La Maison Blanche publie ses instructions pour la mise en place de programmes dédiés sur la sécurité de la recherche aux Etats-Unis

La Maison Blanche a publié un mémorandum le 9 juillet dernier donnant aux agences fédérales des lignes directrices concernant la mise en place de programmes de sécurité de la recherche au sein des universités et institutions de recherche financées par le gouvernement fédéral. Ce mémorandum fixe des normes minimales sur la manière dont les institutions de recherche doivent aborder les questions de cybersécurité, de sécurité de la recherche dans le cadre de voyages à l'étranger, la formation du personnel dans ce domaine et les risques posés par “le transfert inapproprié ou illégal de la R&D soutenue par le gouvernement américain vers des pays étrangers préoccupants”, notamment la Chine. Les agences doivent maintenant soumettre leurs plans de mise en œuvre à la Maison Blanche dans un délai de six mois pour une entrée en vigueur au plus tard dans les six mois qui suivent cette soumission. Les universités devront alors se conformer aux politiques mises en place dans les 18 mois suivant leur entrée en vigueur.
Sécurité de la recherche (Crédit photo: TheDigitalArtist)

Sécurité de la recherche (Crédit photo: TheDigitalArtist)

 

 

1/ Face à la compétition internationale, un équilibre à trouver entre ouverture et sécurité de la recherche 

 

Pour faire face aux risques d’ingérences étrangères et de menace du leadership américain en sciences et technologies, l’administration Biden-Harris continue de mettre en œuvre plusieurs mesures visant à améliorer la sécurité de la recherche tout en, “préservant l’ouverture qui a longtemps permis aux États-Unis d’occuper la première place dans le domaine de la R&D” [1]. Le gouvernement américain est convaincu qu’il est essentiel pour les Etats-Unis de préserver un environnement ouvert et collaboratif, y compris en attirant des talents internationaux dans les domaines scientifiques et technologiques, afin que le pays reste compétitif

 

Derrière ce discours, le gouvernement américain pointe du doigt la compétition stratégique de la Chine en termes de technologie et R&D qui, selon leurs termes, “exploite la collaboration internationale en matière de recherche en sapant des valeurs telles que la transparence, la responsabilité et la réciprocité”. Les Etats-Unis déploient, depuis plusieurs années maintenant, des mesures pour contrer les ingérences étrangères, ciblant en particulier la Chine, pour protéger la R&D américaine.

 

La Maison Blanche, dans la continuité des dispositions relatives à la sécurité de la recherche du National Security Presidential Memorandum 33 (NSPM-33) [2], du CHIPS and Science Act et dans la philosophie de l’Executive Order «Invent it Here, Make it Here», a publié un mémorandum début juillet qui fournit aux agences fédérales des lignes directrices concernant la mise en place de programmes pour renforcer la sécurité de la recherche au sein des universités et institutions de recherche financées par le gouvernement fédéral. 

 

Pour rappel, un mémorandum est un ordre présidentiel (équivalent le plus proche d’une déclaration du président français), similaire à un Executive Order (équivalent le plus proche d’un décret français) mais avec moins de formalités. En effet, ce dernier n’implique pas l’autorité juridique du président, n’exige pas de déclaration d’impact budgétaire et peut être limité dans le temps. Étant plus flexible, il est utilisé pour donner des directives aux agences fédérales pour leur indiquer comment interpréter et appliquer une loi fédérale mais il est moins contraignant juridiquement [3] [4] [5].

 

A travers ce mémorandum, la Maison Blanche demande aux agences fédérales de s’assurer  que les institutions de recherche garantissent avoir mis en place et gérer un programme de sécurité de la recherche dans leur institution, et ce “de manière à ne pas cibler, stigmatiser ou discriminer les individus sur la base de leur race, de leur appartenance ethnique ou de leur origine nationale” (pour autant la Chine est ciblée à plusieurs reprise dans le mémorandum). La Maison Blanche souhaite également s’assurer que les institutions de recherche assument leurs responsabilités en tant que “première ligne de défense contre les activités irrégulières ou illicites”. Le gouvernement américain met en avant le fait que la plupart des recherches universitaires sont destinées à être partagées à l’échelle mondiale mais que certaines recherches peuvent être proches d’applications ayant des implications pour la sécurité nationale. Le mémorandum cite pour exemple les actions que les chercheurs ont pu entreprendre il y a dix ans, avec la Chine notamment, qui sont “aujourd’hui reconnues pour les risques qu’elles peuvent présenter”. Les lignes directrices avertissent la communauté de chercheurs que les pratiques de certains pays étrangers (comprenez la Chine, la Russie, l’Iran et la Corée du Nord) diffèrent de celles des Etats-Unis, et qu’il faut trouver l’équilibre entre une ouverture de la recherche pour des bénéfices planétaires mais une protection de cette dernière contre des pratiques parfois abusives voire illégales

