Loi sur la cybersécurité : la Chine construit sa nouvelle Grande Muraille

Strategy 28 septembre 2017

En Chine, la nouvelle loi sur la cybersécurité est entrée en vigueur en juin 2017. Cette loi précise les règles s’appliquant à la protection des informations personnelles et les sanctions associées, et définit les règles des transferts internationaux de données. Elle vise à standardiser les droits et les devoirs des opérateurs de réseau et établit un ensemble de directives claires concernant l’utilisation des données au sein du cyberespace chinois. Mais alors, cette nouvelle législation (qui concerne toutes les entreprises opérant en Chine) doit-elle inquiéter les multinationales et les entreprises de technologie occidentales ?

La gestion des données au sein du cyberespace chinois fait désormais l’objet de directives claires

La nouvelle loi sur la cybersécurité standardise les réglementations et obligations jusqu’alors en vigueur afin d’établir une véritable législation. Elle met en lumière les obligations des opérateurs de réseau, à savoir garantir la sécurité lors de l’utilisation de leurs produits et services. Si des risques venaient à être identifiés (comme des failles de sécurité, par exemple), les fournisseurs sont tenus de prendre des mesures immédiates. La loi précise également les exigences qui s’appliquent directement aux opérateurs, comme par exemple l’enregistrement de l’activité du réseau, la catégorisation et le chiffrement des données ainsi que la conservation des archives de logs serveur pendant au moins six mois.

Mais qui sont exactement les « opérateurs de réseau » dont il est question ?

L’expression fait référence aux propriétaires et aux administrateurs de réseau, comme les entreprises de télécommunications. Elle désigne aussi les fournisseurs de services en ligne qui utilisent les réseaux appartenant à et gérés par d’autres pour proposer des services, et notamment pour partager des informations. Les sites commerciaux disposant d’une licence ICP (les plateformes e-commerce, par exemple), les sites non commerciaux ayant suivi la procédure d’immatriculation ICP (comme les sites de marque officiels) et les sites d’informations en ligne sont également considérés comme des opérateurs de réseau.

La protection des informations personnelles constitue le fondement de la nouvelle loi sur la cybersécurité

Dans le Rapport 2016 sur la protection des droits des internautes chinois publié par l’Internet Society of China, on estime que l’année dernière les SMS indésirables, les escroqueries par e-mail et la fuite d’informations personnelles ont entraîné des pertes de l’ordre de 91,5 milliards de yuans (soit environ 12 milliards d’euros) et touché 688 millions d’internautes chinois. La protection des données personnelles est aujourd’hui un problème urgent à régler. Cette loi, ainsi que l’importance qu’elle accorde à la protection des informations personnelles, fait suite à une affaire de fraude qui a fait scandale en Chine. En effet, une étudiante est décédée d’une crise cardiaque après avoir été victime d’une fraude consécutive à la divulgation de ses informations personnelles.

Si la loi ne définit pas clairement la notion d’« informations personnelles », on considère généralement qu’il s’agit des informations qui permettent d’identifier personnellement un individu (c’est la notion de PII). Avec la nouvelle législation, l’utilisation des informations personnelles est soumise aux principes de « légalité, légitimité et nécessité ». La loi limite de manière drastique la collecte, le transfert et toute autre utilisation des informations personnelles collectées par les opérateurs de réseau :

  • Légitimité et nécessité : la collecte des données personnelles doit être justifiée par le service fourni ;
  • Légalité : la collecte des données personnelles ne doit enfreindre aucune loi ou réglementation ;
  • Stricte confidentialité : la divulgation ou la dégradation d’informations personnelles est strictement interdite ;
  • Consentement préalable : les opérateurs sont tenus d’obtenir le consentement des personnes concernées lors de la collecte des informations personnelles ou lors de leur partage avec un tiers ;
  • Sanctions : les opérateurs qui ne respectent pas les normes de protection en matière de cybersécurité pourront se voir infliger une amende pouvant atteindre un million de yuans (environ 130 000€*).

