Les entreprises ayant des activités en Chine pourraient subir une pression accrue pour que leurs préparatifs en matière de cybersécurité soient examinés et certifiés en vertu d’un projet de loi qui devrait être appliqué l’année prochaine.
Le projet de loi chinoise sur la sécurité des données peut également obliger les entreprises à divulguer des détails sur la sécurité du réseau dans leurs opérations en dehors de la Chine.
La Chine vise à protéger ce qu’elle appelle des « données importantes » qui, si elles sont divulguées, peuvent affecter directement la sécurité nationale, la sécurité économique, la stabilité sociale ou la santé publique du pays.
La loi, publiée hier par le Comité permanent du Congrès populaire national de Chine, est considérée comme la première fois que la Chine tente d’exercer une autorité légale sur des entreprises en dehors de sa juridiction.
« La Chine envisage de permettre à la loi d’avoir un effet extraterritorial que nous n’avons jamais vu auparavant », a déclaré Yan Luo, associé du cabinet d’avocats Covington &Burling à Pékin. « Ils veulent contrecarrer l’effet extraterritorial du droit américain. »
Le projet de loi devrait considérablement changer d’ici à sa promulgation définitive en 2021.
Les entreprises opérant en Chine peuvent déjà être tenues de faire certifier leurs opérations de cybersécurité par des organismes de certification nommés par le gouvernement.
En vertu de la loi proposée, les entreprises opérant en Chine peuvent également être invitées à divulguer les détails de la sécurité de leur réseau à l’étranger afin de bénéficier d’un certificat.
Le projet de loi donnera aux organes gouvernementaux centraux et régionaux chinois le pouvoir de définir ce qu’ils considèrent comme des « données importantes » pour différentes régions et industries.
Les organisations qui traitent ces données seront tenues de respecter des normes de sécurité plus élevées.
Les entreprises peuvent être condamnées à une amende
La police chinoise aura le pouvoir d’infliger des amendes de 150 000 on aux entreprises qui enfreignent les lois chinoises sur la cybersécurité et pourraient potentiellement fermer des organisations qui ne s’y conforment pas.
La Chine devrait aller au-delà d’un audit technique de la cybersécurité d’une entreprise et examiner si, par exemple, les entreprises étrangères respectent les sanctions américaines qui pourraient nuire à la sécurité nationale de la Chine.
« Ce n’est pas seulement un examen technique des protections que vous avez mises en place, il pourrait s’agir d’éléments politiques », a déclaré Luo.
Le projet de loi comprend une disposition qui permet à la Chine de prendre des mesures de rétorsion contre tout pays qui agit de manière discriminatoire contre la Chine en matière de commerce ou d’investissement lié aux données.
Une clause stipule que les organisations et les individus en dehors de la Chine qui mènent des activités susceptibles de nuire à la sécurité, à la sécurité nationale ou aux intérêts publics de la Chine peuvent également être soumis au projet de loi.
On ne sait pas comment la Chine prendrait des mesures coercitives contre une organisation en dehors de ses frontières qui serait considérée comme nuisant à la sécurité nationale du pays.
D’autres clauses exigent que les individus et les organisations se conforment aux demandes de données des organismes d’application de la loi lorsqu’ils sont requis pour enquêter sur des crimes ou pour des raisons de sécurité nationale.
Lorsque des demandes de données sont faites par des gouvernements étrangers à des organisations chinoises, la loi obligera l’entreprise chinoise à signaler la demande et à demander l’approbation d’un régulateur chinois.
Une traduction du texte dit: » Dans la mesure où la Chine participe à des traités internationaux qui prévoient des dispositions pour l’accès des forces de l’ordre étrangères aux données, ces données seront divulguées conformément à ces traités. »
Le projet de loi couvre les données qui peuvent être importantes pour les industries critiques, mais exclut les données personnelles sur les individus, les informations militaires ou les secrets d’État.