CFIUS review : quand et comment respecter l’examen investissements étrangers

Qu’est-ce que CFIUS et pourquoi elle vous regarde directement

CFIUS est un comité interministériel américain créé pour examiner les investissements étrangers qui pourraient affecter la sécurité nationale. Directeur : le Département du Trésor. Membres : le Département de la Défense, le Département du Commerce, le FBI, et une douzaine d’autres agences. Son pouvoir : approuver, conditionner, ou rejeter un investissement étranger dans une entreprise américaine.

La clé : « sécurité nationale ». Ce n’est pas juste les armes ou les secrets militaires. C’est aussi les infrastructures critiques, les technologies sensibles, l’accès à des données personnelles massives, et de plus en plus : l’IA, les semi-conducteurs, les télécommunications, l’énergie. En d’autres termes, si votre investissement touche à peu près n’importe quoi d’important aux yeux du gouvernement américain, CFIUS va s’intéresser.

Pourquoi est-ce que j’insiste autant sur CFIUS ? Parce que les entreprises françaises—particulièrement dans l’aérospatiale, la défense, et les technologies critiques—en parlent beaucoup trop tard. Elles découvrent CFIUS après avoir négocié l’accord. À ce stade, revenir en arrière coûte cher. Mieux vaut comprendre le cadre avant d’investir du temps et de l’argent dans des négociations.

Les secteurs sensibles : quels investissements déclenchent une revue CFIUS

Voici la première question : votre secteur est-il susceptible de déclencher une revue CFIUS ?

Secteurs hautement sensibles :
Défense et aérospatiale (jets, missiles, systèmes de radar), télécommunications critiques, semi-conducteurs, énergie nucléaire, infrastructures critiques (électricité, eau, transport), et technologie d’IA/machine learning sensible à la sécurité. Si vous êtes dans l’un de ces domaines, une revue CFIUS est quasi-inévitable pour tout investissement significatif.

Secteurs modérément sensibles :
Logiciels et cybersécurité, robotique avancée, systèmes de surveillance, biotechnologies, industries de précision pour l’aéronautique. Ici, la revue CFIUS dépend du contexte : la structure de l’investissement, qui investit (gouvernement ? entité d’État ?), quel accès aux données/technologies cela donne.

Secteurs moins sensibles :
Services généraux, retail, hospitality, agriculture de base. Même ici, CFIUS peut intervenir si l’investisseur est d’État ou si l’entreprise cible a des contrats de défense.

Maintenant, la question qui change tout : quel type d’investissement proposez-vous ? Voici les trois scénarios.

Les trois scénarios d’investissement et leur exposition CFIUS

Scénario 1 : Investissement passif (moins de 10 % de participation)
Vous achetez une petite participation minoritaire sans siège au conseil, sans accès aux informations confidentielles, sans contrôle opérationnel. Exemple : vous investissez 2 millions d’euros pour une participation de 8 % dans une startup américaine de logiciels. Risque CFIUS : modéré. CFIUS examine surtout les participations actives, mais même une participation minoritaire peut être relevée si l’entreprise cible est sensible.

Scénario 2 : Investissement actif/contrôle minoritaire (10-50 %)
Vous achetez une part suffisante pour avoir un siège au conseil, pour influencer les décisions, pour accéder aux données et technologies. Risque CFIUS : très élevé. C’est presque certainement une revue complète. Durée estimée : 4-6 mois. Les agences gouvernementales voudront savoir exactement qui contrôlera quoi, quel accès vous aurez, quels secrets technologiques pourraient être exposés.

Scénario 3 : Acquisition de contrôle (plus de 50 %)
Vous prenez le contrôle complet de l’entreprise cible. Risque CFIUS : extrêmement élevé et requiert une notification obligatoire. Les agences gouvernementales examineront minutieusement vos intentions, la structure de propriété en France, toute implication gouvernementale, et tous les secrets technologiques/contrats de défense impliqués.

À retenir : ce n’est pas le montant de l’investissement qui déclenche CFIUS. C’est le type de contrôle et la sensibilité du secteur. Une acquisition de 30 millions dans un secteur sensible aura plus de risques qu’une acquisition de 500 millions dans un secteur banal.

Le processus CFIUS : timelines, exigences, et pièges

Vous avez un investissement à déclarer. Voici comment fonctionne concrètement le processus.

