Français English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_fr/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Qu'est-ce que la loi chinoise sur la sécurité des données ? Explication des mesures à prendre pour les entreprises japonaises

Qu'est-ce que la loi chinoise sur la sécurité des données ? Explication des mesures à prendre pour les entreprises japonaises

General Corporate

Qu'est-ce que la loi chinoise sur la sécurité des données ? Explication des mesures à prendre pour les entreprises japonaises

La loi chinoise sur la sécurité des données est une législation dans le domaine des données en Chine, entrée en vigueur en septembre 2021 (Reiwa 3). Elle s’applique à tous les traitements de données effectués sur le territoire chinois, ce qui signifie que les entreprises opérant en Chine ou celles prévoyant de s’y implanter doivent réviser et potentiellement modifier leurs réglementations et politiques de gestion existantes. Cependant, il y a des personnes qui ne comprennent pas bien cette loi ou qui sont incertaines des mesures à mettre en œuvre.

C’est pourquoi cet article propose un aperçu de la loi chinoise sur la sécurité des données, les points clés à comprendre, les sanctions encourues, ainsi que les mesures à prendre au Japon.

Qu’est-ce que la loi chinoise sur la sécurité des données ?

Question

La loi chinoise sur la sécurité des données (中华人民共和国数据安全法) est une loi relative à la sécurité des données en Chine, entrée en vigueur en septembre 2021. Elle a été promulguée dans le même esprit que la loi chinoise sur la cybersécurité, mise en œuvre en juin 2017, pour protéger la sécurité nationale.

Loi chinoise sur la cybersécurité : une loi visant à protéger la sécurité des « réseaux » en Chine.

Les objectifs de la loi chinoise sur la sécurité des données sont énoncés comme suit (Article 1) :

    • Réglementation des activités de traitement des données
    • Assurance de la sécurité des données
    • Promotion du développement et de l’utilisation des données
    • Protection des droits et intérêts légitimes des individus et des organisations
    • Protection de la souveraineté, de la sécurité et des intérêts de développement du pays

Alors que la loi chinoise sur la cybersécurité réglementait les données électroniques, la loi chinoise sur la sécurité des données se caractérise par le fait qu’elle réglemente également les données non électroniques, telles que les documents papier (Article 3). La loi chinoise sur la sécurité des données établit des dispositions concernant la classification des données, la mise en place d’un système de certification de sécurité des données et les obligations de protection de la sécurité des données.

Comprendre les points clés de la loi chinoise sur la sécurité des données

Points clés

La loi chinoise sur la sécurité des données comporte de nombreuses dispositions qui peuvent être difficiles à saisir. Dans cet article, nous allons détailler les cinq points clés suivants concernant le contenu de la loi sur la sécurité des données.

    • Les entités réglementées
    • L’établissement de normes pour la classification et la gradation des données
    • La gestion de la sécurité des données
    • La réglementation du transfert des données
    • L’examen de la sécurité nationale

Objets de régulation

Toutes les “opérations de traitement de données” effectuées en Chine sont régulées par la loi. Même lorsque ces activités de traitement de données ont lieu en dehors de la Chine, elles sont soumises à la réglementation si elles portent atteinte à la sécurité nationale chinoise, à l’intérêt public ou aux intérêts des citoyens et des organisations.

Le terme “données” fait référence à l’enregistrement d’informations par des moyens électroniques ou autres, et il est important de noter que cela inclut également les documents papier. Le “traitement de données” comprend la collecte, le stockage, l’utilisation, le traitement, la transmission, la fourniture et la divulgation de données. Les individus ou entités qui effectuent ces actions sont désignés comme “opérateurs de traitement de données”.

Sur l’établissement de normes de classification et de gradation des données

Les responsables du traitement des données doivent assurer la sécurité des données en se basant sur un système de protection par niveaux. Ce système est une évaluation officielle de la gestion de la sécurité du réseau, et les mesures à prendre varient selon le niveau. De plus, il est nécessaire de classer les données en fonction de l’ampleur des dommages causés à la sécurité nationale, à l’intérêt public, ainsi qu’aux individus ou organisations, en cas de destruction ou de fuite de données.

La classification est divisée en trois catégories : « données générales », « données importantes » et « données centrales ». Selon le « Règlement sur la sécurité des données réseau (projet soumis à consultation) », les données importantes sont définies comme des données dont la falsification, la destruction, la fuite, l’acquisition ou l’utilisation illégales pourraient nuire à la sécurité nationale ou à l’intérêt public. Les données centrales concernent les données liées à la sécurité nationale, aux infrastructures vitales de l’économie nationale, aux besoins essentiels de la vie des citoyens et aux principaux intérêts publics (Article 21).

