Qu'est-ce que la loi chinoise sur la cybersécurité ? Explication des points clés pour la conformité
Selon le rapport spécial de la Japanese Teikoku Databank intitulé « Enquête sur les tendances de l’expansion des entreprises japonaises en Chine (2022)[ja] », le nombre d’entreprises japonaises présentes en Chine s’élève à 12 706. Il est probable que le nombre d’entreprises impliquées dans des affaires liées à la Chine soit encore plus élevé. En Chine, la « Loi chinoise sur la cybersécurité » a été promulguée en 2017.
En conséquence, pour développer des affaires en Chine, il est devenu nécessaire de réviser les réglementations conformément à la loi et de mettre en place des mesures de protection techniques. Cependant, certains ne sont peut-être pas au courant de la nature de cette loi ou ne savent pas comment s’y conformer.
C’est pourquoi cet article propose un aperçu de la loi chinoise sur la cybersécurité, les entités réglementées et les mesures à prendre. Si vous développez des affaires en Chine ou envisagez de vous y implanter, veuillez consulter cet article comme une ressource précieuse.
Aperçu de la loi chinoise sur la cybersécurité
La loi chinoise sur la cybersécurité (网络安全法), entrée en vigueur en juin 2017, a pour objectif, tel que stipulé dans son article 1, de :
- Garantir la sécurité des réseaux
- Protéger la souveraineté du cyberespace, la sécurité nationale et l’intérêt public
- Préserver les droits et intérêts légitimes des citoyens, des entreprises et d’autres organisations
- Promouvoir le développement de l’informatisation de l’économie et de la société
Le terme “réseau” désigne “un ensemble constitué par des ordinateurs ou d’autres terminaux d’information et équipements associés, qui collecte, stocke, transmet, échange et traite des informations selon certaines règles et programmes (article 76)”, incluant ainsi non seulement Internet mais aussi les intranets.
La loi chinoise sur la cybersécurité se distingue du Règlement général sur la protection des données (RGPD) de l’UE et de la loi japonaise sur la protection des informations personnelles, en ce qu’elle vise non seulement à protéger les informations des individus et des organisations, mais aussi à sauvegarder la sécurité nationale et l’intérêt public de la Chine. La loi impose aux entreprises concernées la mise en œuvre de la protection de niveau de cybersécurité, le respect de la conformité et la clarification des droits et obligations.
Il existe également d’autres lois relatives à la sécurité, telles que la loi chinoise sur la sécurité des données.
Article connexe : Qu’est-ce que la loi chinoise sur la sécurité des données ? Explications des mesures à prendre pour les entreprises japonaises[ja]
Les entités régulées par la loi chinoise sur la cybersécurité
Les entreprises japonaises deviennent sujettes à la loi chinoise sur la cybersécurité dans les cas suivants :
- Elles traitent des informations à l’intérieur de la Chine
- Elles transfèrent des informations de la Chine vers le Japon
Même si leur siège est situé au Japon, elles sont concernées par cette loi si elles correspondent aux situations mentionnées ci-dessus. De plus, les entités régulées incluent les « opérateurs de réseau » et les « opérateurs d’infrastructures d’informations critiques ».
Un opérateur de réseau est une personne ou une entité qui possède ou gère un réseau, ou qui fournit des services de réseau.
Un opérateur d’infrastructures d’informations critiques est une personne ou une entité qui gère des installations dans des domaines susceptibles de menacer la sécurité nationale en cas de dommage (tels que l’énergie, les transports, la finance, les services publics, etc.), et dont la dégradation ou la fuite de données pourrait gravement compromettre la sécurité nationale, la vie des citoyens ou l’intérêt public.
Contenu de la loi chinoise sur la cybersécurité
La loi chinoise sur la cybersécurité impose les obligations suivantes :
- Mise en place de niveaux de cybersécurité
- Conformité aux normes obligatoires nationales
- Exigence d’enregistrement sous le véritable nom
- Obligations pour les opérateurs d’infrastructures d’information vitales
- Établissement de systèmes de gestion et de réponse
Nous allons maintenant expliquer chacun de ces points en détail.
