Le ministère chinois de l’Industrie et des Technologies de l’Information (MITI) a adopté une nouvelle réglementation, visant à imposer l'hébergement de données sensibles sur le territoire national. En dernier recours, lorsqu’un transfert de données vers un pays étranger est nécessaire, les informations numériques devront faire l’objet d’un audit de sécurité. Cette nouvelle disposition légale sera effective dès le 1er janvier 2023.

La sécurité des données, une priorité pour le pouvoir chinois

La réglementation s’inscrit dans l’orientation stratégique adoptée par la Chine de renforcer sa souveraineté numérique en régulant l’usage de la donnée. Ce nouvel or noir est considéré par le MITI comme « le nouveau facteur de production le plus actif » de l'économie numérique chinoise.

La récente réglementation vient ainsi enrichir un cadre réglementaire préexistant, matérialisé par une loi « sur la sécurité des données ». Entrée en vigueur en septembre 2021, cette première loi fondamentale sur les données en Chine est destinée à réguler le traitement des données par les acteurs privés. Par le passé, plusieurs entreprises avaient été épinglées par le pouvoir chinois pour transfert illégal de données. Les données personnelles des citoyens et ressortissants chinois sont également concernées par le protectionnisme technologique, à travers la loi sur la protection des informations personnelles (PIPL), entrée en vigueur en novembre 2021.

Un dispositif de conformité contraignant

Les données devront être hébergées par des infrastructures situées en Chine. Les autorités locales devront également établir des catalogues de données pour chaque secteur. Aucun transfert de données ne sera autorisé sans l’aval des autorités. L’entreprise à l’origine de la demande devra remplir un formulaire, en précisant la raison du transfert, le nom et la localisation du centre de données étranger ainsi que des détails techniques liés au protocole internet des serveurs.

Une définition floue = des prérogatives sans limites ?

Cependant, un flou juridique demeure sur la définition de « données sensibles ». La nouvelle réglementation du MITI ne cite qu’un nombre limité de secteurs stratégiques : l'industrie, les télécommunications et les ondes radio. En janvier dernier, un comité technique national de standardisation s’était réuni pour clarifier la notion de « donnée sensible ». Le groupe de travail avait estimé qu’il s’agissait de données qui pourraient « nuire à la sécurité nationale et à l'intérêt public si elles étaient altérées, endommagées ou divulguées. » Mais cette définition n’a pas fait l’objet d’une officialisation par les autorités chinoises. Un tel vide juridique pourrait ainsi bénéficier au pouvoir politique, libre d’interpréter la loi selon ses besoins.