Au moment de la rédaction, aucun inventaire spécifique pour les données importantes ou centrales n’a été publié. Il est donc conseillé de classer les données que vous traitez en vous référant aux exemples de données importantes mentionnés dans le « Règlement sur la sécurité des données réseau (projet soumis à consultation) ». Il est également crucial de surveiller les inventaires publiés par les autorités compétentes.

Gestion de la sécurité des données

Les responsabilités requises d’un processeur de données incluent les éléments suivants :

    • Mise en œuvre de l’éducation et de la formation à la sécurité des données
    • Respect des obligations de protection de la sécurité des données basées sur le système de protection par niveaux
    • Exécution continue de la surveillance des risques
    • Établissement d’un système de gestion de la sécurité à travers le cycle de vie complet des données
    • Mise en place d’un responsable
    • Mesures techniques

En principe, cela ressemble aux exigences d’un « Système de Gestion de la Sécurité de l’Information (SGSI) », mais il est essentiel de prêter attention à la mise en place de mesures de gestion adaptées à la classification des données.

En cas d’incident, il faut prendre des mesures immédiates et rapporter la situation aux utilisateurs ainsi qu’aux autorités compétentes. De plus, lors du traitement de données importantes, il est nécessaire d’effectuer régulièrement des évaluations des risques et de soumettre des rapports d’évaluation des risques aux départements compétents.

Réglementation sur le transfert de données

Le transfert de données est réglementé en cas de données importantes. Il est indiqué que les opérateurs d’infrastructures d’information critiques, qui acquièrent ou génèrent des données importantes dans le cadre de leurs activités en Chine, doivent se conformer aux dispositions de la loi sur la cybersécurité lorsqu’ils transfèrent ces données à l’étranger.

Infrastructures d’information critiques : opérateurs de systèmes dont les dommages pourraient menacer la sécurité nationale dans des domaines susceptibles d’affecter gravement la sécurité nationale, la vie des citoyens ou l’intérêt public en cas de défaillance ou de fuite de données, tels que l’énergie, les transports, la finance, les services publics, etc.

Si le processeur de données n’est pas un opérateur d’infrastructures d’information critiques, il doit se soumettre à une évaluation de sécurité par les autorités conformément à la ‘Méthode d’évaluation de la sécurité du transfert de données à l’étranger’ et réussir cette évaluation avant de procéder au transfert.

Selon le ‘Règlement sur la gestion de la sécurité des données réseau (projet de consultation)’, même pour le transfert de données non critiques à l’étranger, une évaluation de sécurité par les autorités est requise et doit être réussie dans les cas suivants :

    • Si les données transférées à l’étranger contiennent des données importantes
    • Si un opérateur d’infrastructures d’information critiques ou un processeur de données traitant les informations personnelles de plus d’un million de personnes fournit des informations personnelles à l’étranger

De plus, les obligations de ceux qui transfèrent des données à l’étranger incluent les éléments suivants :

    • Ne pas fournir d’informations personnelles à l’étranger au-delà des objectifs, de la portée, des méthodes, des types et de la taille des données spécifiés dans le rapport d’évaluation de l’impact sur la protection des informations personnelles soumis au département d’information réseau
    • Ne pas fournir d’informations personnelles et de données importantes à l’étranger au-delà des objectifs, de la portée, des types et de la taille des données spécifiés par l’évaluation de sécurité du département d’information réseau
    • Accepter et traiter les plaintes des utilisateurs concernant l’exportation de données
    • Conserver les enregistrements de logs pertinents et les enregistrements d’autorisation d’exportation de données pendant plus de trois ans
    • Si l’exportation de données cause un préjudice aux droits et intérêts légitimes des individus, des organisations ou de l’intérêt public, le processeur de données est responsable en vertu de la loi

En cas de transfert de données à l’étranger, il est également obligatoire de créer un rapport de sécurité sur l’exportation de données et de le signaler au département d’information réseau du district.

À propos de l’examen de la sécurité nationale

Il est important de noter que si le gouvernement chinois juge que les activités de traitement de données portent atteinte à la sécurité nationale de la Chine, un examen de la sécurité nationale sera effectué. Les résultats de cet examen de la sécurité nationale sont définitifs et ne peuvent être contestés par des recours administratifs ou des actions en justice.

