Ce que vous devez savoir sur la nouvelle loi chinoise relative à la cyber-securite
En ce mois de juin 2017, la République Populaire de Chine a mis en place sa loi controversée en matière de cybersécurité. Le Gouvernement s’implique davantage quant à la protection des données et le renforcement de la législation. Une attention particulière est portée aux opérateurs réseaux qui ont à gérer des données.
Ci-dessous, quelques idées-clés de cette nouvelle législation.
- Les données stockées sur le territoire. La loi stipule que les « informations personnelles » et les « données importantes » des citoyens chinois doivent être stockées sur des serveurs au sein du pays. Toute entreprise qui réclame une dérogation pour raison dite « vraiment nécessaire » doit se soumettre à une évaluation de sécurité avant que les informations en question ne puissent être communiquées.
- La loi s’applique aux produits réseaux et aux prestataires de services. La majorité des dispositions de la nouvelle loi s’applique aux « opérateurs d’infrastructures critiques ». En effet, ceux-ci possèdent des données essentielles à la sécurité du pays. Les secteurs principalement visés par ce changement sont la finance, le transport, la santé, les services publics et les télécommunications.
- Des dispositions plus fortes concernant la protection des données. Compléter les directives existantes sur la protection des données personnelles en Chine, obtenir l’accord des clients avant que les opérateurs réseaux puissent collecter et divulguer leurs informations personnelles, préciser la raison de la divulgation en question, ainsi que de prendre des mesures pour assurer la sécurité des informations personnelles font partie des nouvelles dispositions.
- Examens de sécurité : Tous les fournisseurs de réseau doivent passer un « examen sécurité réseau ». Cela inclut des exigences spécifiques que les opérateurs réseaux doivent respecter lorsque ceux-ci acquièrent de nouveaux systèmes réseau.
- Des conséquences importantes en cas de non-conformité. Les pénalités encourues restent floues. Toutefois, l’annulation d’une licence commerciale fait partie des pénalités déjà appliquées à ce jour par la législation. De plus, la nouvelle loi exige que les « opérateurs d’infrastructures critiques » mettent en place des procédures de signalement en cas de violation.
Alors que les professionnels juridiques et de technologies des cabinets d'avocats et des entreprises se préparent aux conséquences induites par la directive européenne RGPD, il est nécessaire de ne pas ignorer les changements importants qui se produisent actuellement en Asie.
Mais surtout, demander conseil localement, avoir des experts dans les pays qui vous aident à collecter, héberger et transporter des données dans le cadre d’investigations, de contentieux ou d’affaire réglementaires est capital.