Les régimes chinois de cybersécurité et de transfert transfrontalier de données

La Chine a promulgué la LCS le 7 novembre 2016. La LCS est entrée en vigueur le 1er juin 2017, avec pour objectif d'établir un régime réglementaire uniforme pour la cybersécurité et la protection des données en Chine.

Plusieurs agences gouvernementales sont impliquées dans la mise en œuvre de la LCS, notamment :

• L'Administration du cyberespace de la Chine (CAC) et ses bureaux locaux
• Le Ministère de la sécurité publique (MPS) et les bureaux de sécurité publique locaux
• Le Ministère de l'industrie et des technologies de l'information (MIIT) et les bureaux locaux des télécommunications
• D'autres régulateurs sectoriels, tels que :
  • Le Ministère de la science et de la technologie (MOST)
  • L'Administration nationale de l'énergie (NEA)
  • La Commission de réglementation des banques et des assurances de la Chine (CBIRC)

La LSC est actuellement appliquée des manières suivantes :

• La loi impose des obligations de base aux opérateurs de réseau en matière de protection des données et de cybersécurité , y compris des obligations de conformité avec les règles du système de protection à plusieurs niveaux (MLPS)
• Elle fournit un cadre réglementaire pour les opérateurs d'infrastructures d'informations critiques (IIC)
• Elle établit un mécanisme d'examen de la cybersécurité en matière de produits et services en réseau pouvant mettre en danger la sécurité nationale de la Chine
• Elle établit des exigences de certification avant la vente pour les équipements de réseaux essentiels et les produits de sécurité des réseaux
• Elle impose des exigences de protection des données recueillies dans le cadre du fonctionnement des réseaux
• Elle stipule un large éventail de sanctions et de pénalités pour les entreprises qui ne respectent pas les règles

TLe système de protection à plusieurs niveaux (MLPS) est un système de classification de tous les réseaux en Chine (sauf ceux à usage personnel et domestique) et les exigences en matière de protection et de supervision de la cybersécurité. Le MLPS ne s'applique pas aux réseaux dont les serveurs sont situés en dehors de la Chine.

Le MLPS répertorie les réseaux du niveau 1 au niveau 5 selon :

• les fonctions des réseaux
• la portée et l'objectif des services
• le type de données traitées

Le niveau 1 est le moins critique et le moins soumis aux exigences de sécurité, tandis que le niveau 5 est le plus critique et le plus soumis aux exigences de sécurité. En fonction du niveau de classification, qui est déterminé après une auto-évaluation par les exploitants, ces derniers pourraient devoir organiser un examen par des experts ou obtenir l'approbation de leurs régulateurs industriels sur les résultats de la classification avant de déposer les résultats auprès du MPS. Les entreprises canadiennes qui détiennent des réseaux en Chine doivent consulter des fournisseurs de services expérimentés pour déterminer le niveau de leurs réseaux.

Tous les opérateurs de réseaux, quelle que soit leur classification MLPS, doivent prendre les mesures générales de cybersécurité suivantes : 

• la gestion du personnel et des formations liées aux mesures de cybersécurité  
• la gestion des salles de données, des serveurs et des dispositifs 
• la prévention de logiciels malveillants et de cyber-attaques
• la surveillance et l'enregistrement de l'état du réseau
• la sauvegarde de données
• le signalement des incidents de sécurité au MPS

Il y a des exigences supplémentaires pour les réseaux classés au niveau trois et plus, comme par exemple :

• La surveillance de l'état des réseaux, du trafic sur les réseaux, du comportement des utilisateurs, des incidents de sécurité, et de la connexion des réseaux de surveillance avec les réseaux MPS.
• La formulation de plans d'urgence en matière de cybersécurité et la tenue régulière d'exercices d'intervention d'urgence en matière de cybersécurité.
• L'utilisation de produits et services des réseaux qui correspondent à leurs niveaux de classification en achetant des produits et services certifiés par le MPS.
• L’utilisation de technologies, de produits et de services de cryptage approuvés par l'administration nationale de cryptographie (SCA).
• Effectuer la maintenance technique des réseaux en Chine. Si, pour des raisons commerciales, il est nécessaire d'effectuer une maintenance à distance en dehors de la Chine, il est important de procéder à une évaluation de la cybersécurité et de mettre en œuvre des mesures de gestion des risques.

