Le guide ultime de la conformité au contrôle des exportations

Vous soutenir dans votre démarche vers un programme de conformité interne complet.

Le guide ultime de la conformité en matière de contrôle des exportations

Télécharger le guide

Introduction

Qu'est-ce que la conformité au contrôle des exportations ?

Le "contrôle des exportations" est l'ensemble des lois et règlements appliqués à l'échelle mondiale, régionale et nationale pour gérer l'exportation (y compris le transit, le courtage, l'assistance technique et le financement) de certains biens sensibles tels que les biens et technologies liés à la défense ou à double usage. Ces biens sont contrôlés (et inclus dans les listes dites de contrôle) parce que leur commerce pourrait menacer la sécurité nationale ou internationale.

Programme de conformité interne

Compte tenu des progrès scientifiques et technologiques rapides, de la complexité des chaînes d'approvisionnement actuelles et de l'importance croissante des acteurs non étatiques, des contrôles commerciaux adéquats dépendent dans une large mesure de la sensibilisation des entreprises et de leurs efforts actifs pour se conformer aux restrictions commerciales. À cette fin, les entreprises mettent généralement en place des politiques et des procédures internes, également connues sous le nom de programme de conformité interne (PCI), afin de garantir le respect des lois et des réglementations nationales et internationales en matière de contrôle du commerce.

La taille et les activités commerciales de l'entreprise déterminent généralement la portée et l'étendue de ces politiques et procédures.

Chapitre 1

Les bases

Pourquoi devrais-je avoir ou obtenir un PCI ?

Pourquoi investir dans un programme de conformité interne ? Nous sommes là pour faire la lumière sur les avantages et les inconvénients. Veuillez noter que tous les inconvénients mentionnés ici sont, à nos yeux, en fait des avantages. Nous expliquerons pourquoi plus loin.

Pour

Permet de demander au Luxembourg une licence globale, valable jusqu'à 4,5 ans.

Simplification de la gestion des licences

Se concentrer sur les rapports annuels au lieu de demander des licences individuelles pour chaque transaction ou client

Démontrer au gouvernement, aux autorités chargées de l'octroi des licences, aux fournisseurs, aux clients et aux partenaires commerciaux que le contrôle des exportations est respecté.

est le résultat d'un processus par étapes, qui sensibilise l'entreprise au respect de la législation et tient compte du niveau de risque de l'entreprise

Crée une base de connaissances et un document de travail précieux pour le personnel chargé du contrôle des exportations et l'ensemble des employés.

Permet aux dirigeants de dormir tranquilles, sachant que toute violation des lois sur le contrôle des exportations est lourdement sanctionnée par des amendes importantes (au Luxembourg, jusqu'à 1 million d'euros) et des peines d'emprisonnement (au Luxembourg, jusqu'à 10 ans).

Cons

Il ne peut être copié-collé du PCI d'autres entreprises, car chaque entreprise a des risques et des tolérances différents, des produits et des clients différents.

Nécessite une évaluation correcte des risques (et un effort) avant de commencer à rédiger le document.

Veille à ce que les produits soient correctement classés sur les listes de contrôle des exportations et portent un numéro NC correct (voir le modèle fourni en annexe des lignes directrices du PCI luxembourgeois).

Nécessite des mises à jour périodiques

Il doit être rédigé dans une langue qui peut être lue et comprise par tous les employés.

Convaincu ? Découvrez dans les chapitres suivants comment démarrer votre PCI complet de manière structurée !

Ce qu'il faut faire et ce qu'il ne faut pas faire lorsque l'on entame le processus du PCI

Nous aimons vous donner une longueur d'avance dans votre courbe d'apprentissage et partager avec vous quelques conseils précieux pour éviter des écueils importants. Commencez par lire les principales choses à faire et à ne pas faire.

Dos

Consultez les orientations de la Commission européenne (Recommandation 2019/1318/UE du 30 juillet 2019 pour les biens à double usage, Recommandation 2021/1700 du 15 septembre 2021 pour la recherche impliquant des biens à double usage, et Recommandation 2011/24/UE du 11 janvier 2011 pour les produits liés à la défense).

Recherchez les lignes directrices publiées par vos autorités nationales chargées de l'octroi des licences (par exemple, l'OCEIT du Luxembourg en 2020, le BAFA de l'Allemagne et l'unité de contrôle des biens stratégiques de la Flandre belge).

Rassemblez toutes les législations nationales en matière de contrôle des exportations (prêtez également attention à la législation de l'UE, par exemple pour les biens à double usage) et consultez les sites web publiés par les autorités chargées de délivrer les licences (par exemple, les pages du Guichet luxembourgeois) et vérifiez s'ils sont régulièrement mis à jour.

Recueillir toute information sur les problèmes et les questions qui se sont posés dans le passé

Vérifiez que tous vos produits ont des numéros CN (nomenclature combinée en douane) valides et vérifiés.

Vérifier si vos produits ont été évalués dans le passé par rapport aux listes de contrôle des exportations dans le domaine des biens militaires ou à double usage.

Examinez la manière dont votre entreprise procède actuellement à l'examen de ses clients par rapport aux listes de sanctions et met en œuvre des procédures de diligence raisonnable et de connaissance du client pour les clients et les utilisateurs finaux de vos produits.

À ne pas faire

Ne pas envisager de copier-coller le PCI d'une autre entreprise

Ne vous fiez pas aux tiers qui vous promettent de vous vendre des PIC prêts à l'emploi.

Ne pensez pas que vous pouvez rédiger et soumettre votre PCI en deux semaines.

Ne partez pas du principe que votre PCI sera réalisé sans aucune ressource interne de votre part (en particulier, la contribution et l'assistance de l'équipe de conformité, de l'ingénierie des produits, des relations avec la clientèle, du service des ventes et de la direction).

Ne pensez pas que le PCI est un exercice unique (il nécessite des mises à jour et des audits périodiques).

Comment choisir un consultant externe pour le processus PIC ?

Le consultant externe idéal doit se caractériser par son expérience, ses compétences et ses connaissances actualisées. Approfondissons la question !

Supposons que vous ayez besoin d'aide en matière de conformité et que vous ayez des questions sans réponse à ce sujet. Dans ce cas, si votre service des exportations manque de personnel ou de temps pour aborder la rédaction du PCI d'une entreprise, vous pouvez faire appel à un consultant externe.

Le processus de sélection d'un consultant en conformité ne doit pas être pris à la légère, car votre choix peut avoir un impact significatif sur votre entreprise, tant sur le plan financier que sur le plan opérationnel. Voici quelques éléments à prendre en compte lors de ce processus.

Vérifiez si les consultants ont l'expérience et les qualifications nécessaires pour vous aider, vous et votre entreprise.

Les consultants doivent avoir de nombreuses années d'expérience très pertinente dans le domaine de la conformité au contrôle des exportations. S'il s'agit d'un avocat, demandez-lui quel type d'entreprises il a déjà aidé à mettre en place un PCI.

S'il possède une qualification industrielle, demandez-lui s'il a publié ou interprété des textes juridiques. Un bon consultant doit posséder à la fois d'excellentes compétences juridiques et une compréhension des questions relatives aux entreprises, acquise dans le cadre d'un travail pertinent dans l'industrie ou en assistant des entreprises industrielles.

Tester les connaissances des consultants.

Posez-leur des questions sur la conformité des exportations. Une excellente question : "Qu'est-ce qu'un fourre-tout pour le double usage" ? Le consultant doit être en mesure de répondre à toutes vos questions (y compris celle-ci) d'une manière que vous comprenez clairement.

Un non-lieu : Utiliser uniquement un langage juridique. Obligatoire : Une réponse structurée avec une déclaration claire à la fin, prête à être utilisée dans votre travail de mise en conformité sans autre précision.

Vérifiez si le consultant se tient au courant des réglementations.

Les bons consultants conseillent et forment leurs clients tout au long de la journée. Ils fournissent aux clients ou au grand public des bulletins d'information et prennent la parole lors de conférences. Ils participent à des séminaires externes. Chaque jour, ils passent en revue toutes les nouvelles règles et réglementations en matière de contrôle des exportations.

Posez une question récente sur le respect des contrôles à l'exportation afin de vérifier s'ils sont à jour. Par exemple, au sujet des biens pour lesquels l'UE adopte des restrictions à l'exportation à Hong Kong. La réponse doit être concise et claire : "Équipements et technologies sensibles destinés à une utilisation finale à Hong Kong, lorsqu'il y a des raisons de soupçonner une utilisation indésirable liée à la répression interne, à l'interception des communications internes ou à la cybersurveillance. Basé sur les conclusions du Conseil de l'UE du 24 juillet 2020, mais pas encore intégré dans les décisions ou règlements contraignants de l'UE."

Demandez des références.

Les consultants ne divulguent généralement pas les noms de leurs clients sans leur accord préalable. Toutefois, ils peuvent fournir des références appropriées ou des témoignages de clients. Demandez aux autorités chargées de l'octroi des licences dans votre pays si elles connaissent les consultants avec lesquels vous souhaitez travailler. Recherchez le nom des consultants sur Google et vérifiez si les résultats de la recherche (qui devraient être en tête de liste) sont liés à leur expérience spécifique en matière de conformité au contrôle des exportations. Évitez d'engager des consultants qui offrent des services de conformité mais dans d'autres domaines (comme la finance, où ils sont nombreux).

Champ d'application du PCI

Les pages précédentes vous ont présenté les choses à faire et à ne pas faire pour mettre en place un PCI, sélectionner un conseiller externe, obtenir le soutien de la direction et affecter des ressources internes à l'accompagnement du processus de PCI.

Par où commencer ? Il n'est pas nécessaire que tout et n'importe quoi fasse partie du programme de conformité interne. Mais les régulateurs s'attendent à voir figurer dans votre PCI un certain nombre de points couverts.

Consultez les lignes directrices publiées par les autorités chargées de l'octroi des licences.

Vous pouvez consulter les orientations de la Commission européenne (recommandation 2019/1318/UE du 30 juillet 2019 pour les biens à double usage, recommandation 2011/24/UE du 11 janvier 2011 pour les produits liés à la défense).

