Période de contestation de 4 jours concernant les exigences KYC des services Internet

Résumé des règles sur le programme d’identification des clients et les exemptions pour les fournisseurs IaaS

• Tous les fournisseurs IaaS américains doivent établir et mettre en œuvre un programme écrit d’identification des clients (CIP) satisfaisant au minimum aux exigences requises
• Le CIP doit inclure des procédures de collecte des informations d’identification des clients et des bénéficiaires effectifs, de vérification de l’identité des clients étrangers et des bénéficiaires effectifs, de conservation des informations et de notification aux clients concernant la communication de ces informations
• Les fournisseurs IaaS doivent collecter auprès des clients étrangers potentiels et des bénéficiaires effectifs au minimum des informations telles que le nom, l’adresse, le moyen/source de paiement du compte, l’e-mail, le numéro de téléphone et l’adresse IP
• Les fournisseurs IaaS doivent établir des procédures fondées sur le risque pour vérifier, par des moyens documentaires ou non documentaires, l’identité des clients étrangers et des bénéficiaires effectifs
• Le CIP doit également inclure des procédures de réponse aux situations où l’identité du client ne peut pas être vérifiée
• Tous les enregistrements des informations obtenues lors du processus de vérification de l’identité des clients doivent être conservés de manière sécurisée pendant au moins 2 ans, avec des procédures limitant l’accès des tiers
• Les fournisseurs IaaS doivent également exiger des revendeurs étrangers qu’ils maintiennent et appliquent un CIP, et fournir au département du Commerce une copie du CIP du revendeur dans les 10 jours sur demande
• Les relations commerciales avec des revendeurs étrangers non conformes doivent être interrompues dans un délai de 30 jours

Résumé des exigences de déclaration du CIP

• Tous les fournisseurs IaaS doivent soumettre un formulaire de certification du CIP afin d’informer le département du Commerce de la mise en œuvre de leur propre CIP et de celui de leurs revendeurs étrangers
• Le CIP doit être revu et mis à jour chaque année, puis recertifié, et tout changement important intervenant entre-temps doit être notifié au département du Commerce
• Les nouveaux fournisseurs IaaS doivent soumettre le formulaire de certification du CIP avant de fournir le service, et doivent également notifier l’ajout de nouveaux revendeurs étrangers
• Les informations CIP des revendeurs étrangers doivent être collectées et soumises chaque année au département du Commerce

Résumé de l’évaluation de conformité au CIP

• Le département du Commerce peut demander et examiner une copie du CIP d’un fournisseur IaaS, et notifier les insuffisances à corriger
• Le département du Commerce évalue le niveau de risque et procède aux contrôles de conformité sur la base de ses propres évaluations ou des informations soumises par les fournisseurs IaaS
• Selon les résultats du contrôle de conformité, il peut recommander des mesures d’atténuation du risque ou des mesures spéciales

Résumé des règles d’exemption au CIP

• Le secrétaire au Commerce peut accorder une exemption aux exigences du CIP pour des fournisseurs IaaS, des types de comptes, des locataires, des revendeurs étrangers, etc.
• Les fournisseurs IaaS peuvent demander une exemption aux exigences du CIP en établissant un programme de prévention des abus des produits IaaS (ADP)
• L’ADP doit inclure des politiques et procédures d’identification, de détection, de réponse et de mise à jour régulière des indicateurs de risque
• Pour conserver l’exemption, les modifications de l’ADP doivent être notifiées chaque année au département du Commerce, et l’exemption peut être retirée à tout moment

Résumé des mesures spéciales visant certains pays ou certains ressortissants étrangers

