Le Bureau de l’industrie et de la sécurité (BIS) du ministère américain du commerce a publié un règlement final de grande envergure visant à préserver la sécurité nationale des États-Unis en réglementant l’utilisation de certaines technologies sans fil contrôlées par des pays étrangers dans les véhicules « connectés ». Cette règle, qui vise directement les technologies liées à la Chine et à la Russie, fait suite à des mois de consultation publique et reflète l’importance croissante accordée à la protection des infrastructures critiques contre les menaces étrangères.

Il s’agit de la dernière d’une série de réglementations exigeant des importateurs et des fabricants américains qu’ils procèdent à un contrôle des parties refusées afin de s’assurer que leurs fournisseurs respectent les listes de parties restreintes. Notamment, le 10 juillet 2024, le BIS a publié de nouvelles orientations recommandant aux exportateurs, aux réexportateurs et aux cédants d’articles de la Common High Priority List (CHPL), tels que la microélectronique et d’autres produits sensibles, de filtrer lestransactions à l’aide de la base de données du Trade Integrity Project (TIP). Cette base de données identifie les fournisseurs de pays tiers ayant déjà exporté des articles de la CHPL vers la Russie, ce qui permet de détecter les risques de détournement.

En outre, la loi sur la prévention du travail forcé des Ouïghours (UFLPA), en vigueur depuis le 21 juin 2022, exige que les importateurs américains vérifient que leurs fournisseurs figurent sur la liste des entités de l’UFLPA afin de s’assurer qu’ils respectent les lois américaines interdisant l’importation de biens produits, en tout ou en partie, par le travail forcé dans la région autonome ouïghoure du Xinjiang (XUAR) ou par des entités figurant sur la liste.

Cela souligne le rôle crucial du contrôle des parties refusées dans les programmes de conformité. Les constructeurs automobiles doivent également intégrer le contrôle des parties refusées dès les premières étapes de la qualification des fournisseurs.

Voici ce que les constructeurs automobiles, les fournisseurs et les entreprises technologiques doivent savoir sur la règle finale et comment s’assurer qu’ils restent en conformité.

Key Takeaways

  • Interdiction générale des importations et des ventes : La règle finale du BIS interdit l’importation et la vente de systèmes de véhicules connectés (VCS) et de logiciels de conduite autonome provenant de la République populaire de Chine (RPC) ou d’entités liées à la Russie.
  • Une action réglementaire pour protéger les chaînes d’approvisionnement américaines : La nouvelle règle vise à renforcer la sécurité nationale et la protection de la chaîne d’approvisionnement américaine en technologies et services de l’information et de la communication (ICTS) en bloquant l’accès non autorisé et en empêchant le sabotage.
  • Le contrôle des parties refusées est essentiel : Les entreprises de la chaîne d’approvisionnement automobile doivent mettre en œuvre des protocoles rigoureux de contrôle des parties refusées afin d’empêcher les transactions avec des entités soumises à des restrictions et de garantir le respect de la règle.
  • Mise en œuvre stricte de la conformité et sanctions : Les déclarations annuelles, les audits et la tenue de registres sont obligatoires. Les infractions peuvent donner lieu à des amendes allant jusqu’à 368 136 dollars par infraction ou à des sanctions pénales pouvant atteindre 1 million de dollars.
  • Des solutions complètes de conformité commerciale garantissent une diligence raisonnable approfondie: Grâce à des outils avancés de filtrage des parties refusées, de classification des exportations, d’aide à l’audit et de gestion des risques, Descartes propose une approche centralisée pour aider les constructeurs automobiles et les fournisseurs à se conformer efficacement aux réglementations du BIS.

Éléments essentiels de la règle finale de la BRI

La nouvelle règle souligne pourquoi un contrôle robuste des parties refusées n’est plus facultatif – il est essentiel. Avec l’interdiction générale d’importer ou de vendre des systèmes de véhicules connectés (VCS) et des logiciels de conduite autonome provenant d’entités liées à la RPC ou à la Russie, les entreprises de la chaîne d’approvisionnement automobile sont confrontées à un risque de conformité accru. Les importateurs, les fabricants d’équipements d’origine (OEM) et les fournisseurs doivent désormais mettre en œuvre des protocoles de filtrage rigoureux pour éviter de s’engager par inadvertance avec des parties restreintes liées à des adversaires étrangers.

