Ce défi réglementaire s’étend bien au-delà des frontières chinoises et soulève des questions structurantes : comment se conformer à des réglementations locales qui divergent dans un contexte de systèmes d’information globaux et centralisés ?

Dans cet article, nous explorons des mesures technologiques pour répondre aux préoccupations de nombreuses DSI sur la loi PIPL.

1/ PIPL soulève des risques plus larges que de simples risques de non-conformité, mettant en avant une tendance de découplage des opérations

La loi PIPL s’inscrit dans la stratégie de souveraineté digitale de la Chine et soulève des impacts transverses, bien plus larges que l’IT ou la cybersécurité. Nous observons que « 80% des entreprises françaises implantées en Chine ont dû adapter leurs opérations globales en découplant certains processus en Chine »[1]. A l’origine de cette tendance, nous retrouvons des risques tels que le risque d’espionnage, celui la compromission de la propriété intellectuelle ou celui de non-conformité réglementaire.

Un processus métier découplé doit être accompagné par un découplage IT. Un découplage IT est le fait de séparer une partie d’un SI de manière à la rendre plus flexible et modulaire. Cela permet aux composants découplés de fonctionner de manière indépendante du système central.

Avant de commencer les travaux de mise en conformité à la loi PIPL, les entreprises doivent se poser 3 questions essentielles : 

• Faut-il maintenir une présence en Chine ? Un arbitrage à l’échelle du Comité Exécutif doit être fait à la lumière d’une analyse stratégique évaluant le rapport coût / bénéfice par rapport aux risques actuels. Par exemple, certains fournisseurs refusent d’étendre leurs activités en Chine pour éviter de perdre la main sur leurs codes sources ;
• Le cas échéant, faut-il découpler mon architecture IT pour atténuer les risques ? Il est essentiel de mettre en relief cette étude par rapport aux évolutions potentielles du paysage réglementaire pour assurer une conformité pérenne ;
• Comment opérer et sécuriser un système décentralisé ? Une restructuration IT et cyber est à prévoir selon les différents choix architecturaux retenus : comment gérer l’IAM ? Comment mettre en place une supervision SOC sur un système décentralisé ?

2/ Mettre en place une architecture SI « privacy-by-design »

L’hétérogénéité des règles liées au stockage et au traitement des données personnelles soulève une question : est-il possible d’adapter un SI afin de faciliter les travaux de mise en conformité ? Une architecture « privacy-by-design » est-elle réaliste ?

3 scénarios peuvent être retenus selon l’appétence au risque et le positionnement stratégique de l’entreprise :

• D’abord, nous avons notre SI centralisé (celui que nous connaissons tous). La mutualisation des ressources permet de délivrer un même service à l’échelle et des économies d’échelle sont réalisées. Néanmoins, les données chinoises doivent faire l’objet d’un transfert particulier, approuvé par la CAC (Cyberspace Administration of China). Pour encadrer et surveiller ce transfert, tous les flux entrants et sortants de Chine pourraient passer par une unique gateway (facilitant également les isolations d’urgence, tels que les Red Buttons). Le risque de non-conformité réglementaire est contrôlé au moment de la mise en place, mais peut facilement dériver dans le temps (changement opérationnel, changement applicatif, nouveau amendement chinois, etc.).
• Ensuite, nous avons un SI partiellement décentralisé (celui où l’instance applicative chinoise est découplée). Les données sont stockées et traitées en Chine avec un tenant Cloud spécifique ou une infrastructure on-premise. Des liens applicatifs persistent entre la Chine et le reste du monde et des données peuvent être transférées ponctuellement (selon les contraintes réglementaires en vigueur). Les données chinoises sont séparées du reste, facilitant la sécurisation et la confidentialité des données personnelles.
• Enfin, nous avons un SI découplé, avec une instance locale indépendante. Cette option est certainement la plus avancée, assurant le plus haut niveau de conformité. Néanmoins, cela augmente de manière drastique les coûts d’exploitation (équipes locales, infrastructures locales, etc.) : cette position est difficile à tenir si l’entreprise s’est engagée dans une réduction des coûts IT et/ou cyber. Cette architecture permet également une résilience importante en cas de crises géopolitiques, facilitant l’exécution d’un exit plan. Dans les exemples récents de tensions géopolitiques, nous pouvons citer les filiales russes Carlsberg et Danone qui ont été nationalisées par la Russie[2] [3], ou la guerre en Ukraine qui a entraîné de nombreux carve out, comme celui de Heineken[4].

