China’s Censors Could Shape the Future of AI-Generated Content

La nouvelle approche chinoise de la politique des données : ici pour rester ou ici pour maintenant ?

ParMarie

Les décideurs politiques chinois sont depuis longtemps aux prises avec un dilemme en matière de politique en matière de données et de cybersécurité : comment équilibrer le contrôle gouvernemental sans torpiller la confiance des entreprises. Jusqu'à présent, le camp pro-contrôle a prévalu, garantissant que les décideurs politiques chinois traitent leur cyberespace comme comparable à un territoire physique, avec des contrôles de plus en plus restrictifs à mesure que le risque (perçu) des données pour la sécurité nationale augmente. Dans le même temps, les décideurs politiques ont vanté le pouvoir des données comme nouveau moteur de croissance économique.

Cette approche confuse – présentant les données à la fois comme un moyen nécessaire au développement économique et comme quelque chose qui doit être examiné et contrôlé – crée des défis opérationnels aussi bien pour les entreprises étrangères que nationales. Pour les entreprises étrangères, cela crée une incertitude en matière d’application et une ambiguïté réglementaire, qui menacent les processus de routine tels que le transfert transfrontalier de données, les pratiques de stockage de données et, plus largement, la stabilité de leurs pratiques de gouvernance des données.

Annulation des contrôles de données

Ces derniers mois, l’engagement de la Chine en faveur d’une approche des données basée sur la sécurité nationale a été mis à l’épreuve. La confiance des entreprises étrangères est au plus bas, comme en témoignent les données négatives sur les investissements directs étrangers en 2023 pour la première fois en 15 ans. Au niveau national, les dépenses de consommation et les investissements sont restés bien en deçà des attentes post-Covid, les citoyens prudents choisissant d’épargner plutôt que de faire des folies. En réponse, les décideurs politiques veulent clairement démontrer que les efforts visant à améliorer l’environnement des affaires sont authentiques.

La politique chinoise en matière de données créait une certaine anxiété chez les entreprises et s'avérait difficile à mettre en œuvre pour la bureaucratie chinoise. Projet de règlement libéré en septembre 2023, a abordé certains des plus grands sujets de préoccupation des multinationales, notamment les restrictions sur les transferts transfrontaliers, la localisation des données et l’ambiguïté réglementaire. Après la période habituelle de commentaires, les investisseurs étrangers ont été contraints d’attendre et de spéculer sur la part du projet qui resterait la même une fois finalisé et mis en œuvre.

La période entre la publication du projet de règlement et la mise en œuvre de la version finale s'est avérée mouvementée, marquée par plusieurs événements très médiatisés qui ont influencé les relations sino-américaines. Il s'agit notamment du sommet entre les présidents chinois et américain à San Francisco, de deux réunions de politique économique de haut niveau pour fixer les objectifs de 2024 et de l'élection présidentielle à Taiwan.

Le 22 mars, l'Administration chinoise du cyberespace (CAC), l'organisme chinois de surveillance des données, publié le projet final de règlement transfrontalier. Le CAC a approuvé les dispositions le 28 novembre 2023, mais n'a rendu public le projet que le 22 mars 2024. Ce retard de quatre mois était probablement destiné à coïncider avec le Forum chinois annuel sur le développement de la Chine, un salon professionnel de grande envergure conçu pour courtiser l'investissement étranger.

La version finale s’aligne étroitement sur la version précédente. Cela réduit le fardeau de l'examen pour les entreprises, atténue l'ambiguïté réglementaire existante et permet aux zones de libre-échange d'expérimenter d'autres approches politiques.

Les nouvelles règles transfrontalières assouplissent considérablement les exigences basées sur le volume, supprimant l'obligation d'examiner les données avant le transfert pour les processeurs traitant moins de 10 000 dossiers d'informations personnelles « sensibles », ou moins d'un million de dossiers personnels non sensibles. Les réglementations antérieures imposaient de faibles seuils de volume qui soumettaient la plupart des entreprises, tant étrangères que nationales, à la surveillance et à l'examen du gouvernement avant le transfert de données à l'étranger. Autre aubaine pour les entreprises étrangères, les données liées au commerce électronique, aux opérations RH, aux envois de fonds, aux achats de billets d'avion, aux réservations d'hôtel et au traitement des visas sont désormais exemptées de l'examen du gouvernement.

