Début juin, la Chine a officiellement mis en vigueur une réglementation sur les contrats standards pour les transferts transfrontaliers d'informations personnelles, qui oblige les processeurs de données (y compris les entreprises qui traitent les données de moins d'un million de personnes) à avoir des contrats avec des destinataires étrangers avant le transfert.
Les nouvelles règles font partie des efforts de Pékin pour renforcer le contrôle des données nationales au nom de la protection de la sécurité nationale.
Actuellement, le principal cadre juridique du pays en matière de gestion de la confidentialité des données se compose de trois lois : la loi sur la cybersécurité, la loi sur la confidentialité des données et la loi sur la protection des informations personnelles.
En conséquence, le gouvernement central a mis en place un régime de gestion des exportations de données personnelles. Outre les mesures prévues dans le contrat type, le régime comprend des règles obligeant les entreprises à procéder à un enregistrement d’évaluation de sécurité auprès de l’autorité nationale de surveillance d’Internet ou à demander une certification de protection des informations personnelles auprès de l’autorité compétente.
Xu Ke, directeur du centre de recherche sur l'économie numérique et l'innovation juridique à l'Université de commerce international et d'économie, a déclaré que les régulateurs ont du mal à trouver un équilibre entre l'amélioration de la sécurité des données et la promotion d'une croissance économique axée sur les données.
Nombre élevé d'entreprises, faible taux d'approbation
Dans le cadre des évaluations de sécurité pour les transferts de données transfrontaliers, entrées en vigueur le 1er septembre, les entreprises qui traitent des données personnelles concernant plus d'un million de personnes doivent se soumettre à une évaluation de sécurité si elles souhaitent transférer des données à l'étranger.
Les entreprises doivent soumettre des rapports d’auto-évaluation de sécurité aux régulateurs de réseau locaux et à l’Administration du cyberespace de Chine (CAC) pour deux cycles d’examen.
Actuellement, le transfert de données à l’étranger est considéré comme légal si le cédant signe un contrat avec le destinataire et soumet que les données à transférer passent le test de sécurité de l’autorité compétente.
Bien que les mesures soient entrées en vigueur en septembre, leur mise en œuvre a été difficile en raison du grand nombre d’entreprises et du manque de ressources humaines pour évaluer leurs rapports de sécurité.
Fin avril, l'administration du cyberespace de Shanghai avait reçu plus de 400 rapports d'évaluation, dont seulement 0,5 % ont été approuvés par la CAC.
La situation est similaire ailleurs. À l'échelle nationale, les autorités ont reçu plus de 1 000 demandes de transfert de données à l'étranger, dont moins de 10 ont passé deux cycles d'examen, ont révélé des sources de Caixin.
Au niveau national, la majorité des travaux d’examen d’approbation des rapports de sécurité sont effectués par le centre technique de cybersécurité CNCERT/CC, qui dispose d’un effectif total d’environ 100 personnes.
Des critères « vagues »
Outre les contraintes de personnel, le manque de clarté des critères d’évaluation ralentit le processus d’approbation, les régulateurs et les entreprises étant en désaccord sur les raisons pour lesquelles le transfert de données demandé est nécessaire.
Par exemple, le demandeur doit expliquer pourquoi le transfert de données à une partie étrangère à des fins de traitement est légal, raisonnable et nécessaire, mais aucune autre indication n’est fournie.
M. Xu Ke a averti que l'application d'un mécanisme « tout-en-un » pourrait conduire à des restrictions excessives sur certaines industries et certains secteurs, entravant la libre circulation des données car le niveau de préoccupations en matière de sécurité nationale est différent.
He Yuan, directeur exécutif du Centre de recherche sur le droit des données de l'Université Jiao Tong de Shanghai, a noté que la charge de travail des régulateurs locaux pourrait augmenter considérablement, car les entreprises de moins d'un million d'employés devront également signer des contrats standards à partir de juin.
Depuis 2023, les autorités continentales ont intensifié leurs efforts de sensibilisation, notamment en guidant les entreprises pour qu'elles se familiarisent avec les règles de transfert de données.
Toutefois, les coûts de conformité élevés, les difficultés de communication avec les destinataires étrangers et l’incertitude réglementaire font partie des facteurs que Pékin n’a pas été en mesure de résoudre pour les entreprises.
Cher
Pour éviter les problèmes, les entreprises ont tendance à consulter des agences tierces concernant la soumission des rapports d’évaluation de sécurité.
Cependant, les frais de service facturés par ces agences de conseil peuvent facilement atteindre des centaines de millions de yuans, ce qui désavantage les petites entreprises. La qualité du service de ces agences peut également varier.
Même avec l’aide de consultants, de nombreuses entreprises ont encore du mal à obtenir des approbations. Selon Zhang Yao, associé chez Sun & Young Partners, un cabinet d'avocats basé à Shanghai, de nombreuses premières demandes ne répondent pas entièrement aux exigences réglementaires.
Bien que les régulateurs aient clarifié les exigences autour des questions fondamentales telles que les données qui doivent être transférées à l’étranger, par quels systèmes, à qui et s’il existe des risques de sécurité, « régler ces questions nécessite beaucoup de coûts et d’efforts » de la part des entreprises.
Et pour les entreprises multinationales, même si elles réussissent à envoyer des données personnelles à l'étranger, elles doivent toujours investir en permanence dans la conformité lors de leur utilisation ultérieure, a déclaré Chen Jihong, associé du cabinet d'avocats Zhong Lun, basé à Pékin.
Sans compter que le transféreur de données doit soumettre des informations sur le destinataire étranger dans le rapport, ce que très peu d’entreprises sont prêtes à partager. Par exemple, le géant Microsoft a déclaré publiquement qu’il « ne coopérerait pas » aux demandes de la Chine en matière d’évaluation de la sécurité des données.
(Selon Nikkei Asia)
Source
![[Photo] Le Premier ministre Pham Minh Chinh préside une conférence gouvernementale avec les localités sur la croissance économique](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/2/21/f34583484f2643a2a2b72168a0d64baa)
Comment (0)