Veuillez également lire les lignes directrices publiées par vos autorités nationales chargées de l'octroi des licences (par exemple, l'OCEIT du Luxembourg, le BAFA de l'Allemagne, l'Unité de contrôle des biens stratégiques de la Flandre belge). Pour ceux qui s'intéressent à la perspective américaine ou aux entreprises concernées par la législation américaine, vous pouvez vous référer aux orientations du Bureau de l'industrie et de la sécurité (BIS) du ministère américain du commerce publiées en janvier 2017.

Toutes ces lignes directrices indiquent certains éléments essentiels que tout PCI devrait comporter. Mais ne négligez pas le fait que si votre entreprise fait partie d'un groupe mondial, celui-ci dispose peut-être déjà d'un PCI ou d'une politique de conformité.

Structure du PIC

Il n'existe pas d'obligation légale quant à la manière de structurer le document du PCI. Le PCI doit être adapté à la taille, à la structure et à la portée de l'entreprise, en particulier à ses activités et aux risques qui y sont liés.

Vous devez structurer votre PIC en différents chapitres et définir chacun de ces chapitres comme un sous-projet dans le cadre du processus d'élaboration de votre PIC (et éventuellement avec différents intervenants).

Nous recommandons généralement une structure de PCI en dix points.

Engagement de la direction au plus haut niveau
Législation applicable
Évaluation des risques
Organisation, structure, responsabilités et ressources
Formation et sensibilisation
Vérification des transactions et procédures
1. Classification du poste
2. Évaluation du risque de transaction
3. Détermination des licences et demandes
4. Contrôles postérieurs à l'octroi de l'autorisation (y compris le contrôle des transferts et le respect des conditions d'octroi de l'autorisation)
Tenue de registres et documentation
Sécurité physique et sécurité de l'information
Examens et audits de performance
Rapports internes et actions correctives

Cette structure ne signifie pas que vous devez commencer votre processus en traitant le point 1 et terminer par le point 10.

Votre direction s'engagera à respecter le contrôle des exportations tout en validant votre PCI.

Nous suggérons de commencer par l'évaluation des risques (chapitre 2), puis d'aborder les autres sujets de manière plus ou moins parallèle. Terminez par le chapitre sur l'engagement de la direction, qui deviendra le premier chapitre du PCI à être lu par les autorités.

Chapitre 2

L'importance de l'engagement de la direction de

Le dernier exercice (même s'il s'agit du premier chapitre du PIC) avant de demander l'approbation du PIC par la direction consiste, souvent parallèlement à la procédure d'approbation, à obtenir un engagement ferme de la part de la direction au plus haut niveau.

Un facteur déterminant pour la réussite du PIC

Le soutien de la direction est essentiel pour garantir que le programme de conformité interne est légitimé, qu'il bénéficie de ressources adéquates et qu'il est pleinement intégré dans les activités quotidiennes de l'entreprise.

Le PCI doit favoriser une culture de la conformité dans l'ensemble de l'entreprise. Le personnel de l'entreprise et les autorités gouvernementales doivent lire dans ce document qu'il existe un engagement clair à respecter et à se conformer aux contrôles commerciaux et à veiller à ce que les mesures de conformité soient efficaces et soutenues en permanence. Dans le même temps, il doit promouvoir l'ouverture à l'autodénonciation d'éventuelles violations des contrôles commerciaux.

La direction doit adhérer au programme et s'engager à en assurer le succès par le biais de cette déclaration. Il n'existe pas de modèle général à recommander aux exportateurs pour la rédaction du texte de l'engagement de la direction. Il s'agit d'un exercice sensible à la casse, compte tenu du risque associé aux opérations, aux produits, aux services, aux clients et aux structures de l'entreprise.

Dans les lignes directrices pour 2020, les autorités luxembourgeoises ont indiqué plusieurs points qui seront vérifiés pour que le PCI soit validé.

L'engagement de la direction doit :

Indiquer clairement l'engagement de l'entreprise à l'égard des contrôles commerciaux applicables aux produits et services sensibles.
Expliquer l'objectif principal des contrôles à l'exportation
Dire qu'en aucun cas la politique d'exportation de l'entreprise ne sera compromise à des fins commerciales.
indiquer qu'il incombe à l'entreprise et à ses employés de se familiariser avec les contrôles à l'exportation et de s'y conformer
Énumérer les risques spécifiques liés aux produits, à la technologie, aux destinations et aux activités de l'entreprise.
Décrire les sanctions en cas de non-conformité
Affirmer que des ressources appropriées doivent être consacrées au respect des règles en matière de contrôle des exportations
Désigner des personnes responsables de la diffusion de la déclaration au sein de l'entreprise et du traitement de toute question concernant la légitimité d'une transaction ou d'une violation potentielle.
Indiquer les moyens que la direction utilisera pour instaurer une culture d'entreprise généralisée axée sur la conformité
Indiquer les moyens par lesquels les employés auront accès à l'engagement de la direction et au PCI.

Chapitre trois

Évaluation des risques

Vous avez pris connaissance des lignes directrices publiées par les autorités chargées de délivrer les autorisations. Vous avez structuré votre PCI en différents chapitres. Ce chapitre vous aidera à évaluer correctement les risques de votre entreprise et à jeter les bases d'un programme personnalisé.

Commencer par l'évaluation des risques

Nous vous recommandons de commencer par l'évaluation des risques. Au cours de ce processus, vous devez évaluer soigneusement la gamme de produits, la clientèle et les activités commerciales qui sont ou pourraient être affectées par les mesures de contrôle du commerce. Elle doit permettre d'identifier les vulnérabilités et les risques pertinents afin que l'entreprise puisse intégrer des moyens de les atténuer dans le cadre du PCI. Même si cette évaluation des risques ne permet pas d'identifier toutes les vulnérabilités et tous les risques auxquels votre entreprise pourrait être confrontée à l'avenir, elle lui fournira une meilleure base pour élaborer ou réviser son PCI.

Vous n'aurez pas besoin de partir de zéro pour concevoir votre PCI si vous disposez déjà de processus de contrôle interne. L'exercice vous aidera alors à évaluer vos politiques et procédures d'entreprise existantes par rapport aux risques liés au contrôle des exportations et à concevoir un plan d'action pour les adapter, le cas échéant.

En outre, la promotion des synergies entre les politiques existantes et les exigences en matière de contrôle des exportations est une autre étape à envisager dès le départ. Par exemple, s'il est disponible, c'est une bonne pratique d'insérer des références croisées aux principes et aux exigences du contrôle des exportations dans votre code de conduite. Les résultats de cette évaluation des risques auront une incidence sur les actions nécessaires et les solutions appropriées pour développer ou mettre en œuvre les procédures de conformité spécifiques de votre entreprise.

Il n'existe pas de modèle unique.

L'évaluation des risques doit passer en revue l'entreprise de fond en comble et évaluer ses points de contact avec le monde extérieur. L'objectif est d'identifier les zones de risque potentielles. Elle doit au moins

Décrivez le profil et la structure de l'entreprise, y compris les sites, les activités ou les partenariats commerciaux en dehors du pays où se trouve le siège social.
Indiquer l'activité commerciale et le type de clients, la chaîne d'approvisionnement, les intermédiaires, les destinataires et les utilisateurs finaux.
Détailler la localisation géographique des clients et la destination des exportations ou des services fournis
Décrire (tous) les biens et services traités ou fournis par l'entreprise, même ceux qui ne figurent pas sur les listes de contrôle des exportations (fourre-tout).
Exposer l'utilisation finale (militaire/civil/duel) des produits de l'entreprise
Veuillez décrire comment l'entreprise a organisé son processus d'exportation (depuis la demande initiale du client jusqu'à l'expédition).
Indiquer comment l'entreprise a mis en place et assuré le respect des réglementations en matière de contrôle des exportations dans le pays de son siège social et à l'étranger (pays de destination des exportations et des services, localisation des partenaires commerciaux).

Lors de la mise en œuvre de cette évaluation des risques, il est conseillé d'être transparent et de mieux montrer les risques et les mesures prises ou à mettre en œuvre pour les maîtriser, plutôt que de dissimuler les informations pertinentes. Pour permettre aux autorités chargées de délivrer les autorisations d'obtenir une vue d'ensemble précise et complète de l'entreprise, de ses produits et de ses clients, l'information doit être complète (concernant les sociétés du groupe, les clients, les partenaires commerciaux, les marchandises, etc.) Faites preuve de professionnalisme pour gagner la confiance. Soyez concret et n'utilisez pas de termes généraux.

Rassembler les documents nécessaires à l'évaluation des risques

Vous avez commencé le chapitre sur l'évaluation des risques. Quelles informations générales devez-vous recueillir ?

Votre processus d'évaluation des risques doit commencer par la collecte de documents et d'informations sur la gamme de produits, la clientèle et l'activité de votre entreprise :

Documents d'entreprise

Statuts de l'association
Certificat d'enregistrement (registre du commerce,...)
Liste des actionnaires
Numéro de TVA
Organigramme du groupe
Documents sociaux de la société mère et des filiales
Liste des participations détenues (nom de l'entreprise, nombre d'actions, pourcentage de participation, capitaux propres, résultats financiers)
Adresse du siège social et des sites dans votre pays et à l'étranger
Structure de gestion, avec CV des responsables
Comptes annuels des trois dernières années
Description de l'histoire de l'entreprise (fusions, développement de la gamme de produits)
Statistiques sur le personnel (nombre total d'employés, employés impliqués dans des fonctions liées à l'exportation)

Activité des entreprises

Rapports d'activité des trois dernières années
Photos des lieux
Projets de développement en cours
Divisions/bureaux/installations nationaux et étrangers jouant un rôle dans les opérations d'exportation
Description du secteur d'activité et du modèle d'entreprise
Chiffre d'affaires par catégorie d'activité et par marché géographique
Services sur le terrain
Étapes du processus interne actuel de commande et d'expédition
Organigramme du document
Conditions générales et spécifiques
Concurrents dans le secteur industriel

Gamme de produits

Description du produit (spécifications techniques), photos et exemples d'application pour chaque produit (catégorie)
Produits commercialisés par d'autres sociétés du groupe (brève description)
Classification des produits sous TARIC (nomenclature CN), listes de produits militaires et à double usage (fiches de classification existantes)
Utilisation finale des produits de l'entreprise
Restrictions à l'exportation liées aux produits de l'entreprise

Poursuivez avec le profil de votre client et de votre pays pour obtenir une image complète.