Mise en place d’un système de classification de la cybersécurité
Conformément à l’article 21 de la loi chinoise sur la cybersécurité, un système de protection par niveaux est établi, que les opérateurs de réseaux doivent respecter. Les entreprises et organisations possédant des réseaux en Chine doivent obtenir une certification de protection par niveaux.
Le système de protection par niveaux est un système d’évaluation officiel pour la gestion de la sécurité des réseaux. Il s’applique aux domaines suivants :
- Infrastructure réseau
- IoT (Internet des Objets)
- Systèmes de contrôle industriel
- Sites Internet de grande envergure et centres de données
- Plateformes de services publics
Le système de protection par niveaux classe les systèmes d’information en cinq niveaux, en fonction de l’étendue et de la gravité des dommages en cas de défaillance.
| Degré de dommages subis par l’objet | |||
| Dommages généraux | Dommages graves | Dommages particulièrement graves | |
| Citoyens et entreprises, etc. | Niveau 1 | Niveau 2 | Niveau 3 |
| Ordre social et intérêt public | Niveau 2 | Niveau 3 | Niveau 4 |
| Sécurité nationale | Niveau 3 | Niveau 4 | Niveau 5 |
De plus, la définition de chaque niveau est la suivante :
| Niveau | Définition |
| Niveau 1 | Réseau général dont la destruction affecte les droits légitimes des citoyens, des entreprises et d’autres organisations, sans impacter la sécurité nationale, l’ordre social ou l’intérêt public. |
| Niveau 2 | Réseau général dont la destruction cause des dommages importants aux droits légitimes des citoyens, des entreprises et d’autres organisations, ou nuit à l’ordre social et à l’intérêt public, sans affecter la sécurité nationale. |
| Niveau 3 | Réseau important dont la destruction entraîne des dommages très graves aux droits légitimes des citoyens, des entreprises et d’autres organisations, ou menace la sécurité nationale. |
| Niveau 4 | Réseau particulièrement important dont la destruction nuit considérablement à l’ordre social et à l’intérêt public, ou cause des dommages très importants à la sécurité nationale. |
| Niveau 5 | Réseau extrêmement important dont la destruction entraîne des dommages extrêmement graves à la sécurité nationale. |
Des normes de sécurité de l’information spécifiques doivent être respectées pour chaque niveau de classification. Il est courant que les opérateurs de réseaux soient soumis à un niveau 2 ou supérieur, tandis que les opérateurs d’infrastructures d’information vitales doivent se conformer à un niveau 3 ou supérieur.
Pour obtenir un niveau de classification, les opérateurs doivent d’abord soumettre une demande d’auto-évaluation à l’autorité compétente, mais l’accord final doit être obtenu du ministère de la Sécurité publique. De plus, le système de protection par niveaux exige que les niveaux 2 et supérieurs soient évalués par un organisme d’évaluation. Il est important de noter que des amendes peuvent être appliquées en cas de non-conformité au système de protection par niveaux.
Conformité aux normes obligatoires nationales
Les services fournis par les fournisseurs de produits et services Internet doivent se conformer aux normes obligatoires nationales, comme stipulé à l’article 22. Les fournisseurs ne doivent pas installer de programmes malveillants.
De plus, s’ils découvrent des défauts, des vulnérabilités ou d’autres risques dans leurs produits ou services, ils doivent prendre des mesures immédiates, informer les utilisateurs et signaler la situation aux autorités compétentes sans délai.
En septembre 2021 (Reiwa 3), les “Règlements sur la gestion des vulnérabilités de sécurité des produits Internet” (网络产品安全漏洞管理规定) destinés aux opérateurs de réseaux ont été mis en œuvre. Il est donc nécessaire de se référer également à ces règlements et d’agir en conséquence.
L’enregistrement sous le véritable nom est requis
Lors de la fourniture de services tels que la connexion réseau, les procédures de connexion pour les téléphones fixes et mobiles, les services de partage d’informations et les services de messagerie instantanée, il est exigé que les utilisateurs s’enregistrent sous leur véritable nom. Si un utilisateur ne procède pas à l’enregistrement sous son véritable nom, il ne lui est pas permis de bénéficier des services.
De plus, les opérateurs de réseau ont également l’obligation de vérifier que les informations diffusées par les utilisateurs ne violent pas la législation en vigueur.
