Explication de la grande révision de la « Loi sur la sécurité des réseaux » en Chine : Comment les entreprises devraient-elles réagir au renforcement des sanctions et à l'élargissement de l'application extraterritoriale ?

La « Loi sur la sécurité du réseau de la République populaire de Chine » (loi sur la cybersécurité, en chinois : 中华人民共和国网络安全法), qui constitue le pilier central des régulations en matière de cybersécurité en Chine, a atteint un tournant majeur. Le 28 octobre 2025, le Comité permanent de l’Assemblée populaire nationale a annoncé la révision de cette loi, qui entrera en vigueur le 1er janvier 2026.

Depuis son entrée en vigueur en 2017, cette nouvelle loi représente la première révision d’envergure et ne se limite pas à de simples modifications de texte. Elle inclut un renforcement significatif des responsabilités légales, une adaptation aux nouvelles technologies telles que l’intelligence artificielle (IA), ainsi qu’une extension de l’application extraterritoriale de la loi. Ces éléments sont cruciaux pour les entreprises japonaises opérant en Chine et ne peuvent être ignorés.

Dans cet article, nous allons examiner le contexte de cette révision majeure de la loi sur la sécurité du réseau, les détails spécifiques des modifications, et les mesures pratiques que les entreprises japonaises doivent envisager.

Contexte de la Réforme Majeure de la « Loi sur la Sécurité des Réseaux » (Loi sur la Cybersécurité)

La loi chinoise sur la sécurité des réseaux, aux côtés de la « Loi sur la Sécurité des Données » et de la « Loi sur la Protection des Informations Personnelles », constitue la loi fondamentale qui soutient la gouvernance dans le domaine de la cybersécurité, formant ce que l’on appelle les « Trois Lois Chinoises sur les Données ».

Deux facteurs principaux expliquent le contexte de cette réforme. Le premier est la nécessité de répondre aux nouveaux risques liés au développement rapide de l’économie numérique.

Avec la diffusion rapide des technologies d’intelligence artificielle, y compris l’IA générative, des défis tels que la sécurité des algorithmes, la légalité des données d’entraînement et les normes éthiques de l’IA, qui n’étaient pas suffisamment anticipés par les systèmes juridiques existants, sont apparus. Il était nécessaire de mettre en place un cadre pour gérer ces questions sur le plan juridique.

De plus, les menaces telles que les intrusions dans les réseaux, les cyberattaques et la diffusion d’informations illégales ont augmenté, nécessitant un renforcement des responsabilités légales pour accroître l’effet dissuasif.

L’autre facteur est lié à la stratégie nationale de la Chine. Sous l’égide de la construction d’une « puissance cybernétique » et de la « vision globale de la sécurité nationale », la Chine a progressé dans l’élaboration de systèmes juridiques pour protéger la souveraineté et la sécurité dans le cyberespace.

En outre, les sanctions étaient relativement légères dans l’ancienne loi, et il existait des différences dans les critères de punition par rapport à la Loi sur la Sécurité des Données et la Loi sur la Protection des Informations Personnelles adoptées ultérieurement. Cette réforme vise à renforcer la coordination entre ces « Trois Lois sur les Données » et à accroître l’uniformité et la rigueur de l’application de la loi.

Enfin, en tenant compte de la situation internationale récente, le champ d’application extraterritorial de la loi a été clarifié et élargi pour répondre aux attaques provenant de l’extérieur de la Chine et aux actes menaçant la sécurité nationale. Cela permet de prendre des mesures de sanction contre des organisations ou des individus étrangers.

Points clés de la révision de la “Loi sur la sécurité des réseaux”

La nouvelle loi issue de cette révision introduit plusieurs ajouts et modifications importants, en plus de la transmission des obligations substantielles de l’ancienne loi.

Établissement de nouvelles dispositions concernant les politiques de base et l’intelligence artificielle (IA)

Dans la nouvelle loi, il est clairement stipulé que les activités de cybersécurité doivent maintenir la direction du Parti communiste chinois et appliquer la “vision globale de la sécurité nationale”.