  • Entrée en vigueur le 17 mars 2025 en vertu de l’E.O. 13873 : le BIS bloque les technologies et services d’information et de communication sous contrôle étranger dans les véhicules connectés afin de protéger les chaînes d’approvisionnement américaines contre les menaces de la RPC et de la Russie.
  • Interdiction générale d’importation et de vente : Interdiction du matériel VCS (par exemple, unités télématiques, modems, antennes) et des logiciels VCS/ADS « couverts » provenant d’entités liées à la RPC ou à la Russie.
  • Exigence relative au contrôle des parties refusées : Les importateurs, les équipementiers et les fournisseurs doivent mettre en œuvre un contrôle rigoureux des parties refusées afin d’empêcher les transactions avec des entités soumises à des restrictions et liées à des adversaires étrangers.
  • Déclarations annuelles : Les importateurs et les équipementiers doivent déposer des attestations 60 jours avant la première importation/vente, certifier qu’il n’y a pas de composants appartenant à des adversaires et conserver les dossiers pendant 10 ans.
  • Exemptions progressives : Exemption des véhicules < 2027 et du matériel importé avant le 1er janvier 2029 (ou utilisé dans des modèles ≤ 2030) ; les pièces de réparation/garantie pour les véhicules plus anciens sont également exemptées.
  • Mise en œuvre et sanctions : Le BIS peut exiger la production de documents, imposer des audits indépendants, imposer des amendes civiles allant jusqu’à 368 136 dollars par infraction, et imposer des sanctions pénales allant jusqu’à 1 million de dollars (plus la prison).
  • Mécanismes de flexibilité : Il fournit des autorisations générales (critères sur le site web de la BRI), des autorisations spécifiques sur demande et des avis consultatifs avec un objectif de réponse de 60 jours.

L’importance de cette règle

Les véhicules connectés, c’est-à-dire ceux qui intègrent des logiciels et du matériel permettant une communication sans fil, sont de plus en plus au cœur des transports modernes. Mais les mêmes caractéristiques qui permettent la commodité et l’innovation introduisent également des vulnérabilités en matière de sécurité nationale, en particulier lorsque des composants critiques proviennent d’adversaires étrangers.

La nouvelle règle vise à combler cette lacune :

  • Empêcher les étrangers d’accéder aux données sensibles des véhicules américains
  • Empêcher les adversaires d’exploiter les systèmes des véhicules à des fins de sabotage ou de surveillance
  • Renforcer l’intégrité de la chaîne d’approvisionnement ICTS des États-Unis

Pour mettre en œuvre ces protections, la règle impose un contrôle des parties refusées en tant que défense de première ligne, afin de garantir qu’aucun fournisseur, composant ou logiciel lié à des entités soumises à des restrictions et à des menaces étrangères n’entre dans la composition des véhicules américains.

Mécanismes clés : Comment fonctionne la règle de la BRI

Pour sécuriser efficacement les écosystèmes de véhicules connectés contre les menaces étrangères, la règle finale du BIS introduit une série de mécanismes ciblés conçus pour bloquer l’accès non autorisé aux technologies et aux données sensibles des véhicules. Ces mesures vont au-delà des restrictions générales, en fournissant un cadre clair pour identifier, contrôler et auditer les composants et logiciels à haut risque. Pour les constructeurs automobiles, les fournisseurs et les prestataires de technologie, il est essentiel de comprendre le fonctionnement de ces mécanismes pour maintenir la conformité et préserver l’intégrité de la chaîne d’approvisionnement. Voici un examen plus approfondi des principaux éléments de la règle :

  1. Protéger la chaîne d’approvisionnement du STIC
    • La règle interdit l’intégration de composants ICTS dans les véhicules américains si ces composants sont liés à la Chine ou à la Russie. Cela concerne à la fois le matériel (par exemple, les modems, les antennes) et certains types de logiciels.
  2. Sécuriser les fonctions des véhicules connectés
    • Les véhicules modernes sont plus que des machines ; ce sont des centres de données avec de multiples points d’entrée. Cette règle réduit ces voies d’accès en :
      • Interdire les importations de matériel VCSj provenant de sources contrôlées par l’adversaire
      • Restreindre les ventes de véhicules connectés qui incluent des « logiciels couverts » provenant de ces sources.
      • Bloquer les véhicules des constructeurs sous contrôle étranger, même si des pièces détachées américaines sont utilisées.

