Le régime chinois de cybersécurité

La Chine a promulgué la LCS le 7 novembre 2016. La LCS est entrée en vigueur le 1er juin 2017, avec pour objectif d'établir un régime réglementaire uniforme pour la cybersécurité et la protection des données en Chine.

Plusieurs agences gouvernementales sont impliquées dans la mise en œuvre de la LCS, notamment :

• L'Administration du cyberespace de la Chine (CAC) et ses bureaux locaux
• Le Ministère de la sécurité publique (MPS) et les bureaux de sécurité publique locaux
• Le Ministère de l'industrie et des technologies de l'information (MIIT) et les bureaux locaux des télécommunications
• D'autres régulateurs sectoriels, tels que :
  • Le Ministère de la science et de la technologie (MOST)
  • L'Administration nationale de l'énergie (NEA)
  • La Commission de réglementation des banques et des assurances de la Chine (CBIRC)

Bien que certaines dispositions doivent encore être mises en œuvre, la LSC est actuellement appliquée des manières suivantes :

• La loi impose des obligations de base aux opérateurs de réseau en matière de protection des données et de cybersécurité , y compris des obligations de conformité avec les règles du système de protection à plusieurs niveaux (MLPS)
• Elle fournit un cadre réglementaire pour les opérateurs d'infrastructures d'informations critiques (IIC)
• Elle établit un mécanisme d'examen de la cybersécurité en matière de produits et services en réseau pouvant mettre en danger la sécurité nationale de la Chine
• Elle établit des exigences de certification avant la vente pour les équipements de réseaux essentiels et les produits de sécurité des réseaux
• Elle impose des exigences de protection des données recueillies dans le cadre du fonctionnement des réseaux
• Elle stipule un large éventail de sanctions et de pénalités pour les entreprises qui ne respectent pas les règles

Nous présenterons brièvement les principales exigences réglementaires de la LSC qui sont les plus importantes et les plus pertinentes pour les entreprises canadiennes qui font des affaires en Chine.

Le système de protection à plusieurs niveaux (MLPS) est un système de classification de tous les réseaux en Chine (sauf ceux à usage personnel et domestique) et les exigences en matière de protection et de supervision de la cybersécurité. Le MLPS ne s'applique pas aux réseaux dont les serveurs sont situés en dehors de la Chine.

Le MLPS répertorie les réseaux du niveau 1 au niveau 5 selon :

• les fonctions des réseaux
• la portée et l'objectif des services
• le type de données traitées

Le niveau 1 est le moins critique et le moins soumis aux exigences de sécurité, tandis que le niveau 5 est le plus critique et le plus soumis aux exigences de sécurité. En fonction du niveau de classification, qui est déterminé après une auto-évaluation par les exploitants, ces derniers pourraient devoir organiser un examen par des experts ou obtenir l'approbation de leurs régulateurs industriels sur les résultats de la classification avant de déposer les résultats auprès du MPS. Les entreprises canadiennes qui détiennent des réseaux en Chine doivent consulter des fournisseurs de services expérimentés pour déterminer le niveau de leurs réseaux.

Tous les opérateurs de réseaux, quelle que soit leur classification MLPS, doivent prendre les mesures générales de cybersécurité suivantes : 

• la gestion du personnel et des formations liées aux mesures de cybersécurité  
• la gestion des salles de données, des serveurs et des dispositifs 
• la prévention de logiciels malveillants et de cyber-attaques
• la surveillance et l'enregistrement de l'état du réseau
• la sauvegarde de données
• le signalement des incidents de sécurité au MPS

Il y a des exigences supplémentaires pour les réseaux classés au niveau trois et plus, comme par exemple :

• La surveillance de l'état des réseaux, du trafic sur les réseaux, du comportement des utilisateurs, des incidents de sécurité, et de la connexion des réseaux de surveillance avec les réseaux MPS
• La formulation de plans d'urgence en matière de cybersécurité et la tenue régulière d'exercices d'intervention d'urgence en matière de cybersécurité
• L'utilisation de produits et services des réseaux qui correspondent à leurs niveaux de classification en achetant des produits et services certifiés par le MPS
• L’utilisation de technologies, de produits et de services de cryptage approuvés par l'administration nationale de cryptographie (SCA)
• Effectuer la maintenance technique des réseaux en Chine. Si, pour des raisons commerciales, il est nécessaire d'effectuer une maintenance à distance en dehors de la Chine, il est important de procéder à une évaluation de la cybersécurité et de mettre en œuvre des mesures de gestion des risques

