Contrairement au RGPD, la loi cyber-sécurité chinoise ne se contente pas de protéger les données personnelles de ses nationaux. La notion de cybersécurité renvoie aux « mesures nécessaires pour prévenir les cyberattaques, intrusions, interférences, destructions, usages illégaux, accidents inattendus, pour garantir la stabilité et la fiabilité des réseaux » (1). Le domaine de la loi est élargi, prévoyant un cadre global visant à réglementer la sécurité sur Internet, à protéger les informations personnelles et sensibles, et à protéger la sécurité et la souveraineté nationales dans l’espace cybernétique (National cyberspace sovereignty and security).
Me Philippe LEMELLETIER avocat à Bordeaux, conseiller du Commerce Extérieur de la France, commissaire en chef des Armées © Atelier Gallien – Echos Judiciaires Girondins
ACTE I
Par souci de clarté, la loi précise la définition de « donnée à caractère personnel » comme se référant à « tout type d’information, enregistré par voie électronique ou de toute autre manière qui, considérée seule ou conjointement avec d’autres informations, permet d’identifier une personne, […] » (2).
Comme la plupart des entreprises sont dotées de technologies collectant et traitant de telles données, ne serait-ce que dans les domaines de gestion des relations clients ou encore de ressources humaines par exemple, cette loi affecte potentiellement un très grand nombre d’entrepreneurs, y compris les entreprises étrangères.
L’enjeu de conformité à cette loi est d’autant plus important que les sanctions peuvent être sévères, les entreprises défaillantes risquant des amendes allant jusqu’au décuple des profits engendrés illégalement, la fermeture de leurs activités en ligne, la perte de leur licence commerciale, voire l’emprisonnement ; tandis que des récompenses sont accordées aux lanceurs d’alertes dénonçant les situations de défaillance des entreprises.
Il convient dès lors de déterminer quelles entreprises sont concernées par la loi cybersécurité pour que celles-ci puissent se conformer au régime qui s’applique à elles.
Les entreprises défaillantes risquent des amendes allant jusqu’au décuple des profits engendrés illégalement :
La loi cybersécurité distingue les entreprises qui collectent ou traitent des données personnelles en « opérateurs de réseau » et en « opérateurs d’infrastructure d’informations critiques » en fonction de leur type et de leurs domaines d’activité notamment. La catégorie des opérateurs de réseau inclut les propriétaires, gestionnaires et fournisseurs réseaux (3), ce qui tend à incorporer toute entreprise qui fournit des services à travers l’utilisation d’un réseau internet, soit de nos jours, la plupart des entreprises.
La catégorie des opérateurs d’infrastructure d’informations critiques n’a pas de définition précise, mais inclurait les entreprises appartenant à des secteurs stratégiques (tels que les télécommunications, la finance, l’énergie, les transports… (4)) ou exploitant une plateforme informatique. Mais encore, cette catégorie englobe les entreprises dont le volume des données collectées ou traitées dépasse un certain seuil soit 1 000 GB vers l’étranger ou bien si une brèche dans leur sécurité réseau est susceptible d’entraîner des dommages dont le montant dépasserait un autre seuil correspondant à une amende variant entre 10 000 RMB et 100 000 RMB. Enfin, toute entreprise n’appartenant pas à cette catégorie, mais collectant ou traitant des données pour le compte d’un opérateur d’informations critiques.
La distinction entre ces deux catégories a en réalité perdu de son intérêt dès lors que des dispositions annexes ont renforcé les obligations pesant sur les opérateurs de réseaux, les rapprochant ainsi du régime des opérateurs d’infrastructure d’informations critiques. Néanmoins des différences subsistent, ces derniers étant contraints par exemple de nommer un officier de sécurité certifié par l’Administration chinoise du cyberespace, comparable au délégué à la protection des données coopérant avec la Cnil en France, ou encore de subir des contrôles de sécurité par ladite administration lors d’achats de produits et services réseaux.
Dans un chapitre de la loi relatif à la sécurité de l’information, l’accent est mis sur la protection des données personnelles proprement dites. Une place importante est accordée au consentement de l’utilisateur dont les données sont sujettes à traitement. Leur collecte, usage, partage ne peut se faire sans son accord et en cas de dommage ou de fuite de ces données, l’utilisateur doit être alerté. Il doit pouvoir demander à toute entreprise défaillante de supprimer les données recueillies le concernant.