Obligations des opérateurs d’infrastructures d’information vitales
Les opérateurs d’infrastructures d’information vitales ne sont pas seulement tenus de mettre en œuvre des mesures de sécurité imposées aux opérateurs de réseaux, mais ils doivent également adopter les mesures suivantes :
- Effectuer des sauvegardes régulières des systèmes et des bases de données
- Élaborer un plan de réponse aux incidents de sécurité
- Effectuer une évaluation annuelle de la sécurité
- Mettre en œuvre la localisation des données
Localisation des données : processus consistant à stocker et traiter les données à l’intérieur des frontières du pays où elles ont été générées
Le “Règlement sur la protection des infrastructures d’information vitales” japonais, entré en vigueur en septembre 2021 (Reiwa 3), définit plus précisément la gestion, la certification et les obligations des opérateurs de ces infrastructures. Il est donc nécessaire de s’y référer également.
Construction d’un système de gestion et de réponse
Les opérateurs de réseaux sont tenus de respecter les exigences suivantes (Article 21) :
- Mise en place d’un système de gestion de la sécurité et d’un règlement opérationnel
- Détermination d’un responsable de la sécurité du réseau
- Élaboration d’un plan de réponse aux incidents de sécurité et mise en place de mesures techniques
- Introduction de technologies de surveillance du réseau et conservation des logs (pour une durée minimale de six mois)
- Classification des données, protection des données importantes par sauvegarde et cryptage
Dispositions en cas de violation de la loi sur la cybersécurité
En cas de non-conformité avec les exigences de sécurité requises par le système de protection par niveaux, des ordres de rectification et des avertissements sont émis. Si vous refusez de suivre ces ordres ou si vous menacez la sécurité du réseau, vous devrez payer une amende allant de 10 000 yuans à 100 000 yuans. De plus, une amende allant de 5 000 yuans à 50 000 yuans peut être imposée au responsable direct.
Des ordres de rectification et des avertissements sont également émis en cas d’installation de programmes malveillants, ou si des mesures ne sont pas prises concernant les risques liés aux défauts de produits ou services, ou aux failles de sécurité. Si ces ordres sont refusés, le paiement d’une amende s’ensuivra.
Le montant de l’amende varie en fonction de la nature de la violation, et il est possible que des mesures telles que la fermeture de sites web, l’annulation de permis d’exploitation ou la suspension d’activités commerciales soient ordonnées. Il est donc nécessaire de faire preuve de vigilance. Dans le passé, il y a eu des cas où des amendes ont été imposées pour des violations, et les personnes responsables ont été interdites à vie de travailler dans le même secteur. Il est donc essentiel de prendre des mesures de cybersécurité.
Mesures que les entreprises japonaises doivent prendre face à la loi sur la cybersécurité
La loi chinoise sur la cybersécurité est complexe, et il peut être difficile de savoir par où commencer. Nous allons ici expliquer les mesures que les entreprises japonaises devraient prendre.
Mettre en place une collaboration avec les départements des systèmes d’information et ceux liés à la transformation numérique (DX)
Pour se conformer à la loi chinoise sur la cybersécurité, il est nécessaire de construire des processus opérationnels et de développer ou d’ajouter des réglementations sur la gestion des données personnelles. De plus, pour répondre au système de protection par niveaux, des mesures techniques sont indispensables pour les systèmes de votre entreprise.
Il ne s’agit pas pour les départements juridiques et administratifs de répondre individuellement, mais de mettre en place un système de collaboration avec les départements des systèmes d’information et ceux liés à la DX.
Déterminer à quel niveau chaque système détenu par l’entreprise correspond
Tout d’abord, évaluez le niveau de vos systèmes d’entreprise. Selon ce niveau, chaque département doit répondre conformément à la cybersécurité. Les départements juridiques, administratifs et de gestion des risques doivent revoir et réviser les réglementations et les opérations pour se conformer à la loi, tandis que les départements des systèmes d’information et liés à la DX doivent s’occuper des aspects techniques. Nous allons ici expliquer ces réponses en détail.
Départements juridiques, administratifs et de gestion des risques
Comparez les éléments définis par les niveaux avec la situation de gestion de votre entreprise et votre système de sécurité de l’information, et envisagez d’ajouter des réglementations ou de revoir votre système opérationnel. Ensuite, examinez comment répondre et procédez à l’élaboration ou à la révision des systèmes nécessaires.