Dans chacun de ces mécanismes, le contrôle des parties refusées joue un rôle essentiel en garantissant que les entités soumises à des restrictions sont identifiées et bloquées avant qu’elles ne puissent compromettre la chaîne d’approvisionnement.

Les définitions sont importantes : La clarté au service de la conformité

Des définitions claires et précises sont le fondement d’une conformité efficace. La règle finale de la BRI évite toute ambiguïté en précisant ce qui constitue un « véhicule connecté », un « système de conduite automatisée (ADS) » et un « logiciel couvert ». La compréhension de ces définitions est cruciale pour les constructeurs automobiles et les fournisseurs, car elles ont un impact direct sur les produits et les technologies soumis au contrôle réglementaire. Une mauvaise interprétation de ces termes peut entraîner des lacunes en matière de conformité, des mesures d’application ou des perturbations de la chaîne d’approvisionnement. Les définitions suivantes apportent des éclaircissements essentiels aux organisations qui s’orientent vers la nouvelle règle :

  • Véhicule connecté : Tout véhicule de moins de 10 000 livres équipé pour la communication sans fil (par exemple, satellite, cellulaire, Wi-Fi).
  • Système de conduite automatisée (SCA) : ensemble du matériel et des logiciels capables d’effectuer des tâches de conduite dynamique dans un domaine de conception opérationnelle spécifique.
  • Logiciel couvert : Exclut le code source ouvert (sauf s’il a été modifié) et les logiciels plus anciens (antérieurs au 17 mars 2026), sauf s’ils ont été modifiés ultérieurement par des entités liées à des adversaires.

Mais la clarté ne suffit pas. Ces définitions affinées doivent être renforcées par un contrôle rigoureux des parties refusées afin de s’assurer que les fournisseurs et les sources de logiciels s’alignent sur les attentes réglementaires. Le filtrage fournit le filtre opérationnel nécessaire pour appliquer ces définitions dans la pratique, en empêchant les accès non autorisés, en signalant les entités soumises à des restrictions et en préservant la conformité dans l’ensemble de l’écosystème des véhicules connectés.

Processus de conformité à l’exportation : Simplifié mais sérieux

Pour se conformer à la règle finale BIS, il ne suffit pas de comprendre ses exigences, il faut aussi les intégrer de manière transparente dans les processus opérationnels. La règle décrit un processus de conformité clair qui concilie rigueur et praticité, garantissant que les constructeurs automobiles, les fournisseurs et les prestataires de technologie peuvent remplir leurs obligations sans complexité inutile. Cette approche simplifiée ne diminue en rien l’importance d’un respect strict de la réglementation. Une documentation appropriée, un contrôle proactif des fournisseurs refusés et des mises à jour rapides sont essentiels pour éviter les pénalités et maintenir le statut réglementaire. Voici un aperçu des principales étapes de la mise en conformité :

Déclaration de conformité

  • Importateurs de matériel VCS : Doivent déposer des déclarations annuelles (60 jours à l’avance) détaillant l’origine et l’utilisation des composants.
  • Constructeurs de véhicules : Doivent certifier que les logiciels intégrés ne proviennent pas d’adversaires étrangers.
  • Mises à jour : Obligatoire dans les 60 jours si des erreurs ou des changements sont identifiés.
  • Reports : Les entreprises peuvent étendre les déclarations précédentes aux nouveaux modèles, ce qui réduit la paperasserie.