Les nouvelles réglementations CAC réduisent également les types de données classées comme « importantes ». Le terme « données importantes » est une bizarrerie de longue date et déroutante de l'approche chinoise de la politique en matière de données. Les « données importantes » sont soumises aux exigences les plus strictes en matière de transfert, de gestion et de stockage. Cependant, les « données importantes » sont un terme qui reste longtemps (et encore) indéfini au sein de la réglementation actuelle. Bien que les entreprises ne disposent pas actuellement d'une définition pratique du terme, la réglementation stipule qu'à moins que les responsables gouvernementaux ne définissent explicitement un type de données comme étant important, cela n'est pas compris comme tel.

Pour les entreprises qui doivent se soumettre à des évaluations de sécurité des transferts de données, ces évaluations seront désormais valables trois ans et seront plus faciles à renouveler. La réglementation précédente précisait que ces évaluations n’étaient valables que deux ans. Les nouvelles dispositions rationaliser le processus de renouvellement des évaluations de sécurité en réduisant les exigences en matière de documentation.

De plus, les nouvelles règles augmentent le pouvoir d’expérimentation au sein des zones de libre-échange. Les zones de libre-échange, longtemps utilisées comme bac à sable d'expérimentation politique par la Chine, seront désormais autorisées à annuler des restrictions supplémentaires sur le transfert de données. Ces dispositions établissent une approche de « liste négative », un processus qui exempte de l’évaluation gouvernementale tous les types de données non inclus sur la liste officielle.

Et après?

Les nouvelles réglementations apportent de la clarté et assouplissent les normes actuelles en matière de transfert de données. Ces changements permettront aux entreprises de tous les secteurs d’économiser du temps et de l’argent. Cependant, ces réglementations révisées laissent sans solution l'énigme de la politique fondamentale en matière de données en Chine, favorable aux entreprises et favorable au contrôle, en réduisant les exigences de conformité pour les entreprises tout en continuant à permettre au gouvernement chinois de modifier les définitions clés (à savoir, ce qui est défini comme « données importantes ») dans temps réel. Cette réalité crée un espace pour des examens des transferts de données à motivation politique, un scénario cauchemardesque pour une entreprise américaine si les relations sino-américaines se détériorent soudainement.

Le débat politique interne complique encore davantage la tension dans l'approche chinoise de la politique en matière de données, différents acteurs préconisant des approches contrastées. Trois acteurs clés, en plus des régulateurs sectoriels, se battent pour se positionner.

Du côté favorable aux entreprises se trouve le ministère du Commerce, dont le mandat d’accroître le commerce le rend plus sensible aux besoins du monde des affaires, d’autant plus que la Chine cherche désespérément à inverser le faible nombre d’investissements directs étrangers.

Le débat au sein de l'Administration chinoise du cyberespace est intensifié par son double mandat, car elle est chargée de la rédaction et de l'application ainsi que de catalyser le développement numérique.

Enfin, le ministère de la Sécurité d'État, la police secrète et l'agence de renseignement chinoise, est le troisième acteur majeur, une agence cherche activement à contrôler toutes les données collectées en Chine. Ce ministère cible un ensemble plus large de données (y compris, par exemple, des informations géographiques) qui, selon lui, relèvent du secret d'État protégé.

Ces trois agences gouvernementales se disputent l'influence et le pouvoir de décision. L’agence qui exercera sa domination en cas de frictions accrues entre la Chine et les États-Unis dépendra en partie de l’évolution des priorités et de la force économique de la Chine.

Marie
Marie

Je suis Marie, rédactrice chez "Visualiser La Corruption", munie d'une formation en droit et d'une passion ardente pour la justice. Mes analyses visent à démanteler les réseaux de corruption, illuminant la voie vers la transparence et l'équité. Mon objectif : inspirer le changement à travers l'information précise et impactante.

A lire également

Pourquoi il est peu probable que la faiblesse du système bancaire américain se propage à l’Indonésie

Pourquoi il est peu probable que la faiblesse du système bancaire américain se propage à l’Indonésie

Les récentes turbulences dans les banques américaines et européennes pourraient amener certaines personnes à s’interroger sur la santé des banques ici en Asie du Sud-Est. La fermeture de la Silicon Valley Bank aux États-Unis risque-t-elle de déborder et de toucher…