Entrée en Vigueur au 1er Juin de la Nouvelle Loi Chinoise sur la Cybersécurité

Posted by Reading Time: 6 minutes

Écrit par : Dezan Shira & Associates

Traduit par : Alan Hervé

Malgré l’entrée en vigueur prochaine au 1er Juin de la loi sur la cybersécurité en Chine, de nombreuses entreprises ne sont toujours pas certaines de bien saisir les modalités de cette loi. Compte tenu des lourdes conséquences entrainées par le non-respect des dispositions légales, et des incertitudes entourant les lignes directrices qui seront publiées par le gouvernement, il est conseillé aux responsables de revoir les projets de mesures et de suivre avec attention les développements afférents afin de s’assurer que leur entreprise est prête.

Loi chinoise sur la Cybersécurité

Promulguée le 7 novembre 2016 par le Comité Permanent du Congrès National Populaire Chinois, la loi sur la cybersécurité renforce la compétence du gouvernement au niveau national en ce qui concerne la cybersécurité.

Les dispositions de cette loi s’appliquent en particulier aux « infrastructures essentielles d’information » (« Critical Information Infrastructure » ou « CII ») définies comme étant les industries clés détenant des informations dont la destruction et la perte pourraient causer un problème de sécurité nationale ou menacer l’intérêt public. Les entreprises des secteurs de l’énergie, de la finance, du transport, des télécommunications, de la médecine et de la santé, de l’électricité, de l’eau, du gaz, et de la sécurité sociale ont été identifiées comme étant des CII.

D’après Michael Mudd d’Asian Policy Partners : « La loi indique que ces industries clés ne doivent pas utiliser des produits de réseau ou des services n’ayant pas été approuvés par l’examen de sécurité. De plus, les produits de réseau et les services achetés par les opérateurs qualifiés de CII et pouvant affecter la sécurité nationale, doivent également passer l’examen de sécurité ». M. Mudd ajoute également que : « Les départements en charge de la protection de la sécurité des CII détermineront les achats de produits de réseau ou de services par des opérateurs CII qui sont considérés comme affectant la sécurité nationale ».

En général, la loi sur la cybersécurité met l’accent sur la protection des données, et crée le concept de « souveraineté du cyberespace ». L’idée de souveraineté du cyberespace repose sur l’hypothèse que chaque pays peut gérer son propre environnement internet.

Examen des projets de mesures

Le 4 février 2017, l’Administration chinoise du cyberespace (« Cyberespace Administration of China » ou « CAC ») a publié un projet de loi – Mesures pour le contrôle de la sécurité des produits de réseau et des services (les projets de mesures) – fournissant un aperçu sur la façon dont les autorités mettront en œuvre les contrôles de sécurité prévus par la loi sur la cybersécurité. Une période de consultation d’un mois ouverte au public a été mise en place concernant ces projets de mesures ; cette consultation s’est terminée le 4 mars 2017 mais les résultats n’ont pas encore été publiés.

D’après ces projets de mesures, les produits et services concernés seront soumis à une évaluation de sécurité focalisée sur le fait de savoir si les produits sont « sécurisés et maîtrisables », un concept auparavant appliqué au secteur de la banque et des télécommunications, mais sans interprétation claire posée pour les autres secteurs. La procédure de contrôle inclura une évaluation couvrant les risques suivants :

  • Risques que les produits ou services soient illégalement contrôlés, perturbés ou suspendus ;
  • Risques encourus durant le développement, la livraison ou l’assistance technique du produit ou du service ;
  • Risques que le fournisseur des produits ou des services soit complice de concurrence déloyale et compromette les intérêts des utilisateurs du fait de l’usage des produits ou services ; et
  • Tout autre risque pouvant porter atteinte à la sécurité nationale ou menacer l’intérêt public.

L’évaluation de sécurité peut être initiée sur demande d’une agence gouvernementale, d’une association de commerce, ou suite à un incident sur le marché ou une soumission volontaire de la part de l’entreprise. La CAC établira une commission tenue de mener les opérations de contrôle de la sécurité. Cette commission travaillera avec des institutions tierces afin de mener les évaluations.

Les évaluations de sécurité  incluront des vérifications des antécédents, des tests en laboratoire, des enquêtes sur place, et de la surveillance en ligne. Cependant, les projets de mesures ne précisent pas quels types d’informations la commission ou les parties tierces pourront demander, et ne prévoient pas de procédure d’appel dans le cas où le produit ou le service serait refuse.

D’après Thomas Zhang, Directeur de l’IT chez Dezan Shira & Associates, le contrôle de sécurité sera vraisemblablement requis pour les grandes sociétés – telles que Tencent ou Alibaba – car leurs infrastructures IT collectent des données personnelles qui sont largement utilisées.

Exigence de localisation des données

Outre les contrôles de sécurité, une autre mesure controversée relevée par les entreprises étrangères au sein de la loi sur la cybersécurité concerne les exigences de localisation des données. D’après l’article 37, toutes les informations personnelles et autres données clés produites et rassemblées par les sociétés CII doivent être stockées sur des serveurs situés en Chine continentale. S’il est nécessaire de transférer des données en dehors de la Chine continentale, les sociétés doivent préalablement recevoir l’autorisation du gouvernement et subir une évaluation de sécurité.