© Shutterstock
NOTION DE « DONNÉES IMPORTANTES »
Un projet de mesures ajoute la notion de « données importantes », c’est-à-dire celles étant susceptibles d’affecter directement la sécurité nationale, l’économie, la stabilité sociale, ou la santé publique, en cas de fuite ; ainsi que la notion de « données personnelles sensibles », c’est-à-dire celles dont la fuite, la publication ou l’abus pourrait aisément mettre en péril la sécurité des personnes ou de leurs biens, conduire à souiller la réputation d’autrui ou encore à un traitement discriminatoire. Les opérateurs de réseaux, collectant de telles données importantes ou données personnelles sensibles, sont tenus de désigner un responsable chargé de mettre en œuvre un programme de protection de ces données, gérer les plaintes relatives à ces données, ou encore communiquer avec les autorités nationales telle que l’Administration chinoise du cyberespace (5).
PROCÉDURES D’AUTO-ÉVALUATION
Enfin, référence est faite aux procédures d’auto-évaluation, d’agrément, et mesures de sécurité dont la mise en œuvre incombe aux entreprises, avec plus d’exigences envers celles appartenant à la catégorie des opérateurs d’infrastructures d’informations critiques (qui doivent notamment stocker les données de leurs utilisateurs sur des serveurs en Chine). Ainsi, avant tout transfert de données personnelles ou importantes hors de Chine, l’opérateur d’infrastructures d’informations critiques doit procéder à une auto-évaluation visant à garantir la sécurité des données et obtenir l’approbation de l’autorité nationale compétente. Un projet de texte a néanmoins rapproché les régimes des deux catégories (6) : dans les mêmes circonstances, un opérateur de réseau doit respecter les mêmes contraintes en cas de transfert de données importantes, il n’a en revanche pas besoin de rechercher l’approbation d’une autorité nationale concernant le transfert de données personnelles à l’extérieur.
ACTE II
Mais si le RGPD a pour vocation de protéger la vie privée des Européens contre la divulgation incontrôlée de leurs informations, l’intention de la loi cybersécurité, dans un contexte où la Chine développe des outils de reconnaissance faciale et de crédit social, est sans doute moins louable.
Les entreprises sont encouragées à « promouvoir l’idéologie du Parti communiste chinois »
En outre, il est à relever qu’avant d’offrir leurs services, les entreprises doivent également s’assurer de la réelle identité de leurs clients ou utilisateurs. Cette disposition semble d’autant moins anodine qu’elle est susceptible d’entraver la liberté d’expression, puisque les données collectées peuvent être délivrées aux autorités nationales quand elles le demandent (quoique ce n’est pas une surprise).
SKYPE ET WHATSAPP MARQUÉES AU FER ROUGE
De même, l’exigence du stockage des informations sur des serveurs en Chine et la coopération avec les autorités nationales suscite la polémique, puisque le secret des affaires s’en retrouverait compromis. C’est ainsi que les applications de messagerie en ligne Skype et WhatsApp, ayant refusé de stocker les données de leurs utilisateurs en Chine, furent marquées au fer rouge.
Par des mesures entrées en vigueur le 1er juin 2020, la Chine vise à s’assurer de la sécurité de la chaîne d’approvisionnement des infrastructures d’informations critiques et à garantir la sécurité nationale. Ceci par un examen de cybersécurité auquel doivent se soumettre les opérateurs et qui permet aux autorités chinoises de s’assurer que toutes les informations véhiculées par les dits opérateurs seront bien lisibles par les autorités. La boucle est bouclée (7). Tout au moins ou pourrait le penser.
© Shutterstock
ACTE III
Une nouvelle réglementation est apparue en Chine, cette fois ci officialisant des pratiques de censure. La Chine a promulgué le 1er mars 2021 un nouvelle « loi de régulation de l’Internet » qui se réfère entre autre à la « loi sur la sécurité nationale ». Cette nouvelle réglementation présente un caractère idéologique par la promotion des valeurs du Parti communiste chinois. Le régime chinois de cybersécurité insiste encore plus sur la sécurité des réseaux et la protection des données en Chine.
Cette nouvelle réglementation présente un caractère idéologique par la promotion des valeurs du Parti communiste chinois
Par les articles 11 et 5 de la nouvelle réglementation, le gouvernement chinois incite les producteurs de contenus d’informations à reproduire et publier des « informations conformes aux principes de l’État chinois ». Les entreprises sont encouragées à « promouvoir l’idéologie du Parti communiste chinois, ainsi que ses décisions, et ses projets » et à « renforcer l’influence de la culture chinoise dans le monde et montrer la Chine véritable ». Toutes les entreprises doivent désormais se soumettre à cette nouvelle loi. Les entreprises sont aussi fortement « conseillées » de promouvoir le soft-power de la Chine à travers sa culture.
