Analyse

Cyber sécurité : la main de fer chinoise

Le 23 décembre 2019 par Elodie Le Gal

La main de fer de Xi Jinping sur l’internet chinois restreint d’années en années l’espace de liberté des internautes et celui des entreprises. Alors qu’une première loi sur la cybersécurité est entrée en vigueur en juin 2017, la Chine a annoncé en début d’année la mise en place d’un nouveau programme de protection des systèmes internet qui pourrait grandement impacter la sécurité des entreprises présentes sur le territoire chinois.

Une législation en deux temps

La censure et la surveillance sont devenues des composantes essentielles du contrôle du web et ce dès les débuts d’internet en Chine. Les avancées des technologies du big data et de l’intelligence artificielle ont permis l’existence d’un système d’omni-surveillance, mais aussi d’auto censure. Les entreprises étrangères sont tout autant concernées par le phénomène que les entités chinoises. 

En effet, la cyber sécurité est l’une des priorités de Xi Jinping, qui a d’ailleurs déclaré que « sans cybersécurité, il ne peut y avoir de sécurité nationale ». En ce sens, le texte de 2017 sur la cybersécurité s’inscrit dans la continuité de la loi sur la sécurité nationale de 2015 et la loi anti-terrorisme de 2016.

Bien que d’autres textes concernant le domaine digital existent en Chine, cette première loi est la première d’une telle ampleur au regard de sa très large portée et des changements qu’elle implique pour les entreprises étrangères. 

En outre, le texte de 2017 préconise les éléments suivants : 

  • ·Les données sensibles et importantes des entreprises présentes en Chine doivent être stockées sur le sol chinois et utiliser un serveur local ;
  • Les équipements cyber jugés sensibles doivent être vérifiés et approuvés par un organisme chinois ;
  • Les entités de supervision de la cybersécurité doivent garantir la sécurité et la confidentialité des informations personnelles obtenues.

La définition de données dites sensibles n’est d’ailleurs pas spécifiée dans le texte, les autorités ont ainsi le droit de poursuivre toute personne ou entité publiant des informations qu’elles estiment pouvoir nuire à la sécurité nationale. La définition des données confidentielles est en outre tout aussi floue, ces dernières étant désignées comme « confidentielles selon les caractéristiques chinoises ». Weibo ou encore Baidu ont en fait l’expérience, peu de temps après la mise en application de la loi.

Ce premier texte, notamment au travers du stockage obligatoire des données sensibles sur le sol chinois, posait déjà la question de la sécurité des données, et des risques d’espionnage industriel par les autorités chinoises. 

En effet, la loi précise que le gouvernement a le droit d’obtenir de n’importe quelle entité ou individu présent en Chine toute information pouvant avoir un impact sur la sécurité du pays. Les informations sont directement accessibles aux autorités chinoises. 

Un texte plus ferme à l’égard des entités étrangères est actuellement en préparation et devrait entrer en vigueur le 1er décembre 2019. Il a pour ambition de couvrir chaque acteur de la société : individus, ministères, entreprises privées ou publiques, chinoises ou étrangères. Les infrastructures nécessitant une protection dans le domaine cyber tels que les réseaux, les plateformes de cloud, IoT, le big data et l’internet mobile sont également concernés. Les VPN seront désormais interdits, à moins d’avoir été approuvés par les autorités compétentes. 

Cette loi s’ajoute à la prise de participation du gouvernement de Xi Jinping dans les activités des entités économiques chinoises, ainsi qu’à la nouvelle loi sur les investissements étrangers, qui entrera en vigueur le 1er janvier 2020. Celle-ci stipule que les entreprises étrangères ne bénéficieront plus d’avantages spécifiques sur le territoire chinois, ce qui renvoie notamment à l’utilisation de VPN et au stockage de données à l’extérieur du pays.

À l’inverse des systèmes occidentaux, l’environnement cyber chinois est en effet orienté vers la sécurité nationale et la stabilité sociale, plutôt que sur la protection et la confidentialité des données personnelles. 

Quelles conséquences pour les entreprises étrangères ? 

La mise en application de ce texte demeure néanmoins sujet au questionnement. En effet, alors que l’interdiction des VPN a été approuvé il y a 2 ans, certains fournisseurs de réseaux privés virtuels y résistent. Toutefois, des multinationales, à l’exemple d’Apple, ont en 2018 déclaré respecter la loi chinoise, en stockant les données de leurs clients sur le territoire national.

Si cette loi est appliquée, elle pourrait servir à l’obtention de données permettant à la Chine de développer ses industries, conformément au plan Made in China 2025

En outre, une dizaine de pays africains ont adopté des technologies de surveillance chinoise comme des caméras de reconnaissance faciale et la détection des comportements, et adoptent des méthodes propres à la Chine, notamment dans le domaine de la surveillance d’opposants politiques témoignant de la capacité de la Chine à imposer, avec ou sans coercition, de nouvelles normes. 

 

Elodie Le Gal