De plus, cette révision intègre pour la première fois de manière systématique des politiques concernant l’IA dans la loi principale sur la cybersécurité. L’État soutient la recherche et le développement des théories fondamentales et des algorithmes de l’IA, tout en renforçant la surveillance des risques, la supervision de la sécurité et l’établissement de normes éthiques, afin d’améliorer le niveau de cybersécurité en utilisant de nouvelles technologies.

Renforcement des obligations de protection de la sécurité et coordination avec la législation sur la protection des données personnelles

Les opérateurs de réseaux ont l’obligation de garantir la sécurité des réseaux en respectant le système de protection par niveaux, qui inclut l’établissement de systèmes de gestion interne, la clarification des responsabilités et la mise en œuvre de mesures techniques.

La révision clarifie également que lors du traitement des données personnelles, il est nécessaire de se conformer non seulement à la loi sur la sécurité des réseaux, mais aussi aux dispositions du Code civil et de la loi sur la protection des données personnelles.

Cela renforce la cohérence des systèmes juridiques concernés et exige une réponse de conformité plus intégrée.

Assurance de la sécurité des produits et services de réseau

La loi met l’accent sur la sécurité de la chaîne d’approvisionnement des équipements importants et des produits spécialisés. La vente ou la fourniture d’équipements de réseau importants qui n’ont pas été certifiés ou inspectés pour la sécurité, ou qui n’ont pas réussi ces inspections, est strictement interdite.

En cas de violation, des sanctions telles que l’arrêt des ventes, la confiscation des revenus illégaux et des amendes considérables peuvent être imposées.

Renforcement significatif des responsabilités légales (sanctions)

Une des caractéristiques majeures de cette révision est l’introduction d’un système de sanctions progressives en fonction de la gravité des dommages, ainsi que l’augmentation générale du niveau des amendes.

Amendes pour les opérateurs de réseaux

La nouvelle loi permet d’imposer directement des amendes en même temps qu’un ordre de correction pour violation des obligations de protection de la sécurité (alors que l’ancienne loi ne prévoyait parfois qu’une recommandation de correction). Les amendes pour refus de correction ou en cas de dommages varient de 50 000 yuans à 500 000 yuans (contre un plafond de 100 000 yuans dans l’ancienne loi).

En outre, une nouvelle disposition de sanctions aggravées a été introduite : en cas de fuite massive de données ou de perte partielle de la fonction d’infrastructures d’information critiques, des amendes de 500 000 yuans à 2 000 000 yuans peuvent être imposées, et en cas de perte de la fonction principale d’infrastructures d’information critiques, des amendes de 2 000 000 yuans à 10 000 000 yuans peuvent être appliquées.

Amendes pour les individus (responsables directs)

La responsabilité des individus responsables au sein des entreprises est également alourdie. Selon le degré de gravité des dommages, des amendes de 50 000 yuans à 200 000 yuans peuvent être imposées aux responsables principaux et autres responsables directs en cas de dommages graves, et de 200 000 yuans à 1 000 000 yuans en cas de dommages particulièrement graves. En plus des “responsables principaux”, les “autres responsables directs” sont désormais également clairement mentionnés comme sujets à des sanctions.

Autres mesures de sanction

Outre les amendes, des sanctions administratives sévères telles que la suspension temporaire des activités, la fermeture et la réorganisation des entreprises, la fermeture de sites web ou d’applications, et la révocation des licences commerciales peuvent être imposées en fonction des circonstances. En cas de dommages particulièrement graves, ces mesures deviennent obligatoires.

Extension de la portée d’application extraterritoriale

Alors que l’application extraterritoriale de l’ancienne loi était limitée aux activités menaçant les infrastructures d’information critiques (CII) de la Chine, la nouvelle loi inclut désormais les activités menées par des institutions, organisations ou individus étrangers qui menacent la sécurité des réseaux en général en Chine. En cas de conséquences graves, les autorités chinoises peuvent décider de mesures de sanction telles que le gel des actifs.

Réponse des entreprises à la révision de la “Loi sur la sécurité des réseaux” en Chine

Avec l’entrée en vigueur de la nouvelle loi, les entreprises opérant en Chine doivent revoir fondamentalement leurs systèmes actuels et établir une gouvernance plus stricte.