Suite au fait divers à l’origine de cette loi, le gouvernement chinois a mis en place une commission d’enquête spéciale afin d’enquêter sur le problème grandissant des fuites d’informations personnelles. De nombreux acteurs du Big Data ont fait face à cette enquête et certains d’entre eux pourraient bien avoir des choses à se reprocher. Juste avant l’entrée en vigueur de la loi sur la cybersécurité, le vice-président d’une entreprise du Big Data cotée en bourse (Datatang) a été arrêté et fait aujourd’hui l’objet d’une enquête.

Un coup d’arrêt à la libre circulation des données ?

Les nouvelles réglementations concernant les transferts internationaux de données sont une véritable source de préoccupations pour l’ensemble des entreprises internationales implantées en Chine.

La loi stipule en effet que « les informations personnelles et les données stratégiques produites et collectées par des opérateurs dans le cadre de leurs activités sur le territoire chinois doivent être conservées en Chine ». Cette clause a suscité l’inquiétude des entreprises et donné lieu à de nombreuses interrogations. Le cabinet en charge des affaires de cybersécurité en Chine a souhaité clarifier la situation lors d’une conférence de presse : « Le transfert international de données n’est pas interdit mais il doit au préalable obtenir l’autorisation du gouvernement et des utilisateurs concernés. »

Malgré les protestations de certaines entreprises internationales concernant ces nouvelles dispositions, il faut reconnaître que le transfert international de données fait l’objet de discussions depuis de nombreuses années dans la sphère juridique, et plus particulièrement en Occident. Dès 2009, l’Union européenne a adopté la « Directive vie privée » qui établit des principes similaires à la législation chinoise en termes de consentement. Aujourd’hui, l’accord Privacy Shield conclu entre l’Union européenne et les États-Unis permet aux entreprises américaines d’exploiter des données dans le cadre de leurs services transfrontaliers, à la condition que les échanges de données transatlantiques respectent les lois européennes et suisses en termes de protection de la vie privée.

Les nouvelles réglementations sur le stockage des données pourraient bien avoir un impact majeur sur les stratégies data et sur l’organisation de nombreux groupes internationaux implantés en Chine. Plusieurs entreprises leaders de la tech, dont Apple, ont rapidement pris des mesures pour se conformer à la nouvelle législation. Ainsi, Apple a annoncé la création prochaine d’un nouveau data center iCloud dans la province de Guizhou, en Chine. À terme, les iClouds des utilisateurs d’Apple en Chine devraient donc être stockés sur le territoire chinois.

L’esprit de la loi chinoise sur la cybersécurité repose sur un contexte local spécifique et a pour but d’adapter la loi à une société digitale en permanente évolution. Au sein des entreprises, les données sur les consommateurs sont de plus en plus utilisées pour appuyer la prise de décisions stratégiques, le développement de produits et la réussite des opérations commerciales et marketing. L’arrivée en Chine de multinationales comme Procter & Gamble, à la fin des années 80, a d’ailleurs contribué à insuffler les bienfaits d’une approche data-driven auprès des entreprises chinoises.

Cette loi sur les données, attendue depuis longtemps, ouvre la voie d’un nouveau monde d’opportunités pour l’ensemble des acteurs du monde digital. Les multinationales ont su réagir très rapidement ces derniers mois pour s’adapter à la nouvelle législation, comme nous l’avons montré avec le cas Apple. En tant qu’entreprise spécialisée dans les données, 55 aide les marques à développer des stratégies digitales et data efficaces sur le marché chinois, en phase avec leur stratégie client mondiale. Nous les aidons à mettre en place des stratégies data gagnantes, en construisant et en exploitant un patrimoine de données qui alimentera la croissance de leurs activités en Chine. Contactez-nous pour en savoir plus !

 

Traduit de l’anglais par Hélène Livet. 

Vous reprendrez bien une tasse de thé ?