Profil du client

Nombre et description des clients dans l'UE et en dehors de l'UE
Clients ayant des ventes répétitives / des transactions uniques
Nombre de transferts UE / pays tiers
Limites concernant les marchés géographiques développés
Les clients réexportent les produits qui leur ont été fournis

Profil du pays

Description des pays d'établissement des clients
Pays de transit
Pays de destination finale
Pays soumis à des sanctions et à des embargos où se trouvent les clients

Expliquez la structure de votre entreprise

Les autorités chargées de délivrer les licences apprécient d'avoir un aperçu complet de la structure de l'entreprise avant d'approfondir les questions relatives au contrôle des exportations. Indiquez donc le nom et la raison sociale de votre entreprise, son objet social, ses statuts, l'adresse de son siège social, son numéro d'immatriculation, de TVA et de permis d'exploitation, son numéro de téléphone et son adresse électronique, ainsi que son logo. Dressez également la liste de toutes les divisions, de tous les bureaux et de toutes les installations de production, au niveau national et à l'étranger. Dites un mot sur la place de votre entreprise au sein de votre groupe.

Qui sont votre société mère et les autres sociétés du même groupe ? Fournissez les documents d'entreprise sous-jacents pour ces sociétés. L'ajout d'un organigramme de groupe à votre document est une bonne pratique commerciale.

Votre entreprise possède-t-elle des filiales dans votre pays d'origine ou à l'étranger ? Le cas échéant, fournissez des informations sur leurs activités et sur tout problème lié au contrôle des exportations. Donnez une liste avec le nom des entreprises, le nombre d'actions détenues par votre société, le pourcentage de participation, les capitaux propres et les résultats financiers.

Vous devez indiquer les actionnaires de votre entreprise. Il est particulièrement important pour les autorités de savoir qui a son mot à dire dans votre entreprise, quels sont les actionnaires majoritaires, comment les droits de vote sont répartis et qui sont les actionnaires minoritaires. Joignez tous les documents pertinents de l'entreprise à votre manuel du PCI. Parlez à vos lecteurs des fondateurs de l'entreprise, de l'idée commerciale initiale, du développement de la gamme de produits, du modèle d'entreprise et du profil de la clientèle au fil du temps. Mentionnez également si votre entreprise ou votre groupe a fait l'objet de fusions.

Structure de gestion

Les autorités chargées de l'octroi des licences sont particulièrement intéressées par la question de savoir qui dirige l'entreprise.

Comment sont structurés les organes de l'entreprise ?
Qui siège actuellement au conseil d'administration ?
Ces gestionnaires sont-ils expérimentés ?
Quelles ont été les étapes de leur carrière (fournir un CV) ?
Qui peut légalement engager l'entreprise (liste des signatures autorisées) ?
Comment l'entreprise est-elle structurée d'un point de vue opérationnel ?
Qui rend compte à qui ?
Combien de ressources humaines sont affectées à l'entreprise dans les différentes divisions et implantations ?
Combien d'employés sont impliqués dans les fonctions liées à l'exportation ?

Montrez votre activité professionnelle

Les autorités de réglementation aiment être informées de l'activité de votre entreprise. Rendez-leur service et dites-leur si votre entreprise est un fabricant, un revendeur, un distributeur, un intégrateur, un fournisseur d'assistance technique ou de transfert de technologie, ou un courtier. Présentez la part du chiffre d'affaires (sur la base des derniers comptes annuels audités) dans chacune de ces activités et catégories de produits.

Dans quel secteur d'activité travaillez-vous ? Ce secteur présente-t-il un risque important en matière de conformité ? Pour quelles raisons ? Avez-vous connaissance de violations des règles de conformité en matière de contrôle des exportations commises par des concurrents et des raisons de ces violations ?

Quels sont vos principaux concurrents pour chacun des produits et activités ? Quelle est votre part de marché dans les différents territoires ?
Quelle est la taille du marché pour vos produits et activités ?

Quel est l'historique de votre portefeuille de produits ? Quelques mots sur les activités d'innovation et de recherche et développement ? Financement public reçu ?

Quels sont les types de clients que vous servez ? Autorités ou entités publiques, gouvernement, entreprises de défense, entreprises privées, particuliers ? Passez-vous par des intermédiaires, comme des revendeurs, des distributeurs ou des intégrateurs ?

Comment nos produits sont-ils vendus ? Sous votre marque d'entreprise, en co-marquage ou sous une marque privée ?

Votre entreprise fournit-elle des services sur le terrain ? Combien de commandes traitez-vous par mois ?

Invitez-vous des entités étrangères à envoyer des représentants dans vos locaux pour des formations périodiques, des mises à jour de produits ou des améliorations que vous espérez commercialiser ?

Quelques conseils : Essayez d'être le plus exhaustif possible dans ce chapitre. Produisez des graphiques et des images de votre activité. Ne limitez pas vos développements aux produits ou activités soumis à un contrôle à l'exportation, car cela pourrait donner une vision erronée de votre exposition globale au risque. Soyez aussi neutre que possible vis-à-vis des concurrents.

Décrivez votre clientèle

Donnez à vos lecteurs un maximum d'informations sur vos clients. Les noms ne sont pas obligatoires, mais indiquez le nombre total de clients. Dans quels secteurs sont-ils actifs ? Vos clients sont-ils les utilisateurs finaux de vos produits ? Ou sont-ils des intermédiaires ou des distributeurs ? Intègrent-ils vos produits dans leurs articles qui sont ensuite transformés en d'autres articles avant d'être vendus à l'utilisateur final ? Vos clients réexportent-ils vers d'autres pays ? Avez-vous obtenu des certificats d'utilisation finale de la part de vos clients ?

La nature de vos clients est un critère de risque. S'il s'agit d'utilisateurs finaux, vous maîtrisez l'utilisation finale de vos produits. Si vos produits sont revendus ou intégrés à d'autres biens, vous avez plus de difficultés à retracer l'itinéraire d'expédition et l'utilisation finale, ce qui signifie plus de risques du point de vue du respect des contrôles à l'exportation.

Où se trouvent vos clients ? Quelle est la proportion de clients dans l'UE et hors de l'UE ? Quels sont les pays où la plupart de vos clients sont établis ? Utilisez des graphiques pour montrer les principaux résultats de cette évaluation, et faites-le par unité commerciale et/ou catégorie de produits. Faites une évaluation des pays non membres de l'UE en détaillant le nombre de pays sanctionnés (soumis à des embargos) et de pays sensibles (en matière de prolifération, d'embargo sur les armes et de respect des droits de l'homme) où se trouvent vos clients. Une bonne pratique commerciale consiste à insérer un tableau par catégorie de produits, avec le nom et le code du pays, l'UE/le pays tiers, le nombre d'expéditions (au cours des trois dernières années), la quantité, la valeur, le nombre de clients et le rang. N'hésitez pas à dire un mot si votre politique de marketing exclut certains pays de votre liste cible.

Quelle est la relation avec vos clients ? Combien de clients sont connus de longue date et combien sont nouveaux ? Quelle est la proportion de ventes répétitives par rapport aux transactions uniques ? Vendez-vous par l'intermédiaire d'une boutique de commerce électronique ? Si oui, quelle est la proportion de ces ventes par rapport au chiffre d'affaires total ? Une base de clientèle stable est un atout essentiel dans la détermination du risque et mérite d'être mentionnée.

Décrivez votre portefeuille de produits

Avant de commencer, n'oubliez pas que vous devez donner une vue d'ensemble de tous vos produits, et pas seulement de ceux que vous jugez pertinents pour le contrôle des exportations. L'inverse modifierait le niveau de risque réel auquel votre entreprise est exposée.

Dans cette section, décrivez les produits que vous fabriquez, intégrez et/ou revendez. Veuillez ajouter des photos des produits et donner des exemples d'application de ces produits. Sous quelle forme se présentent-ils ou sont-ils fabriqués ? Quels sont leurs ingrédients ? Quelles sont leurs caractéristiques spécifiques ? À quoi servent-ils ? Existe-t-il des concurrents pour les mêmes produits ? Évitez un langage trop technique, car le but est de donner à votre lecteur un aperçu complet mais concis d'un objectif d'évaluation des risques. Des détails techniques peuvent être ajoutés aux fiches de classification des produits (voir plus loin).

En ce qui concerne la classification des produits, vous devez donner un aperçu du processus de classification suivi par votre entreprise. Qui procède à la classification ? Tous les produits sont-ils classés conformément aux modèles (s'ils existent) fournis par les autorités chargées de l'octroi des licences ? Vous pouvez présenter un graphique illustrant le déroulement du processus et la procédure d'approbation.

Quels sont les codes douaniers (CN, selon TARIC, pour les exportateurs de l'UE) que vous utilisez pour vos produits ? Comment les produits sont-ils classés dans les listes de contrôle militaire et à double usage actuellement en vigueur ?

Existe-t-il des restrictions si vos produits sont strictement civils ? Avez-vous demandé et obtenu (ou refusé) des licences, et pour quel type de produit (veuillez fournir une liste des licences) ? Décrivez plus en détail les produits répertoriés comme étant à double usage ou militaires.

Indiquez votre processus de commande/expédition

Dans les étapes précédentes du processus, vous avez présenté votre activité commerciale, vos produits et vos clients ; avant de passer à la matrice des risques, l'étape finale de votre processus d'évaluation des risques, vous devez perdre quelques mots sur votre processus de commande et d'expédition.

Parlez-nous du traitement des commandes. Comment les commandes sont-elles acceptées et traitées dans votre système ? Quelles sont les exigences spécifiques (par exemple, un compte client actif, des numéros de référence de produit, des quantités de commande acceptables,...) ?

Que se passe-t-il en cas d'annulation d'une commande par un client ? Comment sont traitées les demandes d'échantillons ? Des rapports sur les commandes en cours sont-ils établis ? Comment les commandes sont-elles transmises à la production ? Comment les numéros de classification des produits sont-ils pris en compte dans le processus ? Parlez des données de base des clients.

La section suivante est celle des livraisons de commandes. Quelles sont les étapes nécessaires à la création d'une livraison ? Comment les bons de livraison sont-ils émis ? À qui les bons de livraison sont-ils transmis ? Qu'en est-il des modifications apportées aux bons de livraison ? Comment sont traitées les demandes de transport spécifiques ? Comment sont créés les documents d'expédition ?

Quand les commandes sont-elles facturées ? Par quel moyen ? Qu'en est-il des offres de prix (informations et conditions incluses, prix et conditions spéciales, rabais et remises, et rapports de prix) ?