L’État chinois sollicite aussi aux entreprises à orienter ses utilisateurs vers une direction idéologique qui convient à l’image positive de la Chine et de ses intérêts. Autrement dit, le gouvernement chinois voudrait que les internautes se focalisent seulement sur les aspects positifs du pays. Cette nouvelle réglementation limite beaucoup plus la liberté d’expression en Chine. Cependant, la Chine considère que le fait de se conformer aux règles fixées par le Parti, est une marque de respect pour la culture chinoise.
En effet, cette nouvelle loi « interdit aux internautes du publier du contenu négatif », ceux-ci doivent « promouvoir tout autre contenu qui parle de bon goût, de style et de responsabilité, qui fait l’éloge de la vérité, de la bonté et de la beauté, qui promeut l’unité et la stabilité » (8). Il est illégal de diffuser du contenu portant atteinte à l’honneur et aux intérêts de la Nation. Les internautes sont encouragés à « célébrer les valeurs fondamentales du socialisme, promouvoir l’excellente culture morale et l’esprit du temps chinois » et « décrire avec justesse l’esprit de combat de la Nation chinoise ».
« MORALITÉ SOCIALE »
Toute personne et organisation utilisant des réseaux, doit obligatoirement respecter la Constitution et les lois. De plus, le gouvernement chinois encourage à respecter la « moralité sociale », cela veut dire que les internautes ne doivent pas mettre en danger la cybersécurité, afin de ne pas atteindre l’honneur national et les intérêts nationaux. « Les produits et services du réseau doivent être conformes aux exigences nationales et obligatoires applicables » (9). L’article 11 de la nouvelle réglementation « encourage aussi toutes les plateformes de services à adhérer » à ce que le gouvernement chinois définit comme étant « l’orientation de la valeur principale » de l’État chinois, tels que les principes de l’énergie positive ou du leitmotiv (10).
Ces mesures de cybersécurité globale, combinées avec la « nouvelle loi sur la cryptographie » entrée en vigueur le 1er janvier 2020, vont permettre à la Chine de contrôler des données dans le monde entier. Cette nouvelle loi chinoise sur la cryptographie vise à « faciliter le développement du secteur de la cryptographie et à assurer la sécurité du cyberespace et de l’information ». En effet, « les entreprises étrangères devront remettre à Pékin les clés de cryptage, qui sont essentielles pour protéger la confidentialité des informations transmises et stockées sur les réseaux, rendant ainsi ces réseaux transparents pour le régime communiste chinois » (11). Cette dernière mesure est à rapprocher de la réglementation française issue de la loi « LEN » du 21 juin 2004, le nouveau dispositif règlementant les « moyens et prestations de cryptologie ».
En conclusion, cette nouvelle réglementation impose des exigences quant au respect de la culture chinoise qui limitent la liberté d’expression de l’individu. L’entrée en vigueur de la nouvelle loi s’inscrit dans la continuité de la loi sur la cybersécurité de 2016. Certaines dispositions au sein de la loi font toutefois figures de nouveautés et apparaissent comme une expression renouvelée de la volonté de la Chine de préserver sa sécurité nationale.
(1) Article 2 de la loi cybersécurité du 7 novembre 2016 – (2) Article 76.5 de la loi cybersécurité du 7 novembre 2016 – (3) Article 76.3 de la loi cybersécurité du 7 novembre 2016 – (4) Article 31 de la loi cybersécurité du 7 novembre 2016 – (5) Article 18 du Projet de mesures pour la protection des données du 28 mai 2019 – (6) Article 6 du Projet de mesures du 19 mai 2017 – (7) « China Issued Measures for Cybersecurity Review » article du 29 avril 2020 publié sur Huntin Privacy Blog – (8) Article 5 de la loi cyber du 1er mars 2021 – (9) Article 22 de la loi cybersecurité du 7 novembre 2016 – (10) « Réglementer Internet pour le rendre conforme aux caractéristiques culturelles chinoises » article du 15 avril 2021 publié sur Revue Politique et parlementaire (O. Hassid et J. Wong) – (11) « De nouvelles règles de cybersécurité permettent à la Chine de contrôler des données dans le monde entier » article du 13 janvier 2020 publié sur The Epoch Times.