Les entreprises chinoises sont confrontées à l’incertitude alors que les faucons de la sécurité des données prennent du pouvoir
Bien avant que l’agence chinoise du cyberespace n’ait averti Didi de ralentir son offre publique à succès de 4,4 milliards de dollars à New York, les faucons de la sécurité des données du pays avaient commencé à préparer leur arsenal juridique pour faire face à une autre menace perçue des États-Unis.
En mars 2018, les États-Unis ont adopté le Cloud Act, permettant aux forces de l’ordre de demander des données stockées en dehors de leur territoire. Plus tard dans l’année, le Canada a arrêté Meng Wanzhou, directrice financière de Huawei et fille de son fondateur, sur la base d’une demande d’extradition américaine. Les tribunaux américains ont contraint HSBC à témoigner des présentations de Meng à la banque.
Alors que les tensions entre les États-Unis et la Chine augmentent, des experts juridiques proches des régulateurs de Pékin affirment que la série d’événements de 2018 a placé la sécurité des données en tête de l’agenda politique de la Chine et a lié les données à la sécurité nationale. Pékin s’est empressé de créer des barrières juridiques contre ce qu’il considérait comme des tactiques de « bras long » utilisées par les gouvernements étrangers pour accéder aux données.
La montée des faucons de la sécurité des données en Chine qui en a résulté a élevé les procédures commerciales quotidiennes, telles que la liste ou le transfert de données à l’étranger, au rang de préoccupations de sécurité nationale. Les avocats avertissent que les entreprises sont prises dans le vaste espace gris juridique au gré du pouvoir discrétionnaire des agences, tandis que les entreprises disent qu’elles craignent d’être soumises au genre de mauvaise communication entre les agences qui a brouillé l’introduction en bourse de Didi.
« Ce sont 27 dragons qui gouvernent un patch », a déclaré Xu Ke, directeur du centre de recherche sur le droit de l’Internet à l’Université des affaires internationales et de l’économie de Pékin.
Ce mois-ci, la Cyberspace Administration of China a fait chuter le cours de l’action de Didi quelques jours après son offre publique de 4,4 milliards de dollars à New York avec interdiction de nouveaux utilisateurs. Le CAC a désormais proposé des mesures lui permettant d’opposer son veto à toute entreprise comptant plus d’un million d’utilisateurs répertoriés à l’étranger.
Vendredi, sept agences gouvernementales ont posté du personnel à l’intérieur de Didi pour effectuer ce qui semble être un examen de la cybersécurité de plusieurs mois. Il s’agissait également de la première annonce publique concernant l’agence d’espionnage secrète de la Chine, le ministère de la Sécurité d’État, envoyant du personnel au sein d’une entreprise.
L’affaire Didi intervient alors que la Chine prépare une nouvelle loi radicale sur la sécurité des données, qui élargit la portée des données qui ne peuvent pas être transférées en dehors de la Chine sans approbation préalable. La rédaction de la loi, qui sera présentée en septembre, a été poussée par le ministère de la Sécurité d’État, selon plusieurs personnes proches du dossier.
« C’est un recours juridique contre l’utilisation abusive du bras long de l’État par un petit nombre de pays – et il protège les données sur le territoire de notre pays d’être indûment acquises par des agences judiciaires ou exécutives étrangères », a déclaré une explication republiée par le CAC sur la loi sur la sécurité des données.
La préoccupation accrue de la Chine pour la sécurité des données n’est pas isolée : ses adversaires pensent dans le même sens. En 2019, les États-Unis ont imposé des sanctions commerciales à Huawei. L’année suivante, les États-Unis ont menacé d’interdire TikTok, tandis que l’Inde a interdit les applications mobiles chinoises. Toutes ces sanctions ont été prises au nom de la sécurité nationale.
« Actuellement, toutes les forces de l’ordre ont tendance à être plus prudentes [around national security]. C’est un problème de transfert d’attitudes de la situation extérieure vers la situation intérieure, et du haut [of the government] vers le bas », a déclaré Li Tianhang, avocat en cybersécurité au cabinet d’avocats Hui Ye à Pékin.
Des exigences juridiques contradictoires au niveau international pourraient mettre les multinationales en danger. Selon un article de Hong Yanqing, l’un des principaux rédacteurs des lois chinoises sur la protection des données, la Chine, l’UE et les États-Unis mettent en place des régimes juridiques mutuellement incompatibles sur le « blocage et la prise de données », et les multinationales sont prises dans le « jeu des lois ”.
Les craintes croissantes de Pékin concernant les données ont poussé certaines de ses agences à assumer des rôles élargis. Au lendemain de l’enquête Didi, le CAC, auparavant peu connu, a proposé un examen de sécurité obligatoire pour toutes les entreprises de plus d’un million d’utilisateurs qui recherchent des introductions en bourse à l’étranger, lui donnant ainsi une emprise sur les start-ups technologiques chinoises, dont la collecte de fonds est en grande partie en USD. fonds cherchant des sorties de New York.
Pourtant, la capacité de la CAC à réaliser elle-même des audits est limitée. L’agence a été créée en 2014 principalement pour contrôler le discours en ligne et est composée en grande partie d’anciens responsables de la propagande. L’accent mis sur la sécurité des données est récent ; dans ce domaine, elle agit en tant que coordinateur entre diverses agences dotées d’un plus grand pouvoir exécutif.
« Les succursales locales du CAC ont peu de connaissances sur les nouvelles règles et sur la meilleure façon de les mettre en œuvre », a déclaré un responsable de la protection des données qui travaille pour une société de financement Internet basée dans le Guangdong. « Ils refusent parfois nos demandes d’examen des données car ils ne comprennent pas ce qui compte comme données sensibles. »
Mais comme la loi obligeait l’entreprise à suivre la procédure, a ajouté l’officier, son entreprise avait recours à l’envoi de données à l’agence par courrier recommandé afin que l’agence ne puisse en aucun cas les rejeter.
Au lendemain de l’affaire Didi, cependant, des avocats et d’anciens responsables prédisent que la responsabilité passera des régulateurs pro-business aux factions de sécurité du gouvernement.
« Dès que quelque chose devient élevé au niveau de la sécurité nationale, il est difficile pour un autre régulateur de dire quoi que ce soit. Personne ne veut prendre le risque qu’un incident de sécurité nationale se produise sur son propre terrain », a déclaré une personne familière avec les régulateurs.
Reportage supplémentaire de Nian Liu