Fournir des informations sur vos processus liés aux notes de crédit, aux notes de débit, aux annulations de factures et aux retours. Existe-t-il des étapes de contrôle du crédit ? Comment sont gérés les contrats et les accords ?

Qu'en est-il des transferts entre entreprises ? Existe-t-il des règles de travail globales ? Comment la conformité à l'exportation est-elle intégrée dans toutes ces étapes ? Comment les audits sont-ils effectués ? Qu'en est-il de l'archivage et de la conservation des documents ?

Comment votre entreprise assure-t-elle le service à la clientèle ? Parlez de la satisfaction des clients, du respect des promesses, de la ponctualité des livraisons, des enquêtes auprès des clients, du traitement des réclamations des clients, de la formation et du développement, et des équipes d'aide à la vente.

Matrice des risques

Maintenant que vous avez exposé, dans une série de sections, vos risques de conformité à l'exportation concernant votre activité commerciale, vos produits, vos clients, vos utilisateurs finaux et vos utilisations finales, ainsi que votre processus de commande et d'expédition, le moment est venu de conclure ce chapitre sur l'évaluation des risques (le deuxième de votre PCI). Au cours de cet exercice, vous avez identifié les risques vitaux (externes et internes) auxquels votre entreprise est confrontée et testé les contrôles que vous avez mis en place pour atténuer ces risques. Vous pouvez maintenant mesurer l'exposition totale de votre entreprise aux risques auxquels elle est confrontée et planifier des actions pour réduire ces risques.

Les risques peuvent apparaître au niveau des exportations (exportations sans autorisation, divulgation non autorisée d'informations sensibles ou de technologies contrôlées) de votre organisation (structure de conformité faible ou manquante, classification des produits peu claire concernant les listes de contrôle, manque de communication au sein de l'organisation, procédures de conformité à l'exportation sous-développées ou manquantes) et de vos clients (utilisateurs finaux ou utilisations finales inconnus, méconnaissance du risque de détournement). Une bonne pratique commerciale consiste à présenter visuellement ces risques dans un tableau ou un graphique, afin de fournir au lecteur une auto-évaluation simple des risques de l'entreprise, lui permettant ainsi de comprendre les actions et les processus que vous exposerez dans les prochains chapitres du PCI.

Une approche pourrait consister à classer tous les facteurs de risque dans les catégories "faible", "modéré" ou "élevé". Par exemple, en ce qui concerne les clients, une base de clients stable et bien connue dans un environnement localisé et peu de clients à risque élevé indiquent un risque faible. Une clientèle changeante et un nombre modéré de clients à haut risque sont les signes d'un risque modéré. Une clientèle importante et fluctuante dans un environnement international et un grand nombre de clients à haut risque prouvent que le risque est élevé.

Le calcul du risque résiduel, qui subsiste après l'application des contrôles au risque inhérent, est également largement adopté. Il est déterminé en mettant en balance le niveau de risque inhérent et la force globale des contrôles de gestion des risques. Par exemple, lorsque des risques inhérents considérés comme faibles ne sont contrôlés qu'à moins de 75 %, les risques résiduels seront qualifiés d'élevés. Au contraire, lorsque les risques intrinsèques sont maîtrisés à 90-100 %, les dangers résiduels sont faibles.

Un processus bien connu consiste également à identifier les risques dans une colonne et à lier chacun de ces risques à un outil d'atténuation des risques dans la deuxième colonne d'un tableau. Par exemple, si le principal risque est d'exporter des marchandises contrôlées sans autorisation, l'outil privilégié devrait être l'élaboration et l'utilisation d'une matrice de détermination des licences.

Chapitre quatre

Législation

Connaître les règles de contrôle des exportations

Maintenant que vous avez terminé votre chapitre sur l'évaluation des risques (le deuxième, et très important, de votre PCI), il est temps de passer à autre chose. Dans un troisième chapitre, vous devez démontrer que vous maîtrisez les lois et règlements régissant vos exportations et autres opérations contrôlées portant sur des marchandises sensibles.

Là encore, il n'existe pas de texte unique que nous puissions recommander. Même si les lignes directrices de l'UE ne fournissent pas d'orientations spécifiques sur ce point, la rédaction d'un chapitre particulier traitant de la législation applicable remplit un double objectif.

Tout d'abord, vous devez considérer le PCI comme un document de travail interne pour les opérations quotidiennes. En tant que tel, le chapitre consacré à la législation applicable doit fournir aux utilisateurs internes du PCI une vue d'ensemble complète et détaillée du cadre juridique du respect du contrôle des exportations.

Il doit donc contenir des références juridiques précises où trouver les lois et règlements auxquels l'entreprise est soumise et, surtout, des réponses (légalement justifiées) à des questions détaillées.

Deuxièmement, il doit démontrer aux autorités chargées de délivrer les autorisations que le programme que vous avez mis en œuvre repose sur des bases solides et que vous êtes parfaitement au courant des règles régissant le contrôle des exportations et des sanctions encourues en cas de violation des lois et des règlements.

Voici quelques conseils sur la manière d'aborder ce chapitre :

Commencez par rassembler les textes juridiques complets applicables dans votre juridiction et joignez-les au document du PCI (de préférence en annexe en raison du volume). Privilégiez les versions consolidées et mises à jour des textes juridiques.
Poursuivez la conversion du texte juridique en un document explicatif, en vous concentrant sur les produits contrôlés, les opérations, les autorisations et les amendes. Utilisez exclusivement un langage simple (non juridique) car vous voulez que vos lecteurs (principalement des personnes qui ne sont pas des juristes) comprennent facilement.
Ajouter, à tout endroit, des références à des textes juridiques (par exemple : "Loi du (date), art. (numéro), paragraphe (numéro)", ou "Règlement UE 2021/821 sur les biens à double usage, art. (numéro)). Ajoutez une référence à l'annexe si le texte juridique pertinent est reproduit dans les pièces jointes à votre document PIC.
Intégrer les FAQ (questions fréquemment posées), que vous pourrez élargir lors des mises à jour ultérieures, en tant que section spécifique de ce chapitre du PCI.
Assurez-vous de couvrir toutes les juridictions qui s'appliquent à votre activité. Vous devez démontrer que vous avez analysé et intégré dans le PCI la législation pertinente des pays autres que votre pays d'origine parce qu'ils sont les pays de destination des produits ou des services, ou la situation géographique des sociétés affiliées ou des agences commerciales, ou la localisation des clients ou des partenaires commerciaux et qu'ils ont donc un impact sur la conformité globale, à l'échelle mondiale. Si votre entreprise a son siège dans le pays A et un lien dans le pays B, votre chapitre doit couvrir les réglementations respectives des pays A et B en matière de contrôle des exportations. Comme cela peut s'avérer difficile pour les multinationales, respectez le point 6 ci-après.
Décrire graphiquement les règles juridiques applicables. Une approche de base pourrait consister à créer un tableau à quatre colonnes : la première traitant des biens (double usage, militaire, civil,...), la deuxième indiquant les différentes opérations (exportation, importation, transit, assistance technique, courtage...), et la troisième la restriction possible (obligation d'autorisation préalable, interdiction, aucune restriction) pour chaque produit/opération. La quatrième colonne indique la base juridique de chacun des résultats. Utilisez des notes supplémentaires pour expliquer les étapes ou préciser la signification des termes juridiques, par exemple dans une section de notes ou dans des notes de bas de page.
Soyez concis, mais précis et complet. Sachez que toute modification des lois, règlements et règles applicables en matière de contrôle des exportations doit donner lieu à une mise à jour du document PIC.

Chapitre 5

Organisation, structure,
Responsabilités et ressources

Responsable de la conformité en matière de contrôle des exportations et personnel

Des ressources organisationnelles, humaines et techniques suffisantes sont essentielles pour élaborer et mettre en œuvre efficacement les procédures de conformité. Sans une structure organisationnelle claire et des responsabilités bien définies, tout PCI risque de souffrir d'un manque de supervision et de rôles non définis. Au contraire, une structure solide aide les organisations à résoudre les problèmes lorsqu'ils surviennent et à prévenir les transactions non autorisées.

Le niveau de sophistication des contrôles de conformité internes d'une entreprise dépend de la nature et de la taille de l'entreprise et du niveau de risque défini dans le PCI. Ce qui est essentiel, c'est que les politiques, les procédures et les contrôles soient soigneusement élaborés, clairement consignés par écrit et communiqués efficacement à tous les employés, agents et partenaires commerciaux.

Tenez compte des éléments suivants lors de la mise en place d'une structure de conformité appropriée et du chapitre correspondant du PCI :

Déterminer le nombre de personnes chargées du contrôle du commerce, en tenant compte des aspects juridiques et techniques à couvrir.
Mettre par écrit la structure organisationnelle interne (par exemple, dans un organigramme qui identifie, définit et attribue toutes les fonctions, tâches et responsabilités liées à la conformité).
Identifier et nommer la (les) personne(s) chargée(s) de veiller au respect des engagements de l'entreprise. Le PCI doit démontrer que le responsable de la conformité en matière de contrôle des exportations (ou une personne ayant une fonction similaire) dispose d'une ligne de communication directe avec le conseil d'administration et la direction générale, qu'il connaît les réglementations internationales et nationales applicables et qu'il a une bonne connaissance pratique des produits, des services, des technologies, des fournisseurs et de la clientèle de l'entreprise. Il doit avoir les pleins pouvoirs pour examiner toutes les questions liées à la conformité et constituer une équipe de projet chargée d'aborder et de résoudre les problèmes lorsqu'ils se présentent.

Fonctions et responsabilités liées à la conformité

Veiller à ce qu'un remplaçant tout aussi qualifié puisse assumer la tâche en cas d'absence (maladie, vacances, etc.).
Définir, attribuer et relier toutes les fonctions, tâches et responsabilités liées à la conformité dans un ordre qui garantisse à la direction que l'entreprise respecte la conformité dans son ensemble.
Les secteurs d'activité liés au contrôle des exportations sont dotés d'employés qui possèdent manifestement les compétences requises. Au moins une personne dans l'entreprise est (pas nécessairement exclusivement) chargée d'une fonction de contrôle commercial. Si la législation nationale ne s'y oppose pas, cette fonction peut être partagée entre les entités de l'entreprise au sein de l'UE, à condition qu'un niveau de contrôle approprié soit maintenu.
Définir les connaissances et les compétences dont le personnel juridique et technique chargé du contrôle du commerce des biens à double usage a besoin. Le cas échéant, inclure les responsabilités individuelles en matière de conformité dans les descriptions de poste et les évaluations des performances du personnel.
Incluez des portraits, des descriptions de poste détaillées (dans le document principal) et le curriculum vitae de votre équipe de conformité (en pièce jointe), en mettant l'accent sur les études, les qualifications et la formation en matière de gestion du contrôle du commerce.
Si les tâches de contrôle du commerce sont externalisées, organiser et décrire l'interface et la communication avec l'entreprise.

