La Cyberspace Administration of China (CAC), l’organisme chargé du contrôle d’internet en Chine, a présenté de nouvelles mesures le 3 août 2023 autour de la régulation des données personnelles. Toute entreprise détenant les informations sur plus d’un million de personnes devra se soumettre à un audit de conformité annuel.
Une règle préexistante étendue
Les organisations transférant des données à l’étranger étaient déjà concernées par cette mesure. L’année dernière, le CAC avait exigé que les sociétés détenant des plateformes gérant des données de plus d’un million d’utilisateurs se soumettent à un examen de sécurité si elles avaient pour but de coter leurs actions à l’étranger. Désormais, même les entreprises ne transférant pas de données à l’extérieur du territoire chinois seront concernées par cet audit.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Le régulateur du cyberespace chinois se laisse le droit de choisir l’agence qui mènera ces inspections annuelles. Cette dernière devra également recenser tout service possédant les données personnelles de plus de 100 000 utilisateurs ainsi que celles qui gèrent les données sensibles de plus de 10 000 utilisateurs. En parallèle, les entreprises détenant les données personnelles de moins d’un million d’utilisateurs devront subir un contrôle de conformité équivalent, mais une fois tous les deux ans.
Pour Pékin, la mise en place d’une telle mesure lui permettra de savoir si les entreprises lui sont fidèles, et si les données qu’elles possèdent ne fuitent pas vers l’étranger à des fins d’espionnage. En 2017, une loi sur la cybersécurité très exigeante en matière d’examens de sécurité et de stockage des données sur des serveurs présents sur le territoire chinois est entrée en vigueur. Il s’agissait là de la première pierre posée par le gouvernement pour renforcer le contrôle des données générées à l’intérieur de ses frontières.
La Chine renforce son contrôle sur le transfert de données personnelles et sensibles
Suite à cela, l’Empire du Milieu a adopté sa grande loi sur la protection des données personnelles, obligeant notamment les entreprises du secteur du numérique à demander l’autorisation au pays pour traiter des informations personnelles et sensibles. Ce nouveau cadre législatif faisait partie, avec la loi sur les pratiques anticoncurrentielles, d’une large reprise en main du secteur technologique ayant pris fin récemment.
En avril dernier, les législateurs ont adopté une vaste mise à jour de la loi visant à lutter contre l’espionnage. Elle a permis d’élargir la définition de l’espionnage, incluant les cyberattaques contre les organes de l’État ou les infrastructures d’information critiques. Elle interdit, entre autres, le transfert d’informations si elles compromettent la sécurité intérieure. Les autorités pourront, si elles le jugent nécessaire et dans le cadre d’une enquête anti-espionnage, avoir accès aux données, aux équipements électroniques, et aux informations sur les biens personnels.