Les sanctions attachées au non-respect de ces différentes règles sont de différentes sortes : avertissement dans un premier temps, possible fermeture d’un site web, révocation d’un permis, et amendes allant de 50 000 RMB à 500 000 RMB (soit de 7 250 dollars américains à 72 500 dollars américains) pour les entreprises ; et de 10 000 RMB à 100 000 RMB (soit de 1 450 dollars américains à 14 500 dollars américains) pour les personnes physiques.

Cependant, M. Zhang affirme que la nécessité de localisation des données ne posera pas nécessairement un grand risque : « Je pense qu’un problème majeur provient du fait que le gouvernement peut obtenir les informations dans certaines situations si les données sont stockées en Chine. Cependant, de nos jours, il est difficile pour le gouvernement d’obtenir les informations – de plus en plus de sociétés utilisant les services de stockage dans le cloud pour lesquels même les opérateurs de la plateforme cloud ne peuvent localiser les données à l’intérieur de leur système ».

De plus, bien que l’exigence de localisation des données tente d’améliorer la sécurité desdites données, cela ne garantie pas une parfaite sécurité. M. Mudd recommande plutôt d’adhérer aux standards internationaux de sécurité tels que les normes IOS 27001, 27002, 27017 et 27018, et de mettre en œuvre des normes de gouvernance interne relatives à l’IT dans les sociétés.

D’un point de vue international, M. Mudd déclare : « Assurer une conformité avec les modèles de contrats de l’Union Européenne et les règles d’entreprise contraignantes (« Binding Corporate Rules » ou « BCR ») ou avec les règles de protection de la vie privée posées par la Coopération économique de la zone Asie-Pacifique (APEC) auxquelles la Chine contribue, pourrait fournir une clarté commerciale à cette partie de la loi ».

Exigences incombant aux opérateurs de réseau

D’après la loi, les sociétés doivent dorénavant mettre en place des structures et des protocoles pour mieux protéger leurs données et les données de leurs utilisateurs. En particulier, il leur est demandé de mettre en place un système de sécurité à plusieurs étages de protection du réseau, système que M. Zhang décrit comme suit « : « Une seule structure ou architecture de système de sécurité, qui doit inclure différents facteurs ou éléments dans l’optique de former un système de sécurité visant à protéger les informations ».

De plus, les réseaux de la société doivent également comporter les éléments suivants :

  • Un système de gestion interne de la sécurité et des règles opérationnelles ;
  • Des personnes responsables de la sécurité du réseau et de sa mise en œuvre :
  • Des mesures technologiques visant à prévenir les virus sur ordinateurs et les attaques de réseaux, etc ;
  • Des mesures technologiques visant à surveiller et enregistrer les statuts opérationnels du réseau, et un historique du réseau, et à stocker pendant au moins 6 mois les accès au réseau ;
  • Adopter des mesures de sécurité telles que la classification des données, les sauvegardes des données, et le cryptage ; et
  • Autres exigences prévues par la loi ou les autorités administratives.

Afin d’assurer une meilleure préparation en vue de faire face à toutes ces exigences, M. Zhang préconise trois étapes basiques :

  • L’installation de logiciels et de matériels informatiques tels que des pare-feu ou des systèmes de détection des intrusions, en vue de sécuriser les installations ;
  • Des procédures et des politiques de sécurité prévoyant des objectifs de sécurité et des moyens de mise en œuvre des mesures prédéfinies ;
  • Des équipes chargées de la sécurité pouvant mener des procédures visant à contrôler les risques.
  1. Zhang ajoute que : « La société peut facilement comparer ses propres pratiques, appareils et procédures avec des standards. Elle peut également demander un audit IT externe ».

Examen et évaluation des infrastructures IT existantes

La nouvelle loi sur la cybersécurité est un important développement, révélant de quelle façon la Chine souhaite continuer à gérer les problèmes de sécurité des données, et de quelle façon le pays veut développer sa souveraineté du cyberespace. Cette loi a des conséquences significatives pour les entreprises opérant en Chine, et met en œuvre des nouvelles nécessités de mise en conformité dont les sociétés doivent se tenir informées, notamment quand le gouvernement publiera de plus amples details.

Afin de mieux se préparer pour le 1er juin, les entrepreneurs devraient analyser et évaluer leurs infrastructures actuelles, ainsi que leur champ d’activité, et vérifier le type d’informations qu’ils collectent sur leurs clients. De plus, il serait bon de considérer de nouvelles solutions opérationnelles, telles que des vendeurs domestiques et des fournisseurs qui pourraient être utilisés afin de créer des infrastructures en Chine en conformité avec la nouvelle loi sur la cybersécurité.

 

À Propos de Nous

Dezan Shira est un cabinet spécialisé dans l’investissement direct à l’étranger, fournissant à travers l’Asie des services de conseil juridique, fiscal et opérationnel, ainsi que des solutions en comptabilité, audit, et ressources humaines.

Vous pouvez nous contacter à china@dezshira.com ou télécharger notre brochure ici.

Restez informés des dernières nouvelles concernant les investissements et le milieu des affaires en Asie en souscrivant à notre newsletter.