Pour la première fois en Chine une loi vient encadrer la façon dont les entreprises du Web peuvent collecter, exploiter et stocker les données de leurs utilisateurs. Jeudi 1^er juin, cette loi, adoptée en novembre, doit prendre effet malgré les protestations d’un certain nombre d’entreprises étrangères, qui se sentent visées par les nouvelles contraintes imposées par le texte.

La nouvelle loi interdit notamment aux plates-formes en ligne de vendre les données personnelles de leurs utilisateurs à des tiers « sans le consentement de la personne dont les informations ont été collectées ». Qui plus est, ces entreprises « ne doivent pas collecter d’informations personnelles qui ne sont pas liées aux services qu’elles proposent (…) et doivent obtenir le consentement des utilisateurs pour exploiter les données qu’elles ont stockées ».

Cette partie de la loi représente « une avancée positive », selon Séverine Arsène, chercheuse au CEFC (Centre d’études français sur la Chine contemporaine) et rédactrice en chef de la revue Perspectives chinoises :

« Avant, il n’y avait quasiment rien. Désormais il y a une volonté de définir des limites dans l’utilisation des données. Ça correspond assez aux normes internationales sur le sujet, la Chine s’aligne sur ces standards. »

Données stockées en Chine

Une autre partie du texte a, quant à elle, provoqué la colère de nombreuses entreprises étrangères. Elle impose à certains services en ligne de stocker les données de leurs utilisateurs sur le territoire chinois. Les entreprises concernées sont celles que le texte désigne comme des « infrastructures critiques d’information », qui concernent par exemple « les services de communication, l’énergie, le transport, l’eau, la finance, le service public, l’e-gouvernement et autres ». Une définition à la fois très large et très floue, qui pourrait potentiellement concerner toutes les entreprises, selon les intérêts des autorités chinoises.

Le texte reste également très vague sur la définition des « informations personnelles et autres données importantes » qui sont concernées. Toutefois, s’il est « vraiment nécessaire » de faire sortir certaines de ces données du territoire chinois, il est possible d’obtenir une dérogation, après un contrôle de sécurité.

Ces « infrastructures critiques » se voient aussi imposer des mesures de sécurité informatique : disposer de responsables de la sécurité informatique, évaluer la sécurité des personnes stratégiques de l’entreprise, former les employés à la cybersécurité, sauvegarder les données les plus importantes, mettre en place des plans d’urgence en cas « d’incidents de cybersécurité », et « autres obligations », là encore non définies. Elles devront aussi se soumettre à des inspections visant à évaluer leur robustesse face aux menaces informatiques.

Un texte « rempli de défauts »

Plusieurs entités étrangères ont fait part de leur mécontentement, et demandé au gouvernement de repousser l’entrée en vigueur de la loi. Les entreprises s’inquiètent de devoir stocker les données en Chine, ce qui pourrait nécessiter une réorganisation et des dépenses non négligeables, tout en favorisant leurs concurrentes chinoises. Les zones d’ombre du texte et sa formulation volontairement floue font aussi craindre aux entreprises étrangères d’être principalement visées par la loi et d’être soumises à des contrôles arbitraires dont elles ne connaissent pas l’étendue.

Parmi les mécontents, la Chambre de commerce de l’Union européenne en Chine, qui, dans une lettre datée du 11 mai et obtenue par l’agence de presse Reuters, estime que ce texte est « rempli de défauts ». Cinquante-quatre entreprises et organisations, parmi lesquelles la Chambre de commerce des Etats-Unis, ont également fait part de leur « inquiétude » vis-à-vis de cette loi qui « érigera des barrières commerciales » :

« Le chemin pris par la Chine risque de compromettre ses objectifs légitimes de sécurité (et pourrait même affaiblir la sécurité), tout en pesant sur l’industrie et en sabotant les fondations des relations de la Chine avec ses partenaires commerciaux. »

Protection et surveillance

Un message sévère, qui n’a pas impressionné le gouvernement chinois. « Il y a une inquiétude assez sérieuse vis-à-vis des risques de cybersécurité en Chine », analyse Séverine Arsène :

« La Chine veut ramener chez elle les données critiques des infrastructures prioritaires pour les protéger : si elles sont hébergées ailleurs, elles peuvent être espionnées et utilisées par d’autres pays à des fins stratégiques. »

Cette loi représente donc une manière de protéger ses données, mais aussi de les surveiller. « Les individus et leurs données sont protégés vis-à-vis des autres, mais pas vis-à-vis de l’Etat », souligne la chercheuse. Celui-ci peut réclamer l’accès à ces données, et il lui sera plus facile de les obtenir si elles sont stockées sur le territoire chinois. « Une société qui gère un serveur sur le territoire chinois sera obligée de fournir les données personnelles » si le gouvernement l’exige, précise-t-elle. Cela concerne également les contenus des conversations que la personne peut avoir en ligne.

Et si celles-ci sont chiffrées, cela ne les protégera peut-être pas longtemps : la Chine a publié au début d’avril la première version d’un projet de loi entièrement consacré au chiffrement, qui veut imposer aux opérateurs de fournir aux autorités, « quand cela est nécessaire », un moyen de déchiffrer les contenus.

Plus généralement, cette loi réaffirme certaines mesures déjà en vigueur dans le pays, comme la censure qui doit être appliquée par les plates-formes, ou l’obligation pour les internautes de fournir le numéro de leur carte d’identité pour s’inscrire à un nouveau service. Séverine Arsène explique :

« L’idée est d’avoir une loi qui vient remplacer la ribambelle de textes d’avant qui n’avaient pas valeur de loi, comme des circulaires, des interprétations… Jusqu’ici, Internet était régulé comme ça, par petites touches. L’objectif est d’avoir un texte qui englobe le tout, qui ait plus de cohérence et d’autorité. »