Loi chinoise sur la cyber sécurité : introduction pour les personnes d’affaires étrangères

Posted by Reading Time: 8 minutes

Écrit par : Leo Zhao et Lulu Xia de Grapevine Asia Partners

Traduit par : Vincent Bonhaume

La loi sur la cybersécurité de la République populaire de Chine (« the Cybersecurity Law » ou « The Law ») est officiellement entrée en vigueur le 1er juin 2017. La loi et ses règlements ont suscité de vives discussions depuis son adoption. Cet article fournit un résumé structuré sur les aspects clés de la loi.

Qu’est-ce que la loi sur la cybersécurité ?

La loi sur la cybersécurité est une étape importante pour la législation sur la cybersécurité en Chine continentale et sert de « loi fondamentale » dans son domaine. La Loi est une évolution des règles et règlements de cybersécurité existant à différents niveaux et domaines, les assimilant pour créer une loi structurée au niveau global.

La loi offre également des normes de principe sur certaines questions qui ne sont pas immédiatement urgentes, mais qui ont une importance certaine à long terme. Ces normes serviront de référence juridique lorsque de nouveaux problèmes se poseront.

La loi sur la cybersécurité prévoit également des réglementations et des définitions détaillées sur la responsabilité juridique. Pour différents types de comportement illégal, la loi prévoit une série de sanctions, telles que des amendes, la suspension pour la rectification, la révocation des permis et des licences commerciales, parmi d’autres. La loi accorde donc aux autorités chargées de la cybersécurité et de l’administration des droits et des directives pour l’application de la loi en cas d’actes illégaux.

Comment la loi sur la cybersécurité s’applique-t-elle aux entreprises ?

Le terme « cybersécurité » utilisé dans la loi sur la cybersécurité doit être comprit au sens large, ce qui signifie qu’elle comprend non seulement la sécurité Internet, mais aussi la sécurité de l’information, la sécurité des communications, la sécurité informatique, l’automatisation et la sécurité du système de contrôle. De manière significative, les entreprises concernées par la loi sur la cybersécurité ne se limitent pas à celles de l’industrie des technologies de l’information (TI).

La loi a une large influence sur toutes les entreprises qui emploient des réseaux ou des systèmes d’information dans leurs opérations. Selon les articles connexes de la loi, les entreprises peuvent être grossièrement class`ées en « opérateurs de réseau » et en « opérateurs d’infrastructure d’informations critiques (CII) » en fonction des types d’entreprises et de leurs domaines d’activité.

La première préoccupation des entreprises examinant la loi est donc d’identifier leur catégorie et d’apprendre les obligations et responsabilités correspondantes.

Opérateurs de réseau définis

La loi sur la cybersécurité définit les opérateurs de réseau comme des propriétaires de réseau, des gestionnaires et des fournisseurs de services réseau. En effet, de nos jours, la grande majorité des entreprises employant des réseaux sont en phase avec la définition des opérateurs de réseau et sont donc soumises à des responsabilités et obligations correspondantes.

En d’autres termes, la plupart des entreprises seront définies comme des opérateurs de réseau et les obligations pertinentes s’appliqueront à celles-ci.

Opérateurs CII définis

À l’heure actuelle, il n’existe pas de lignes directrices claires sur la définition de la CII. Conformément à la loi sur la cybersécurité, le Conseil d’État définit la portée de la CII et de ses mesures de protection de la sécurité. Selon la Loi, un point de référence clé de la définition de la CII est de déterminer si les dommages éventuels, la perte de fonction ou les fuites de données des installations connexes des entreprises constitueraient une menace importante pour la sécurité nationale et les intérêts publics.

Par conséquent, les grandes entreprises ayant une importance critique dans les industries – telles que l’énergie, les transports, la conservation de l’eau et les finances – seront très probablement définies comme des CII.

À l’heure actuelle, les autorités administratives du cyberespace collaborent avec d’autres ministères pour formuler le Règlement sur la protection de la sécurité de la CII, qui fournira une définition détaillée de la portée de la CII. Après avoir assumé la responsabilité et les obligations des opérateurs de réseau, la CII devra remplir des obligations plus strictes, telles que la création d’agences spécialisées de gestion de la cybersécurité, ainsi que la réalisation d’évaluations annuelles de la cybersécurité.