Si le niveau est de second degré ou plus, vous devez également déclarer à l’autorité compétente. Si votre entreprise est considérée comme un opérateur d’infrastructures d’information critiques, l’obtention d’une certification de protection de niveau troisième degré ou plus est requise. De plus, vous devrez faire face à de nombreuses autres exigences, telles que la conformité aux réglementations de localisation des données, la formation régulière des employés en matière de sécurité de l’information et la formation technique. Si vous pensez que votre entreprise pourrait être considérée comme un opérateur d’infrastructures d’information critiques, il est rassurant de consulter un avocat-conseil pour établir une politique de réponse.
Récemment, de nombreux systèmes liés à la sécurité ont été mis en œuvre en Chine. Par conséquent, le département de gestion des risques devra s’adapter aux nouveaux règlements et gérer les risques en conséquence.
Départements des systèmes d’information et liés à la DX
Les départements des systèmes d’information et liés à la DX doivent mettre en place des mesures de protection de la sécurité adaptées à leur niveau. Commencez par organiser les mesures de protection de la sécurité de vos systèmes existants et, si elles sont insuffisantes, intégrez des systèmes conformes à la loi sur la cybersécurité.
En plus de la loi sur la cybersécurité, vous devez également répondre aux réglementations de localisation des données, aux restrictions transfrontalières et aux accès gouvernementaux. Il est nécessaire de comprendre quelles données sont transférées hors de Chine et de revoir la manière dont votre entreprise acquiert et stocke les données.
La loi sur la cybersécurité exige non seulement une révision des réglementations, mais aussi la mise en œuvre de mesures de protection techniques, ce qui rend la collaboration entre les départements concernés essentielle.
Résumé : En cas de difficulté avec la conformité de votre entreprise, consultez un expert
La loi chinoise sur la cybersécurité est un système créé pour la sécurité nationale de la Chine. Pour se conformer à cette loi, il est nécessaire non seulement de réviser les règlements par les départements juridiques et administratifs, mais aussi de mettre en œuvre des mesures de protection techniques.
Depuis l’entrée en vigueur de la loi sur la cybersécurité, de nombreuses lois relatives à la conformité des données, telles que les “Règlements sur la gestion des vulnérabilités de sécurité des produits Internet” et les “Méthodes d’examen de la cybersécurité (système d’examen de la sécurité nationale)”, ont été promulguées les unes après les autres. Il est important de faire attention, car en cas de violation, vous pourriez être sujet à des sanctions administratives telles que des amendes, la fermeture de sites Web ou l’annulation de permis d’exploitation. Si vous développez des activités en Chine ou prévoyez de le faire, nous vous recommandons de consulter un avocat spécialisé dans le droit chinois.
Présentation des mesures proposées par notre cabinet
Le cabinet d’avocats Monolith est spécialisé dans le domaine de l’IT, de l’Internet et des affaires. Nous avons traité des dossiers dans divers pays tels que la Chine, les États-Unis et les pays de l’UE. Lors du développement d’activités commerciales à l’étranger, de nombreux risques juridiques sont à prendre en compte, d’où l’importance du soutien par des avocats expérimentés. Notre cabinet maîtrise les lois et réglementations locales et collabore avec des cabinets d’avocats du monde entier.
Domaines d’expertise du cabinet d’avocats Monolith : Affaires internationales et activités à l’étranger[ja]
Related Articles
Qu'est-ce que les expressions interdites dans les publicités de suppléments ? Explication des tr.
General Corporate
Pourquoi les remboursements en espèces (ou les points de fidélité) trop élevés sont-ils illégaux.
General Corporate
Un avocat explique clairement les points clés des 'Directives sur la publicité médicale' japonai.
General Corporate
Contenu du 'document écrit' à prendre en compte lorsqu'une entreprise effectue le 'rachat de con.
General Corporate
Quel est l'impact des procès judiciaires sur l'examen de l'introduction en bourse ?
General Corporate
Options de Structure pour les Fusions et Acquisitions (M&A) d'Applications pour Smartphones
General Corporate
Analyse du problème de comptabilité frauduleuse de Toshiba: Qu'est-ce que la gestion de crise po.
General Corporate