Un Cloud Service Provider (CSP) est-il à privilégier en Chine ?

Alibaba Cloud a longtemps été le Cloud Provider privilégié du fait de la variété des services proposés par rapport aux CSP non chinois. Même si cette différence entre les CSP chinois et non chinois tend à se gommer, Alibaba Cloud pourrait rester le choix privilégié : en tant que prestataire chinois, ce CSP aurait tout intérêt à s’adapter rapidement à toute nouvelle exigence réglementaire chinoise.

Comment encadrer le transfert des données ?

Dans l’architecture centralisée et partiellement décentralisée, des données continuent à transiter. Selon la sensibilité des données transférées, nous pouvons mettre en place une anonymisation des données ou utiliser le confidential computing, une technologie qui gagne en maturité et qui permet de garantir la confidentialité des données durant son traitement.

Cependant, certains cas ne nécessitent pas forcément de devoir transférer des données. C’est le cas avec certaines méthodes d’apprentissage décentralisées pour l’IA qui sont « privacy-by-design » (e.g. bagging, federated learning, etc.) : les systèmes sont entraînés localement, et seul l’apprentissage est transféré.

3/ Que faire dans ce climat d’incertitude, à court et à long terme ?

Court terme : une approche pragmatique par les risques

La stratégie de conformité doit résulter d’une approche pragmatique, basée sur les risques, afin de minimiser les impacts sur les opérations. Les principales étapes sont les suivantes :

1. Inventorier toutes données impactées : quelles sont les données et leurs usages ? Comment les données sont stockées, transférées et traitées ? Comment sont gérés les droits d’accès aux données ? Y-a-t-il des dépendances externes avec des fournisseurs ?
2. Evaluer les risques associés et à leur utilisation. Le format et le contenu de l’étude doivent être aux standards de la CAC.
3. Arbitrer une stratégie de conformité : élaborer une stratégie de conformité sur les 3 scénarios détaillés dans les parties précédentes, selon la sensibilité et la criticité des données applicatives en question.
4. Mettre en œuvre des mesures techniques : mettre en place des mesures de sécurité et de confidentialité (le découplage, le chiffrement, la pseudonymisation, l’anonymisation, les contrôles d’accès, etc.)
5. Superviser et maintenir la conformité : établir un processus de suivi régulier pour maintenir la conformité avec la PIPL.

Long terme : dois-je me préparer à découpler mon SI en Chine ?

Une mise en conformité PIPL doit s’inscrire dans une stratégie long terme, considérant la variabilité des tensions géopolitiques et de la volonté de la Chine de renforcer son contrôle sur la protection des données et sa souveraineté digitale.

Nous observons une densification et une cybersécurité sur ces dernières années, rappelant l’un des futurs envisagés par le Campus Cyber[5]. L’ultra-réglementation, liée au durcissement réglementaire dans un objectif de restauration de la confiance numérique, aboutirait à des incompatibilités réglementaires et à de nombreuses non-conformités ou amendes.

Heureusement, nous ne sommes pas encore à ce stade. Il faut cependant anticiper cette tendance : la mise en conformité PIPL doit être une étude de cas faisant partie d’une réflexion approfondie sur le découplage (à des niveaux de séparation variables en fonction des situations). Cette tendance de découplage pourrait devenir essentielle à plus large échelle d’ici une dizaine d’années.