Exemptions limitées pour faciliter la transition

Reconnaissant les défis d’une mise en conformité immédiate, la règle finale du BIS comprend des exemptions soigneusement définies pour aider les constructeurs automobiles et les fournisseurs à effectuer une transition en douceur. Ces exemptions sont conçues pour minimiser les perturbations sans compromettre les objectifs de sécurité nationale, en offrant une certaine flexibilité pour les produits existants et les systèmes en place. Toutefois, même pour les articles exemptés, les entreprises doivent maintenir des pratiques rigoureuses de contrôle des parties refusées et de conformité des exportations afin d’éviter d’introduire par inadvertance des composants à haut risque dans leurs chaînes d’approvisionnement. Vous trouverez ci-dessous les principales exemptions décrites dans le règlement :

  • Les véhicules utilisant des logiciels couverts avant l’année modèle 2027 sont autorisés.
  • Le matériel VCS importé avant le 1er janvier 2029 ou utilisé dans l’année modèle 2029 ou antérieure est exonéré.
  • Les réparations et les pièces de garantie pour les véhicules plus anciens sont autorisées.

Des pouvoirs d’exécution renforcés

La règle finale de la BRI sur les véhicules connectés accorde de larges pouvoirs d’exécution pour assurer le respect des nouvelles restrictions sur les importations et les ventes de VCS et ADS sous contrôle étranger. Les principaux mécanismes d’application sont les suivants :

  • Tenue de registres : Obligation de conservation pendant 10 ans pour les transactions réglementées
  • Audits : Des audits par des tiers peuvent être exigés pour les transactions sensibles – les auditeurs doivent être indépendants des adversaires étrangers.
  • Sanctions : Les amendes civiles peuvent atteindre 368 136 dollars par infraction, avec des sanctions supplémentaires en cas de non-respect permanent ; les sanctions pénales peuvent atteindre 1 million de dollars et les parties responsables peuvent être condamnées à des peines d’emprisonnement.
  • Blocage des transactions: Le BIS peut bloquer les transactions, suspendre les importations ou restreindre les activités commerciales futures si des entreprises sont reconnues en infraction ou ne certifient pas leur conformité.

Ces pouvoirs d’exécution soulignent la nécessité de mettre en place de solides programmes de conformité commerciale, notamment en ce qui concerne la vérification des parties refusées, la documentation et la diligence de la chaîne d’approvisionnement.

Des pistes pour la flexibilité

Bien que la règle finale BIS établisse des contrôles stricts sur les technologies des véhicules connectés, elle prévoit également des mécanismes de flexibilité, reconnaissant que tous les scénarios ne peuvent pas être traités par des règles rigides. Les entreprises peuvent tirer parti de ces mécanismes pour obtenir une autorisation pour des transactions spécifiques, demander des avis consultatifs pour des situations complexes et adapter leurs stratégies de conformité sans sacrifier la sécurité. Ces mécanismes de flexibilité permettent aux entreprises de continuer à innover tout en respectant les exigences réglementaires. Voici les principales options disponibles :

  • Autorisations générales : Elles peuvent être publiées sur le site web du BIS ou dans le registre fédéral.
  • Autorisations spécifiques : Disponibles sur demande pour les transactions restreintes
  • Avis consultatifs : Le BIS fournira des orientations dans un délai de 60 jours (dans la plupart des cas).

Que se passe-t-il ensuite ? Contrôle des parties refusées et mesures de conformité pour éviter les risques liés à l’application de la loi

La règle du BIS reflète une orientation plus large de la politique américaine vers la réduction des risques dans les chaînes d’approvisionnement et la protection des technologies automobiles émergentes. Elle signale à l’industrie que si votre produit touche le cœur numérique d’un véhicule, son origine est plus importante que jamais.

