Restez informé avec des mises à jour gratuites
Inscrivez-vous simplement au Politique et politiques chinoises myFT Digest – livré directement dans votre boîte de réception.
La Chine n’a approuvé qu’environ un quart des demandes d’exportation de données depuis l’introduction de nouvelles lois sur la sécurité des données, ce qui porte un coup dur aux entreprises qui luttent pour faire face au ralentissement de l’économie et aux tensions accrues entre Washington et Pékin.
En vertu d’une loi entrée en vigueur en septembre 2022, l’approbation du gouvernement est requise pour les transferts transfrontaliers de données par les entreprises comptant plus d’un million d’utilisateurs enregistrés, un seuil faible dans un pays de plus d’un milliard d’habitants.
L’Administration chinoise de la cybersécurité, le principal régulateur d’Internet du pays, n’a pas encore approuvé des milliers de demandes émanant d’entreprises locales et internationales visant à envoyer des données, allant de l’historique de crédit personnel aux relevés de ventes en ligne, à leurs partenaires étrangers, ont déclaré des responsables actuels et anciens du CAC.
Seulement environ un quart de toutes les demandes ont été approuvées, selon un responsable actuel du CAC, un ancien responsable du CAC et le responsable de la sécurité des données dans une société de commerce électronique chinoise. On ne sait pas exactement combien de candidatures ont été soumises au total. Le CAC a cessé de publier des chiffres sur les approbations en mai. Il n’a pas répondu aux demandes de commentaires.
Alors que la loi devrait obliger le régulateur à procéder à un examen de la sécurité des données dans les 57 jours ouvrables suivant la réception d’une demande, la plupart des entreprises passent de nombreux mois à attendre des commentaires, ont indiqué des responsables. Les commentaires incluent souvent des demandes d’informations complémentaires.
« Aucune seule entreprise ne peut terminer l’examen de la sécurité des données dans le délai officiellement suggéré, car le CAC leur demanderait soit de corriger le formatage, soit de soumettre davantage de documents », a déclaré un responsable du CAC, ajoutant que certaines entreprises ont dû apporter des modifications à leurs applications plus d’une fois. des dizaines de fois pour répondre aux exigences réglementaires. « L’ensemble du processus prend beaucoup de temps », a déclaré le responsable.
Les analystes ont déclaré que les difficultés du CAC à mettre en œuvre des règles sur l’exportation de données mettent en évidence les défis auxquels Pékin est confronté alors qu’il cherche à atteindre les objectifs contradictoires de stimuler la croissance économique et de renforcer la sécurité nationale.
« Avant, il était implicitement entendu que la croissance était en quelque sorte une priorité », a déclaré Karman Lucero, chercheur à la Yale Law School. « Aujourd’hui, la dynamique a complètement changé, les gens reconnaissent plus explicitement qu’il existe une contradiction entre ces deux objectifs et le gouvernement choisit de plus en plus la sécurité, indépendamment de ce qu’il dit. »
Depuis septembre 2022, Pékin exige que les opérateurs d’infrastructures d’information critiques, les entreprises traitant des données jugées cruciales pour la sécurité nationale et celles ayant accès à de grands volumes d’informations sur les utilisateurs passent une évaluation de sécurité dirigée par le CAC avant d’envoyer des données à l’étranger.
Début mai, seules deux entreprises de Shanghai, plaque tournante du commerce international, avaient obtenu l’autorisation réglementaire de transférer des données à l’étranger. Plus de 400 entreprises ont demandé une autorisation au cours de cette période, selon la succursale du CAC de Shanghai. La province du Zhejiang, qui a également publié des informations sur les approbations, a déclaré avoir donné son feu vert à deux des 70 demandes d’exportation de données reçues au 24 mai.
Alors que Pékin a assoupli la loi en septembre 2023 – autorisant l’envoi de certaines données à l’étranger sans examen – et que davantage d’autorisations ont été accordées depuis lors, plusieurs avocats spécialisés en sécurité des données ont déclaré qu’il fallait au moins six mois aux entreprises pour passer un examen du CAC. « Il y a une longue file d’attente qui ne cesse de s’allonger », a déclaré Pang Lipeng, avocat au cabinet d’avocats Celue de Pékin, qui a travaillé sur des cas d’examen de la sécurité des données.
Bien que la loi chinoise exige un examen de sécurité des exportations de « données importantes », aucune définition n’a été fournie. « Certaines données apparemment triviales pourraient un jour devenir significatives avec le développement [of] Technologie IA », a déclaré le responsable du CAC. « Tout ce que nous pouvons faire, c’est prendre des décisions au cas par cas. »
Lors d’une récente conférence sur la sécurité des données dans l’est de la Chine, le responsable de la sécurité des données d’une grande société Internet a décrit un scénario lors d’un groupe de pairs, qui a dû attendre six mois pour obtenir l’autorisation d’envoyer des informations relatives à une douzaine d’employés de niveau intermédiaire à l’étranger.
« Beaucoup de nos pairs ont choisi de rester à plat ventre », a déclaré un cadre d’un important constructeur de véhicules électriques, faisant référence au fait que de nombreux constructeurs locaux de véhicules électriques avaient abandonné tout espoir de réussir les examens de sécurité des données. Certains ont abandonné leurs projets d’exportation, tandis que d’autres ont décidé de vendre à l’étranger sans obtenir d’autorisation de sécurité des données.
La nature imprévisible de la politique chinoise signifie que d’autres changements pourraient survenir, a déclaré le responsable du CAC. « C’est vrai que nous nous sommes un peu détendus », a déclaré le responsable. « Mais je ne peux pas garantir que nous resserrerons à nouveau [in 2024] en cas d’escalade des tensions entre les États-Unis et la Chine.