DOJ Enforcement Under the National Security Division’s Data Security Program

La protection des données sensibles n'a jamais été aussi importante. Dans un monde globalisé caractérisé par des cybermenaces avancées, des techniques d'espionnage sophistiquées et la monétisation des données externes, il est essentiel de renforcer la sécurité afin de protéger les informations sensibles contre le vol et l'utilisation abusive. La mise en œuvre récente du programme de sécurité des données (DSP) du ministère américain de la Justice (DOJ) démontre à quel point le gouvernement prend au sérieux la menace que représente l'accès à ces données par des adversaires étrangers. Les personnes et les entreprises américaines qui agrègent les données personnelles des Américains ou collectent des informations liées au personnel du gouvernement américain sont désormais soumises à des restrictions et interdictions obligatoires lorsqu'elles transfèrent ces données vers des pays et des personnes identifiés comme préoccupants. La période de clémence pour la mise en œuvre du programme ayant officiellement pris fin le 8 juillet 2025^[1], le non-respect immédiat de ces dispositions expose à de lourdes sanctions civiles et pénales.

Contexte

Le DSP établit essentiellement des restrictions en matière de contrôle des exportations qui empêchent les adversaires étrangers, ainsi que les personnes soumises au contrôle et à la direction de ces adversaires, d'accéder aux données liées au gouvernement américain et aux données personnelles sensibles américaines en vrac.

Le DSP a été publié en vertu de la loi sur les pouvoirs économiques d'urgence internationaux (IEEPA) et conformément au décret 14117, relatif à la prévention de l'accès aux données personnelles sensibles en vrac des Américains et aux données liées au gouvernement des États-Unis par les pays concernés.^[2] Bien que la date d'entrée en vigueur du programme ait été fixée au 8 avril 2025, la Division de la sécurité nationale (NSD) du ministère américain de la Justice a annoncé un report de 90 jours de la mise en application de la mesure afin de laisser aux particuliers et aux entreprises américains le temps nécessaire pour se mettre en conformité et collaborer avec la NSD sur les questions liées au DSP.

Maintenant que la période de grâce est terminée, les personnes physiques et morales sont tenues de se conformer pleinement à la réglementation, et le NSD peut commencer à poursuivre les éventuelles violations. Le DSP vise à lutter contre les efforts continus des adversaires étrangers qui utilisent des activités commerciales pour accéder, exploiter et militariser certaines catégories de données sensibles du gouvernement américain et de données personnelles. Ce programme s'inscrivant dans les priorités de l'administration Trump, les entreprises américaines doivent s'attendre à une application stricte de la réglementation et s'assurer qu'elles s'y conforment.^[3]

Pays et personnes concernés

Le DSP restreint et interdit aux personnes et entités américaines de s'engager dans certaines transactions concernant les données du gouvernement américain et les données personnelles des Américains avec les « pays concernés » ou les « personnes couvertes ».

Le 11 avril 2025, le NSD a publié un guide de conformité relatif au DSP, qui identifiait chacun des pays suivants comme « pays préoccupant » :

Chine (y compris Hong Kong et Macao)
Cuba
Iran
Corée du Nord
Russie
Venezuela

Ces pays ont été identifiés comme ayant démontré leur intention et leur capacité à utiliser des données gouvernementales et des données personnelles sensibles des Américains pour menacer la sécurité nationale des États-Unis par divers moyens spécifiques.^[4]

Les « personnes concernées » sont décrites dans la règle finale comme (1) les entités étrangères dont le siège social est situé dans un pays concerné ou constituées en vertu des lois d'un pays concerné, ou détenues majoritairement par un ou plusieurs pays concernés ou d'autres personnes concernées, (2) les entités étrangères détenues majoritairement par un pays concerné ou une autre personne concernée, (3) les personnes physiques étrangères qui sont des employés ou des sous-traitants d'un pays concerné ou d'une personne couverte, (4) les personnes physiques étrangères qui résident principalement dans un pays concerné, et (5) les personnes désignées et identifiées publiquement par le NSD.^[5] En ce qui concerne la sous-catégorie (5), le NSD désignera et ajoutera des personnes à une liste publiée des personnes concernées après avoir déterminé que ces personnes répondent à certains critères, tels que le fait d'être soumises à la propriété et au contrôle d'un pays concerné.^[6]

Transactions de données couvertes et exemptées

Pour déterminer si les exigences du DSP s'appliquent à une personne ou à une entité américaine particulière, il est essentiel de comprendre le type de données en cause et les transactions couvertes par le programme. Si une entreprise traite des données couvertes par le programme, elle sera soumise à des restrictions, voire à une interdiction, de transférer ces informations dans certaines circonstances.