Engagements de conformité des entreprises

Après avoir nommé un personnel qualifié au sein de votre service de contrôle des exportations, vous devez créer un environnement dans lequel il pourra assurer le respect des engagements de l'entreprise.

Vous devez protéger autant que possible votre personnel chargé du contrôle du commerce des biens à double usage contre les conflits d'intérêts. Une telle situation peut se produire si votre personnel chargé du respect des règles est rattaché au service des ventes ou à une unité commerciale qui lui verse son salaire. Il peut y avoir un conflit d'autorité si les responsables de la conformité relèvent de plusieurs services, tels que le service des opérations ou le service juridique. Il serait utile que vous cherchiez à simplifier la structure et à réduire la charge de travail des responsables de la conformité pour ce qui est de signaler et de traiter les problèmes.

Dans cette perspective, votre service de conformité devrait avoir un accès direct à la direction et le pouvoir d'interrompre les transactions - ou d'informer directement le responsable de la conformité de toute violation potentielle des règles de contrôle des exportations - à tout moment au cours du processus de commande et d'expédition.

Ce personnel doit être indépendant et autorisé à jouer le rôle de conseiller expert pour guider les décisions de l'entreprise, ce qui se traduit par des transactions conformes.

La question de la centralisation ou de la décentralisation du service de conformité peut recevoir des réponses différentes. Certaines entreprises peuvent désigner un seul employé ou service pour gérer le PCI et coordonner les responsabilités en matière de conformité à l'exportation avec les autres bureaux ou sites. Toutefois, le programme peut également être décentralisé, un bureau fournissant les lignes directrices générales et laissant chaque unité opérationnelle agir de manière indépendante.

Quelle que soit la structure, les responsables de la conformité doivent disposer de toutes les ressources nécessaires. Il s'agit notamment de l'accès aux textes législatifs pertinents, y compris les dernières listes de marchandises contrôlées et les listes concernant les destinations et les entités frappées d'embargo ou de sanctions. Un outil pratique consiste à vérifier les clients et les utilisateurs finaux par rapport aux listes de parties soumises à restrictions.

La direction doit soutenir l'équipe chargée de la conformité dans son travail essentiel. Ce soutien pourrait prendre la forme d'une distribution des processus et procédures opérationnels et organisationnels appropriés en matière de contrôle du commerce des biens à double usage à l'ensemble du personnel concerné, en veillant à ce que votre entreprise dispose à tout moment d'une compilation actualisée des processus et procédures documentés (par exemple, dans un manuel de conformité).

Réunir les personnes concernées par les questions de contrôle des exportations dans le cadre de réunions de soutien à la gestion et de formations. Il convient de déterminer la responsabilité du responsable de la conformité en ce qui concerne le suivi quotidien des annonces officielles et des communiqués de presse émanant des autorités de réglementation.

Cette responsabilité devrait inclure les développements ou les mesures d'application qui pourraient avoir un impact sur le secteur d'activité de l'entreprise ou sur ses fournisseurs, la communication des changements de réglementation, de politiques ou de procédures au personnel de l'entreprise par le biais de courriels internes, de bulletins d'information, d'annonces ou d'avis publiés sur l'intranet de l'entreprise, et les communications avec les autorités de réglementation pour toutes les questions liées à la conformité.

Chapitre 6

Formation et sensibilisation

La formation et la sensibilisation au contrôle du commerce sont essentielles pour que le personnel puisse s'acquitter de ses tâches et prendre au sérieux les obligations de conformité. Elles sont essentielles en raison de la nature dynamique des réglementations, des sanctions et des embargos internationaux et locaux en matière de contrôle du commerce. Toutes les politiques, procédures et "meilleures pratiques" en matière de conformité dans le monde sont sans valeur si les employés ne les connaissent pas, ne les comprennent pas correctement et ne les respectent pas. Pire encore, elles peuvent créer un sentiment de fausse sécurité.

Lors de la mise en place d'une formation adéquate au contrôle des exportations, vous pouvez prendre en compte les éléments suivants :

S'assurer que le personnel chargé du contrôle du commerce connaît toutes les réglementations pertinentes en matière de contrôle des exportations, le PCI de l'entreprise et tous ses amendements.
Utiliser différents types de formation, par exemple des ateliers, des webinaires, des séminaires externes, des abonnements à des sessions d'information proposées par les autorités compétentes et des formations internes.
Inclure une formation autoguidée par des moyens numériques.
Offrir une formation personnalisée à la demande du personnel.
Sensibiliser les employés à tous les niveaux concernés aux questions de contrôle des exportations.
Dans la mesure du possible, intégrez les enseignements tirés des examens de performance, des audits, des rapports et des actions correctives dans vos programmes de formation ou de sensibilisation à l'exportation.
Veiller à ce que les programmes de formation de l'entreprise soient organisés régulièrement et suffisamment souvent.
Veillez à ce que les délais de réalisation ou de renouvellement des formations soient respectés.
S'assurer que le contenu de la formation est mis à jour.
Déployer chaque formation avec un test de clôture ou un questionnaire pour vérifier la rétention des connaissances.

Dans votre PIC, vous devez

Désigner la (les) personne(s) chargée(s) de superviser la formation au respect des règles d'exportation.
Désigner les formateurs (internes et/ou externes) chargés de dispenser la formation au respect des règles d'exportation et indiquer leurs qualifications en matière de contrôle des exportations.
Indiquer le personnel à former (avec un calendrier pour les nouveaux employés et les employés existants).
Mentionnez les types de formation sur mesure à fournir.
Définir les thèmes de la formation à dispenser aux cadres supérieurs, à tous les nouveaux employés (formation initiale), aux employés occupant des postes liés à l'exportation (formation intermédiaire) et au personnel chargé du respect des règles en matière d'exportation (formation avancée).
Décrivez les mesures prévues pour mettre en œuvre les activités de sensibilisation.
Mentionnez la fréquence à laquelle la formation sera dispensée et/ou exigée.
Décrire les moyens de documenter la formation et de tenir des registres de formation détaillés.
Indiquez les moyens mis en œuvre pour que les supports de formation restent pertinents et à jour.
Définir comment les examens des résultats, les audits, les rapports et les actions correctives seront intégrés dans les programmes de formation ou de sensibilisation à la conformité des contrôles commerciaux.

Chapitre sept

Vérification des transactions et procédures

Contrôle des transactions

En ce qui concerne la mise en œuvre opérationnelle, le filtrage des transactions est l'élément le plus important d'un programme de conformité interne (PCI). Cet élément contient les mesures internes de l'entreprise visant à garantir qu'aucune transaction n'est effectuée sans l'autorisation requise ou en violation d'une restriction ou d'une interdiction commerciale pertinente.

Les procédures de filtrage des transactions permettent de collecter et d'analyser les informations pertinentes concernant la classification des articles, l'évaluation des risques liés aux transactions, la détermination et l'application des licences, ainsi que les contrôles postérieurs à l'octroi des licences. Les mesures de filtrage des transactions permettent également à l'entreprise de développer et de maintenir un certain niveau de diligence dans le traitement des demandes ou des commandes suspectes.

Pour préparer ce chapitre essentiel du PCI de votre entreprise, vous devez examiner et documenter en conséquence :

Comment gérez-vous la classification des biens, des logiciels et des technologies dans le cadre des listes de contrôle des exportations ?
Comment votre entreprise vérifie-t-elle les destinations et entités frappées d'embargo, de sanctions ou sensibles ?
Comment intégrez-vous la diligence raisonnable à l'égard des clients dans vos activités quotidiennes ?
Si et comment faites-vous le tri entre l'utilisation finale déclarée et les parties concernées ?
Comment évaluez-vous le risque de détournement, c'est-à-dire la possibilité d'une utilisation abusive de vos biens à double usage dans le cadre, par exemple, d'une prolifération militaire conventionnelle ou d'une prolifération d'armes de destruction massive ?
La façon dont vous gérez les contrôles "fourre-tout" pour les biens à double usage non répertoriés.
Comment tous les employés concernés ont-ils été rendus attentifs et ont-ils vérifié les éventuels signaux d'alerte relatifs à des demandes de renseignements suspectes de la part de clients ?
Le processus que vous avez mis en place pour déterminer les exigences en matière de licence et la demande de licence, le cas échéant, y compris les activités de courtage, d'assistance technique et de transit.
Comment mettez-vous en œuvre les contrôles postérieurs à l'octroi de l'autorisation, notamment le contrôle des expéditions et le respect des conditions de l'autorisation, et comment conservez-vous les données correspondantes ?
Le processus interne que vous avez mis en place pour conserver les enregistrements et la documentation relatifs au contrôle des exportations en lieu sûr et accessible.

Tous ces points doivent être intégrés dans votre PCI afin de démontrer aux autorités chargées de délivrer les autorisations que vous avez correctement évalué les risques liés au contrôle des exportations et que vous avez mis en place des procédures internes appropriées pour gérer ces risques.

Classification des produits

En tant qu'entreprise exportatrice, vous êtes censé connaître vos produits et les soumettre aux réglementations commerciales et aux listes de contrôle applicables, en commençant par déterminer le code NC attribué à vos produits.

Que doit contenir le manuel du PCI en termes de classification des produits ?

Avant de commencer, veuillez tenir compte de la classification actuelle de votre portefeuille de produits qui a déjà été publiée et intégrée dans le chapitre sur l'évaluation des risques de votre PCI. Dans le chapitre sur le filtrage des transactions, vous devez présenter les procédures internes de votre entreprise afin de garantir une classification correcte des produits existants et nouveaux.

Tout d'abord, commencez à indiquer aux autorités chargées de délivrer les licences les ingénieurs qui classent régulièrement vos produits et les personnes responsables de l'évaluation juridique et de la validation de la classification.

