Régulation
La Chine change de cap en matière de données personnelles. Une nouvelle loi en vigueur depuis le 1er septembre instaure un droit à la vie privée comme droit fondamental. Toutes les entreprises vont devoir se mettre à niveau.

Quand le gouvernement chinois décide de mettre la tech au pas, il ne tergiverse pas. Pékin veut reprendre en main le marché, et réguler la concurrence. Jeudi 2 septembre, onze start-up, dont Didi, le Uber chinois, qui se mènent une guerre des prix sans merci, ont été rappelées à l’ordre et convoquées devant le régulateur, pour calmer le jeu. L'injonction ? Œuvrer pour une « concurrence saine » et « respecter les règles du marché ». Idem, les firmes détenant une grande quantité de données sensibles ne pourront plus lever de fonds auprès des investisseurs américains, selon le Wall Street Journal. Une décision qui, outre les tensions, s’inscrit dans un virage profond: le 1er septembre, le nouveau règlement concernant la protection des données est entré en vigueur sur le territoire chinois.

« Un point particulièrement important réside dans le fait que le droit à la vie privée a été inscrit dans la constitution. Il devient équivalent à un droit fondamental sous le droit européen, décrit Patrice Nordey, associé Stratégie internationale & Opérations chez Fabernovel à Shanghai. Cela nous amène à penser que la Chine veut se placer, sur le plan international, comme un acteur sérieux et digne de confiance. » Crédible ? « Cela demeure, à notre sens, un vœu pieu », tempère le spécialiste.

La loi, qui ressemble beaucoup au RGPD – notamment le principe de responsabilité des responsables de traitements et des sous-traitants –, est une première dans le pays de Xi Jinping. Il vise avant tout à catégoriser les données en fonction de leur sensibilité, renforcer la cybersécurité, et encadre rigoureusement le transfert de données « sensibles » à l’étranger. Et n’est pas sans poser quelques problèmes. « Sa sophistication et l’importance des obligations qui en découle présentent une difficulté certaine pour les entreprises, dans la mesure où la pratique locale est très loin des principes de cette loi », analyse Isabelle Hajjar, directrice cybersécurité et data privacy chez TekID, un partenaire data basé aussi à Shanghai.

Deux mois pour s'adapter

Si les géants sont davantage visés, les petites entreprises vont devoir également s’y soumettre, au prix d’efforts humains et financiers. Les filiales étrangères seront elles aussi scrutées de près. « Elles risquent d’être plus exposées et soumises à une surveillance accrue des autorités, du fait de leur qualité étrangère et de leurs liens avec les autres pays », continue Isabelle Hajjar. Et le temps presse. Si en Europe, le RGPD avait demandé plusieurs années avant d’entrer en vigueur, la Chine, elle, n’offre que deux petits mois pour se mettre à jour. Date butoir : 1er novembre. « Ce choix traduit la démonstration du sérieux des autorités sur le sujet et de leur volonté d’une application stricte », estime Patrice Nordey. Mais est-ce vraiment tenable face à l’ampleur de la tâche ? À moins que l’intention compte davantage que la réalisation. « Les autorités locales prendront en compte le fait que les entreprises aient commencé une mise en conformité de manière sérieuse », rassure Isabelle Hajjar. Mais tout manquement sera évidemment durement sanctionné.

Suivez dans Mon Stratégies les thématiques associées.

Vous pouvez sélectionner un tag en cliquant sur le drapeau.

Lire aussi :