Nouvelle loi cybersécurité en Chine : quel impact pour les sociétés européennes ?

Quelques recommandations pour s’assurer que son contenu web continue à être performant en Chine.

La nouvelle loi cybersécurité votée par la Chine en novembre dernier est entrée en vigueur le 1er juin 2017. Son volet sur le contenu web rend illégal l’hébergement de données relatives aux citoyens chinois hors de Chine.

Si les entreprises françaises et européennes ne se conforment pas à cette loi, elles risquent de voir leurs sites web bloqués et leurs licences Bei’an annulées. Et, selon la loi chinoise, la révocation d’une licence est définitive. Mais, cette loi n’étant pas traduite, il est difficile pour les entreprises européennes d’être sûres d’en faire une interpréation correcte.

Certaines entreprises qui passent par des partenaires pour leur infrastructure ne sont même pas au courant que cette loi peut avoir un impact sur leur activité en Chine.

Voici un résumé des informations essentielles à savoir et quelques conseils sur les étapes à mettre en œuvre pour s’assurer de la conformité avec la loi afin de continer à toucher le public chinois.

Quel est l’impact de la nouvelle loi sur les sites Internet et les applications web ?

Selon les interprétations actuelles des nouvelles exigences légales, toutes les données définies comme sensibles ou contenant des données personnelles doivent être hébergées en Chine. Aucune de ces données n'est autorisée à quitter le pays (sauf avec l'autorisation spéciale du gouvernement).

Cette nouvelle loi a un impact pour les opérateurs de réseaux et les opérateurs d’infrastructure transportant des informations critiques, car ils hébergent des sites Internet pour le compte d’autres sociétés. Pour éviter le ralentissement du chargement de leurs sites Internet en Chine dû à la distance avec l’Europe et au Grand Firewall qui filtre les contenus, les sites web européens font souvent appel à ce type de fournisseurs afin que leur contenu soit accessible via des serveurs locaux ou des nœuds en Chine. Ces sites sont tous concernés par cette nouvelle loi. Elle s’applique également à toutes les entreprises hébergeant elles-mêmes leurs sites, applications ou contenus web en Chine.

Qui est concerné ?

Toutes les entreprises qui passent par un opérateur de réseau ou d’infrastructure, ou qui hébergent leurs données en Chine. Tous les secteurs sont touchés : l’industrie comme les services, le tourisme, les médias, la publicité en ligne, les jeux, et bien plus encore. Étant donné que l’hébergement des données personnelles n’est plus autorisé en dehors du pays, les entreprises doivent s'assurer qu'elles peuvent faire un doublon de leurs systèmes internes pour traiter les données en Chine, tout en permettant la mise à jour des systèmes en Europe.

En revanche, si les entreprises hébergeant du contenu web en dehors de Chine, à Hong-Kong par exemple, ne sont pas concernées par la loi, le ralentissement des temps de chargement causé par le Grand Firewall fait qu’il ne s’agit pas d’une alternative idéale pour contourner la loi.

Quelles sont les conséquences ?

Des milliers de fonctionnaires chinois, ainsi que des algorithmes intelligents, étudient actuellement si les applications ou sites web non chinois respectent toutes les exigences de la nouvelle législation. Des contrôles ont déjà lieu auprès des fournisseurs pour vérifier que les données sont bien hébergées en Chine et si les autorités gouvernementales exigent des changements, ils doivent être réalisés les plus brefs délais. Si le fournisseur ne réagit pas, il risque d’être bloqué lui-même. Si les entreprises ne se conforment pas rapidement à la nouvelle loi, la licence Bei'an requise peut être retirée et le site ou le contenu web peuvent être bloqués.

Par exemple, les fournisseurs de Cloud, d’hébergement ou de CDN, sont autorisés à accélérer uniquement l’affichage des sites Internet de clients dont le serveur source est en Chine.

Quelles sont les principales étapes pour les entreprises possédant un site web en Chine ?

1.      Vérifier où sont stockées et traitées les données

2.      Il est recommandé d’enregistrer son nom de domaine en Chine

3.      Si l’entreprise utilise sa propre infrastructure, il faut vérifier sa conformité. Sinon, les fournisseurs d’hébergement, de cloud ou de CDN doivent être conformes à la nouvelle réglementation et être en mesure d’aider à mettre en œuvre toutes les étapes nécessaires

4.      Si l’entreprise travaille déjà avec un tel fournisseur pour le marché chinois,  vérifier qu’il est bien conforme et si les changements nécessaires peuvent être réalisés ensemble.