Deuxièmement, indiquez et affichez la fiche de classification des articles que vous utilisez. Cette fiche de classification doit indiquer pourquoi l'article concerné relève d'une catégorie particulière d'une liste de contrôle, en notant les paramètres et les alinéas spécifiques des listes CN, à double usage ou militaire. Elle indique également si le produit est mentionné dans les règlements relatifs aux sanctions à l'encontre d'un pays donné et si une autorisation est requise pour l'exportation, le transit, l'importation, l'assistance technique, le courtage ou le transfert de technologie d'un tel produit. Au Luxembourg, par exemple, les autorités ont publié et mis à disposition dans leurs Lignes directrices 2020 un modèle de fiche qui peut être utilisé pour les différentes étapes de la classification.

La feuille de classification doit laisser suffisamment de place pour permettre une évaluation raisonnée et structurée. Par exemple, si l'utilisation du tableau de correspondance a donné lieu à un ou plusieurs codes à double usage potentiels, prenez un code après l'autre et évaluez si la description de ce code (y compris les notes techniques et les définitions qui peuvent figurer dans différentes parties de la liste de contrôle) est en corrélation avec les spécifications techniques de votre produit.

Pour faciliter l'examen par les autorités (qui peuvent réclamer une telle fiche de classification des produits comme document justificatif pour les demandes d'autorisation), commencez l'évaluation en répétant le libellé du code, suivi d'une argumentation complète et dûment motivée (y compris les données techniques) expliquant pourquoi (ou pourquoi pas) le code s'applique à votre produit, et d'une conclusion.

Troisième point : Confirmez et informez les autorités de votre processus de classification. Mentionnez que votre classement commence par le numéro NC correct (et expliquez également à votre personnel interne de quoi il s'agit). Indiquez les catégories de produits que vous contrôlez. Parlez des listes de biens à double usage et d'équipements militaires.

N'oubliez pas : L'évaluation du risque de transaction commence toujours par une classification correcte des produits. Tant que tous vos produits n'auront pas été correctement classés dans les listes de contrôle des exportations, il sera difficile, voire impossible, de connaître avec certitude les exigences liées à un produit spécifique. Et même si un produit ne figure pas sur une liste de contrôle, il peut être soumis à des dispositions "fourre-tout".

Il n'est pas souhaitable de commencer à rédiger le PCI sans avoir obtenu une classification complète du produit. Étant donné que cette classification est l'un des facteurs de risque que vous devez évaluer dans le chapitre consacré à l'évaluation des risques, l'évaluation des risques doit être complète avec la classification. Toutes les mesures que vous mettrez en œuvre et expliquerez dans le PCI pourront être appropriées et complètes si la classification et l'évaluation des risques sont dûment documentées.

Procédures de dépistage

Dans cette section du chapitre 6, vous devez tout d'abord expliquer et démontrer les procédures de contrôle que vous avez mises en œuvre et que vous suivez en ce qui concerne les exigences en matière de contrôle des exportations au cours du processus de commande et d'expédition.

Le flux de travail doit être présenté dans un tableau et expliqué dans le texte. Un flux de travail axé sur la conformité comprendra les éléments suivants :

Filtrage des clients

Votre manuel de PCI doit expliquer comment vous (1) vérifiez que votre client n'est pas une entité sanctionnée, (2) contrôlez si le profil KYC du client est à jour, et vérifiez (3) que la diligence nécessaire a été effectuée et qu'un rapport de diligence complet récent (moins de trois ans) est disponible dans le système.

Filtrage des produits

Votre PCI doit montrer comment vous vous assurez que la classification de vos produits au regard du contrôle des exportations est prise en compte dans votre processus de commande et d'expédition. Indiquez au lecteur comment et quand vous vérifiez si le produit destiné à être expédié a déjà été classé.

S'il existe une fiche de classification des articles pour le produit concerné, vous devez vérifier l'exactitude de la classification et si elle est toujours d'actualité. En cas de doute, une demande d'information doit être faite auprès du fournisseur. Les ingénieurs produits et l'équipe de contrôle des exportations seront sollicités pour toute assistance.

Vous devez également indiquer votre processus interne si une fiche de classification des articles n'existe pas pour le produit concerné, c'est-à-dire qui gérera et documentera la classification du produit et comment.

Expliquez également comment vous vous assurez que le contrôle des exigences en matière de licence sera effectué si l'une des vérifications des produits révèle une inscription sur les listes des biens à double usage, des biens militaires ou des biens de torture.

Contrôle de l'utilisation finale

Le programme de conformité interne doit décrire comment vous vous assurez que, pour toute transaction, une vérification de l'utilisation finale a été effectuée et qu'elle est toujours valable.

Indiquez également comment vous garantissez que si les contrôles de l'utilisation finale révèlent une utilisation nucléaire, chimique, biologique ou militaire, une notification ou une demande de licence sera adressée aux autorités compétentes.

Vérification des transactions

Votre PCI doit indiquer comment vous vous assurez qu'une vérification des transactions a été effectuée et qu'elle est toujours valable.

Le filtrage des transactions comprend une vérification des "drapeaux rouges". Si un drapeau rouge est révélé, l'opération doit être interrompue. Supposons qu'aucun drapeau rouge n'apparaisse au cours de la procédure de vérification. Dans ce cas, un contrôle des sanctions est effectué pour révéler si l'opération est interdite ou soumise à des restrictions ou pour confirmer que l'opération n'est pas soumise à des restrictions.

Dans le flux de travail, votre PCI doit également identifier qui est responsable de chaque étape du flux et à quels moments une violation des règles d'exportation pourrait se produire. Le flux de travail doit intégrer divers contrôles dans le processus à ces points de vulnérabilité.

Un mot sur la fréquence des contrôles à l'exportation. Par exemple, un contrôle des personnes et entités sanctionnées effectué par le personnel de vente lors des premières étapes d'une transaction pourrait minimiser le temps et les dépenses qu'une entreprise pourrait encourir pour gagner un marché qu'elle ne peut pas honorer. Le même contrôle à la fin du processus, immédiatement avant l'expédition, peut permettre d'identifier tout changement de dernière minute pertinent pour la transaction.

Parlez à votre lecteur des contrôles préventifs que vous mettez en œuvre pour minimiser les vulnérabilités avant l'entrée des commandes, des contrôles en cours de processus qui mettront en attente une transaction nécessitant un examen secondaire, et des contrôles après le processus qui vous alerteront en cas de défaillance du système.

Contrôle de l'utilisation finale

L'objectif de l'examen des utilisations finales est le suivant :

Vérifier que les biens à exporter ne seront pas utilisés à d'autres fins que celles déclarées.
S'assurer que les biens à double usage non listés destinés à une destination soumise à un embargo contraignant ne sont pas destinés à une "utilisation finale militaire".

Pour déterminer l'autorisation appropriée, le PCI doit créer un système permettant d'identifier et d'arrêter les transactions d'exportation, de réexportation et certains transferts à l'intérieur du pays impliquant des utilisations finales et des activités spécifiques. Une bonne pratique en matière de conformité consiste à

Vérifier l'utilisation finale prévue de l'article exporté pour chaque commande.
Ces informations sont principalement obtenues par des contacts avec le client et par la consultation de sources ouvertes, c'est-à-dire accessibles au public, sur l'utilisateur final concerné.
Obtenir plusieurs garanties, c'est-à-dire un certificat d'utilisateur final établi et signé par le client à un stade précoce du processus de vente.
Veiller à ce que la déclaration d'utilisation finale précise l'utilisation finale prévue et comporte un engagement du destinataire des biens à ne pas utiliser ces biens à des fins de prolifération ou de production d'armes de destruction massive.
Vérifiez que ce document indique également s'il s'agit d'une utilisation finale liée à la défense et qu'il précise la localisation exacte des articles et les quantités commandées.

Votre PCI doit prévoir des ressources suffisantes pour vous permettre de contrôler votre client, le destinataire et/ou l'utilisateur final, de vérifier le certificat d'utilisation finale, de vérifier si l'utilisation finale indiquée est logique et conforme aux informations précédemment détenues sur le client, et correspond aux activités commerciales de l'utilisateur final, et d'être attentif au type et à la quantité de produits commandés par rapport aux commandes précédentes.

Examen du risque de détournement

Le risque de détournement illégal est l'un des problèmes de contrôle des exportations les plus importants auxquels sont confrontées les entreprises exportatrices aujourd'hui. Il y a détournement illégal lorsque votre entreprise vend un produit à un client étranger en dehors de l'UE et que ce client revend le produit à votre insu dans un pays interdit (comme l'Iran ou la Syrie) à une partie interdite ou pour une utilisation finale interdite. Le détournement illégal peut entraîner des problèmes importants pour les exportateurs, allant de l'atteinte à la réputation (articles de presse sur l'apparition de votre produit sur les marchés iraniens) à des mesures coercitives.

Le programme de conformité interne doit viser à réduire la responsabilité potentielle en cas de détournement illégal.

Voici quelques étapes que vous devriez inclure dans votre PCI afin de démontrer votre sensibilisation au détournement illégal et aux mesures concrètes pour le combattre (d'autres étapes sont souvent ajoutées en fonction de l'entreprise, du produit et des pays en question) :

Exiger de l'acheteur qu'il fournisse une déclaration d'utilisation finale complète et dûment signée dans le contrat d'exportation ou dans un document séparé faisant partie de la documentation de la transaction.
Procéder à un examen minutieux de l'acheteur et de toutes les autres parties à la transaction.
Conserver une documentation sur les mesures de diligence raisonnable prises pour "connaître" parfaitement vos clients étrangers en obtenant des informations détaillées sur la bonne foi (références) de leur client afin de mesurer le risque de détournement, en particulier lorsque le client est un courtier, une société commerciale ou un centre de distribution et, ainsi, établir vos tentatives de bonne foi pour se conformer aux réglementations en matière de contrôle des exportations.
N'utilisez que des transitaires et d'autres intermédiaires qui ont mis en place des procédures de conformité à l'exportation solides.
Évitez les transactions "acheminées", à moins que vous n'ayez une relation de confiance de longue date avec votre acheteur.
Effectuer un contrôle pour détecter (a) les parties interdites (pour toutes les parties à la transaction) ; (b) les pays de destination interdits ; et (c) les utilisations finales interdites.
Communiquer les classifications de contrôle des exportations et les informations relatives à la destination aux utilisateurs finaux, aux destinataires, aux transitaires et aux autres parties à la transaction.
Utiliser les technologies de l'information pour améliorer l'examen de la diligence raisonnable.
Former les distributeurs, revendeurs et autres intermédiaires étrangers aux risques juridiques liés au détournement non autorisé.
Inclure une clause dans votre contact avec l'acheteur étranger qui (a) prévoit que le client ne réexportera pas le produit du pays de l'acheteur sans avoir obtenu le consentement de l'exportateur et (b) prévoit que l'acheteur indemnisera l'exportateur de toute responsabilité (y compris les frais de justice) découlant d'un détournement non autorisé.
Soyez très attentifs aux signaux d'alerte et communiquez en interne ces signaux d'alerte et les mesures que vous avez prises pour traiter ces problèmes.

