Par Christine Miles, Avocat à Pékin et Conseiller du commerce extérieur de la France – Membre du comité de pilotage du French Tech Hub de Pékin
La loi chinoise relative à la cyber-sécurité (la « LCS ») a été publiée le 7 novembre 2016 et est entrée en vigueur le 1er juin 2017. Comme bien souvent en Chine, les mesures d’application de la loi n’ont été que partiellement adoptées à ce stade et doivent en principe être adoptées dans un délai d’un an à compter de l’entrée en vigueur de la loi. La loi elle-même posant plus un cadre général que fixant des dispositions précises et claires, ses dispositions semblent de prime abord très vagues. Alors même que des mouvements analogues de publication de règlementations en matière de cyber-sécurité ont lieu dans d’autres pays à travers le monde, la publication de la LCS a provoqué en Chine des réactions très vives des représentations des entreprises étrangères, celles-ci craignant une instrumentalisation des dispositions de la loi pour restreindre leur accès au marché chinois. Si l’on est en effet encore en attente de certains textes d’application, les premières mises en application de la loi ont eu lieu au cœur de cet été 2017, et permettent de dégager des premières pistes d’interprétation.
Contexte de l’adoption de la LCS
La LCS a été publiée très rapidement, au vu de la sensibilité de son sujet et par comparaison avec d’autres textes de même importance. Cela s’explique notamment par la circonstance que la cyber-sécurité est l’une des priorités de Xi JinPing : « Sans cyber-sécurité, pas de sécurité nationale », a-t-il déclaré.
La Cyber Administration of China (CAC), administration en charge des questions de cyber-sécurité, a été créée en 2014 afin de mettre en œuvre l’agenda en la matière. Dans la foulée, la Loi de Sécurité Nationale a été publiée en 2015, la loi Anti-Terrorisme en 2016 et la LCS en 2016, parmi d’autres textes couvrant également ces sujets. La mise en place de ce dispositif législatif dont l’enjeu central est la sécurité nationale de la Chine a donc été menée tambour battant. La LCS n’est pas l’unique loi concernant le domaine digital en Chine. Les autres textes du dispositif doivent donc également être analysés par toute entreprise souhaitant comprendre le nouvel environnement réglementaire du monde digital en Chine et le cas échéant conduire une activité dans ce domaine en Chine ou en lien avec la Chine.
L’objet particulier de la LCS est la protection de la souveraineté sur le cyberespace, concernant la supervision, la construction, l’opération, la maintenance et l’usage d’internet en Chine. Elle contient également de nombreuses dispositions en matière de protection des données et de cyber-sécurité. Elle s’inscrit dans un contexte tant circonstanciel qu’industriel : elle constitue une réponse au cas Snowden et aux dernières attaques de piratage informatique, et s’inscrit dans la politique industrielle mise en place par la Chine en matière d’innovation, visant à (i) favoriser, grâce aux plans Made In China 2025 et Internet Plus, l’innovation locale et la création d’un écosystème digital domestique via l’émergence de champions nationaux, (ii) intensifier le contrôle des contenus diffusés via des moyens digitaux, y compris sur les réseaux sociaux, et (iii) limiter la dépendance de la Chine vis-à-vis des technologies étrangères (produits et services) lorsque des infrastructures critiques pour la Chine sont en jeu.
Principales dispositions
La LCS concerne trois types d’acteurs : les opérateurs de réseau informatique, les opérateurs d’infrastructures informatiques critiques et les fournisseurs de produits et services informatiques.
Cette loi vise tant les entreprises chinoises que les entreprises étrangères opérant sur le sol chinois. Les entreprises étrangères n’opérant pas via une présence sur le sol chinois peuvent également être concernées si par exemple elles interviennent dans la transmission d’informations en Chine contrevenant d’une manière ou d’une autre aux dispositions de la LCS ou d’autres textes de loi chinois.
Les opérateurs de réseaux informatiques doivent notamment mettre en place des mesures visant à protéger le réseau contre toute interférence, dommage ou accès non autorisé, via la mise en place de protocoles internes de sécurité, l’embauche de personnels en charge des questions de cyber-sécurité, la mise en place de mesures techniques, etc. Ils doivent également protéger les données contre les fuites, le vol ou la falsification.
Si les opérateurs de réseaux informatiques sont également opérateurs d’infrastructures d’information critiques, ils sont soumis à des obligations complémentaires, notamment en termes de stockage en Chine des « informations personnelles et autres données importantes » collectées ou générées pendant leurs opérations en Chine et d’approbation requise avant leur transfert à l’étranger. Les infrastructures d’information critiques sont définies comme les infrastructures utilisées pour fournir des services internet au public, et assurer le fonctionnement de secteurs clés de l’énergie, des services financiers, des transports et services publics, et du gouvernement qui, si leur fonctionnement était compromis pourraient mettre en danger la sécurité ou l’économie nationales ou la vie des populations et les intérêts publics.
S’agissant des fournisseurs de produits et services informatiques, lesdits produits ou services fournis en Chine devront être conformes aux standards nationaux chinois et être fiables, et les produits ou services qualifiés d’équipements de réseau critiques ou de produits de sécurité de réseau spécialisés au sens d’un catalogue dont la première version a été publiée le 1er juin 2017, devront faire l’objet d’un test de sécurité par des agences accréditées avant d’être rendus disponibles sur le marché chinois.
Premières mises en application de la LCS
Les premières applications de la LCS ont concerné tant des entreprises chinoises qu’étrangères. Depuis début août, les trois géants des réseaux sociaux Wechat, Weibo et Baidu font l’objet d’une enquête pour publication de « contenus illicites mettant en danger la sécurité nationale », la LCS permettant aux autorités de poursuivre toute personne ou entité publiant des informations qu’elles estiment nuisibles à la sécurité nationale (1).
Par ailleurs, des employés locaux d’Apple ont été arrêtés en juin pour trafic de données personnelles de clients d’Apple (2). Il sera intéressant de voir si les poursuites remontent à Apple sur le fondement de la LCS, les entreprises pouvant désormais être considérées comme responsables si le système de protection interne des données est en cause dans les fuites de données.
En conclusion, bien que toutes les mesures d’application de la loi ne soient pas encore entrées en vigueur, la LCS est bien en vigueur depuis le 1er juin 2017 et appliquée par les autorités. Toute entreprise susceptible d’entrer dans son champ d’application devrait donc chercher à comprendre à quel titre elle peut y entrer, préparer la mise en œuvre de mesures telles que prescrites par les dispositions actuelles, et commencer à mettre en œuvre, dans toute la mesure du possible, ces mesures afin de pouvoir le moment venu alléger l’impact de la réaction des autorités.
- Le Figaro, 11 août 2017, « Pékin censure les réseaux sociaux ».
- France 24, 8 juin 2017, http://www.france24.com/fr/20170608-chine-apple-expose-faire-frais-nouvelle-loi-cybersecurite-donnees-personnelles.