Étape 1 : Notification volontaire (jour 1-30)
Contrairement à ce que beaucoup croient, CFIUS n’est pas toujours obligatoire. Pour les investissements les moins sensibles, la notification est « volontaire ». Mais attention : volontaire ne veut pas dire « optionnel ». Si vous ne déclarez pas et que CFIUS le découvre après, les conséquences peuvent être sévères : annulation forcée de l’accord, amendes, voire poursuites criminelles pour implication dans une transaction non-déclarée affectant la sécurité nationale.

Stratégiquement, même si ce n’est pas obligatoire, notifier souvent vaut mieux que de se cacher. Une notification volontaire envoie un signal de bonne foi et vous permet de communiquer votre position avant que CFIUS ne développe ses propres inquiétudes.

Étape 2 : Examen préliminaire (30 jours)
Une fois que vous avez déposé votre notification, CFIUS a 30 jours pour faire un examen préliminaire. Durant cette période, les agences gouvernementales étudient votre accord, identifient les risques potentiels, et décident s’il faut une enquête plus approfondie. À la fin des 30 jours, trois résultats possibles :

– Approbation sans condition : rare, mais possible pour les investissements bénins. Vous pouvez fermer votre accord.

– Conditions imposées : plus courant. CFIUS approuve mais exige des modifications : divestiture partielle, restrictions sur l’accès aux données, limitations sur les transferts technologiques, audit externe, ou accord de sécurité spécifique.

– Enquête approfondie lancée : pour les cas sensibles. Vous entrez en Phase 2.

Étape 3 : Enquête approfondie (45 jours supplémentaires)
CFIUS approfondit son analyse. Les agences de sécurité (FBI, Defense Intelligence Agency) font des investigations plus poussées. Vous êtes probablement convié à des réunions avec les autorités, à expliquer votre modèle d’affaires, votre structure de gouvernance, vos liens potentiels avec d’autres entités. La tension monte. À la fin de cette phase, quatre résultats possibles :

– Approbation sans condition (rare)

– Approbation avec conditions (courant)

– Recommandation de divulgation au Président (très rare, réservé aux cas où CFIUS pense vraiment que l’accord menace la sécurité)

– Recommandation de blocage au Président

Si on arrive à une recommandation au Président, c’est du très sérieux. Le Président a alors 15 jours pour décider d’approuver, de bloquer, ou de demander une restructuration de l’accord. Les blocages présidentiels sont rares (moins de 1 % des dossiers), mais ils arrivent—particulièrement pour les investissements chinois ou russes, ou impliquant des secteurs critiques.

Timeline totale : entre 30 jours (examen rapide) et 150+ jours (enquête approfondie + escalade présidentielle). C’est pourquoi on dit souvent qu’il faut 4-6 mois pour une revue CFIUS—ce n’est pas une exagération.

Les conditions CFIUS courantes et comment les négocier

Voici les conditions que CFIUS impose régulièrement :

1. Accord de sécurité nationale (National Security Agreement)
CFIUS craint que vous transfériez des technologies sensibles ou des secrets commerciaux vers la France ou vers des tiers. Solution : un accord formel stipulant que certaines données/technologies resteront aux États-Unis, qu’elles seront cryptées, que seules certaines personnes y ont accès, que vous vous soumettrez à des audits externes. C’est contraignant mais gérable.

2. Limitations sur la gouvernance
CFIUS peut exiger que vous limitiez la représentation française au conseil d’administration, ou que certaines décisions critiques (R&D sensible, accès aux données clients sensibles) exigent l’approbation de représentants américains ou d’un administrateur indépendant approuvé par CFIUS.

3. Divestiture partielle ou complète de certains actifs
Si votre acquisition inclut des divisions ou des produits extrêmement sensibles, CFIUS peut vous demander de vous en défaire. Exemple : vous achetez une entreprise américaine qui fabrique des composants pour la défense ET des produits commerciaux. CFIUS peut dire : gardez la branche commerciale, mais vendez ou cédez la branche défense à une autre entité US approuvée.

4. Audit ou monitoring externe obligatoire
Une firme d’audit approuvée par CFIUS supervise certains aspects de votre investissement, avec rapport annuel au gouvernement. C’est du travail administratif supplémentaire, mais c’est moins coûteux qu’une bataille juridique.

La bonne nouvelle : ces conditions sont négociables. Avec une préparation adéquate, vous pouvez proposer des conditions alternatives que CFIUS trouvera acceptables. Par exemple, au lieu de limiter votre représentation au conseil, vous proposez un accord de sécurité plus strict. Au lieu de divulguer tous vos processus R&D, vous acceptez des audits externes réguliers.