Les infrastructures d'information critiques (IIC) se réfèrent généralement aux installations de réseau et aux systèmes d'information importants en Chine qui, en cas de dommage, de perte de fonction ou de divulgation de données, peuvent gravement nuire à la sécurité nationale, à l'économie nationale, aux moyens de subsistance de la population ou à l'intérêt public dans les secteurs suivants :

• les communications publiques et les services d'information
• l'énergie
• les transports
• la conservation des eaux
• la finance
• les services publics
• le gouvernement électronique
• l'industrie des technologies de la défense
• autres industries et secteurs cruciaux 

Les régulateurs sectoriels chinois sont chargés de formuler des règles d'identification des IIC en tenant compte des trois grands facteurs suivants :

• l'importance des installations de réseau et des systèmes d'information pour l'activité principale de l'industrie ou du secteur concerné
• le degré de préjudice qui peut être causé si les installations de réseau et les systèmes d'information sont endommagés, désactivés ou s'il y a une divulgation de données
• l'impact associé potentiel sur d'autres industries et secteurs

Les régulateurs sectoriels désignent les IIC selon leurs règles, notifient les résultats aux opérateurs d'IIC et transmettent les résultats au ministère de la sécurité publique (MSP). L'IIC exclut les réseaux dont les serveurs sont situés à l'extérieur de la Chine.

Il n'y a pas de calendrier explicite pour l'identification de nouveaux IIC. Dans le cas où un opérateur IIC déjà identifié apporte un changement majeur à son IIC, l'opérateur doit signaler le changement au régulateur ; le régulateur dispose d'un délai de 3 mois pour réexaminer si les réseaux sont toujours IIC ou non. 

Les opérateurs IIC doivent respecter des exigences strictes en matière de cybersécurité et mener des activités de protection de la cybersécurité similaires à celles exigées des réseaux classifiés au niveau trois et supérieur de la MLPS (Multiple-level Protection Scheme). En outre, les opérateurs doivent satisfaire aux exigences suivantes :

• Mettre en place un bureau spécial de gestion de la sécurité chargé de la protection de la sécurité de l'IIC
• Effectuer une évaluation de sécurité des systèmes et logiciels développés par des tiers avant la mise en ligne des réseaux
• Stockage d'informations personnelles et de données importantes recueillies et/ou produites dans le cadre de leurs activités en Chine. Si le transfert transfrontalier de ces informations et données est nécessaire pour des raisons commerciales, les opérateurs doivent passer une évaluation de sécurité obligatoire par la CAC
• Passer le contrôle de cybersécurité avant que les opérateurs ne se procurent un large éventail de produits et services de réseau pouvant avoir un impact négatif sur la sécurité nationale en Chine
• Passer le contrôle de cybersécurité avant que les opérateurs ne se procurent un large éventail de produits et services de réseau pouvant avoir un impact négatif sur la sécurité nationale en Chine. Les accords d'achat des opérateurs doivent stipuler explicitement que les fournisseurs contribueront au contrôle de la cybersécurité et s'engageront à ne pas se livrer à des activités illégales

Par données importantes, on entend le type de données qui, si elles font l'objet d'une fuite, peuvent avoir un impact négatif :

• La sécurité nationale
• La sécurité économique
• La stabilité sociale
• La santé publique
• La sécurité publique

Des exemples de données importantes pourraient inclure les informations gouvernementales non publiées et de grands volumes de données relatives à la population, à la génétique, aux soins de santé, à la géographie et aux ressources minérales.

Les données opérationnelles et administratives des entreprises et les informations personnelles ne sont généralement pas considérées comme des données importantes.

Si les opérateurs de réseaux collectent des données importantes à des fins opérationnelles, ils doivent déclarer leurs pratiques de collecte de données auprès des bureaux locaux de l’Administration du cyberespace de la Chine (CAC). Les documents déposés doivent inclure des informations concernant l'objectif, le volume, la méthode, la portée, le type et la période de conservation des données importantes collectées.

Les opérateurs doivent désigner des personnes responsables ayant des connaissances et une expérience en matière de protection des données afin de garantir la sécurité des données importantes qu'ils collectent. Parmi leurs responsabilités, ces personnes doivent signaler les pratiques de protection des données et les interventions en cas d'incident au CAC et aux autres organismes gouvernementaux concernés.

Les informations personnelles sont celles qui permettent d'identifier une personne, soit de façon isolée, soit en combinaison avec d'autres informations. Parmi les exemples de renseignements personnels figurent :

• le nom
• l'adresse
• le numéro de téléphone
• la date de naissance
• le numéro de carte d'identité
• la biométrie

Les opérateurs de réseaux ne peuvent pas collecter des informations personnelles qui ne sont pas pertinentes aux services qu'ils offrent. Avant de collecter des informations personnelles auprès des personnes (les personnes concernées), les opérateurs doivent en informer les personnes par le biais d’un langage clair et facilement accessible, et obtenir leur consentement. Aucun opérateur ne peut collecter des informations personnelles sur des enfants de moins de 14 ans sans le consentement de leurs parents ou de leurs tuteurs.

Les opérateurs de réseaux doivent garder les informations personnelles des utilisateurs dans la plus stricte confidentialité. Cela inclut l'obligation de mettre en œuvre des mesures sur le plan technique pour surveiller et enregistrer l'état opérationnel de leurs réseaux et tout incident de cybersécurité. Les opérateurs doivent désigner des personnes en charge qui ont des connaissances et de l'expérience en matière de protection des données pour assurer la sécurité des informations personnelles collectées par les opérateurs.