Réexamen et renforcement du système de gestion interne de la sécurité

Les entreprises doivent s’assurer que leur réseau est protégé au niveau approprié conformément au système de protection par niveaux de la cybersécurité.

Clarification des responsabilités

Il est essentiel de désigner clairement un responsable de la sécurité du réseau et d’intégrer ses pouvoirs et obligations dans les règlements internes. La nouvelle loi augmente considérablement les amendes personnelles, rendant l’éducation et le soutien à l’exécution des tâches des responsables cruciaux pour réduire les risques juridiques des entreprises.

Mise en œuvre rigoureuse des mesures techniques

Il est nécessaire de prendre des mesures techniques pour prévenir les virus informatiques et les cyberattaques, et de conserver les journaux pendant plus de six mois. De plus, il est requis de vérifier si la classification des données, la sauvegarde des données importantes et les mesures de cryptage sont conformes aux normes techniques les plus récentes.

Conformité stricte de la chaîne d’approvisionnement

Il est nécessaire de gérer strictement si les équipements réseau critiques ou les produits spécialisés utilisés ou vendus par l’entreprise ont passé la certification et l’inspection de sécurité reconnues par les autorités chinoises.

Vérification lors de l’approvisionnement

Les entreprises considérées comme opérateurs d’infrastructures critiques (CII) doivent réussir l’examen de sécurité nationale lorsqu’elles se procurent des produits ou services réseau susceptibles d’affecter la sécurité nationale.

Contrat de confidentialité

Il est obligatoire de conclure un accord avec les fournisseurs concernant la sécurité et la confidentialité, et de clarifier les responsabilités.

Établissement d’un système de réponse et de rapport aux incidents

Il est requis de développer un plan d’urgence (manuel) pour les incidents de sécurité et de mener des formations régulières. En cas d’incident, il est nécessaire de prendre immédiatement des mesures correctives et de mettre en place un flux pour signaler sans délai aux autorités.

Évaluation de la sécurité lors de l’introduction de nouvelles technologies (IA)

Lors de l’introduction de l’IA dans les opérations, il est nécessaire d’examiner la sécurité des algorithmes et leur conformité aux normes éthiques. La loi promeut le développement sain de l’IA tout en renforçant la surveillance des risques, il est donc crucial de suivre les tendances des règlements de supervision spécifiques à venir et de prendre des mesures proactives.

Gestion du transfert transfrontalier des données

Pour la fourniture de données importantes ou d’informations personnelles à l’étranger, il est nécessaire de suivre les procédures appropriées telles que l’évaluation de la sécurité, la certification et la conclusion de contrats standards conformément à la loi sur la sécurité des données et à la loi sur la protection des informations personnelles. La loi souligne également la collaboration avec ces autres lois, rendant urgente la construction d’un système de gestion des données intégré.

Conclusion : Consultez un avocat pour se conformer à la loi sur la sécurité des réseaux en Chine

La révision de la loi sur la sécurité des réseaux en Chine symbolise le passage de la gouvernance numérique chinoise d’une “orientation par recommandation de correction” à une “application stricte de la loi accompagnée de lourdes amendes”.

Le montant maximal de l’amende, fixé à 10 millions de yuans, peut avoir un impact significatif sur la gestion d’une entreprise. Les entreprises doivent désormais comprendre les lois avec précision et s’impliquer dans des décisions de gestion prudentes plus que jamais.

En même temps, il est essentiel de clarifier les relations avec les normes subordonnées connexes, telles que le “Règlement sur la gestion de la sécurité des données réseau” entré en vigueur en janvier 2025 (Reiwa 7), et de mettre en place un système de conformité multicouche pour continuer à opérer sur le marché chinois.

Pour aborder ces révisions législatives, il est crucial de faire appel au soutien d’un avocat qui maîtrise non seulement le droit mais aussi le secteur des affaires IT.

Solutions Proposées par Notre Cabinet

Le cabinet d’avocats Monolith est un cabinet doté d’une riche expérience à la fois en IT et en droit, en particulier dans le domaine de l’Internet. Ces dernières années, le monde des affaires globales s’est considérablement élargi, augmentant ainsi la nécessité de vérifications légales par des experts. Notre cabinet propose des solutions en matière de droit international, spécifiquement adaptées au contexte japonais.