Les infrastructures d'information critiques (IIC) se réfèrent généralement aux installations de réseau et aux systèmes d'information importants en Chine qui, en cas de dommage, de perte de fonction ou de divulgation de données, peuvent gravement nuire à la sécurité nationale, à l'économie nationale, aux moyens de subsistance de la population ou à l'intérêt public dans les secteurs suivants :

• les communications publiques et les services d'information
• l'énergie
• les transports
• la conservation des eaux
• la finance
• les services publics
• le gouvernement électronique
• l'industrie des technologies de la défense
• autres industries et secteurs cruciaux 

Les régulateurs sectoriels chinois sont chargés de formuler des règles d'identification des IIC en tenant compte des trois grands facteurs suivants :

• l'importance des installations de réseau et des systèmes d'information pour l'activité principale de l'industrie ou du secteur concerné
• le degré de préjudice qui peut être causé si les installations de réseau et les systèmes d'information sont endommagés, désactivés ou s'il y a une divulgation de données
• l'impact associé potentiel sur d'autres industries et secteurs

Les régulateurs sectoriels désignent les IIC selon leurs règles, notifient les résultats aux opérateurs d'IIC et transmettent les résultats au ministère de la sécurité publique (MSP). L'IIC exclut les réseaux dont les serveurs sont situés à l'extérieur de la Chine.

Il n'y a pas de calendrier explicite pour l'identification de nouveaux IIC. Dans le cas où un opérateur IIC déjà identifié apporte un changement majeur à son IIC, l'opérateur doit signaler le changement au régulateur ; le régulateur dispose d'un délai de 3 mois pour réexaminer si les réseaux sont toujours IIC ou non. 

Les opérateurs IIC doivent respecter des exigences strictes en matière de cybersécurité et mener des activités de protection de la cybersécurité similaires à celles exigées des réseaux classifiés au niveau trois et supérieur de la MLPS (Multiple-level Protection Scheme). En outre, les opérateurs doivent satisfaire aux exigences suivantes :

• Mettre en place un bureau spécial de gestion de la sécurité chargé de la protection de la sécurité de l'IIC
• Effectuer une évaluation de sécurité des systèmes et logiciels développés par des tiers avant la mise en ligne des réseaux
• Stockage d'informations personnelles et de données importantes recueillies et/ou produites dans le cadre de leurs activités en Chine. Si le transfert transfrontalier de ces informations et données est nécessaire pour des raisons commerciales, les opérateurs doivent passer une évaluation de sécurité obligatoire par la CAC
• Passer le contrôle de cybersécurité avant que les opérateurs ne se procurent un large éventail de produits et services de réseau pouvant avoir un impact négatif sur la sécurité nationale en Chine
• Passer le contrôle de cybersécurité avant que les opérateurs ne se procurent un large éventail de produits et services de réseau pouvant avoir un impact négatif sur la sécurité nationale en Chine. Les accords d'achat des opérateurs doivent stipuler explicitement que les fournisseurs contribueront au contrôle de la cybersécurité et s'engageront à ne pas se livrer à des activités illégales
• Signer des accords de confidentialité en matière de sécurité avec les fournisseurs de produits et services de réseau, et ces accords doivent préciser les obligations des fournisseurs en matière de support technique et de confidentialité concernant la sécurité

Par données importantes, on entend le type de données qui, si elles font l'objet d'une fuite, peuvent avoir un impact négatif :

• La sécurité nationale
• La sécurité économique
• La stabilité sociale
• La santé publique
• La sécurité publique

Parmi les exemples de données importantes, citons : les informations gouvernementales non publiées et de grands volumes de données relatives à la population, à la génétique, aux soins de santé, à la géographie et aux ressources minérales.

Les données opérationnelles et administratives des entreprises et les informations personnelles ne sont généralement pas considérées comme des données importantes.

Si les opérateurs de réseaux collectent des données importantes à des fins opérationnelles, ils doivent soumettre leurs pratiques de collecte de données à la Cyber Administration de Chine (CAC) locale. Les documents déposés doivent inclure des informations concernant l'objectif, le volume, la méthode, la portée, le type et la période de conservation des données importantes collectées.

