Contrairement au RGPD, la loi cyber-sécurité chinoise ne se contente pas de protéger les données personnelles de ses nationaux. La notion de cybersécurité renvoie aux « mesures nécessaires pour prévenir les cyberattaques, intrusions, interférences, destructions, usages illégaux, accidents inattendus, pour garantir la stabilité et la fiabilité des réseaux » (1). Le domaine de la loi est élargi, prévoyant un cadre global visant à réglementer la sécurité sur Internet, à protéger les informations personnelles et sensibles, et à protéger la sécurité et la souveraineté nationales dans l’espace cybernétique (National cyberspace sovereignty and security).
ACTE I
Par souci de clarté, la loi précise la définition de « donnée à caractère personnel » comme se référant à « tout type d’information, enregistré par voie électronique ou de toute autre manière qui, considérée seule ou conjointement avec d’autres informations, permet d’identifier une personne, […] » (2).
Comme la plupart des entreprises sont dotées de technologies collectant et traitant de telles données, ne serait-ce que dans les domaines de gestion des relations clients ou encore de ressources humaines par exemple, cette loi affecte potentiellement un très grand nombre d’entrepreneurs, y compris les entreprises étrangères.
L’enjeu de conformité à cette loi est d’autant plus important que les sanctions peuvent être sévères, les entreprises défaillantes risquant des amendes allant jusqu’au décuple des profits engendrés illégalement, la fermeture de leurs activités en ligne, la perte de leur licence commerciale, voire l’emprisonnement ; tandis que des récompenses sont accordées aux lanceurs d’alertes dénonçant les situations de défaillance des entreprises.
Il convient dès lors de déterminer quelles entreprises sont concernées par la loi cybersécurité pour que celles-ci puissent se conformer au régime qui s’applique à elles.
Les entreprises défaillantes risquent des amendes allant jusqu’au décuple des profits engendrés illégalement :
La loi cybersécurité distingue les entreprises qui collectent ou traitent des données personnelles en « opérateurs de réseau » et en « opérateurs d’infrastructure d’informations critiques » en fonction de leur type et de leurs domaines d’activité notamment. La catégorie des opérateurs de réseau inclut les propriétaires, gestionnaires et fournisseurs réseaux (3), ce qui tend à incorporer toute entreprise qui fournit des services à travers l’utilisation d’un réseau internet, soit de nos jours, la plupart des entreprises.
La catégorie des opérateurs d’infrastructure d’informations critiques n’a pas de définition précise, mais inclurait les entreprises appartenant à des secteurs stratégiques (tels que les télécommunications, la finance, l’énergie, les transports… (4)) ou exploitant une plateforme informatique. Mais encore, cette catégorie englobe les entreprises dont le volume des données collectées ou traitées dépasse un certain seuil soit 1 000 GB vers l’étranger ou bien si une brèche dans leur sécurité réseau est susceptible d’entraîner des dommages dont le montant dépasserait un autre seuil correspondant à une amende variant entre 10 000 RMB et 100 000 RMB. Enfin, toute entreprise n’appartenant pas à cette catégorie, mais collectant ou traitant des données pour le compte d’un opérateur d’informations critiques.
La distinction entre ces deux catégories a en réalité perdu de son intérêt dès lors que des dispositions annexes ont renforcé les obligations pesant sur les opérateurs de…