Comment la loi sur la cybersécurité affecte-t-elle les entreprises ?

Comme mentionné, la loi sur la cybersécurité est la « loi fondamentale » et le sommet de la législation pyramidale sur la cybersécurité. Naturellement, sous la pointe de la pyramide, il existe diverses subdivisions de soutien des règles, des méthodes et des directives afin que la loi puisse être comprise et appliquée de manière exhaustive. Par exemple, le Règlement sur la protection de la sécurité de la CII mentionné ci-dessus est l’un des règlements de soutien.

Les autorités sont actuellement préoccupées par une série de lois et de règlements favorables à la loi, tels que les mesures d’évaluation de la sécurité du transfert transfrontalier de renseignements personnels et de données importantes. Après la formulation et l’adoption graduelles de règlements de soutien, les entreprises seront en mesure de demander des directives de conformité beaucoup plus détaillées.

La plupart des problèmes de conformité en matière de cybersécurité d’entreprise sont toujours définis par des lois et règlements antérieurs, plutôt que par la loi sur la cybersécurité. En conséquence, les entreprises sont invitées à déterminer les problèmes de conformité les plus pertinents et les solutions correspondantes. Les VPN et la sécurité des données sont deux des principales préoccupations de conformité pour la plupart des entreprises.

Conformité VPN

Le VPN est un problème existant depuis longtemps, plutôt qu’une nouvelle préoccupation déclenchée par la loi sur la cybersécurité. Les autorités ont depuis longtemps mis en œuvre diverses lois pour réglementer le fonctionnement et l’utilisation des VPN. Néanmoins, avant l’entrée en vigueur de la loi sur la cybersécurité, l’application de la loi était relativement souple et bon nombre d’entre elles ne prêtaient pas attention à la conformité aux VPN.

Suite à l’introduction de la loi sur la cybersécurité, les sociétés multinationales ont commencé à attacher plus d’importance à l’utilisation des VPN, car les autorités ont donné des ordres pour « nettoyer » l’utilisation des VPN. Conformément à la législation en vigueur, les entreprises sont autorisées à utiliser le VPN à des fins de travail interne, à condition toutefois qu’elles achètent des services VPN auprès de fournisseurs sous licence et qu’elles enregistrent l’utilisation de leur VPN.

Au printemps 2017, le ministère de l’Industrie et de la Technologie de l’information (MIIT) a publié l’Avis sur la rectification du secteur des services d’accès Internet, notifiant les mesures contre les fournisseurs de services VPN illégaux, qui était également connu sous le nom de « nettoyage ». Récemment, les médias d’état ont signalé un nouveau contrôle planifié des VPN au printemps 2018.

Lors d’une récente conférence de presse, l’ingénieur en chef du MIIT Zhang Feng a réitéré que les objectifs de nettoyage sont limités aux entreprises illégales, aux particuliers opérant sans l’approbation des autorités et aux personnes opérant sans qualifications pour exploiter des services réseau internationaux. Zhang Feng a également fait remarquer que les entreprises peuvent louer un accès Internet international à leur fournisseur de services réseau, affirmant que le transfert de données transfrontières légal ne sera pas affecté.

Fait intéressant, en juillet 2017, un certain fournisseur de VPN en provenance de la Chine continentale a prétendu être le « premier fournisseur de services RPV commerciaux autorisés par le MIIT en Chine ». Cela a amené le MIIT à publier une annonce de clarification, déclarant que les soi-disant autorisations, licences et documents de marketing connexes de cette entreprise étaient complètement falsifiés. Les entreprises devraient donc faire preuve de diligence lors de la sélection d’un fournisseur de services.

Conformité de sécurité des données

Les observateurs législatifs notent que la sécurité des données sera la première priorité de la prochaine phase de la législation sur la cybersécurité. En conséquence, les entreprises peuvent procéder à des ajustements de conformité proactifs afin d’être mieux préparés à prendre des initiatives au cours des prochaines évolutions législatives.

Les informations personnelles et la protection des données feront l’objet de la prochaine étape de la réglementation de la loi. Au cours de la première moitié de 2017, l’Administration du cyberespace de Chine a sollicité des commentaires sur les mesures d’évaluation de la sécurité du transfert transfrontalier de renseignements personnels et de données importantes.