Transactions couvertes : toute transaction impliquant l'accès par l'un des pays concernés ou par des personnes couvertes à des données liées au gouvernement ou à des données personnelles sensibles américaines en vrac est soumise aux restrictions DSP. Pour être considérée comme une « transaction couverte », la transaction doit également impliquer (1) le courtage de données, (2) un accord avec un fournisseur, (3) un contrat de travail ou (4) un accord d'investissement.^[7]

« Données liées au gouvernement » : certaines données de géolocalisation liées aux activités gouvernementales,^[8] et toute donnée personnelle sensible, quel que soit son volume, qu'une partie à une transaction commercialise comme étant liée ou pouvant être liée à des employés ou sous-traitants actuels ou récents du gouvernement des États-Unis, comme une entreprise américaine qui annonce la vente d'un ensemble de données personnelles sensibles appartenant à des « employés du gouvernement ».^[9]

« Données personnelles sensibles américaines en vrac » : ensemble ou collection de données personnelles sensibles relatives à des personnes américaines, sous quelque format que ce soit.^[10] Les « données personnelles sensibles » comprennent (1) les identifiants personnels couverts, (2) les données de géolocalisation précises, (3) les identifiants biométriques, (4) les données génomiques humaines, (5) les données personnelles relatives à la santé et (6) les données personnelles financières ou toute combinaison de celles-ci.^[11]

Dans le cadre du DSP, il existe deux catégories générales de transactions couvertes : 1) les transactions interdites et 2) les transactions restreintes.

Transactions interdites : Elles concernent généralement le courtage de données avec un pays ou une personne visés et interdisent à toute personne américaine de s'engager dans une transaction visée, sous réserve de certaines exemptions, ainsi que les transactions impliquant l'accès par un pays ou une personne visés à certaines données sensibles américaines en vrac.^[12]

Transactions restreintes : couvrent généralement les transactions de données dans le cadre de contrats avec des fournisseurs, de contrats de travail ou de contrats d'investissement, sous réserve de certaines exemptions, qui sont restreintes à moins que la personne américaine ne se conforme à des exigences de sécurité spécifiques.^[13]

Transactions exemptées : Plusieurs transactions sont exemptées des interdictions et restrictions qui s'appliquent par ailleurs. Ces exemptions comprennent, sans s'y limiter :

Informations ou documents d'information ;
Services financiers ;
Transactions entre sociétés d'un même groupe (généralement liées à des opérations administratives ou accessoires et faisant partie intégrante de celles-ci) ;
Transactions requises ou autorisées par la législation fédérale ou les accords internationaux ;
Accords d'investissement soumis à une décision du CFIUS ;
Services de télécommunications ;
Autorisations relatives aux médicaments, aux produits biologiques et aux dispositifs médicaux ; et
Autres données issues d'études cliniques et de la surveillance post-commercialisation (généralement liées et faisant partie des études cliniques réglementées par la Food and Drug Administration américaine ou de la collecte et du traitement de certaines données cliniques ou données de surveillance post-commercialisation).^[14]

Licences

Le DOJ, par l'intermédiaire du NSD, peut délivrer des licences générales ou spécifiques pour effectuer une transaction de données couverte qui, autrement, enfreindrait le DSP. Une licence générale autorisera un type particulier de transaction, sous réserve d'interdictions ou de restrictions, sans qu'il soit nécessaire de demander une licence spécifique.^[15] Une licence spécifique est un document délivré par le NSD à une personne ou une entité particulière, autorisant une transaction particulière.^[16]

Mise en œuvre et application par le ministère de la Justice

Le DSP est administré et appliqué par la section chargée de l'examen des investissements étrangers (FIRS) du NSD, qui est responsable des efforts non judiciaires du DOJ visant à traiter et à gérer les risques pour la sécurité nationale liés aux transactions, aux activités commerciales et aux technologies transfrontalières qui sont posés par des menaces telles que les adversaires étrangers. La FIRS peut également traiter les demandes d'avis consultatifs soumises par des parties potentiellement réglementées concernant l'application du DSP à des transactions spécifiques, ce qui est un mécanisme intégré dans la règle finale relative au DSP.^[17]

Toute poursuite civile ou pénale liée à des violations du DSP sera probablement traitée par le NSD ou renvoyée au bureau du procureur américain compétent. Les entreprises américaines doivent s'attendre à ce que l'application du DSP reflète largement les mesures traditionnelles en matière de contrôle des exportations ou de violations des sanctions. Le DSP et les régimes de sanctions économiques américains tirent tous deux leur autorité de l'IEEPA. La responsabilité civile et pénale en vertu de l'IEEPA peut être importante, avec des sanctions civiles pouvant atteindre 386 136 dollars ou le double de la valeur de chaque transaction illicite, et des sanctions pénales pouvant aller jusqu'à 20 ans de prison, une amende de 1 000 000 de dollars, ou les deux.^[18] À ce titre, les personnes ou entreprises américaines dont les activités peuvent relever du champ d'application du DSP doivent consulter rapidement et régulièrement un avocat afin de s'assurer qu'elles respectent les exigences en matière de conformité et de déclaration.

