du règlement introduit une « clause attrape-tout », qui étend les contrôles à des technologies non répertoriées dans l’Annexe I mais susceptibles d’être utilisées à des fins de répression interne ou pour la commission de violations des droits de l’homme et du droit humanitaire international. Ces cas concernent soit les situations où l’exportateur a été informé de cette utilisation par les autorités compétentes, soit celles où il en a connaissance grâce à ses propres procédures de vigilance.
Des exemples ? Des équipements de protection des réseaux ou encore une caméra de vidéosurveillance associée à un système de reconnaissance faciale peuvent, dans certaines situations, être qualifiés de biens de cybersurveillance.
Indépendamment des informations transmises par les autorités, il revient donc aux exportateurs de vérifier, par le biais de leur procédure de vigilance, si les biens qu’ils envisagent d’exporter relèvent de cette catégorie.
Cet article 5 représente un véritable défi pour eux, car ils doivent non seulement évaluer les caractéristiques techniques de leurs produits, mais aussi anticiper leurs usages possibles.
Pour les accompagner dans cette démarche, la Commission européenne a publié, le 11 octobre 2024, des lignes directrices (recommandation (UE) 2024/2659). Ces recommandations visent à clarifier la définition des « biens de cybersurveillance » et les obligations spécifiques des exportateurs.

Les biens de cybersurveillance répertoriés dans l’Annexe I

Certains biens, clairement répertoriés dans l’Annexe I du règlement (UE) 2021/821, sont les plus simples à identifier pour les exportateurs.
Parmi eux, on trouve notamment :
  • Les systèmes d’interception des télécommunications, comme les intercepteurs IMSI, certains équipements simulant de faux points d’accès Wi-Fi pour extraire les numéros IMSI des téléphones, ainsi que certains outils d’inspection approfondie des paquets (DPI) ;
  • Les systèmes de surveillance de l’internet, conçus pour fonctionner sur des réseaux IP de classe opérateur (par exemple des réseaux de transport IP au niveau national). Ils analysent, extraient et indexent le contenu des métadonnées transmises (voix, vidéo, messages, pièces jointes), souvent sur la base de « sélecteurs stricts ». Ces systèmes permettent également de cartographier les relations entre utilisateurs ;
  • Les logiciels d’intrusion, qui permettent un accès discret à distance à des appareils (smartphones, ordinateurs, objets connectés, serveurs). Une fois installés, ils peuvent extraire des données, activer des caméras ou microphones, voire utiliser l’appareil pour attaquer d’autres systèmes ;
  • Les outils d’analyse cryptographique, conçus pour déjouer les mécanismes cryptographiques afin d’obtenir des variables confidentielles ou des données sensibles (mots de passe, clés cryptographiques, ou texte en clair) ;
  • Certains outils de criminalistique ou d’investigation, utilisés pour contourner les mécanismes d’authentification ou d’autorisation d’un appareil afin d’extraire des données brutes.
Si ces biens explicitement listés relèvent du cadre de contrôle, le règlement ne s’arrête pas là. Il prévoit également le contrôle des biens de cybersurveillance non répertoriés dans l’annexe I.

Les biens de cybersurveillance « non répertoriés » dans l’Annexe I

Le règlement sur les biens à double usage s’étend à tous les biens qui répondent à la définition des biens de cybersurveillance donnée par le Règlement (article 2, point 20). Ces biens sont définis comme « conçus spécifiquement pour permettre la surveillance discrète de personnes physiques par la surveillance, l’extraction, la collecte ou l’analyse de données provenant de systèmes d’information et de télécommunications ».
Cette définition générale inclut un éventail potentiellement très large de technologies et soulève des questions d’interprétation.
Dans certaines situations, l’autorité compétente informe directement l’exportateur que les biens qu’il envisage d’exporter pourraient être utilisés à des fins de répression interne ou pour la commission de violations des droits de l’homme et du droit humanitaire international. L’exportateur est explicitement alerté et doit obtenir une autorisation pour procéder à l’exportation.
Cependant, comme on l’a évoqué, l’article 5 du règlement impose également aux exportateurs de mettre en place des procédures de vigilance, leur permettant d’identifier eux-mêmes si les biens qu’ils souhaitent exporter présentent un risque d’usage abusif.
Si l’exportateur identifie un tel risque, il est tenu d’en informer l’autorité compétente, laquelle évaluera la situation et décidera s’il est nécessaire de soumettre l’exportation concernée à une autorisation préalable.
Pour aider les exportateurs, les lignes directrices (recommandation (UE) 2024/2659) fournissent une méthodologie et un analyse des termes clés de cette définition, tels que « Conçus spécifiquement », ou encore « Surveillance, extraction, collecte, analyse des données ».
À titre d’exemples, les lignes directrices mettent en lumière plusieurs catégories de technologies qui peuvent être qualifié de biens de cybersurveillance dans certaines circonstances :
  • Les équipements de sécurité réseau : cela inclus notamment les routeurs, les commutateurs ou les relais, car plusieurs cas d’utilisation abusive de ces biens dans le cadre de violations des droits de l’homme ont été rapportés.
  • Les technologies de reconnaissance faciale et de reconnaissance des émotions :lorsqu’elles peuvent être utilisées pour surveiller ou analyser des images vidéo stockées. Par exemple, dans un espace public, une caméra équipée d’IA peut analyser les expressions faciales pour détecter des comportements spécifiques ou surveiller en temps réel les foules à des fins de contrôle social. Ces outils peuvent être utilisés de manière intrusive pour surveiller des groupes ethniques, religieux ou politiques spécifiques.
  • Les dispositifs de localisation : Cela englobe des technologies comme la géolocalisation par satellite, le suivi via les antennes-relais de télécommunications, ou les émetteurs-récepteurs Wi-Fi et Bluetooth. Ces outils peuvent être utilisés pour cartographier les schémas de déplacement dans des zones commerciales, mais aussi pour surveiller les mouvements d’employés travaillant hors site, suivre à distance des cibles spécifiques ou fournir des données précises pour des campagnes publicitaires personnalisées. Par exemple, un dispositif Bluetooth intégré à une application mobile peut capturer discrètement les habitudes de déplacement d’un utilisateur .