Détermination de la licence

Tous les efforts déployés pour élaborer et présenter un programme de conformité interne parfait n'ont aucun sens si votre entreprise ne peut pas déterminer au jour le jour si une autorisation administrative (souvent appelée licence) doit être demandée et obtenue avant que l'exportation (ou une autre transaction soumise à un contrôle des exportations) n'ait lieu. Comme il s'agit d'une question complexe et de la plus importante en matière de conformité au contrôle des exportations, toutes les ressources et tous les documents disponibles doivent être pris en compte dans cette évaluation.

Votre PCI doit démontrer que vous maîtrisez le processus en plusieurs étapes permettant de déterminer si une licence est nécessaire pour une transaction donnée. Vous documentez dûment les critères pertinents évalués au cours de ce processus. Voici quelques conseils pour rédiger le chapitre pertinent du PCI :

Commencez votre démarche concernant votre produit (nécessite une fiche de classification du produit dûment complétée).
Tenir compte du type de transaction concernant le produit concerné (par exemple, exportation, importation, transit, transfert, courtage, assistance technique et transfert intangible de technologie).
Examinez l'utilisation finale de l'article, le client et l'utilisateur final, et soyez attentif aux signaux d'alerte potentiels.
Déterminer si le pays de transit, de destination et d'utilisation finale est sensible, voire sanctionné, c'est-à-dire inscrit sur une liste de sanctions des Nations unies, de l'Union européenne ou nationale.
Déterminer la nécessité d'une licence en combinant les quatre étapes précédentes (la réponse doit être claire, oui ou non, mais il faut tenir compte du fait qu'une notification préalable peut être nécessaire pour demander aux autorités chargées de l'octroi des licences si une licence est requise, par exemple en raison de dispositions de type "catch-all" ou d'utilisation finale dans les réglementations nationales ou internationales en matière de contrôle des exportations).
Indiquer le type d'autorisation à demander (en général, des autorisations individuelles, mais des autorisations globales ou générales au niveau international ou national peuvent être disponibles).
Indiquez à votre lecteur quelles sont les conditions applicables aux différentes catégories d'autorisations, quels documents doivent être joints à la demande, quels formulaires peuvent être utilisés, qui doit signer, quels sont les délais de traitement au sein de l'administration publique et qui signera les licences.
Indiquer les éventuelles exigences postérieures à l'octroi de la licence, par exemple en cas d'expiration ou de perte des licences, pour la cession des licences, concernant les conditions d'utilisation et de restitution et, surtout, toute exigence en matière de rapports.

Chapitre huit

Tenue de registres et documentation

Dans le processus de rédaction du PCI, vous quittez le chapitre consacré au risque de transaction. Le chapitre suivant que vous devez aborder porte sur l'archivage et la documentation.

Cette section a les objectifs suivants :

Identifier la personne qui conservera les documents.
Il s'agit en particulier de dresser la liste des documents à conserver et d'en préciser le format.
Détailler les systèmes et procédures d'archivage et de recherche.
Clarifier la période de conservation des documents.
Déterminer les méthodes permettant de vérifier le respect des exigences en matière de tenue de registres.

Commencez par expliquer les exigences légales et les sanctions en cas de violation de ces exigences.

Les documents liés à l'exportation, à toutes les étapes du processus de demande, doivent être conservés conformément à ces exigences légales. Celles-ci peuvent certainement varier d'un pays à l'autre.

L'obligation demeure de documenter avec précision les différentes étapes de tout contrôle à tous les stades d'un projet. À cet égard, la documentation doit également préciser qui gère les licences accordées.

D'un point de vue opérationnel, tous les documents doivent être accessibles aux autorités compétentes. Certaines d'entre elles nous autorisent à fournir les documents par voie électronique. Dans certains cas, une visite sur place sera nécessaire si l'accès à l'intranet sécurisé est requis ; dans d'autres cas, les dossiers peuvent également être envoyés pour des contrôles à distance. Les dossiers peuvent également être mis à disposition sur papier et, le cas échéant, sous forme de documents numérisés. Votre PCI doit préciser cette exigence.

Si votre entreprise estime qu'il n'est pas nécessaire de soumettre une demande aux autorités chargées de délivrer les autorisations, cette conclusion est également documentée avec soin.

N'oubliez pas de parler de l'enregistrement des visiteurs étrangers dans vos installations. Ce registre doit documenter toutes les visites de ressortissants étrangers et toutes les conditions spéciales liées à ces visites. Le registre doit indiquer

Nom et nationalité du visiteur
Le nom et l'affiliation de l'organisation représentée
La date de la visite
Les personnes visitées
Objet de la visite avec un accent particulier sur les produits ou les services discutés
Un résumé de la visite, y compris toute question ou circonstance digne d'intérêt

Votre entreprise doit également élaborer et mettre en œuvre un système permettant de documenter toutes les conversations avec des fonctionnaires du gouvernement et/ou de l'administration publique concernant des interprétations potentiellement pertinentes ou d'autres orientations sur les questions de contrôle des exportations.

Ces dossiers doivent permettre d'assurer la continuité de l'exécution des futures fonctions de conformité à l'exportation et aider l'entreprise à défendre ses actions si nécessaire. Des copies de tous ces documents doivent être fournies et conservées par le personnel chargé de la conformité à l'exportation. Votre PCI doit également fournir des détails sur cette exigence en matière de documentation.

Chapitre neuf

Sécurité physique et sécurité de l'information

Dans ce chapitre du PCI, vous devez démontrer que votre entreprise a adopté et met en œuvre des procédures de sécurité solides.

Tout d'abord, vos employés et visiteurs doivent respecter le contrôle d'accès physique à vos locaux. Parlez de vos règles internes concernant les badges d'identification, l'enregistrement à la réception ou au bureau de sécurité et l'accompagnement des visiteurs dans les parties non publiques de vos bâtiments. Parlez également du stockage en toute sécurité du papier et des autres copies papier des documents contenant des données techniques ou des informations sur les licences.

Deuxièmement, vous devez présenter votre politique de sécurité informatique et expliquer comment vous stockez les données techniques sous forme électronique, comment vous cryptez les transferts électroniques de données techniques à des tiers, le cas échéant, et comment les employés accèdent aux informations et aux données techniques.

Dans ce cadre, n'oubliez pas d'exposer les processus spécifiques de transfert de technologie (bleus, plans, diagrammes, modèles, formules, tableaux, conceptions et spécifications techniques, manuels et instructions).

Attention notamment au transfert de technologies immatérielles, c'est-à-dire, par exemple, la transmission numérique ou orale de documents quel qu'en soit le support, la gestion ou la maintenance informatique à distance, les réseaux, la formation sous quelque forme que ce soit, les activités d'études ou de recherche scientifique, et la transmission de savoir-faire, de connaissances pratiques techniques ou scientifiques, et d'informations sous quelque forme que ce soit. L'attention doit être attirée sur le contrôle de la partie de la technologie spécifique aux biens dont l'exportation est contrôlée.

Démontrez que vous disposez de procédures à suivre si une licence est requise pour un transfert de technologie ou un voyage international (comment vous gérez les ordinateurs portables contenant des technologies dont l'exportation est contrôlée). À terme, il présentera également les règles à respecter avant que les employés puissent contribuer ou participer activement à une conférence ou à une réunion au cours de laquelle des technologies dont l'exportation est soumise à contrôle peuvent être divulguées.

Chapitre dix

Examens et audits de performance

Un processus d'audit solide est essentiel à votre programme de conformité en matière de contrôle des exportations.

Les audits permettent de déterminer si les bonnes questions sont posées tout au long du processus afin de s'assurer que les exportations sont conformes aux intérêts de la sécurité nationale et de la politique étrangère et, par conséquent, à l'intérêt de l'entreprise.

Le programme d'audit doit être spécifique à chaque entreprise et peut comprendre les éléments suivants :

Contrôles internes

Le contrôle de conformité intègre des mécanismes de contrôle dans les opérations quotidiennes et des audits réguliers/aléatoires.

Auto-évaluation du contrôle

Il est défini comme un processus par lequel un service examine et améliore les contrôles internes existants et/ou met en œuvre de nouveaux contrôles pour atténuer les risques associés à un processus ou à une fonction.

Le processus CSA comprend la documentation du processus, l'identification de tous les risques liés à ce processus, ainsi que l'identification et l'évaluation de tous les contrôles internes qui devraient être mis en place pour réduire les risques à un niveau acceptable.

Le concept prend en compte deux niveaux. Au premier niveau (niveau de l'équipe), l'équipe chargée de la conformité des exportations collabore avec les chefs d'équipe et certains employés pour analyser les points forts, les défis et les risques susceptibles d'affecter la capacité de l'entreprise à atteindre ses objectifs dans le cadre du contrôle, et pour prendre les mesures appropriées à cet égard.

Au deuxième niveau (niveau de l'organisation), les résultats obtenus par l'équipe au premier niveau sont analysés afin d'identifier les forces, les faiblesses et les risques et de les relier pour déterminer les principales raisons de chacun d'entre eux dans le système de contrôle existant.

L'auto-évaluation du contrôle repose sur l'évaluation du contrôle interne au moyen de techniques d'évaluation spécifiques, dans lesquelles le rôle central est assumé par la direction opérationnelle plutôt que par l'audit interne. Cette technique repose sur le travail d'équipe plutôt que sur le travail individuel et fournit une assurance raisonnable plutôt qu'absolue que les objectifs seront atteints.

