Scroll to top of page

Loi sur la cybersécurité : la Chine construit sa nouvelle Grande Muraille

En Chine, la nouvelle loi sur la cybersécurité est entrée en vigueur en juin 2017. Cette loi précise les règles s’appliquant à la protection des informations personnelles et les sanctions associées, et définit les règles des transferts internationaux de données. Elle vise à standardiser les droits et les devoirs des opérateurs de réseau et établit un ensemble de directives claires concernant l’utilisation des données au sein du cyberespace chinois. Mais alors, cette nouvelle législation (qui concerne toutes les entreprises opérant en Chine) doit-elle inquiéter les multinationales et les entreprises de technologie occidentales ?

La gestion des données au sein du cyberespace chinois fait désormais l'objet de directives claires

La nouvelle loi standardise les réglementations et obligations jusqu’alors en vigueur afin d’établir une véritable législation. Elle met en lumière les obligations des opérateurs de réseau, à savoir garantir la sécurité lors de l’utilisation de leurs produits et services. Si des risques venaient à être identifiés (comme des failles de sécurité, par exemple), les fournisseurs sont tenus de prendre des mesures immédiates. La loi précise également les exigences qui s’appliquent directement aux opérateurs, comme par exemple l’enregistrement de l’activité du réseau, la catégorisation et le chiffrement des données ainsi que la conservation des archives de logs serveur pendant au moins six mois.

Mais qui sont exactement les « opérateurs de réseau » dont il est question ?
L’expression fait référence aux propriétaires et aux administrateurs de réseau, comme les entreprises de télécommunications. Elle désigne aussi les fournisseurs de services en ligne qui utilisent les réseaux appartenant à et gérés par d’autres pour proposer des services, et notamment pour partager des informations. Les sites commerciaux disposant d’une licence ICP (les plateformes e-commerce, par exemple), les sites non commerciaux ayant suivi la procédure d’immatriculation ICP (comme les sites de marque officiels) et les sites d’informations en ligne sont également considérés comme des opérateurs de réseau.

La protection des informations personnelles constitue le fondement de la nouvelle loi

Dans le Rapport 2016 sur la protection des droits des internautes chinois publié par l’Internet Society of China, on estime que l’année dernière les SMS indésirables, les escroqueries par e-mail et la fuite d’informations personnelles ont entraîné des pertes de l’ordre de 91,5 milliards de yuans (soit environ 12 milliards d’euros) et touché 688 millions d’internautes chinois. La protection des données personnelles est aujourd’hui un problème urgent à régler. Cette loi, ainsi que l’importance qu’elle accorde à la protection des informations personnelles, fait suite à une affaire de fraude qui a fait scandale en Chine. En effet, une étudiante est décédée d’une crise cardiaque après avoir été victime d’une fraude consécutive à la divulgation de ses informations personnelles.

Si la loi ne définit pas clairement la notion d’« informations personnelles », on considère généralement qu’il s’agit des informations qui permettent d’identifier personnellement un individu (c’est la notion de PIIPIILes Personnally Identifiable Information (PII) sont des informations spécifiques qui permettent d'identifier une personne de manière directe ou indirecte : son nom entier, son adresse, son mail, sa date de naissance, ou alors des ensembles de données anonymes qui permettent de l'identifier. Learn more). Avec la nouvelle législation, l’utilisation des informations personnelles est soumise aux principes de « légalité, légitimité et nécessité ». La loi limite de manière drastique la collecte, le transfert et toute autre utilisation des informations personnelles collectées par les opérateurs de réseau :

  • Légitimité et nécessité : la collecte des données personnelles doit être justifiée par le service fourni ;

  • Légalité : la collecte des données personnelles ne doit enfreindre aucune loi ou réglementation ; 

  • Stricte confidentialité : la divulgation ou la dégradation d’informations personnelles est strictement interdite ; 

  • Consentement préalable : les opérateurs sont tenus d’obtenir le consentement des personnes concernées lors de la collecte des informations personnelles ou lors de leur partage avec un tiers ; 

  • Sanctions : les opérateurs qui ne respectent pas les normes de protection en matière de cybersécurité pourront se voir infliger une amende pouvant atteindre un million de yuans (environ 130 000€*). 

Suite au fait divers à l’origine de cette loi, le gouvernement chinois a mis en place une commission d’enquête spéciale afin d’enquêter sur le problème grandissant des fuites d’informations personnelles. De nombreux acteurs du Big DataBig DataLe concept de big data s'est popularisé dans les années 2010 mais demeure néanmoins nébuleux. Il désigne les volumes de données (data) massifs que collectent les organisations, et qui sont aujourd'hui exploitables grâce aux progrès informatiques et technologiques. Les méthodologies du big data permettent d'obtenir maintes informations précieuses sur son activité et ses clients, et de prédire certains événements avec un indice de confiance assez élevé. Le secteur du marketing, notamment, s'est entièrement refondé pour faire face aux enjeux que représente la big data : en effet, c'est principalement la publicité et le digital qui génèrent mais aussi réutilisent ces données. Learn more ont fait face à cette enquête et certains d’entre eux pourraient bien avoir des choses à se reprocher. Juste avant l’entrée en vigueur de la loi sur la cybersécurité, le vice-président d’une entreprise du Big Data cotée en bourse (Datatang) a été arrêté et fait aujourd’hui l’objet d’une enquête.

Un coup d’arrêt à la libre circulation des données ?