Si les opérateurs de réseaux collectent des informations personnelles sensibles à des fins opérationnelles, ils doivent soumettre leurs pratiques de collecte de données au CAC local. Par « informations personnelles sensibles », on entend les informations personnelles qui, en cas de fuite ou d'abus, pourraient être utilisées :

• mettre en danger la sécurité des personnes et des biens
• porter atteinte à la réputation personnelle et à la santé physique et psychologique
• mener à un traitement discriminatoire

Voici des exemples d'informations personnelles sensibles :

• Les numéros de carte d'identité
• La biométrie
• Les comptes bancaires
• Les communications personnelles
• Les dossiers de crédit
• Les données de géolocalisation
• Les données sur la santé
• Les informations personnelles des enfants de moins de 14 ans

Dans la plupart des cas, avant de partager des informations personnelles avec des tiers (que ce soit en Chine ou à l'étranger), les opérateurs de réseaux doivent évaluer les risques de sécurité associés à ce partage de données et obtenir le consentement des personnes concernées.

La réglementation chinoise prévoit actuellement des exemptions qui facilitent l’exportation des données suivantes. Exemples d’exemptions :

• les informations personnelles générées à l’étranger et transférées en Chine pour y être traitées, puis réexportées à l’étranger, et qui n’intègrent pas de données nationales importantes ou d’informations personnelles lors de leur traitement en Chine;
• les informations personnelles d’employés à des fins de gestion des ressources humaines découlant de politiques d’emploi et de conventions collectives;
• les informations personnelles non sensibles concernant au maximum 100 000 personnes par année civile, exportées par un exploitant d’une infrastructure d’information non critique.

Les autorités chinoises peuvent apporter d’autres modifications aux présentes exemptions.

Dans le cadre de ces exemptions, certaines exigences supplémentaires peuvent également s’appliquer, notamment une évaluation de l’impact sur la protection des informations personnelles. Lorsque ces exemptions ne s’appliquent pas, une entreprise doit recourir soit à l’évaluation de sécurité, soit au contrat type, soit au mécanisme de certification de sécurité pour transférer des données à l’étranger.

Lorsqu’une entreprise traite ou transfère un certain volume d’informations personnelles à l’étranger, ou transfère des données importantes hors du pays, elle est tenue de demander de manière proactive une évaluation de sécurité auprès de l’autorité provinciale chargée de la cybersécurité. Cette autorité transmet ensuite la demande à l’Administration du cyberespace de la Chine (CAC – Cyberspace Administration of China) pour examen.

Si les seuils concernant les données déclenchant une évaluation de sécurité ne sont pas atteints, les entreprises transférant des informations personnelles peuvent choisir d’utiliser le contrat standard pour l’exportation de données. Les clauses du contrat standard prévoient entre autres ce qui suit :

• les obligations du processeur de renseignements personnels et du récipiendaire à l’étranger;
• l’impact des lois et des politiques du pays où se situe le récipiendaire étranger;
• les droits de la personne qui fournit des renseignements personnels;
• les recours disponibles pour l’individu qui fournit des informations personnelles;
• l’annulation du contrat standard;
• les responsabilités en cas de violation du contrat.

Bien que les parties peuvent négocier des clauses supplémentaires et les joindre à l’annexe II du contrat standard, les ajouts ne peuvent pas s’écarter des obligations et des exigences du contrat standard.

Dans les dix jours ouvrables suivant l’entrée en vigueur du contrat standard, les parties sont tenues de déposer auprès du bureau provincial de la CAC dans leur administration leur contrat standard ainsi qu’un rapport d’auto-évaluation de l’impact du transfert sur la protection des informations personnelles.

La certification de sécurité est une option de rechange au contrat standard pour une entreprise qui a l’intention d’exporter des données hors de Chine lorsqu’une évaluation de sécurité ne s’applique pas.

Le demandeur doit soumettre une demande décrivant la portée du traitement des données à caractère personnel et désignant un organisme de vérification technique. L’organisme de certification procède ensuite à la vérification requise et soumet son rapport. L’organisme de certification effectue également un contrôle sur place et, sur la base de tous les documents et rapports soumis, décide de délivrer ou non un certificat. Pendant la période de validité du certificat, l’organisme de certification assure une surveillance continue et peut suspendre ou révoquer la certification si les exigences ne sont plus respectées.

Pour certains types de données devant être transférées hors de Chine, les organismes de réglementation industrielle chinois peuvent imposer des exigences supplémentaires. Pour obtenir de plus amples renseignements, veuillez contacter le Service des délégués commerciaux du Canada en Chine à l’adresse infocentrechina@international.gc.ca et prenez soin de préciser le type précis de données dont il est question.