D’après le projet d’invitation à soumettre, il convient de noter que les autorités attachent une grande importance à la sécurité de ces deux types de données, notamment en ce qui concerne le transfert de données transfrontières. À cet égard, les entreprises pourraient vouloir évaluer leurs opérations pour identifier les aspects liés aux données personnelles ou importantes.

Actuellement, la définition des « données personnelles » est fragmentée dans diverses lois et réglementations. Beaucoup s’attendent à ce qu’il y ait une définition plus centralisée et plus détaillée des « données personnelles » à formuler à l’avenir. En ce qui concerne les « données importantes », il est clairement stipulé dans la loi que les autorités industrielles et administratives compétentes seront chargées de formuler des définitions détaillées et différenciées sur la portée des « données importantes » dans diverses industries.

La surveillance des données peut généralement être comprise comme la collecte, le stockage, la transmission et l’utilisation des données. La collecte de données personnelles par les entreprises pendant les opérations est largement débattue. De nombreuses entreprises cherchent maintenant des solutions pour rester conformes lors de la collecte de données personnelles pendant les opérations. Certains choisissent d’adapter la politique de confidentialité de leur site Web, par exemple en indiquant clairement la portée et le but de la collecte d’informations personnelles, ainsi que le stockage et l’utilisation des données collectées.

Apple lui, a été un peu plus loin. En juin 2017, Apple a annoncé son intention de créer un centre de cloud computing à Guizhou, en Chine ; la délocalisation de leur service iCloud en provenance de l’étranger a été effectuée afin de respecter les règles de stockage des données de la loi. Suite à cela, en Janvier 2018, Apple a annoncé à ses clients que les opérations iCloud en Chine continentale seront transférées à Cloud Guizhou Data Industry Development Co., Ltd, l’entreprise de partenariat cloud d’Apple.

Néanmoins, il convient également de souligner que la collecte de données personnelles ne se limite pas à la collecte directe en personne et comprend également des méthodes telles que la collecte inter-entreprises. Les méthodes employées lors de la collecte et de la transmission de renseignements personnels entre les entreprises sont toujours assujetties à des lois et à des règlements connexes – des analyses de cas et de situations spécifiques seront nécessaires pour trouver des solutions de conformité aux situations individuelles.

En conséquence, de nombreuses questions de conformité doivent être étudiées et résolues lors de l’application de la législation sur la sécurité des données au niveau global dans les opérations quotidiennes.

 

A propos de Grapewine Asia Partners

 

Grapevine-Logo-02

 

Grapevine Asia Partners est une société de recherche spécialisée dans la collecte de renseignements commerciaux, l’analyse et le conseil, les évaluations de sécurité, ainsi que la consultance sur les risques en Chine et dans d’autres pays asiatiques.

Grapevine Asia Partners propose la cartographie des parties prenantes, des évaluations réglementaires et politiques, généralement issues du durcissement des réglementations de l’industrie, ainsi que le renforcement de l’application des lois sur la corruption commerciale, fiscale, environnementale et cybersécurité. Le cabinet fournit une analyse détaillée du paysage opérationnel changeant, décrivant les motivations et l’intention des organismes de réglementation et des autorités à tous les niveaux, ainsi que des recommandations sur la meilleure façon de gérer les défis réglementaires.

Leo Zhao est un professionnel du droit chevronné et un avocat associé de Grapevine Asia. Leo a précédemment servi au sein d’une autorité d’application de la loi au niveau de l’Etat pendant plus d’une décennie, et fournit des conseils juridiques et autres dans divers instituts de recherche universitaires en Chine.

Lulu Xia est une consultante en affaires chez Grapevine Asia, principalement engagée dans des projets de recherche axés sur le renseignement pour des clients multinationaux. Lulu parle couramment l’anglais, le français, le japonais et le chinois.

A Propos de Nous

Asia Briefing Ltd. est une filiale de Dezan Shira & Associates. Dezan Shira est un cabinet spécialisé dans l’investissement direct étranger, fournissant à travers l’Asie des services de conseil juridique, fiscal et opérationnel, ainsi que des solutions en comptabilité, audit, et ressources humaines.

Vous pouvez nous contacter à china@dezshira.com ou télécharger notre brochure ici.

Restez informés des dernières nouvelles concernant les investissements et le milieu des affaires en Asie en souscrivant à notre newsletter.