La plupart des équipes utilisent soit la technique de l'atelier, soit celle du questionnaire. Dans la technique de l'atelier, une équipe est constituée pour mener à bien les procédures d'auto-évaluation des contrôles. Les ateliers identifient les objectifs et définissent les contrôles existants pour atteindre ces objectifs. Ensuite, les risques résiduels (qui subsistent après l'application des contrôles) sont identifiés. On part du principe que les contrôles et les risques sont déjà présents dans le système. La tâche de l'équipe consiste à identifier et à évaluer ces contrôles.

La technique du questionnaire est basée sur l'auto-évaluation du contrôle en élaborant un questionnaire comprenant plusieurs questions de type "oui-non". Les résultats du questionnaire sont ensuite analysés pour obtenir l'évaluation requise du contrôle interne. Compte tenu des exigences des législations nationales, le questionnaire utilisé dans le cadre de l'outil d'auto-évaluation sera adapté aux produits et aux activités de l'entreprise.

Cette CSA devrait être réalisée plus fréquemment que l'audit au niveau de l'entreprise, au moins une fois par an.

Audits internes

Une entreprise devrait programmer des audits au moins deux fois par an. Ces audits doivent porter sur l'ensemble du processus de conformité à l'exportation et sur les transactions d'exportation d'unités commerciales spécifiques. La fréquence des audits ultérieurs peut être adaptée en fonction des résultats des audits précédents, de l'évolution du niveau de risque en fonction du portefeuille de produits et des activités de l'entreprise, et des mesures correctives mises en œuvre à la suite des audits précédents.

La direction du service d'audit interne détermine l'orientation de l'audit interne. Il comprend généralement des tests sur les transactions afin de déterminer si les contrôles internes fonctionnent comme prévu.

Étant donné que l'audit du système examine les processus et la supervision dans le cadre de la procédure de contrôle interne des exportations de l'entreprise, tous les aspects du contrôle interne des exportations doivent être pris en compte. Il s'agit notamment des ordres de travail et des lignes directrices organisationnelles, des cours de formation, de la méthode d'archivage et de la documentation.

Pour chaque période d'audit, l'équipe d'audit interne, en coopération avec l'équipe chargée de la conformité en matière de contrôle des exportations, définit les questions d'audit à examiner. Pour s'assurer qu'un nombre représentatif d'envois est contrôlé, l'audit interne utilise une méthode d'échantillonnage aléatoire qui permet de sélectionner chaque envoi, chaque client et/ou chaque destination pour le contrôle.

L'audit interne sera mené par l'équipe d'audit interne, composée d'auditeurs sélectionnés pour leurs qualifications et leur expertise dans le domaine de la conformité au contrôle des exportations. Si l'audit interne a besoin d'une expertise supplémentaire, il passera un contrat avec un fournisseur externe pour obtenir cette expertise.

Chapitre 11

Rapports internes et actions correctives

Dans le dernier chapitre de votre programme de conformité interne, l'objectif est de fournir des orientations claires aux employés en ce qui concerne la notification, l'escalade et l'action corrective en cas de problèmes ou de suspicion de problèmes concernant les transactions d'exportation.

Vous devez expliquer le programme de notification de votre entreprise pour signaler les incidents présumés de non-conformité liés à l'exportation.

La direction doit montrer qu'elle s'engage pleinement à mener ses activités dans le respect de la lettre et de l'esprit de la loi et à favoriser un environnement sûr pour les employés qui soulèvent des questions ou des préoccupations concernant le respect de la loi.

Les employés doivent non seulement être encouragés à signaler les violations présumées des règles d'exportation, mais aussi savoir que la direction considère le signalement des violations présumées comme une partie intégrante du programme de conformité de l'entreprise et une partie essentielle de la responsabilité et du devoir de chaque employé dans le cadre de son travail.

Les employés doivent être assurés qu'ils doivent s'exprimer s'ils ne sont pas sûrs de la marche à suivre ou s'ils ont besoin de conseils s'ils pensent qu'un autre employé fait, ou est peut-être sur le point de faire, quelque chose qui viole le programme de conformité de l'entreprise ou s'ils pensent qu'ils ont été personnellement impliqués dans l'activité non conforme.

Outre cet engagement de la direction, votre PCI doit indiquer à qui les employés doivent signaler les incidents présumés de non-conformité liés à l'exportation. Les employés doivent également avoir la possibilité de faire des rapports anonymes, par exemple en les déposant dans une boîte aux lettres à la réception. Ils doivent être assurés que ces rapports ne seront confidentiels et partagés qu'en cas de "besoin d'en connaître".

Étant donné que chaque problème est une occasion d'apprendre à améliorer le PCI de votre entreprise et ses processus commerciaux et de conformité, vous devez intégrer les enseignements tirés dans vos programmes de formation et de sensibilisation et dans votre prochaine mise à jour du PCI.

Chapitre 12

Validation du PCI par les autorités chargées de délivrer les autorisations

Présentation du PCI pour validation

Il n'est pas nécessaire d'attendre une demande de licence globale particulière. Toutefois, vous pouvez prendre l'initiative de fournir aux autorités votre programme dès qu'il est validé par le conseil d'administration ou la direction de l'entreprise.

Les entreprises doivent tenir compte du fait que si un PCI se voit présenter une demande de licence globale, le délai de traitement de la demande de licence (au Luxembourg, jusqu'à 90 jours ouvrables) peut ne pas être suffisant pour évaluer simultanément le PCI.

Pour éviter le risque de se voir refuser la licence globale parce que la procédure d'évaluation du PCI est en cours, il est recommandé de fournir le PCI aux autorités bien avant les demandes de licence.

Il ne faut pas oublier que les autorités chargées de délivrer les autorisations peuvent, au cours de l'évaluation du PCI, prendre contact avec l'entreprise candidate pour lui demander des documents supplémentaires, des informations spécifiques concernant certains points du PCI, ou des réunions personnelles avec les représentants de l'entreprise. Cela peut avoir une incidence sur la durée de la procédure d'évaluation.

Les autorités luxembourgeoises doivent recevoir le PCI (y compris toutes les pièces jointes) en deux versions originales sur papier et, en même temps, une copie électronique par courrier électronique.

Vérification par les autorités

Le processus de vérification peut être différent selon les autorités nationales.

Au Luxembourg, les lignes directrices 2020 prévoient, pour chaque chapitre du PCI, une liste de contrôle permettant aux autorités d'évaluer le contenu du chapitre concerné. Tous les points de contrôle des chapitres donneront lieu à une liste de plusieurs points que l'OCEIT attribuera au PCI. Le nombre de points atteints par le PCI déterminera le résultat de la validation.

Les autorités peuvent valider le PCI dans son ensemble ou seulement en partie, tout en demandant des améliorations ou en ajoutant des conditions à leur validation. Elles peuvent également demander un PCI modifié, amélioré et/ou complet.

Mise à jour du PIC

Le PCI de l'entreprise doit être mis à jour dès qu'un changement intervient dans la législation applicable (par exemple, la récente refonte du règlement de l'UE sur les biens à double usage, qui est passé de 428/2009 à 2021/821), dans l'exposition au risque de l'entreprise ou dans la base de données des clients ou des produits.

Cette mise à jour doit tenir compte des conclusions de l'audit le plus récent et des éventuels rapports internes, et évaluer les ressources humaines affectées au respect des contrôles à l'exportation.

Une bonne pratique commerciale consiste à mettre à jour le PCI une fois par an, en commençant par le mois de janvier, afin de terminer la mise à jour et de la présenter aux autorités au cours du premier trimestre.

Êtes-vous prêt à lancer votre PCI ou avez-vous besoin d'aide ?

Nous disposons d'une expertise spécifique dans tous les domaines de la conformité au contrôle des exportations et offrons des services de conseil.

Le guide ultime de la conformité en matière de contrôle des exportations

Introduction

Qu'est-ce que la conformité au contrôle des exportations ?

Programme de conformité interne

Table des matières

Les bases

Pourquoi devrais-je avoir ou obtenir un PCI ?

Pour

Cons

Ce qu'il faut faire et ce qu'il ne faut pas faire lorsque l'on entame le processus du PCI

Dos

À ne pas faire

Comment choisir un consultant externe pour le processus PIC ?

Vérifiez si les consultants ont l'expérience et les qualifications nécessaires pour vous aider, vous et votre entreprise.

Tester les connaissances des consultants.

Vérifiez si le consultant se tient au courant des réglementations.

Demandez des références.

Champ d'application du PCI

Consultez les lignes directrices publiées par les autorités chargées de l'octroi des licences.

Structure du PIC

L'importance de l'engagement de la direction de

Un facteur déterminant pour la réussite du PIC

Évaluation des risques

Commencer par l'évaluation des risques

Il n'existe pas de modèle unique.

Rassembler les documents nécessaires à l'évaluation des risques

Documents d'entreprise

Activité des entreprises

Gamme de produits

Profil du client

Profil du pays

Expliquez la structure de votre entreprise

Structure de gestion

Montrez votre activité professionnelle

Décrivez votre clientèle

Décrivez votre portefeuille de produits

Indiquez votre processus de commande/expédition

Matrice des risques

Législation

Connaître les règles de contrôle des exportations

Organisation, structure, Responsabilités et ressources

Responsable de la conformité en matière de contrôle des exportations et personnel

Fonctions et responsabilités liées à la conformité

Engagements de conformité des entreprises

Formation et sensibilisation

Vérification des transactions et procédures

Contrôle des transactions

Classification des produits

Procédures de dépistage

Filtrage des clients

Filtrage des produits

Contrôle de l'utilisation finale

Vérification des transactions

Contrôle de l'utilisation finale

Examen du risque de détournement

Détermination de la licence

Tenue de registres et documentation

Sécurité physique et sécurité de l'information

Examens et audits de performance

Contrôles internes

Auto-évaluation du contrôle

Audits internes

Rapports internes et actions correctives

Validation du PCI par les autorités chargées de délivrer les autorisations

Présentation du PCI pour validation

Vérification par les autorités

Mise à jour du PIC

Êtes-vous prêt à lancer votre PCI ou avez-vous besoin d'aide ?

Pioneering a New Era in Export Control Compliance

Platform

Company

Knowledge Hub

Academy

Service

Pricing

RespectUs

Avant de partir

Téléchargez votre exemplaire de notre guide pour le lire plus tard.

Masterclass On Export Control Compliance

Abonnez-vous à notre lettre d'information hebdomadaire

Organisation, structure,
Responsabilités et ressources