La Loi sur la cybersécurité de la République populaire de Chine (中华人民共和国网络安全法), adoptée le 7 novembre 2016 et entrée en vigueur le 1er juin 2017, constitue le socle juridique de la régulation du cyberespace en Chine. Elle vise à assurer la sécurité des réseaux, à protéger la souveraineté du cyberespace national, ainsi que les droits et intérêts légitimes des citoyens et des organisations, tout en promouvant le développement sain de l’informatisation économique et sociale.
Principales dispositions juridiques
La loi s’applique aux « opérateurs de réseau », définis de manière large pour inclure les propriétaires, gestionnaires et fournisseurs de services réseau. Elle impose plusieurs obligations clés :
-
Protection des informations personnelles : Les opérateurs doivent collecter et utiliser les informations personnelles de manière légale, justifiée et nécessaire, en obtenant le consentement des individus concernés et en respectant les principes de finalité et de minimisation des données.
-
Localisation des données : Les « opérateurs d’infrastructures d’information critiques » (Critical Information Infrastructure, CII) sont tenus de stocker les données personnelles et les « données importantes » collectées ou générées en Chine sur des serveurs situés sur le territoire national. Tout transfert de ces données à l’étranger est soumis à une évaluation de sécurité.
-
Sécurité des réseaux : Les opérateurs doivent mettre en place des mesures techniques et organisationnelles pour garantir la sécurité de leurs réseaux, prévenir les intrusions, les interférences et les utilisations illégales, et assurer la stabilité et la fiabilité des services.
-
Coopération avec les autorités : Les opérateurs sont tenus de coopérer avec les autorités de sécurité publique et les agences de renseignement en fournissant un soutien technique et une assistance lors d’enquêtes liées à la sécurité nationale ou à des activités criminelles.
Comparaison avec les cadres juridiques européens et américains
La Loi chinoise sur la cybersécurité se distingue des régulations européennes et américaines par plusieurs aspects notables :
-
Portée et objectifs : Alors que le Règlement général sur la protection des données (RGPD) de l’Union européenne met l’accent sur la protection des droits individuels en matière de données personnelles, la loi chinoise intègre des objectifs de sécurité nationale et de souveraineté du cyberespace. Aux États-Unis, l’approche est davantage axée sur la protection des infrastructures critiques et la cybersécurité des entreprises, avec une législation fragmentée au niveau fédéral et étatique.
-
Localisation des données : La Chine impose des exigences strictes de localisation des données pour les CII, obligeant au stockage des données sensibles sur le territoire national. En revanche, le RGPD permet le transfert de données en dehors de l’UE sous certaines conditions, notamment l’existence d’un niveau de protection adéquat dans le pays tiers. Aux États-Unis, bien que certaines réglementations sectorielles imposent des restrictions, il n’existe pas de politique générale de localisation des données.
-
Coopération avec les autorités : La loi chinoise oblige les opérateurs à coopérer étroitement avec les autorités de sécurité publique, y compris en fournissant des informations et une assistance technique. En Europe, le RGPD prévoit des obligations de coopération avec les autorités de protection des données, mais dans le respect des droits fondamentaux et sous le contrôle judiciaire. Aux États-Unis, les entreprises peuvent être tenues de fournir des informations aux autorités dans le cadre de mandats ou d’ordonnances judiciaires, mais il existe des protections légales pour les données des utilisateurs.
La Loi sur la cybersécurité de la Chine reflète donc une approche centrée sur la souveraineté nationale et la sécurité publique, contrastant avec les cadres juridiques européens et américains qui mettent davantage l’accent sur la protection des droits individuels et la promotion de la confiance numérique.
Sources :