Que faire aujourd’hui ?

Si ce n’est déjà fait, les entreprises susceptibles d’exporter des biens de cybersurveillance doivent impérativement renforcer leurs dispositifs de vigilance et leurs procédures internes pour se conformer aux exigences du Règlement (UE) 2021/821.
  1. Identifier si vos biens sont des biens de cybersurveillance
    Le premier impératif pour les exportateurs est de s’assurer que leurs biens sont correctement identifiés. Cela inclut une analyse approfondie des caractéristiques techniques et un examen du contexte d’utilisation. Il s’agit notamment d’évaluer non seulement les spécifications du bien isolé, mais également l’ensemble du système dans lequel il est intégré. Par exemple, un dispositif de vidéosurveillance pourrait être concerné si couplé à des technologies avancées telles que la reconnaissance faciale.Il est également important d’effectuer une évaluation rigoureuse des risques liés à l’utilisateur final, à la destination et aux capacités techniques des biens exportés.
  2. Obtenir la licence d'exportation requise (le cas échéant)
    Si votre analyse fait apparaître que vos biens sont des biens de cybersurveillance, déterminez si une licence est nécessaire et, le cas échéant, laquelle (licence individuelle, licence globale...). 
  3. Se doter d'un programme interne de conformité (PIC)
    Il est indispensable de se doter d’un programme interne de conformité (PIC) bien structuré pour sécuriser vos opérations d’exportation, et notamment pouvoir identifier à l'avenir si l'un de vos bien est un "biens de cybersurveillance". Ce programme  devra notamment inclure des politiques et procédures adaptés, des processus d’évaluation des transactions et une documentation rigoureuse en cas d’inspection ou d’enquête.
  4. Réagir aux signaux d'alerte
    Enfin, les exportateurs pourraient devoir réagir à des signaux d’alerte ou à des informations nouvelles concernant une exportation. Cela pourrait inclure la suspension d’une opération, la modification des conditions d’exportation, ou encore le signalement d’une situation problématique aux autorités compétentes.

Besoin d'un accompagnement pour sécuriser vos exportations ?

En tant que cabinet d'avocats , nous mettons à votre disposition notre expertise pour :
  • Vous aider à classer vos biens : nous analysons vos produits, systèmes et technologies pour déterminer s’ils relèvent ou non des biens de cybersurveillance. Le cas échéant, nous identifions vos obligations spécifiques.
  • Obtenir rapidement des licences nécessaires à vos exportation : nous gérons vos démarches administratives auprès des autorités compétentes, en accélérant le processus pour minimiser les délais et éviter les blocages.
  • Mettre en place votre programme de conformité interne (PIC) : nous vous assiston pour créer ou consolider votre Programme de conformité interne. 
  • Réagir efficacement aux signaux d'alerte : Nous vous assistons dans la gestion des signaux d’alerte, de la suspension d’une opération au signalement aux autorités.
  • Vous défendre en cas de contentieux : En cas de contrôle ou de litige, nous vous accompagnons pour protéger vos intérêts. 
Contactez-nous dès aujourd’hui pour bénéficier d’un accompagnement sur mesure et adapté à vos besoins. 

À propos de l'auteur

Jocelyn Pitet est avocat au barreau de Paris et cofondateur d’Entropy, un cabinet d'avocats dédié aux nouvelles technologies. Sa pratique se concentre sur des domaines tels que la cybersécurité, la protection des données personnelles, les contrats informatiques, la blockchain, l'intelligence artificielle et d'autres technologies de rupture. Depuis plus de dix ans, Jocelyn accompagne les startups innovantes, les entreprises technologiques de pointe ainsi que les grandes groupes internationaux dans la gestion des défis juridiques complexes liés au numérique et à l'innovation. 
En parallèle de son activité au cabinet, Jocelyn Pitet assure des fonctions d'enseignement à l'Université Paris Panthéon-Assas et à l'Institut Léonard de Vinci. Il y dispense des cours sur le droit de la blockchain, le droit des données à caractère personnel et le droit de la cybersécurité.
En savoir plus ?
voir nos expertises 
Entropy
13, rue du Quatre Septembre
75002 Paris
(+33)9 55 88 62 32
FR
LinkedIn
Mentions légales
Linkedinmentions legales
© 2025 Entropy.
Tous droits réservés.
© 2025 Entropy. Tous droits réservés