Sanctions de la loi sur la sécurité des données

Homme avertissant

En cas de violation de la loi sur la sécurité des données, l’entreprise peut se voir imposer des mesures correctives et des avertissements, des amendes, la suspension des activités pour mise en conformité, l’arrêt des opérations liées, ou encore l’annulation de la licence d’exploitation.

Par exemple, si une entreprise ne respecte pas les obligations stipulées aux articles 27, 29 et 30 de la loi chinoise sur la sécurité des données, des ordres de correction et des avertissements peuvent être émis. De plus, des amendes allant de 50 000 à 500 000 yuans peuvent être infligées aux responsables directs et à d’autres personnes ayant une responsabilité directe.

Il est important de noter que, en cas de violation de la loi sur la sécurité des données, non seulement la personne morale, mais aussi les responsables directs et les autres employés ayant une responsabilité directe peuvent être sujets à des sanctions. Les conséquences d’une telle violation peuvent avoir un impact significatif sur l’ensemble de l’organisation, ce qui souligne la nécessité de prendre des mesures préventives pour se conformer à la loi.

Mesures que les entreprises japonaises doivent prendre concernant la loi sur la sécurité des données

Homme guidant

La loi sur la sécurité des données s’applique à tous les traitements de données effectués en Chine, ce qui signifie que de nombreuses entreprises japonaises doivent s’y conformer. Nous allons détailler ici les mesures que les entreprises japonaises doivent prendre en réponse à la loi sur la sécurité des données.

Gestion des données

Tout d’abord, il est nécessaire de revoir la gestion des données. Il faut clarifier quelles données sont générées, stockées et supprimées au sein de l’entreprise, et comprendre la situation actuelle de la manipulation des données. Il est également important de prévoir à l’avance, grâce à la cartographie des données, la classification des données, leur transfert hors de Chine et les mesures de gestion des données actuelles pour pouvoir prendre les mesures nécessaires en fonction de chaque catégorie de données.

La loi chinoise sur la sécurité des données exige des mesures de protection spécifiques pour les données importantes et les données centrales. Par conséquent, il peut être nécessaire de redéfinir la classification de la confidentialité des informations en fonction de ces catégories.

Cependant, à l’heure actuelle, les niveaux de sécurité pour chaque catégorie ne sont pas clairement définis. Comme ils pourraient être précisés à l’avenir, il est essentiel de surveiller les catalogues publiés par les autorités chinoises compétentes. En même temps, il est rassurant de mettre en place des niveaux de sécurité en tenant compte des classifications, y compris le contrôle d’accès, l’authentification, la sécurité des communications et les mesures physiques.

De plus, il est nécessaire de réviser la politique de sécurité et d’appliquer une politique adaptée aux catégories de données classifiées par la cartographie des données.

Évaluation et rapport des risques

Lorsque l’évaluation des données par cartographie révèle la présence de données importantes, une évaluation des risques liés au traitement des données doit être effectuée. De plus, les résultats doivent être rapportés aux autorités compétentes.

Comme l’évaluation des risques doit être effectuée régulièrement, il est crucial de formaliser un processus pour qu’elle puisse être exécutée de manière continue.

Formation des employés

En Chine, de nombreux règlements liés à la sécurité sont mis en œuvre les uns après les autres. De plus, la gestion des données et l’évaluation des risques ne sont pas des processus à réaliser une seule fois. Par conséquent, il est nécessaire de former régulièrement les employés pour réviser et améliorer les processus afin qu’ils s’implantent durablement dans l’entreprise.

Non seulement les départements juridiques et administratifs, mais aussi les départements de gestion des risques doivent être impliqués, ce qui rend la collaboration entre les différents départements essentielle. Bien que la loi comporte encore des zones d’incertitude, des cas de sanctions pour non-conformité ont déjà été signalés, ce qui rend la conformité à la loi sur la sécurité des données indispensable.

Les caractéristiques des trois lois chinoises sur la cybersécurité

Les trois lois chinoises sur la cybersécurité désignent collectivement la « Loi sur la cybersécurité », la « Loi sur la sécurité des données » et la « Loi sur la protection des informations personnelles » mises en œuvre par la Chine. La Loi sur la cybersécurité vise à lutter contre les cyberattaques, la Loi sur la sécurité des données à préserver les données, et la Loi sur la protection des informations personnelles à renforcer la sécurité des informations personnelles.

