Si la Chine est presque aussi connue pour sa grande muraille que pour ses hackers, il n'empêche qu'elle déploie des moyens de plus en plus importants pour lutter contre la cybercriminalité. L'été dernier, on a ainsi appris - de source émanant du ministère chinois de la sécurité publique - que 15 000 personnes avaient été arrêtées pour avoir menés des opérations illégales sur le web (hacking, cyberfraude, jeux d'argent...). Il faut dire qu'avec plus de 670 millions d'internautes, les hackers ont là un vivier de cibles potentielles de premier plan. Poursuivant ses efforts dans le domaine de la lutte contre la cybecriminalité, le pays a adopté en novembre dernier une loi visant à « assurer la cybersécurité » articulée autour de 79 articles, traduits en anglais à cette adresse.
Si certains articles tiennent plutôt du bon sens qu'autre chose, par exemple comme l'article 5 « L'État prend des mesures pour surveiller, prévenir et gérer les risques de cybersécurité et les menaces qui se produisent à l'intérieur et à l'extérieur du territoire continental de la République populaire de Chine. L'État protège l'infrastructure d'information critique contre les attaques, les intrusions, les interférences et la destruction ; L'État punit les activités cybernétiques illégales et criminelles conformément à la loi, en préservant la sécurité et l'ordre du cyberespace », d'autres mettent la puce à l'oreille d'un possible glissement de la loi de la cybersécurité vers une surveillance généralisée.
L'envoi des données en dehors de Chine très contrôlé
« L'État met en place une protection clé des services de communication et d'information, de l'énergie, du trafic, des ressources en eau, des finances, du service public, du gouvernement électronique et d'autres infrastructures d'information essentielles qui, si elles sont détruites, perdent de leur fonction ou échappent à une fuite de données, pourrait sérieusement porter atteinte à la sécurité nationale », indique l'article 31. Et l'article 35 de continuer de plus belle : « Les informations personnelles [incluant les noms, dates de naissance, adresses, numéros de téléphone, données biométriques, NDLR] et d'autres données importantes recueillies ou produites par des opérateurs d'infrastructures d'information critiques pendant les opérations sur le territoire continental de la République populaire de Chine, seront stockées en Chine continentale. Lorsque, en raison des exigences de l'entreprise, il est vraiment nécessaire de les envoyer en dehors du continent, ils doivent suivre les mesures élaborées conjointement par les services publics de cybersécurité et d'informatisation et les services compétents du Conseil d'Etat pour procéder à une évaluation de la sécurité », indique l'article 37.
D'après Séverine Arsène, chercheuse au Centre d’études français sur la Chine contemporaine, interrogée par nos confrères du Monde, « Les individus et leurs données sont protégés vis-à-vis des autres, mais pas vis-à-vis de l’Etat [...] Une société qui gère un serveur sur le territoire chinois sera obligée de fournir les données personnelles si le gouvernement l’exige ». Et pas la peine de compter sur le chiffrement pour freiner les ardeurs du gouvernement chinois à mettre le nez dans les données, un autre projet de loi pourrait en effet imposer aux opérateurs de fournir aux autorités un moyen de déchiffrer les contenus lorsque nécessaire. D'autres organismes sont également en émoi face à cette loi dont la Chambre de commerce de l'Union européenne en Chine qui a indiqué à Reuters que ce texte est « rempli de défauts ». Mais ce n'est pas tout car selon Le Monde 54 entreprises et organisations, parmi lesquelles la Chambre de commerce des Etats-Unis, ont également fait part de leur « inquiétude » vis-à-vis de cette loi qui « érigera des barrières commerciales ».
La Chine (un peu) dans les pas de l'Europe
Si cette loi cybecriminalité risque donc d'hérisser le poil de nombreuses entreprises étrangères installées sur son territoire, tout n'est cependant pas noir pour autant. Car elle inclue bien un aspect très positif qui interdit la vente de données personnelles des utilisateurs de services « sans le consentement de la personne dont les informations ont été collectées ». Et de ce point de vue là, force est de constater que la Chine tente davantage de s'inspirer de l'Europe que des Etats-Unis. Alors que la première est reconnue pour ses avancées en matière de collecte de données personnelles avec pour point d'orgue la GDPR, les seconds ont fait machine arrière en autorisant en mars dernier les opérateurs à exploiter et vendre les données des utilisateurs (historiques de navigation, géolocalisation...) sans aucun consentement préalable.