 

 

2/ Les exigences relatives au programme de sécurité de la recherche

 

Le mémorandum décrit dans un premier temps “l‘exigence standardisée” pour les “institutions couvertes” par des programmes de sécurité de la recherche. Les institutions couvertes (covered institution) étant définies comme des institutions de recherche (universités, laboratoires fédéraux, institutions de recherche à but non lucratif) recevant plus de 50 millions de dollars par an de fonds fédéraux

 

L’exigence standardisée (standardized requirement) demandent aux institutions couvertes de certifier que leurs programmes de sécurité de la recherche soient suivis par les personnes “couvertes” (i.e les chercheurs recevant des financements) et comprennent des éléments relatifs à:

 

1. La cybersécurité: via la mise en place d’un programme de formation à la cybersécurité, comme décrit dans le CHIPS and Science Act. Les universités devront se référer au programme proposé par le National Institute of Standards and Technology (NIST) et le mettre en place dans un délai d’un an suite à publication. Les autres instituts de recherche pourront se référer à un programme pertinent en matière de cybersécurité, soit du NIST, soit d’une autre agence fédérale de recherche. 

 

2. La sécurité des voyages à l’étranger: via (1) la mise en place d’une formation sur la sécurité des voyages à l’étranger à l’intention des personnes concernées, dans l’année qui suit la mise à disposition d’une telle ressource de formation par un organisme de recherche fédéral – il est précisé que cette formation devra être suivie au moins une fois tous les six ans ; (2) l’élaboration d’un programme de déclaration des voyages.

 

3. La formation à la sécurité de la recherche pour toutes les personnes “couvertes” afin de répondre aux besoins, défis et profils de risque de ces personnes: via un programme de la National Science Foundation (NSF) ou un programme équivalent conçu pour satisfaire aux exigences du CHIPS and Science Act. Ce programme doit (1) fournir des exemples explicites de comportements ayant entraîné un transfert inapproprié ou illégal connu de R&D financée par le gouvernement américain ; (2) communiquer sur l’importance de la participation des chercheurs américains aux découvertes mondiales, y compris via l’attraction de talents étrangers dans les institutions de recherche américaines, en tant que “principe fondamental du maintien du leadership international et de la sécurité nationale”.

 

4. La formation au contrôle des exportations pour les personnes “couvertes” qui effectuent des travaux de R&D impliquant des technologies dont l’exportation est contrôlée: via des formations ad-hoc administrées par exemple par le Bureau of Industry and Security du Department of Commerce. Le Directorate of Defense Trade Controls du Department of State dispose de ressources accessibles au public pour aider une institution à élaborer ses propres programmes. Ces formations doivent à minima être composées (1) des exigences américaines en matière de contrôle des exportations et de conformité ; (2) des exigences et des processus d’examen des partenaires étrangers.

 

 

3/ Les responsabilités des agences et les principes de mise en œuvre 

 

Le mémorandum exige des agences fédérales de recherche de:

  • communiquer de manière claire sur les attentes vis-à-vis des institutions concernées;
  • mettre en place des politiques maximisant la transparence;
  • exiger des mesures supplémentaires d’atténuation des risques au niveau des bourses de R&D;
  • s’assurer que les institutions concernées ont accès aux formations, au matériel et aux autres ressources nécessaires pour satisfaire aux exigences du programme de sécurité de la recherche. 

 

Les principes de mise en oeuvre de ces programmes sont les suivants, avec des indicateurs qui seront, a priori, à déterminer au cas par cas par les institutions:  

 

  • Être non-discriminatoire: Les agences fédérales de recherche doivent veiller à ce que les programmes de sécurité de la recherche qu’elles imposent aux institutions couvertes n’entraînent pas de ciblage, de stigmatisation ou de discrimination à l’encontre de personnes sur la base de la race, de la couleur, de l’origine ethnique, de la religion, du sexe (y compris la grossesse, l’orientation sexuelle ou l’identité de genre), de l’origine nationale, de l’âge (40 ans ou plus), du handicap ou de l’information génétique (y compris les antécédents médicaux de la famille). Les agences fédérales sont appelées à exiger des institutions concernées qu’elles certifient qu’elles ont mis en place des garanties pour protéger les droits des chercheurs, des étudiants et du personnel d’appui à la recherche ou qu’elles se conforment à ces exigences.