[1] CCI France CHINE : Enquête sur les entreprises en Chine, Printemps 2022 https://www.ccifrance-international.org/le-kiosque/n/enquete-sur-les-entreprises-francaises-en-chine-printemps-2022.html#:~:text=Enqu%C3%AAte%20sur%20les%20entreprises%20fran%C3%A7aises%20en%20Chine%20%2D%20Printemps%202022,-25%20mai%202022&text=Avec%20p.

[2] Le Monde, 26/07/2023, « Danone : comment le piège russe s’est refermé sur le géant français des produits laitiers » https://www.lemonde.fr/economie/article/2023/07/26/danone-comment-le-piege-russe-s-est-referme-sur-le-geant-francais-des-produits-laitiers_6183438_3234.html

[3] Le Temps, 19 juillet 2023, « Après Danone et Carlsberg, la Russie se dirige vers la nationalisation d’autres filiales de groupes étrangers » https://www.letemps.ch/economie/apres-danone-et-carlsberg-la-russie-se-dirige-vers-la-nationalisation-d-autres-filiales-de-groupes-etrangers

[4] Les Echos, 25 août 2023, « Heineken se retire définitivement de Russie » https://www.lesechos.fr/industrie-services/conso-distribution/heineken-se-retire-definitivement-de-russie-1972549

[5] Horizon Cyber 2030 : perspectives et défis, Campus Cyber https://campuscyber.fr/resources/anticipation-des-evolutions-de-la-menace-a-venir/

Cet article PIPL : le découplage des systèmes d’information, une nécessité pour être en conformité avec des lois locales protectionnistes ? est apparu en premier sur RiskInsight.

Votre entreprise exerce ses activités en Chine. Vous compilez des données à caractère personnel concernant vos collaborateurs chinois et les transférez à votre siège social à des fins de ressources humaines. Vous collectez également des informations personnelles sur les clients chinois qui achètent des produits sur votre site web et les rendez accessibles aux métiers situés en dehors de la Chine. Depuis l’entrée en vigueur de la loi chinoise sur la protection des données personnelles (PIPL) en novembre 2021, vous vous demandez peut-être constamment si vos transferts de données hors des frontières chinoises sont conformes à la réglementation chinoise en matière de protection de la vie privée.

Un système de lois complexe et incertain gouvernant les transferts de données hors du territoire chinois

En fait, la loi PIPL n’est qu’une des nombreuses lois chinoises sur la protection des données.  Elle s’ajoute à la loi chinoise sur la cybersécurité (CSL, 2017) et à la loi chinoise sur la sécurité des données (DSL, 2021). Elle s’applique à toute organisation traitant des informations personnelles identifiables provenant de Chine, en Chine et à l’étranger. Sous la PIPL, les transferts internationaux de données ne sont possibles qu’avec un accord de l’Administration du cyberespace de la Chine (CAC). L’article 38 de la PIPL propose quatre façons d’obtenir cet accord, certaines d’entre elles étant ensuite complétées par cinq mesures et lignes directrices supplémentaires (2022-2023)[1] détaillant comment se conformer et qui est concerné.

En résumé, si vous vous engagez dans le transfert international d’un volume relativement faible d’informations personnelles, vous avez deux options : vous faire certifier par une institution désignée conformément aux règlements de la CAC, ou signer un contrat avec le destinataire étranger des données conformément au contrat type formulé par la CAC.

Dans d’autres cas, vous devez passer une évaluation de sécurité organisée par la CAC. Il s’agit de la norme de conformité la plus élevée. Elle s’applique aux entreprises qui sont des opérateurs d’infrastructures d’information critiques (CIIO), qui traitent les données personnelles de plus d’un million de personnes, qui exportent les données personnelles de 100 000 personnes ou les données personnelles « sensibles » de 10 000 personnes, ou qui exportent des données « importantes ». Cela laisse une marge d’interprétation à la CAC, qui peut qualifier n’importe quelle donnée « d’importante ». De plus, dans tous les cas précédemment mentionnés, la CAC se réserve le droit d’examiner tous les transferts de données hors du territoire chinois et de les interrompre sur la base d’un large spectre de raisons.

