Journal de l'économie

Envoyer à un ami
Version imprimable

Géopolitique de l'hébergement de données et souveraineté numérique dans le cyberespace (4)





Le 26 Janvier 2022, par Olivier de Maison Rouge

Le cas de la chine

Nous proposons à travers plusieurs études, dont celle-ci constitue la quatrième contribution, une analyse juridique globale de la souveraineté numérique dans le cyberespace.

Nous présentons ici la règlementation nationale chinoise.


Géopolitique de l'hébergement de données et souveraineté numérique dans le cyberespace (4)
Dès les années 2000, la Chine a élaboré une doctrine restrictive de protection du cyberespace, notamment contre les ingérences étrangères. Les restrictions se sont notamment multipliées dans le contexte révélations Snowden de 2013.
 
Plusieurs lois forment désormais le socle de leur politique de cybersécurité, dûment inscrite dans le cadre de leur sécurité nationale.
 
L’année 2015 a l’adoption de la première loi chinoise sur la cybersécurité́. Depuis, le principal organisme national de normalisation, le Comité́ technique national de normalisation de la sécurité́ de l’information (TC260), a publié́ plus de 300 normes en matière de cybersécurité́.
 
En 2017, le gouvernement chinois a mis en place la loi sur la cybersécurité, « The Cybersecurity Law » ou « The Law ». Elle leur permet d’obliger les entreprises et les opérateurs de télécommunications ainsi que les organismes gouvernementaux à partager les informations sur les incidents, notamment les logiciels malveillants de type trojan, les vulnérabilités matérielles et les contenus liés à des adresses IP « malveillantes » vers une plate-forme créée par le MIIT dans cette optique.
 
Nous développerons ci-après les divers textes de régulation du cyberespace chinois par le gouvernement.
 
 1° Protection des données personnelles :
 
Le 1er juin 2017, la loi sur la Cyber Sécurité est entrée en vigueur en Chine. Elle vise la protection des données personnelles à l’instar du RGPD européen, dont elle se rapproche par certains côtés.
 
Ce texte fixe précisément les lignes directrices que le gouvernement central chinois impose aux entreprises actives dans la collecte de données personnelles et dans les infrastructures de réseaux et le transfert des données hors de Chine.
 
Les « données personnelles » sont définies comme toute information prise individuellement ou en combinaison d’autres informations pouvant mener à l’identification d’un individu.
 
Pour toute opération commerciale recueillant des données provenant d’utilisateurs en Chine, toute « information personnelle ou jugée importante » collectée en Chine doit être impérativement physiquement stockée sur des serveurs localisés en Chine.
 
On retrouve donc ici des obligations similaires à celles du RGPD quant au stockage des informations, et à la qualification de la donnée personnelle comme toute donnée nominative récoltée sur le territoire (ici chinois). La Chine montre une réelle tendance à se rapprocher du droit européen sur ces questions. 
 
Les acteurs du marché de l’Internet des objets sont considérés à partir de cette loi comme des opérateurs de réseaux et sont tenus d’obtenir un consentement explicite de la part des utilisateurs de leurs produits pour la collecte des données.
 
Depuis 2019, plusieurs textes de loi et de régulations ont été publiés au sujet du transfert de données personnelles ou sensibles, sur le territoire chinois et à l’étranger. Pour autant, l’ensemble de ces textes ne donne pas de définition claire de la marche à suivre dans le cadre des partages de données si ce n’est qu’il doit être consenti par le client explicitement.
 
Ces dispositions sur la protection des données s’appliquent « opérateurs de réseaux », qui est un terme très général utilisé par les autorités chinoises pour inclure beaucoup d’acteurs de différents domaines en lien avec la récolte de données, l’internet des objets ou encore les services de Cloud, ce qui représente aujourd’hui la quasi-totalité des acteurs privés sur le territoire chinois. 
 
Les articles 40 à 50 du chapitre IV de cette loi de cybersécurité recensent donc les dispositions en matière de protection des données. La seule réserve qui pourrait être émise quant à sa comparaison avec le RGPD est qu’on retrouve dans le texte de cette loi une caractéristique commune à la majorité des textes législatifs chinois : le flou. Tant dans les définitions de la donnée « personnelle » ou « jugée importante » que dans la catégorisation des acteurs soumis aux obligations dictées par cette loi, le texte reste très (trop) souvent sujet à interprétation, et laisse donc une grande place à de possibles instrumentalisations en plus de rendre fastidieux le travail de standardisation pour les acteurs étrangers. Le champ d’application de la loi est donc très large, mais n’inclut pas de portée extraterritoriale pour le moment (article 2) 
 
Il n’existe pas d’institution telle que la CNIL en charge de la régulation de l’usage des données personnelles/"jugée importante » en Chine, par contre cette autorité est transférée à chaque ministère, qui exerce le pouvoir de contrôle sur son secteur. Il faut noter que les données nominatives et « jugées importantes » ne font pas l’objet d’une différence de traitement. Ces informations sont simplement définies dans l’article 76.5 de la CSL comme « toute information permettant d’identifier directement ou indirectement un individu ». 
 
