Le nouveau plan de cybersécurité de la Chine : aucune information sur un serveur en Chine ne sera exemptée
Le nouveau plan de cybersécurité de la Chine : aucune information contenue sur un serveur situé en Chine ne sera exemptée,
Pas de secrets commerciaux ni données confidentielles, selon un rapport
La liberté sur Internet est déjà assez restreinte en Chine, mais les autorités chinoises ne comptent pas s’arrêter en si bon chemin. Le gouvernement serait en train de travailler sur un nouveau plan beaucoup plus complet de sécurité et de surveillance Internet depuis plusieurs années déjà, selon China Law Blog, un blog qui traite des aspects pratiques du droit chinois et de son impact sur les affaires dans ce pays. Malgré les nombreuses mesures de contrôle d’Internet qui existent déjà, le ministère chinois de la Sécurité publique a annoncé qu'il allait enfin mettre en œuvre ce nouveau programme plus étendu qui comprend un certain nombre de lois et de règlements auxiliaires, a rapporté le blog dans un article publié à la fin du mois de septembre.
En vertu du nouveau plan de cybersécurité et de surveillance de la Chine, le ministère chinois de la Sécurité veut accéder pleinement aux quantités massives de données brutes transmises sur les réseaux chinois et hébergées sur des serveurs en Chine. C’est l'essentiel du plan, selon le blog. Pour le bon fonctionnement de son plan et une meilleure exploitation de ces données brutes pour le compte de la Chine, le ministère à nommé Wang Yingwei, un expert renommé dans le domaine des « big data », à la tête du Bureau de la cybersécurité. Ce dernier sera chargé de donner un sens aux données brutes qui seront recueillies dans le cadre du nouveau système, selon le rapport.
Selon Guo Qiquan, responsable du plan ambitieux de cybersécurité, l'objectif principal est de fournir une « couverture complète ». Le plan « couvrira tous les districts, tous les ministères, toutes les entreprises et toutes les autres institutions, couvrant essentiellement l'ensemble de la société. Il couvrira également toutes les cibles qui ont besoin d'une protection[cybersécurité], y compris tous les réseaux, les systèmes d'information, les plateformes en nuage, l'Internet des objets, les systèmes de contrôle, le big data et l'Internet mobile », a expliqué M. Qiquan.
Selon le blog, le nouveau système s’appliquera équitable aux sociétés étrangères en Chine, à toutes les entités et tous les individus chinois. Aucune information contenue sur un serveur situé en Chine ne sera exemptée de ce programme de couverture complète. Aucune communication en provenance ou à destination de la Chine ne sera exemptée. Il n'y aura pas de secrets ni de réseaux privés virtuels (VPN), a rapporté le blog. Le système n’épargnera aucun message privé ou chiffré ni de compte anonyme en ligne. Aucun secret commercial ni de donnée confidentielle n’échappera au contrôle de la Chine en vertu du plan. Selon le blog, toutes les données seront disponibles et accessibles au gouvernement chinois.
Et étant donné que le gouvernement chinois est l'actionnaire de toutes les entreprises d'État et qu'il exerce maintenant un contrôle de fait sur les principales sociétés privées chinoises, selon China Law Blog, toutes ces informations seront alors à la disposition de ces entreprises d’Etat et privées de la Chine. Elles seront également mises à la disposition de l'armée et des instituts de recherche militaires chinois, selon le plan de sécurité et de surveillance Internet, d’après le rapport.
Selon le China Law Blog, les entreprises étrangères opérant en Chine pouvaient par le passé éviter l’impact de ce type de contrôle en utilisant des serveurs Internet VPN dans leurs propres bureaux afin d’isoler leurs données des réseaux contrôlés par la Chine. L’intranet ainsi établi à travers le VPN préservait les e-mails et les données d’entreprise stockées sur leurs serveurs en Chine. Avec l’arrivée du cloud computing, ces entreprises étrangères ont utilisé cette mette technologie pour isoler leurs serveurs dans les nuages du système contrôlé par la Chine. Selon le blog, ces entreprises avaient la possibilité de brandir leur statut spécial d’entreprise à capitaux entièrement étrangers lorsque les autorités chinoises se plaignaient souvent de ces systèmes VPN.
Cependant, une fois que le plan entrera en vigueur, ces possibilités qu’avaient ces sociétés étrangères ne seront que de lointains souvenirs. Puisque la nouvelle loi sur la cybersécurité et les lois et règlements connexes s’appliquent à tous les individus et entités en Chine, sans égard à la propriété ou à la nationalité et sans aucune exception. Les difficultés futures des entreprises étrangères en Chine ne sont également renforcées par la nouvelle loi sur l'investissement étranger qui entre en vigueur bientôt.