Les nouvelles réglementations concernant les transferts internationaux de données sont une véritable source de préoccupations pour l’ensemble des entreprises internationales implantées en Chine.

La loi stipule en effet que « les informations personnelles et les données stratégiques produites et collectées par des opérateurs dans le cadre de leurs activités sur le territoire chinois doivent être conservées en Chine ». Cette clause a suscité l’inquiétude des entreprises et donné lieu à de nombreuses interrogations. Le cabinet en charge des affaires de cybersécurité en Chine a souhaité clarifier la situation lors d’une conférence de presse : « Le transfert international de données n’est pas interdit mais il doit au préalable obtenir l’autorisation du gouvernement et des utilisateurs concernés. »

Malgré les protestations de certaines entreprises internationales concernant ces nouvelles dispositions, il faut reconnaître que le transfert international de données fait l’objet de discussions depuis de nombreuses années dans la sphère juridique, et plus particulièrement en Occident. Dès 2009, l’Union européenne a adopté la « Directive vie privée » qui établit des principes similaires à la législation chinoise en termes de consentement. Aujourd’hui, l’accord Privacy Shield conclu entre l’Union européenne et les États-Unis permet aux entreprises américaines d’exploiter des données dans le cadre de leurs services transfrontaliers, à la condition que les échanges de données transatlantiques respectent les lois européennes et suisses en termes de protection de la vie privée.

Les nouvelles réglementations sur le stockage des données pourraient bien avoir un impact majeur sur les stratégies data et sur l’organisation de nombreux groupes internationaux implantés en Chine. Plusieurs entreprises leaders de la tech, dont Apple, ont rapidement pris des mesures pour se conformer à la nouvelle législation. Ainsi, Apple a annoncé la création prochaine d’un nouveau data center iCloud dans la province de Guizhou, en Chine. À terme, les iClouds des utilisateurs d’Apple en Chine devraient donc être stockés sur le territoire chinois.

L’esprit de la loi chinoise sur la cybersécurité repose sur un contexte local spécifique et a pour but d’adapter la loi à une société digitale en permanente évolution. Au sein des entreprises, les données sur les consommateurs sont de plus en plus utilisées pour appuyer la prise de décisions stratégiques, le développement de produits et la réussite des opérations commerciales et marketing. L’arrivée en Chine de multinationales comme Procter & Gamble, à la fin des années 80, a d’ailleurs contribué à insuffler les bienfaits d’une approche data-driven auprès des entreprises chinoises.

Cette loi sur les données, attendue depuis longtemps, ouvre la voie d’un nouveau monde d’opportunités pour l’ensemble des acteurs du monde digital. Les multinationales ont su réagir très rapidement ces derniers mois pour s’adapter à la nouvelle législation, comme nous l’avons montré avec le cas Apple. En tant qu’entreprise spécialisée dans les données, 55 aide les marques à développer des stratégies digitales et data efficaces sur le marché chinois, en phase avec leur stratégie client mondiale. Nous les aidons à mettre en place des stratégies data gagnantes, en construisant et en exploitant un patrimoine de données qui alimentera la croissance de leurs activités en Chine. Contactez-nous pour en savoir plus !

Translated from the original English by Hélène Livet

Want to learn more? Get in touch!

13-10-2017

close legal

À propos

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Donec a venenatis dolor, non ornare ligula. Nam ultricies elementum tellus, sed pulvinar libero egestas nec. Fusce facilisis nulla vestibulum, commodo neque eget, dapibus lacus. Aliquam neque felis, sagittis nec consequat sed, commodo ac ipsum. Sed neque tortor, semper quis viverra et, malesuada et eros. Donec at dui ut ligula pharetra aliquet. Etiam dapibus semper orci. Integer efficitur dolor tortor, nec mattis elit placerat vel. Ut nulla enim, lacinia in pharetra id, convallis vitae massa. Donec neque est, tincidunt non ullamcorper commodo, tincidunt non turpis. Pellentesque viverra enim a sapien placerat, ut volutpat mauris condimentum. Proin tincidunt sollicitudin dui, sit amet condimentum ante commodo a. Aenean posuere aliquam purus, sed aliquam magna sagittis finibus. Morbi molestie feugiat feugiat. Phasellus tempus in dolor vel maximus. Cras efficitur sagittis lorem porta iaculis. Maecenas sed hendrerit urna. In mattis posuere purus, sit amet placerat arcu posuere quis. Etiam nec arcu nec magna interdum maximus. Integer sit amet lacus neque. Curabitur interdum molestie magna, in scelerisque tellus iaculis sed. Sed nec metus ut purus efficitur laoreet a quis eros. Proin dui dui, dignissim eget risus sit amet, bibendum condimentum velit. Maecenas in justo eu elit eleifend consectetur. Aenean scelerisque fringilla sollicitudin. Nam sem nibh, pharetra nec lacus non, mollis interdum odio. Aliquam sollicitudin posuere nibh sed eleifend.

Édition

55 SAS, 5 — 7 rue d'Athènes

75009 Paris

+33 1 76 21 91 37

Hébergement

OVH SAS

2, rue Kellermann

59100 Roubaix

+33 8 20 69 87 65

Publication

Lan Anh Vu Hong

Crédits photo

Mats Carduner, Adobe Stock & Unsplash

Vous avez aimé nos nouvelles fraîches sur l'état du marché brandtech ? Inscrivez vous à notre newsletter