2° Protection des infrastructures : 
 
D’autre part, le transfert de données hors du territoire est très encadré. Le texte impose même à certains services en ligne de stocker les données de leurs utilisateurs sur le territoire chinois, citant notamment les « infrastructures critiques d’information » (Critical Information Infrastructure). Or certaines entreprises s’inquiètent du flou entourant la rédaction de certaines dispositions et de l’influence de ce texte qui serait susceptible in fine de concerner n’importe quelle entreprise, selon les intérêts des autorités chinoises.
 
Article 31 : « The State implements key protection of public communication and information services, power, traffic, water resources, finance, public service, e-government, and other critical information infrastructure that if destroyed, loses function, or experiences leakage of data might seriously endanger national security, national welfare and the people’s livelihood, or the public interest, on the basis of the cybersecurity multi-level protection system. The State Council will formulate the specific scope and security protection measures for critical information infrastructure. »
 
De plus, l’article 27 de la loi de Cryptographie oblige les acteurs de ce secteur à utiliser des algorithmes de chiffrement « commercial » pour tous leurs systèmes d’information. Ces acteurs participent d’ailleurs également au développement et à la labélisation d’outils et d’applications de chiffrement « commercial » au niveau chinois. 
 
3° Sanctions, atteintes aux données, SI... :
 
La Loi de cybersécurité du 1er juin 2017 liste un éventail clair de sanctions pour violation de la Loi telles qu’avertissement, saisie des gains acquis illégalement ou encore amende jusqu’à dix fois le montant des gains illégaux.
 
En cas de violation des provisions relatives à la protection des données personnelles, les responsables peuvent être soumis à une amende entre 10 000 RMB et 100 000 RMB.
 
Dans les cas jugés sérieux, les responsables peuvent être emprisonnées pour une période comprise entre 5 et 15 jours, et les opérateurs de réseaux peuvent se voir suspendre ou retirer le droit d’exploitation de leur site internet ainsi que leur licence commerciale.
 
Des amendes administratives peuvent atteindre jusqu’à 1 million RMB et les peines de prison jusqu’à deux ans fermes.
 
4° Accès internet :
 
Le « Great Firewall » représente l’ensemble des législations et des systèmes technologiques qui régissent collectivement l’internet du pays. Cette réglementation chinoise de l’internet a commencé à la fin des années 1990, notamment avec l’adoption de la loi CL97 en 1997 - la première à criminaliser la cybercriminalité en Chine - et le projet Golden Shield en 1998, qui visait à limiter l’accès à certains types de données étrangères en Chine. 
 
La restriction d’accès à internet est une des sanctions communes aux lois de régulation d’internet sur le territoire chinois comme stipulé par l’article 58 de la CSL de 2017. Tout écart est passable d’une interdiction d’accès aux réseaux internet pour toute utilisation que ce soit. 
 
Certains mots sont bannis du réseau chinois, et redirigent vers des pages d’erreur si ces termes sont utilisés dans les outils de recherche ou sur les navigateurs. Une utilisation trop fréquente de termes bannis peut également conduire à des enquêtes et/ou à des sanctions. 
 
Certains VPN sont interdits en Chine. Toutes les entreprises présentent sur le territoire avaient jusqu’au 31 mars 2018 pour se conformer à cet usage limité dicté par les autorités. 
 
5° Liberté d’expression électronique / « Fake News » : 
 
Plusieurs textes de contrôle de l’expression des opinions se sont succédé, visant à « resserrer » l’information en ligne :
  • 2015 : la loi condamne à 7 ans de prison la diffusion de fausses informations considérées comme perturbant l’ordre public. 
 
  • 2017 : CSL - > Les plateformes de réseaux sociaux n’ont le droit de diffuser des informations / liens qu’à partir de médias approuvés par l’État. 
 
  • 2018 : Les autorités chinoises abolissent l’administration d’état de la presse, publication radio film et télévision, et intègrent sa gestion au département de la propagande, qui répond à l’autorité directe du PCC.
 
  • 1er janvier 2020 : interdiction de l’utilisation de contenus, ou de création de contenus « deepfake » annoncé par le gouvernement chinois sous peine de sanctions économiques et/ou d’emprisonnement pour perturbation de l’ordre public. 
 
  • Mars 2020 : Entrée en vigueur des mesures de restriction de la liberté d’expression électronique sur les bases des régulations de 2018. 
 
  • 8 janvier 2021 : projet de loi mettant à jour sa réglementation d’internet - cette loi a pour but de renforcer la fermeté sur la désinformation et sur le partage de contenus « frauduleux » (défini comme tout contenu qui n’est pas issu des sources officielles). 
 
Ces mesures ont une portée extraterritoriale, puisqu’elles s’appliquent aussi à tous les contenus partagés par des acteurs chinois en dehors des frontières du pays. Toutes ces mesures sont rattachées à la politique nationale chinoise de « crédit social » puisque tout écart à ces lois de limitation de la liberté d’expression aura pour conséquence une baisse du crédit social des personnes responsables. 
 
