Les données sont devenues un enjeu primordial pour les grandes puissances. Chaque pays adopte désormais un arsenal juridique destiné à les protéger. Après l’établissement du RGPD européen, c’est au tour de la Chine de s’affirmer dans ce domaine avec une nouvelle législation aujourd’hui composée de trois grandes lois qui constitue une menace majeure pour les entreprises européennes.
L’implantation d’un arsenal juridique stratégique depuis l’annonce du plan Made in China 2025
Mise en application en juin 2017, la loi de cybersécurité chinoise (CSL) est divisée en plusieurs textes et englobe des dispositions hétéroclites. Elle n’est pas uniquement restreinte à la protection des données au sens strict du terme. En effet, la législation pose un cadre réglementaire en matière de sécurité sur internet, de protection des informations personnelles sensibles, de sécurité et de souveraineté nationale dans le cyberespace, tant sur le territoire chinois qu’à l’extérieur. Elle concerne donc la construction, l’exploitation, la maintenance et l’utilisation des réseaux sur le territoire chinois.
La loi sur la sécurité de la donnée ou Data Security Law (DSL), entrée en vigueur le 1er septembre 2021, impose de nouvelles obligations aux entreprises sur le territoire chinois et à l'international, dans le traitement de la donnée. Elles sont désormais classées et hiérarchisées selon leur importance par les directives de classification et de notation. Les entreprises se doivent également de créer un système qui garantit la protection des données sous la responsabilité d’un Data Protection Officer (DPO). De surcroît, l’ensemble des données doivent être stockées en Chine, ce qui implique qu’elles ne peuvent plus être transmises à un organisme judiciaire étranger, même dans le cadre de l'application d’une loi étrangère. Les entreprises ont aussi l’obligation d’informer les utilisateurs sur les incidents de sécurité relatifs aux données et de fournir des évaluations des risques aux autorités chinoises. L'objectif étant de diffuser une culture de la protection des données au sein des entreprises.
Enfin, la loi sur la protection des informations personnelles (PIPL), entrée en vigueur le 1er novembre 2021, concerne toutes les entreprises et personnes traitant des informations personnelles de ressortissants chinois. Celle-ci a donc vocation à être extraterritoriale. La PIPL impose qu’à partir d’un certain volume d'informations personnelles collectées, les entreprises doivent désormais justifier la finalité de cette collecte en plus d’obtenir le consentement des utilisateurs. Un responsable de la protection des données est également tenu d’être nommé pour superviser le traitement des informations. La loi donne également aux consommateurs chinois des droits pour accéder à leurs données personnelles et des prérogatives sur le traitement de celles-ci. Ils peuvent les corriger, les supprimer, restreindre leur diffusion, refuser le traitement ou limiter leur traitement. Afin de garantir la conformité de l’entreprise, des évaluations internes doivent être réalisées pour identifier les risques en matière de sécurité de la donnée. Enfin, la conformité à cette loi impose de conserver les données en Chine.
Cette stricte réglementation de l’utilisation des données crée un ensemble de risques pour les entreprises étrangères souhaitant poursuivre leurs activités en Chine. Ce durcissement commercial et juridique a d’ailleurs entraîné le départ du pays des géants américains LinkedIn, Microsoft et Yahoo à la fin de l’année 2021.
Quels impacts et quels risques pour les entreprises européennes ?
Cette ambition chinoise n’est pas sans conséquence pour les entreprises européennes implantées sur ce territoire. Aujourd’hui, l’enjeu pour ces dernières est de comprendre l’arsenal juridique chinois et son utilisation comme levier de puissance numérique mondiale. Un sondage réalisé deux ans après la mise en place de la CSL par la chambre du commerce de l’Union européenne en Chine illustre cet enjeu : seulement 35 % des entreprises européennes présentes sur le territoire chinois anticipaient un impact négatif de la loi sur leur activité et 24 % d’entre elles s'inquiétaient des risques en matière de protection des données en Chine. Il semble donc impératif pour les sociétés européennes de comprendre les impacts et les risques de ces mesures sur leur activité, leur réputation et la protection de leurs données. S’ajoutent aujourd’hui les contraintes imposées par la PIPL et la DSL qui complexifient la mise en conformité avec le système juridique chinois.
Les sanctions qui pèsent sur les entreprises européennes en Chine ont changé. Dorénavant, une entreprise qui enfreint les lois de protection des données risque diverses sanctions, selon le degré de gravité. À cet égard, on peut identifier trois sanctions : la sanction financière, la sanction commerciale et la sanction pénale.
Les sanctions financières portent sur différents motifs, tels que la violation massive de données ou encore la découverte par l’administration chinoise de failles majeures de sécurité. Ainsi, la trésorerie des entreprises pourrait se voir menacée d’une amende allant jusqu’à 50 millions de yuans (7 millions d’euros environ).
La sanction commerciale s’attaque directement à l’activité de l’entreprise en Chine. Elle peut être condamnée à suspendre son activité ou se voir retirer sa licence commerciale. Cette sanction peut s’appliquer lorsque l’entreprise, dans le cadre d’une loi étrangère, fournit des données à un organe judiciaire étranger sans l'approbation des autorités chinoises.
La sanction pénale menace le chef d’entreprise et le responsable chargé de la sécurité des données. Si l’entreprise est désignée coupable d’avoir mis en danger la souveraineté, la sécurité ou les intérêts chinois, des peines de prison peuvent être prononcées.
Ces trois lois sont dangereuses pour les entreprises européennes présentes sur le territoire chinois du fait de leur visée territoriale. En effet, toutes les données stockées sur le territoire chinois sont susceptibles d’être réquisitionnées par les autorités chinoises au nom de la sécurité nationale. Par conséquent, il est nécessaire de s’interroger sur les possibles et multiples risques encourus par les entreprises européennes.
Toutes les sociétés collectant des informations personnelles sensibles doivent indiquer un certain nombre d’informations aux autorités chinoises. Ces données peuvent être financières, religieuses, de santé ou biométriques. Les entreprises doivent indiquer la raison et l’objectif de la collecte ainsi que la nature des données, notamment lorsqu’elles souhaitent partager des données en dehors de la Chine. Cette communication d’informations entraîne de facto une part de divulgation de l’activité et de la stratégie des entreprises aux autorités chinoises.
Toutefois, le principal risque pour les entreprises demeure l’incertitude juridique liée aux lois. En effet, de nombreux points de la législation ne sont toujours pas clarifiés et plusieurs précisions juridiques sont sans doute à venir. En particulier, la notion de données « sensibles » ou « importantes » n’est ni exhaustive ni clairement définie et de nombreux doutes subsistent concernant les règles applicables à de telles données. Ce flou juridique complexifie la mise en conformité et expose les entreprises à un risque de sanction important ayant un impact économique mais aussi réputationnel pouvant aller jusqu’à l’interdiction d’activité ou l’exclusion pure et simple du marché chinois.
Toutes ces questions sont corrélées à une autre problématique, celle de l’antagonisme des juridictions nationales. En effet, chaque pays promeut sa législation au détriment des autres. En conséquence, une entreprise ne pourra respecter totalement qu’une seule législation. Demain, de nombreuses entreprises seront amenées à prendre des décisions stratégiques quant aux législations auxquelles elles souhaiteront se conformer et celles qu’elles préféreront enfreindre. Il s’agit d’un débat en cours dans certaines entreprises telle que HSBC.
Ambre Le Sommer, Johan Petot et Jean Morel pour les clubs Data et Asie de l’AEGE
Pour aller plus loin :