Article connexe : Qu’est-ce que la loi chinoise sur la cybersécurité ? Explication des points clés à respecter[ja]

Bien que chacune de ces lois présente des différences, elles ont toutes en commun de prévoir des sanctions administratives, des dommages-intérêts civils et des responsabilités pénales en cas de violation. De plus, les sujets de ces violations ne sont pas seulement les entreprises, mais aussi les responsables directs, qui risquent d’être interdits d’exercer dans le même domaine ou d’être inscrits sur la liste des contrevenants du pays.

Résumé : Une réponse rapide et attentive est nécessaire face à la réglementation chinoise sur les données

La loi chinoise sur la sécurité des données est une législation applicable au traitement des données en Chine, qui établit des règles concernant la classification, la hiérarchisation de la protection des données et l’évaluation des risques. Diverses lois ont été publiées, y compris la loi sur la cybersécurité, la loi sur la protection des informations personnelles et les règlements sur la gestion des vulnérabilités de sécurité des produits Internet, et il est indispensable de s’y conformer.

Bien qu’il existe des zones d’ombre, comme l’absence de spécifications concrètes pour les niveaux de sécurité par catégorie, des cas de sanctions par des amendes pour non-conformité ont été signalés. Il est donc essentiel de répondre adéquatement à la législation. Il est crucial de surveiller la réglementation chinoise tout en prenant les mesures possibles dès maintenant.

Si vous développez des activités en Chine ou prévoyez de le faire, nous vous recommandons de consulter un avocat spécialisé dans le droit chinois.

Présentation des mesures proposées par notre cabinet

Le cabinet d’avocats Monolith est spécialisé en IT, et plus particulièrement dans l’intersection entre Internet et le droit, fort d’une riche expérience dans ces deux domaines. Avec l’expansion croissante des affaires mondiales ces dernières années, la nécessité de contrôles juridiques par des experts est de plus en plus prégnante. Notre cabinet propose des solutions en matière de droit international, notamment pour la Chine, les États-Unis et les pays de l’UE.

Domaines d’expertise du cabinet d’avocats Monolith : Affaires internationales et opérations à l’étranger[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Réglementation juridique de la publicité des médicaments : Explication de la 'Loi japonaise sur les appareils pharmaceutiques et médicaux'

Réglementation juridique de la publicité des médicaments : Explication de la 'Loi japonaise sur .

General Corporate

Ça change selon le type de produit ? Explication des exemples d'expressions violant la réglementation publicitaire

Ça change selon le type de produit ? Explication des exemples d'expressions violant la réglement.

General Corporate

Quels sont les problèmes juridiques de la 'Loi japonaise sur le règlement des fonds' et de la 'Loi japonaise sur l'affichage des prix' dans la gestion des applications de jeux ?

Quels sont les problèmes juridiques de la 'Loi japonaise sur le règlement des fonds' et de la 'L.

General Corporate

Explication de la 'Clôture Additionnelle' dans les Contrats d'Investissement: Méthodes Appropriées et Contenu du Contrat

Explication de la 'Clôture Additionnelle' dans les Contrats d'Investissement: Méthodes Approprié.

General Corporate

Demander à un travailleur en cloud de faire du montage vidéo: Explication des 6 points clés d'un contrat de sous-traitance

Demander à un travailleur en cloud de faire du montage vidéo: Explication des 6 points clés d'un.

General Corporate

La progression de l'utilisation des supports d'apprentissage en ligne : Quels sont les points à noter en matière de droit d'auteur japonais ?

La progression de l'utilisation des supports d'apprentissage en ligne : Quels sont les points à .

General Corporate

La responsabilité juridique des opérateurs de centres commerciaux en ligne face à l'infraction des droits de marque par les exposants

La responsabilité juridique des opérateurs de centres commerciaux en ligne face à l'infraction d.

General Corporate

Qu'est-ce que le UK GDPR ? Explication des relations avec le GDPR et des points clés à retenir

Qu'est-ce que le UK GDPR ? Explication des relations avec le GDPR et des points clés à retenir

General Corporate

Explication détaillée des raisons pour lesquelles le 'Kompu Gacha' est illégal et de sa relation avec la 'Loi japonaise sur l'affichage des prix des lots'

Explication détaillée des raisons pour lesquelles le 'Kompu Gacha' est illégal et de sa relation.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Retourner En Haut