La nouvelle loi chinoise sur l'investissement étranger élimine tout statut spécial associé à toutes les entreprises à investissement étranger
Selon le rapport du China Law Blog, la nouvelle loi sur l'investissement étranger qui entre en vigueur le 1er janvier 2020 élimine tout statut spécial associé au fait d'être une entreprise à entièrement capitaux étrangers ou autre entreprise à investissement étranger. Les mêmes traitements réservés aux sociétés chinoises seront appliqués aux sociétés étrangères, selon la nouvelle loi sur l'investissement étranger, y compris, par exemple, dans la procédure de création des entreprises. En effet, qu'il s'agisse d'entreprises à capitaux entièrement étrangers ou d'entreprises mixtes à capitaux étrangers chinois, la procédure de création sera identique à celle des entreprises locales.
Cela signifie que la loi sur la cybersécurité s'appliquera aux sociétés à capitaux étrangers (entreprise entièrement à capitaux étrangers, coentreprises et bureaux de représentation) exactement de la même manière qu'elle s'applique aux sociétés et aux particuliers chinois. Selon le rapport, il n'y aura pas d'endroit où les sociétés étrangères pourront se cacher.
Par conséquent, les systèmes VPN intra-entreprise, qu’utilisaient les entreprises étrangères, ne seront plus autorisés en Chine. Ce qui signifie que tous les courriels et les transferts de données de toutes les entreprises devront utiliser des systèmes de communication exploités par la Chine – qui sont entièrement ouverts au Bureau de la cybersécurité du pays. Tous les serveurs de données qui utilisent des réseaux de communication basés en Chine devront également être ouverts au système de surveillance et de contrôle du Bureau de la cybersécurité, a rapporté le blog. Pour rappel, la Chine a interdit en 2017 l'usage non autorisé des VPN pour se connecter à Internet.
Selon le rapport, une simple demande de renseignement adressée aux entreprises et aux particuliers étrangers pourrait fait l’objet de refus. C’est pour cette raison que la condition fondamentale du nouveau système de cybersécurité est que le gouvernement utilisera son contrôle des communications pour simplement prendre l'information sans en discuter avec l'utilisateur. En vertu de cette loi, le gouvernement chinois a le droit d'obtenir de toute personne ou entité en Chine toute information que le gouvernement chinois estime avoir un impact sur la sécurité chinoise, selon le blog.
L’impact du nouveau programme de cybersécurité de la Chine sur des entreprises étrangères opérant en Chine
Selon China Law Blog, ce nouveau plan d’accès et de surveillance des données crée un conflit fondamental pour les nombreuses entreprises étrangères, y compris les entreprises américaines et européennes, opérant en Chine parce que, dans de nombreux cas, la loi de leur pays d’origine exige que de nombreuses informations soient tenues secrètes. Alors que la loi chinoise exige maintenant que le gouvernement ait pleinement accès à ces secrets dès lors qu’ils traversent la frontière chinoise pour quelque raison que ce soit. C’est un problème parce que, par exemple, les sociétés étrangères en Chine ayant des filiales américaines ou même certains types de relations avec des sociétés américaines seront également touchées par les lois américaines sur le secret.
Aussi d’une part, selon le rapport, les entreprises américaines qui avaient l'habitude d'affirmer qu’elles « refuseront de fournir » leurs informations, qui se trouvent sur un serveur privé isolé des réseaux contrôlés par le gouvernement chinois, à la demande des autorités chinoises, ne pourront plus compter sur cette confidentialité, car la Chine se contentera désormais de les prendre sans permission. D’autre part, les secrets commerciaux américains, qui sont sous forme de propriété intellection et qui sont en tant que telle protégés par les lois américaines, seront à découvert une fois qu’ils traverseront les frontières chinoises.
Étant donné qu'aucune entreprise ne pourra raisonnablement supposer que ses secrets commerciaux resteront secrets une fois transmis en Chine par l'intermédiaire d'un réseau contrôlé par la Chine, elle risque fort de voir ses protections de secrets commerciaux s'évaporer également en dehors de la Chine, une fois que la loi sera en vigueur. Les données des entreprises étrangères qui seront exposées par la loi comprennent également les appels téléphoniques, les courriels, les messages WeChat et toute autre forme de communication électronique, selon le blog. Un rapport signalait en août dernier que la Chine intercepte des textes de WeChat provenant des États-Unis et de l'étranger, qu’elle stocke dans une base de données connectée aux agences de sécurité publique en Chine.
Y’a-t-il d’autres solutions pour que les entreprises puissent conserver leurs données privées après l’entrée en vigueur de cette loi, ou seront-elles obligées de les abandonner entre les mains des autorités chinoises ?
Source : China Law Blog
Et vous ?
Que pensez-vous de ce nouveau plan de la Chine ?
Lire aussi
Répondre avec citation
Partager