Loi de Cybersécurité en Chine

Décryptages
TAILLE DU TEXTE

gregory louvelComment gérer le risque Chine pour les sociétés internationales opérant en Chine ?

Un cadre juridique mouvant

Le 1 er Juin 2017, Loi sur la Cyber Sécurité (la Loi) est entrée en vigueur en Chine. La Loi pose les lignes directrices que le gouvernement central chinois va imposer aux entreprises actives dans la collecte de données personnelles et dans les infrastructures de réseau.

La Loi couvre les éléments clés du débat en matière de cybersécurité : la sécurité des réseaux, la protection des données personnelles, les infrastructures d’informations critiques et le transfert des données hors de Chine. Ces aspects transversaux affectent une multitude d’acteurs, notamment des entreprises étrangères opérant en Chine devant soudainement se conformer à une réglementation encore floue.

Protection et stockage des données personnelles des utilisateurs

Les « données personnelles » sont définies comme toute information prise individuellement ou en combinaison d’autres informations pouvant mener à l’identification d’un individu.

Pour toute opération commerciale recueillant des données provenant d’utilisateurs en Chine, toute « information personnelle ou jugée importante » collectée en Chine doit être physiquement stockée sur des serveurs localisés en Chine .

Un délai de grâce de 19 mois à compter du 1er Juin 2017 est accordé aux entreprises pour se conformer à la Loi.

Finalement, la Loi reconnait un « droit à l’oubli », pour les utilisateurs

Transfert transfrontaliers des données

Les transferts de données feront l’objet d’une réglementation spéciale dont un projet est en cours de discussion.

Il a longtemps été question de mettre en place un audit de sécurité automatique pour toutes les sociétés faisant des transferts de données supérieurs à 1,000 GB vers l'étranger Les moutures récentes du projet insistent désormais sur la nature ou l’utilisation des données, non pas la quantité.

Ledit projet précise également que les transferts de données dans le cadre interne de l'entreprise ne seront pas sujets aux obligations de contrôle si l'entreprise n'exploite pas ces données hors de Chine à titre commercial.

Réseaux sensibles et Internet des Objets

Les sociétés opérant dans l’industrie de l’Internet des Objets sont désormais considérées comme des opérateurs de réseaux.

Avec plus de 1,3 milliards d’appareils connectés en 2016, le développement de ce marché se fait bien souvent au détriment de la sécurité des données.

Les acteurs concernés sont désormais tenues d’obtenir un consentement explicite de la part des utilisateurs de leurs produits pour la collecte des données.

La question de la sécurité des réseaux et de la protection des données personnelles devient absolument critique pour les vendeurs et exploitants étrangers d’appareils connectés sur le marché chinois. Pour un fabricant d’objets connectés vendus en Chine, les données collectées en Chine sont soumises aux obligations de la Loi.

Sanctions et responsabilités civiles

La Loi liste un éventail clair de sanctions pour violation de la Loi telles que avertissement, saisie des gains acquis illégalement ou encore amende jusqu’à dix fois le montant des gains illégaux.

En cas de violation des provisions relatives à la protection des données personnelles, les responsables peuvent être soumis à une amende entre 10,000 RMB et 100,000 RMB.

Dans les cas jugés sérieux, les responsables peuvent être emprisonnées pour une période comprise entre 5 et 15 jours, et les opérateurs de réseaux peuvent se voir suspendre ou retirer le droit d’exploitation de leur site internet ainsi que leur licence commerciale.
Des amendes administratives peuvent atteindre jusqu’à 1 million RMB et les peines de prison jusqu’à deux ans fermes.

Conclusion

L’entrée en vigueur de la nouvelle Loi n’a rien de surprenant car elle a été précédée de nombreuses réglementations disparates. Certaines conditions au sein de la Loi font toutefois figures de nouveauté – tout en restant dans la tendance prédominante actuelle de contrôle et localisation – et apparaissent comme une expression renouvelée de la volonté de la Chine de préserver sa sécurité nationale. Comme il est souvent le cas en Chine, il est encore trop tôt pour apprécier pleinement les modalités d’application et les conséquences de la Loi. Il appartient donc au législateur de fournir des instructions plus détaillées quant à l’application pratique de la Loi. La rationalisation du marché jouera sans nul doute un rôle déterminant dans l’implémentation de la Loi.

Le délai de grâce accordé aux entreprises pour se conformer à la réglementation apparaît également comme une période nécessaire à la précision pratique de l'implémentation de ladite réglementation. Il appartient ainsi aux entreprises dans les industries concernées d'entamer une démarche proactive au regard des informations progressivement disponibles.

Grégory Louvel, Associé, LEAF