Les erreurs qui coûtent cher aux entreprises françaises

Erreur 1 : Ignorer CFIUS jusqu’à la fin des négociations
Vous négociez un accord pendant six mois, il est prêt à être signé, et votre équipe légale dit : « Ah, il faut notifier CFIUS ». À ce stade, vous êtes piégé. Vous avez investi du temps, créé des attentes, et vous ne pouvez plus revenir en arrière sans perdre la face ou l’accord. Mieux : implorer CFIUS dès le début de vos discussions stratégiques avec le partenaire américain.

Erreur 2 : Penser que la France étant un allié OTAN, CFIUS ne s’intéressera pas
Complètement faux. CFIUS applique les mêmes normes rigoureuses aux alliés qu’aux autres pays. Être français ne vous donne aucun laissez-passer. Même les investissements britanniques ou canadiens peuvent déclencher des enquêtes approfondies dans des secteurs sensibles.

Erreur 3 : Mal décrire la structure de propriété ou l’implication gouvernementale
Si votre entreprise française est partiellement financée par des fonds publics, si elle a des partenariats avec Bercy ou la Défense française, vous devez le déclarer explicitement. Si vous le cachez ou le sous-estimez, CFIUS le découvrira et verra cela comme une tentative délibérée de contourner le processus. Cela peut transformer un dossier neutre en dossier hostile.

Erreur 4 : Accepter les premières conditions proposées sans expertise
CFIUS propose des conditions ? Ne les acceptez pas sans avoir d’abord consulté un cabinet d’avocats spécialisé. Certaines conditions semblent inoffensives mais créent des problèmes opérationnels majeurs six mois plus tard. Une bonne négociation peut les clarifier ou les alléger.

Comment préparer votre dossier CFIUS : checklist pratique

Mois 1 : Évaluation précoce

Avant même de signer une lettre d’intention :

• Consultez un cabinet spécialisé en CFIUS (oui, c’est une spécialité légale distincte)
• Évaluez la sensibilité de votre secteur et du secteur de la cible
• Documentez votre structure de propriété actuelle en France (qui sont vos actionnaires ? y a-t-il de financement public ?)
• Listez tous les contrats de défense, d’infrastructure critique, ou sensibles que vous avez

Mois 2-3 : Préparation du dossier

Une fois la structure d’accord approuvée :

• Rédigez une description détaillée de votre modèle d’affaires et de vos intentions post-acquisition
• Préparez une analyse de vos technologies et données : lesquelles sont sensibles ? Lesquelles vont croiser la ligne de CFIUS ?
• Réfléchissez proactivement aux protections que vous pourriez accepter (accord de sécurité, limitations de gouvernance, etc.)
• Connectez-vous avec le cabinet légal qui prépare le dossier CFIUS officiel

Mois 4 : Notification

Préparez votre notification CFIUS officielle :

• Formulaire court (certains petits investissements) ou dossier détaillé (investissements sensibles)
• Inclure la structure d’accord, les termes financiers, la gouvernance post-acquisition, les implicatoins de sécurité
• Avoir un plan de communication avec le gouvernement américain
• Désigner un point de contact légal unique

Mois 5-6 : Examen et réponse

Durant le processus CFIUS :

• Soyez réactif si CFIUS pose des questions supplémentaires
• Participez activement aux réunions proposées
• Soyez transparent sur les intentions, les risques, les mitigations
• Avec votre cabinet légal, proposez des conditions alternatives si CFIUS semble hostile

CFIUS versus ITAR : comment les deux régimes s’interconnectent

Voici un point que peu d’entreprises comprennent : CFIUS et ITAR ne sont pas indépendants.

Vous avez un investissement sensible en aérospatiale. CFIUS va examiner non seulement si cet investissement crée un risque de sécurité en soi, mais aussi si cela pourrait vous permettre d’exporter des technologies contrôlées par ITAR vers des pays non autorisés. En d’autres termes, si vous êtes sur le radar CFIUS, votre conformité ITAR revêt une importance accrue.

C’est pourquoi j’insiste : traitez CFIUS et ITAR ensemble. Une PM qui maîtrise ITAR mais bâcle sa notifiez CFIUS, c’est une PME qui crée involontairement des risques. Inversement, bien gérer CFIUS sans anticiper ITAR vous laisse vulnérable à des complications ultérieures.

Pour plus de détails sur ITAR, consultez notre guide complet sur la réglementation ITAR.