Cette loi suscite la controverse à l’échelle internationale, beaucoup plus que le projet de loi britannique sur le contrôle d’Internet défendu par Theresa May avec qui il présente quelques similitudes. Les deux ont au moins une chose en commun : la volonté d’interdire aux fournisseurs de services en ligne de collecter et de vendre des informations personnelles des utilisateurs. La nouvelle loi chinoise sur la cybersécurité introduit des dispositions, certaines raisonnables et d'autres discutables. De manière non exhaustive, on peut citer les dispositions suivantes :
- le personnel en charge de la cybersécurité devra protéger les informations obtenues et ne pourra vendre ou divulguer ces informations ;
- il est interdit d’utiliser Internet pour mener une fraude ou vendre des biens interdits ;
- les entreprises exerçant en Chine doivent surveiller et sauvegarder rigoureusement toutes leurs données localement ;
- avant de publier des nouvelles via les applications de messagerie instantanée ou les réseaux sociaux, les individus ou groupes devraient, au préalable, obtenir l’autorisation du gouvernement.
Cette loi stipule que le transfert transfrontalier de données recueillies en Chine n’est autorisé que lorsqu’un tel transfert est nécessaire au bon déroulement d’une transaction. De plus, certains transferts doivent nécessairement subir une inspection de sécurité préalable. Elle décrit également les organismes gouvernementaux responsables de la supervision de l’inspection de sécurité, des critères d’inspection de sécurité ainsi que les types de transferts qui sont concernés par cette mesure. Elle stipule aussi que seuls les opérateurs d’infrastructures d’information critiques sont soumis à l’exigence de stocker localement leurs données.
Cependant, non seulement la définition exacte des notions de « nécessité commerciale » ou « infrastructure d’information critique » reste floue, mais en plus, la définition de « opérateurs de réseau » est suffisamment large pour englober quasiment toutes les entités qui possèdent ou gèrent des réseaux ou qui utilisent des réseaux pour fournir des services. On peut également se demander en quoi consiste l’évaluation de sécurité (inspection) qui est classée en deux catégories : l’auto-inspection réalisée par l’opérateur de réseau lui-même et l’inspection officielle réalisée par les organismes gouvernementaux compétents.
En vertu de cette loi, presque toutes les entreprises pourraient être soumises à l’exigence de stocker localement leurs données, si ces données sont collectées ou générées en Chine et constituent des « informations personnelles » ou des « données critiques. » Ces dernières règles sont perçues très négativement par les entreprises locales et internationales qui les considèrent comme inadéquates et excessives et difficilement applicables.
Source : Forbes, JDSUPRA, french china
Et vous ?
Qu'en pensez-vous ?
Voir Aussi
Grande-Bretagne : Theresa May veut sanctionner les réseaux sociaux qui ne contrôlent pas suffisamment les posts de leurs utilisateurs
ICANN : Donald Trump s'oppose au plan d'Obama de renoncer au contrôle de l'internet et appelle les Américains à le soutenir