IA et liste noire : OpenAI et Google accusés d'avoir vendu leurs modèles à des entités chinoises sous sanctions américaines

Depuis plusieurs années, le gouvernement américain durcit son régime de contrôle des exportations technologiques vers la Chine, notamment via l'Entity List de l'Export Administration Regulations (EAR) et les sanctions OFAC. Ces listes visent à empêcher le transfert de technologies sensibles - dont les outils IA avancés - à des entités jugées menaçantes pour la sécurité nationale. Parallèlement, OpenAI et Google ont bâti des plateformes d'accès à leurs modèles via API, accessibles mondialement avec des procédures de vérification clients (KYC) dont la robustesse est régulièrement questionnée. Le rapport du Financial Times met en lumière une faille potentiellement systémique dans ces procédures.
La nature des entités concernées : Entity List ou sanctions OFAC ? La distinction est cruciale
L'Entity List regroupe des entreprises et organisations pour lesquelles un accord d'exportation spécifique est requis. Les sanctions OFAC désignent des entités avec lesquelles toute transaction commerciale est interdite. Si les groupes chinois identifiés par le FT relèvent des sanctions OFAC, l'exposition juridique d'OpenAI et Google est maximale — les amendes peuvent atteindre plusieurs centaines de millions de dollars.
La responsabilité des procédures KYC des plateformes IA
OpenAI et Google commercialisent leurs modèles via des API accessibles en self-service, avec des processus d'inscription et de vérification qui reposent largement sur la bonne foi déclarative des clients. Des entités déterminées à contourner les restrictions peuvent utiliser des intermédiaires, des filiales domiciliées hors de Chine, ou de fausses identités. La question est de savoir si OpenAI et Google ont mis en place des contrôles suffisants pour détecter ces contournements.
L'impact sur la confiance institutionnelle et les contrats gouvernementaux
OpenAI et Google sont tous deux engagés dans des programmes de collaboration avec des agences gouvernementales américaines et des entités de défense. Un scandale de vente de modèles à des entités blacklistées fragilise directement ces relations et peut compromettre les renouvellements de contrats ou les certifications FedRAMP.
La dimension géopolitique : la guerre technologique sino-américaine prend un nouveau tournant
Cet incident s'inscrit dans un contexte de tensions croissantes sur le contrôle des technologies IA. La Chine a développé ses propres modèles de langue avancés (DeepSeek, Baidu Ernie, etc.), mais l'accès aux modèles américains de pointe reste stratégiquement précieux. Pour les décideurs politiques américains, cet épisode alimentera les appels à un durcissement réglementaire des conditions d'accès aux API IA.
Les implications pour les entreprises clientes européennes et françaises
Les sociétés qui utilisent les API OpenAI ou Google pour des services B2B dans des pays tiers doivent être conscientes que la conformité export de leur fournisseur d'IA est désormais un critère de due diligence. Si un fournisseur est sanctionné ou fait l'objet d'une enquête gouvernementale, les perturbations de service peuvent être immédiates et les implications contractuelles complexes.
Implicationsréglementaires, commerciales et diplomatiques immédiates
L'affaire rapportée par le Financial Times est potentiellement l'une des plus importantes de l'année pour l'écosystème IA mondial. Elle pose des questions fondamentales sur la capacité des grandes plateformes IA à gérer leurs obligations de conformité à l'export à l'échelle mondiale, et sur la suffisance des procédures KYC dans un environnement self-service. Les DSI et directeurs juridiques des entreprises utilisant ces API doivent dès aujourd'hui évaluer leur exposition et leurs options alternatives.
TL;DR
Le Financial Times révèle qu'OpenAI et Google auraient vendu des accès à leurs modèles IA à des groupes chinois figurant sur les listes noires américaines, ouvrant une crise de conformité majeure pour les deux leaders du secteur.
- Les entités concernées figurent sur les listes de restriction à l'export américaines, ce qui expose OpenAI et Google à des sanctions potentiellement massives selon la nature exacte des groupes visés.
- Les procédures KYC des plateformes API IA en self-service sont mises en cause : leur robustesse face aux contournements via intermédiaires est insuffisante.
- Pour les entreprises clientes B2B, cet incident impose d'intégrer le risque réglementaire fournisseur dans leur stratégie de sourcing IA.
Questions fréquentes
Qu'est-ce que l'Entity List américaine et en quoi concerne-t-elle les fournisseurs IA ?
L'Entity List est une liste publiée par le Bureau of Industry and Security (BIS) du département du Commerce américain. Elle recense des personnes, entreprises ou organismes pour lesquels des restrictions spécifiques d'exportation de technologies s'appliquent. Vendre des technologies contrôlées — dont les modèles IA avancés peuvent relever — à des entités figurant sur cette liste sans licence préalable est une violation des Export Administration Regulations (EAR) et peut entraîner de lourdes amendes administratives et pénales.
Comment des groupes chinois blacklistés peuvent-ils accéder à des API IA américaines en contournant les contrôles ?
Les techniques courantes incluent l'utilisation de filiales enregistrées dans des pays tiers non soumis aux mêmes restrictions, le recours à des intermédiaires commerciaux locaux, ou la souscription via des identités ou entités légales fictives. Les plateformes IA en self-service, conçues pour une expérience d'inscription rapide et fluide, sont particulièrement vulnérables à ces contournements si les contrôles KYC ne croisent pas en temps réel les listes de sanctions.
Quelles mesures les entreprises françaises utilisant des API OpenAI ou Google doivent-elles prendre ?
En premier lieu, elles doivent surveiller l'évolution de la situation réglementaire aux États-Unis concernant ces deux fournisseurs. Ensuite, il est recommandé d'évaluer des alternatives — déploiement on-premise de modèles open-source, fournisseurs européens comme Mistral AI — pour les usages les plus sensibles. Enfin, les équipes juridiques et compliance doivent intégrer une clause de monitoring du statut réglementaire des fournisseurs IA dans leurs contrats et politiques de gestion des risques tiers. ---