  • Être flexible: Les agences fédérales doivent laisser aux établissements couverts la possibilité de structurer leur programme de sécurité de la recherche de manière à répondre au mieux à leurs besoins particuliers à condition que l’établissement mette en œuvre tous les éléments requis du programme, afin de maximiser l’efficacité. 


  • Inclure la mise en place d’un mécanisme de certification: Les agences fédérales doivent exiger des institutions couvertes qu’elles « certifient qu’elles ont mis en place et gèrent un programme de sécurité de la recherche ». L’exigence de certification d’une institution couverte est satisfaite lorsque celle-ci fournit une attestation écrite ou électronique selon laquelle elle a satisfait aux exigences du programme de sécurité de la recherche.


  • Réduire la charge administrative: Les agences fédérales doivent, lors de l’élaboration des exigences du programme de sécurité de la recherche, réduire au minimum la charge administrative pesant sur les institutions et les personnes concernées, sans pour autant préciser d’indicateurs de réduction de cette charge, et être disponibles pour fournir l’assistance technique et les ressources qui leurs sembleraient nécessaires. 


  • Minimiser l’impact sur les petites institutions: Les agences fédérales doivent éviter de désavantager les institutions non couvertes au cours de la procédure d’attribution afin de faciliter une large participation à l’entreprise fédérale de recherche et de développement. 


  • Exigences supplémentaires: Les agences fédérales peuvent élaborer des exigences supplémentaires dans la limite des éléments suivants: (1) si les politiques sont exigées par la loi, la réglementation, le décret ou toute autre action exécutive ; (2) si des protections plus strictes sont nécessaires pour protéger la R&D qui comprend des informations classifiées, des technologies protégées, etc. ; (3) s’il existe d’autres raisons impérieuses spécifiques à l’agence. Ces exigences supplémentaires sont soumises à l’examen et à l’approbation de l’Office of Information and Regulatory Affairs (OIRA) de l’Office of Management and Budget (OMB). 

 

Les agences fédérales ont 6 mois pour soumettre à la Maison Blanche la mise à jour de leurs politiques concernant la sécurité de la recherche, pour une entrée en vigueur prévue au plus tard 6 mois après. Les institutions de recherches concernées, comme les universités, disposent ensuite d’un délai de 18 mois maximum après la date d’entrée en vigueur de ces politiques pour mettre en œuvre les exigences de ce mémorandum. 

 

Le gouvernement américain invite de plus les agences fédérales concernées à être attentives à la manière dont les programmes de sécurité de la recherche sont mis en œuvre et à étudier l’impact de ces programmes sur:

  • les institutions concernées ;
  • les personnes concernées et la communauté des chercheurs ;
  • la R&D financée par le gouvernement américain.

 

Le gouvernement avait reçu des critiques du Congrès sur le temps qu’il a fallu pour produire les lignes directrices finales, la version préliminaire datant de février 2023. L’Office of Science and Technology Policy de la Maison Blanche, qui a produit le mémorandum, avait expliqué que le retard était dû aux préoccupations vis-à-vis de l’alourdissement des charges des administrateurs et des chercheurs [6] lors de la mise en place de ces exigences. Le gouvernement est donc attentif aux impacts que vont engendrer ces programmes et des modifications au présent mémorandum pourront être apportées en fonction des retours d’information (sans qu’une échéance soit précisée). 

 

Rédactrice : 

Juliette Falewée, chargée de mission auprès de la conseillère scientifique, Ambassade de France à Washington D.C. [email protected]

 

Références : 

[1] OSTP-RSP-Guidelines-Memo.pdf (whitehouse.gov)

[2] Presidential Memorandum on United States Government-Supported Research and Development National Security Policy – The White House (archives.gov)

[3] Your cheat sheet for executive orders, memorandums and proclamations | PBSNews (pbs.org), 11 juillet 2019

[4] Presidential Directives: An Introduction (congress.gov), 13 novembre 2019

[5] Executive Orders, Memorandums and Proclamations: What Are They and How Do Presidents Use Them? I NBC New York (nbcnewyork.com), 19 juillet 2022

[6] White House Issues New Security Rules for Government-Funded Research I American Institute of Physics (AIP.org), 30 juillet 2024

Partager

Derniers articles dans la thématique