Points clés à retenir et recommandations

Les personnes et entreprises américaines qui n'ont pas encore commencé à planifier la mise en œuvre complète du DSP doivent se mettre en conformité immédiatement. Les entreprises concernées peuvent inclure :

Fournisseurs de services cloud

Fournisseurs de services virtuels

Centres de traitement des données

Fabricants de dispositifs médicaux

Établissements universitaires

Sociétés d'analyse de données et consultants

Entrepreneurs publics dans les secteurs de la défense ou des soins de santé

À l'instar des mesures de conformité en matière de contrôle des exportations, ces personnes et entités américaines devraient faire appel à un avocat expérimenté dans ce domaine pour entreprendre les démarches suivantes :

Effectuer des examens et des audits internes afin d'identifier les accès potentiels aux données couvertes ou aux transactions impliquant le flux de ces données vers des pays ou des personnes couverts.

Mettre en œuvre des politiques, des procédures et des formations traitant de la sécurité des données et du transfert ou de l'accès à toute donnée liée au gouvernement américain ou à des données personnelles sensibles américaines en vrac.

Déterminer l'applicabilité de toute licence générale ou la nécessité de demander des licences spécifiques pour toute transaction interdite ou soumise à restriction.

Mettre en œuvre un programme de conformité pour suivre les transactions, effectuer régulièrement des vérifications préalables et tenir des registres précis.

Faire appel à un avocat pour rédiger ou réviser les contrats avec les fournisseurs si nécessaire, effectuer les vérifications préalables et assurer la liaison avec les organismes gouvernementaux tels que le ministère de la Justice si nécessaire.

Ajustez les lieux de travail, les rôles ou les responsabilités des employés en fonction de leur proximité ou de leur exposition aux pays concernés ou aux personnes couvertes.

Mettre en œuvre les exigences de sécurité de l'Agence pour la cybersécurité et les infrastructures (CISA).

La prise de ces mesures aidera les entreprises et les personnes américaines à se préparer de manière adéquate aux mesures coercitives qui pourraient être prises.

Les entreprises et personnes concernées doivent également prendre note de la date du 6 octobre 2025. À compter de cette date, les entités et les particuliers devront se conformer aux exigences en matière de diligence raisonnable et d'audit pour les transactions restreintes, ainsi qu'aux exigences de déclaration pour les transactions restreintes et les transactions interdites rejetées.

Si vous avez des questions à ce sujet, n'hésitez pas à contacter l'un des auteurs ou votre avocat chez Foley & Lardner. Si vous souhaitez recevoir les prochaines mises à jour concernant « Ce que toute entreprise multinationale doit savoir » sur le fonctionnement du monde complexe du commerce international actuel, inscrivez-vous à notre blog Tariff & International Trade (Droits de douane et commerce international) — cliquez ici pour vous inscrire.

***

[1] « PROGRAMME DE SÉCURITÉ DES DONNÉES : POLITIQUE DE MISE EN ŒUVRE ET D'APPLICATION JUSQU'AU 8 JUILLET 2025 », ministère de la Justice (11 avril 2025), https://www.justice.gov/opa/media/1396346/dl?inline

[2] Voir 50 U.S.C. § 1705 ; voir également le décret présidentiel 14117, « Empêcher l'accès aux données personnelles sensibles des Américains et aux données liées au gouvernement des États-Unis par les pays concernés » (28 février 2024), https://www.federalregister.gov/documents/2024/03/01/2024-04573/preventing-access-to-americans-bulk-sensitive-personal-data-and-united-states-government-related

[3] La Maison Blanche, « American First Investment Policy » (Politique d'investissement « L'Amérique d'abord »), (21 février 2025), https://www.whitehouse.gov/presidential-actions/2025/02/america-first-investment-policy/; La Maison Blanche, « Fact Sheet: President Donald J. Trump Restores Maximum Pressure on Iran » (Fiche d'information : le président Donald J. Trump rétablit une pression maximale sur l'Iran), (4 février 2025), https://www.whitehouse.gov/fact-sheets/2025/02/fact-sheet-president-donald-j-trump-restores-maximum-pressure-on-iran/

[4] « PROGRAMME DE SÉCURITÉ DES DONNÉES : GUIDE DE CONFORMITÉ », ministère de la Justice (11 avril 2025), https://www.justice.gov/opa/media/1396356/dl

[5] Voir §§ 202.211(a)(1)-(5)

[6] Voir § 202.701

[7] Voir §§ 202.214, 202.258, 202.217 et 202.228.

[8] Voir § 202.222(a)(1)

[9] Voir § 202.222(b)

[10] Voir § 202.206

[11] Voir § 202.249

[12] Voir §§ 202.301-303

[13] Voir § 202.401

[14] Voir §§ 202.501-511

[15] Voir § 202.801

[16] Voir § 202.802

[17] Voir § 202.901

[18] Voir § 202.1301 ; voir également 50 U.S.C. § 1705.

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.