Afin de réduire les risques d’application de cette règle, les entreprises impliquées dans l’importation, la vente ou la fourniture de technologies pour véhicules connectés doivent prendre les mesures de conformité suivantes :

  1. Mise en œuvre d’un filtrage robuste des parties refusées
    • Contrôlez régulièrement les fournisseurs, les sous-traitants et les partenaires de transaction par rapport aux listes de parties restreintes.
    • Utilisez des outils automatisés de filtrage des parties refusées pour détecter les violations potentielles avant d’effectuer des transactions.
    • Assurez-vous que votre solution logicielle de filtrage des tiers refusés dispose d’un historique d’audit détaillé et de capacités d’archivage afin de répondre facilement aux exigences en matière de rapports.
  2. Tenir des registres complets
    • Commencer à préparer les déclarations et les documents de conformité
    • Conservez les attestations des fournisseurs et la documentation relative à l’approvisionnement pendant au moins 10 ans, le cas échéant.
    • Tenez un registre détaillé des contrôles de conformité commerciale et des demandes de licences d’importation et d’exportation.
  3. Réaliser des audits internes et des audits de tiers
    • Auditez votre chaîne d’approvisionnement pour détecter les vulnérabilités en matière de TICS.
    • Effectuer des contrôles de conformité réguliers afin d’identifier et de corriger les éventuelles lacunes.
    • Si nécessaire, soumettez-vous à des audits indépendants pour vous assurer que vous respectez les nouvelles restrictions de la BRI.
  4. Comprendre les licences et les exemptions en matière d’importation et d’exportation
    • Vérifier si les transactions répondent aux critères d’autorisation générale ou spécifique définis par la BRI.
    • Demander les licences d’exportation nécessaires et suivre les mises à jour des critères d’exemption.
    • Surveillez les orientations et les éclaircissements du BIS.
  5. Se préparer aux mesures d’application de la loi
    • Former les équipes juridiques et de conformité à la manière de répondre aux citations à comparaître et aux demandes d’audit.
    • Établir des plans d’urgence pour atténuer les pénalités, y compris des stratégies d’approvisionnement alternatives.
  6. Assurer la transparence de la chaîne d’approvisionnement
    • Exiger des fournisseurs qu’ils certifient que les composants sont exempts d’entités liées à des adversaires.
    • Effectuer des évaluations des risques pour les nouveaux fournisseurs avant de les intégrer dans la chaîne d’approvisionnement.
    • Mettre en œuvre un logiciel de conformité de la chaîne d’approvisionnement afin de parvenir à la transparence et à la résilience.

Comment Descartes Denied Party Screening protège votre chaîne d’approvisionnement de véhicules connectés

Alors que la règle finale BIS redessine le paysage des véhicules connectés, Descartes permet aux entreprises de garder une longueur d’avance sur les exigences réglementaires en constante évolution grâce à une suite de solutions avancées de conformité de la chaîne d’approvisionnement. Grâce à des solutions robustes Denied Party Screening avec efficacité alimentée par l’IADescartes permet aux entreprises de filtrer avec précision et d’empêcher tout engagement avec des entités étrangères soumises à des restrictions et liées à des nations adverses. Classification des exportations Les outils de classification des exportations aident à identifier et à gérer les composants contrôlés des véhicules et les logiciels intégrés, en garantissant une classification correcte et la conformité avec les lois américaines sur l’exportation. Avec Audit et résolution les entreprises peuvent tenir des registres détaillés, signaler les problèmes avec précision et répondre rapidement aux changements réglementaires.

Combiné à une gestion complète des risques gestion des risques Descartes offre une solution centralisée et automatisée pour aider les constructeurs automobiles et les fournisseurs à protéger leurs chaînes d’approvisionnement et à respecter leurs obligations dans le cadre de la nouvelle réglementation, en toute confiance et de manière efficace.

Planifiez une démonstration pour découvrir comment nos solutions de conformité commerciale peuvent vous aider à gérer de manière proactive les risques liés à la chaîne d’approvisionnement, à répondre aux exigences du BIS et à éviter des pénalités coûteuses. N’attendez pas que les risques liés à l’application de la loi perturbent vos activités.

Lisez ce que les clients disent de Descartes Denied Party Screening sur G2 – une plateforme d’évaluation de logiciels d’entreprise tiers en ligne. Vous pouvez également consulter ce guide de l’acheteur indispensable pour vous aider à choisir la bonne solution pour votre entreprise.