Tout ceci s’est accentué depuis la pandémie du Covid 19. Le PCC a obligé les médias et tout acteur présent sur les réseaux sociaux à ne relayer que la version officielle partagée par le gouvernement chinois. Par exemple, depuis la crise, aucune publication scientifique ne peut être publiée sans l’accord préalable des autorités politiques. Aussi, les acteurs technologiques chinois se doivent en plus de ne relayer que les informations officielles, de promouvoir celles-ci face à tout autre avis divergent, qu’il provienne de dissidents chinois ou d’acteurs étrangers.
 
La Chine a rendu illégal tout partage de contenu trafiqué qui n’est pas clairement marqué comme tel. Il s’agit d’un délit depuis le 1er janvier 2020. Pour la Chine, les deepfakes "mettent en danger la sécurité nationale, perturber l’équilibre et l’ordre social du pays et porter atteinte aux intérêts et aux droits d’autrui"
 
6° Chiffrement : 
 
En 2019, la loi nationale sur la cryptographie a été́ adoptée, entrée en vigueur le 1er janvier 2020.
 
L’objectif est de réglementer l’utilisation et la gestion de la cryptographie, faciliter le développement du commerce de la cryptographie et assurer la sécurité́ du cyberespace et de l’information. Dans cette loi, il est indiqué́ que l’État encourage et soutient la recherche et l’application de la science et de la technologie dans le domaine de la cryptographie et protège les droits de propriété́ intellectuelle dans le domaine de la cryptographie. La loi met en lumière l’importance de la formation des talents en cryptographie et prévoit que les personnes ayant apporté́ une contribution exceptionnelle au travail sur la cryptographie peuvent être récompensées.
 
La loi distingue la cryptographie de base, commune et commerciale.
 
Plusieurs normes cryptographiques chinoises existent basées sur GmSSL (GmSSL est une boite à outils cryptographiques en source ouverte fournissant un support des algorithmes et protocoles cryptographiques nationaux chinois qui sont spécifiés dans les normes de série GM/T.), certaines sont publiées par l’Autorité́ cryptographique d’État :

SM2 - un accord de clé́ de Diffie-Hellman à courbe elliptique et une signature utilisant une courbe elliptique spécifiée de 256 bits. GM/T 0003.1 : SM2 (publié en 2010)
SM3 - une fonction de hachage cryptographique sur 256 bits. GM/T 0004.1-2012 : SM3 (publié en 2010)
SM4 - un chiffre en bloc de 128 bits avec une clé́ de 128 bits. GM/T 0002-2012 : SM4 (publié en 2012)
ZUC, un code de flux. GM/T 0001-2016
La dernière en date est la norme SM9, datant de 2016. Elle les éléments suivants :
(GM/T 0044.1) Algorithme de cryptographie asymétrique basé sur l’identité
(GM/T 0044.2) Algorithme de signature numérique basé sur l’identité qui permet à une entité́ de signer numériquement un message qui peut être vérifié par une autre entité́.
(GM/T 0044.3) L’établissement et l’enrobage de clés basées sur l’identité́
(GM/T 0044.4) Algorithme d’encapsulation de clé́ publique de chiffrement basé sur l’identité qui permet à une entité́ d’envoyer en toute sécurité́ une clé́ symétrique à une autre entité.
 
 
Il ressort de l’ensemble de ces règlementations une structure très centralisé de l’usage d’Internet et des nouvelles technologies. Ce faisant, la Chine préserve sa souveraineté politique et numérique, adossée à une législation stricte, et tout à la fois mouvante et obscure, permettant aux autorités des interprétations restrictives au bénéfice de la sécurité nationale. C’est l’assise d’un « ordre public numérique ».
 
A l’instar de son économie industrielle, cette politique volontariste a permis l’éclosion de fleurons électroniques dans toutes les couches du cyberespace tels que Baïdu, Tencent, FTZ, Xiaomi, Alibaba, Huamei etc.
 
Désormais, dans le cadre du plan MIC 2025 (Made in China), les autorités visent, au-delà de la seule régulation des opérateurs étrangers, l’autonomie technologique de la Chine et par conséquent la substitution des acteurs américains. C’est pourquoi la nouvelle guerre froide USA / Chine est actuellement technologique.
 
 
À suivre …
 

Par Olivier de MAISON ROUGE
Avocat – Docteur en droit
Auteur du « Cyberisques. La gestion des risques juridiques à l’ère numérique » (LexisNexis, 2018)
À paraître (mars 2022) : « Gagner la guerre économique » VA Editions


France | International | Entreprises | Management | Lifestyle | Blogs de la rédaction | Divers | Native Advertising | Juris | Art & Culture | Prospective | Industrie immobilière | Intelligence et sécurité économique - "Les carnets de Vauban"













Rss
Twitter
Facebook