• Le secrétaire au Commerce peut imposer des mesures spéciales s’il estime qu’un pays donné ou certains ressortissants étrangers sont impliqués dans des activités cyber malveillantes exploitant des produits IaaS américains
• Ces mesures peuvent inclure l’interdiction ou l’imposition de conditions à l’ouverture de comptes pour des ressortissants étrangers dans ce pays, ainsi que l’interdiction ou la limitation de l’ouverture de comptes pour certains ressortissants étrangers
• La décision d’imposer ou non des mesures spéciales, ainsi que leur nature, est prise après une évaluation globale des facteurs pertinents

Résumé des exigences de déclaration pour l’entraînement de grands modèles d’IA

• Les fournisseurs IaaS doivent signaler au département du Commerce, dans un délai de 15 jours, toute transaction d’entraînement de grands modèles d’IA dont ils ont connaissance et qui pourrait être exploitée pour des activités cyber malveillantes par des ressortissants étrangers
• Les revendeurs étrangers sont soumis à la même obligation de déclaration, et les fournisseurs IaaS doivent transmettre ces informations au département du Commerce dans les 30 jours
• À la demande du département du Commerce, un rapport de suivi fournissant des informations supplémentaires doit être soumis dans les 15 jours
• En cas de découverte d’erreurs, un rapport corrigé doit être soumis dans les 15 jours
• Le rapport doit inclure des informations sur le client étranger et sur l’entraînement concerné
• Les fournisseurs IaaS doivent faire des efforts raisonnables pour que les revendeurs étrangers respectent également cette exigence

Résumé de l’application des sanctions en cas de violation des règles

• Les actes interdits incluent l’absence d’établissement ou de maintien d’un CIP, la non-conformité au CIP des revendeurs, ainsi que le non-respect des interdictions ou suspensions liées à l’entraînement de grands modèles d’IA
• Faire de fausses déclarations au département du Commerce constitue également une infraction
• En vertu de l’IEEPA, des sanctions civiles pouvant aller jusqu’à 250 000 dollars par infraction, ou le double du montant de la transaction en cause si ce montant est supérieur, peuvent être imposées
• En cas de violation intentionnelle, une amende pouvant aller jusqu’à 1 million de dollars ou une peine d’emprisonnement pouvant aller jusqu’à 20 ans peuvent être prononcées
• D’autres sanctions civiles ou pénales prévues par le droit américain peuvent également s’appliquer

Avis de GN⁺

Cette réglementation semble viser à obliger les fournisseurs IaaS américains à identifier et vérifier les clients étrangers afin d’empêcher que leurs services ne soient utilisés pour des activités cyber malveillantes. Elle semble aussi refléter les inquiétudes liées à l’utilisation de l’IaaS pour l’entraînement de grands modèles d’IA.

Du point de vue des fournisseurs IaaS, la charge liée à la collecte et à la vérification des informations clients ainsi qu’à la conservation des dossiers risque d’augmenter fortement. La vérification des clients étrangers peut s’avérer difficile, et des questions de confidentialité sont également prévisibles. Les relations contractuelles avec les revendeurs étrangers seront elles aussi affectées.

D’un autre côté, le gouvernement semble chercher à renforcer son contrôle sur le marché de l’IaaS et à bloquer les menaces pour la sécurité nationale. Les dispositions sur les mesures spéciales ciblant certains pays ou acteurs retiennent particulièrement l’attention et paraissent refléter les tensions géopolitiques.

Les dispositions relatives aux grands modèles d’IA semblent témoigner d’une prise de conscience accrue de la nature duale de l’IA. On y perçoit l’intention du gouvernement de surveiller les activités de développement de l’IA via l’IaaS. Cela peut être interprété comme une tentative de répondre aux nouveaux risques liés aux progrès technologiques.

Cette réglementation semble s’inscrire dans une recherche d’équilibre entre sécurité nationale et innovation technologique. Elle représente sans doute une charge pour les fournisseurs IaaS, mais pourrait à long terme contribuer à améliorer la solidité et la confiance du marché. Cela dit, une mise en œuvre prudente paraît nécessaire en raison des craintes qu’une réglementation excessive ne freine l’innovation.