Les opérateurs doivent désigner des personnes responsables ayant des connaissances et une expérience en matière de protection des données afin de garantir la sécurité des données importantes qu'ils collectent. Parmi leurs responsabilités, ces personnes doivent signaler les pratiques de protection des données et les interventions en cas d'incident au CAC et aux autres organismes gouvernementaux concernés.

Avant de publier, partager, vendre ou transférer des données importantes en dehors de la Chine (y compris l'accès à distance depuis l'étranger), les opérateurs de réseau doivent procéder à des auto-évaluations des risques potentiels pour la sécurité des activités envisagées. Le transfert transfrontalier de données importantes doit faire l'objet d'une évaluation de sécurité obligatoire par la CAC.

Les informations personnelles sont celles qui permettent d'identifier une personne, soit de façon isolée, soit en combinaison avec d'autres informations. Les informations personnelles d'une personne incluent :

• le nom
• l'adresse
• le numéro de téléphone
• la date de naissance
• le numéro de carte d'identité
• la biométrie

Les opérateurs de réseaux ne peuvent pas collecter des informations personnelles qui ne sont pas pertinentes aux services qu'ils offrent. Avant de collecter des informations personnelles auprès des personnes (les personnes concernées), les opérateurs doivent en informer les personnes par le biais d’un langage clair et facilement accessible, et obtenir leur consentement. Aucun opérateur ne peut collecter des informations personnelles sur des enfants de moins de 14 ans sans le consentement de leurs parents ou de leurs tuteurs.

Les opérateurs de réseaux doivent garder les informations personnelles des utilisateurs dans la plus stricte confidentialité. Cela inclut l'obligation de mettre en œuvre des mesures sur le plan technique pour surveiller et enregistrer l'état opérationnel de leurs réseaux et tout incident de cybersécurité. Les opérateurs doivent désigner des personnes en charge qui ont des connaissances et de l'expérience en matière de protection des données pour assurer la sécurité des informations personnelles collectées par les opérateurs.

Si les opérateurs de réseaux collectent des informations personnelles sensibles à des fins opérationnelles, ils doivent soumettre leurs pratiques de collecte de données au CAC local. Par « informations personnelles sensibles », on entend les informations personnelles qui, en cas de fuite ou d'abus, pourraient être utilisées :

• mettre en danger la sécurité des personnes et des biens
• porter atteinte à la réputation personnelle et à la santé physique et psychologique
• mener à un traitement discriminatoire

Voici des exemples d'informations personnelles sensibles :

• Les numéros de carte d'identité
• La biométrie
• Les comptes bancaires
• Les communications personnelles
• Les dossiers de crédit
• Les données de géolocalisation
• Les données sur la santé
• Les informations personnelles des enfants de moins de 14 ans

Les documents déposés doivent comprendre les informations suivantes sur les informations personnelles sensibles collectées :

• L’objectif
• Le volume
• La méthode
• La portée
• Le type
• La période de rétention

Dans la plupart des cas, avant de partager des informations personnelles avec des tiers (que ce soit en Chine ou à l'étranger), les opérateurs de réseaux doivent évaluer les risques de sécurité associés à ce partage de données et obtenir le consentement des personnes concernées.

Dans certaines circonstances de transfert d'informations personnelles en dehors de la Chine (y compris l'accès à distance depuis l'étranger), les opérateurs doivent soit passer une évaluation de sécurité obligatoire par la CAC, soit signer un contrat standard de la CAC avec leurs destinataires étrangers, ou encore obtenir la certification de sécurité d'une institution désignée.

Situés dans plus de 160 villes à travers le monde, nous fournissons des renseignements commerciaux indispensables et l'accès à un réseau inégalé de contacts internationaux. Nous recueillons des informations sur les marchés, identifions les opportunités commerciales et aidons à réduire les coûts et les risques liés aux activités commerciales à l'étranger.

Les entreprises canadiennes sont invitées à examiner comment ces règlements de cybersécurité s'appliquent à leurs activités afin d'en assurer la conformité et peuvent contacter le service des délégués commerciaux en Chine pour obtenir des conseils. Nous pouvons également leur recommander des prestataires de services qualifiés si elles ont besoin de conseils juridiques sur la conformité légale.