En plus d’un paysage réglementaire complexe et en constante évolution qui laisse aux autorités chinoises de nombreuses possibilités de s’opposer à un transfert de données, vous devez aussi tenir compte de deux points clefs sur votre route vers la conformité.  Premièrement, les procédures pour obtenir l’approbation de la CAC peuvent prendre du temps, en particulier l’évaluation de sécurité. Deuxièmement, même si vous parvenez à obtenir l’approbation de la CAC pour un transfert de données, vous devez également obtenir le consentement des personnes dont les données sont transférées (article 39 de la LPRP).

Avec toutes ces informations, il est possible que vous ayez été confus lors du draft de votre stratégie de conformité à la loi PIPL. Aujourd’hui encore, vous ne savez peut-être pas si vos transferts de données sont conformes, ni même si la conformité est possible.

Un assouplissement prochain des exigences en matière de transfert de données hors de la Chine

Les autorités chinoises ont récemment reconnu les difficultés rencontrées lors de l’exportation de données depuis la Chine. Le conseil des affaires de l’État Chinois a officiellement identifié les transferts de données hors des frontières chinoises comme l’un des 24 domaines à améliorer pour attirer des investissements étrangers en Chine[2]. Par conséquent, en septembre 2023, la CAC a publié une proposition d’exemptions du mécanisme de transfert international de données[3].

Vous pourriez être libéré des procédures de l’article 38 précédemment mentionnées (évaluation de sécurité, certification ou contrat spécifique) dans les cas suivants, qui ont fait l’objet d’un débat public jusqu’à la mi-octobre :

• Vous pourriez transférer des données concernant vos collaborateurs en Chine si cela est nécessaire pour la gestion des ressources humaines, conformément à la loi et aux contrats collectifs légalement définis.
• Vous pourriez transférer des données concernant vos clients en Chine afin de conclure et d’exécuter un contrat client : commerce en ligne, transfert de fonds, réservation de billets d’avion, obtention d’un visa, etc.
• Vous pourriez transférer des données à caractère personnel depuis la Chine afin de protéger la vie, la santé et la sécurité des personnes et des biens en cas d’urgence.
• Vous ne devriez effectuer une évaluation de sécurité de la CAC que pour :
  • Le transfert de données de plus d’un million de personnes, probablement au-delà des cas mentionnés ci-dessus.
  • Le transfert de données « importantes », sachant que les données ne sont pas considérées comme « importantes » sauf si vous avez été officiellement notifié du contraire.

C’est une très bonne nouvelle. Cela veut dire que dans de nombreux cas vous pourriez continuer à transférer des données depuis la Chine sans charge administrative et sans risquer la non-conformité et les amendes qui en découlent.

Toutefois, on ne sait pas encore quand ces exceptions seront adoptées, si elles le sont, ni à quoi ressemblera la liste finale. Par ailleurs, le CAC a mis en évidence deux problèmes auxquels vous seriez toujours confrontés. Tout d’abord, le consentement spécifique des personnes dont les données sont transférées hors de la Chine serait toujours requis en vertu de la PIPL dans les cas où le consentement est la base juridique du traitement des données – ce qui pourrait s’appliquer à la plupart des traitements en dehors de l’exécution d’un contrat. Deuxièmement, et surtout, la CAC conserverait le droit de contrôler tous les transferts de données hors de la Chine, d’enquêter sur les transferts à haut risque et même de les interrompre complètement.

Ainsi, si vous pensiez pouvoir bientôt à nouveau transférer une bonne partie de vos données générées en Chine à l’international sans contraintes, vous vous trompez probablement.

Garder les données en Chine, la solution la plus sûre à long terme

À partir de toutes ces informations, comment préparer une bonne stratégie de mise en conformité avec les lois chinoises sur la protection des données personnelles ?

Sur le plan juridique, vous êtes confrontés à des lois complexes à comprendre, en constante évolution et sujettes à interprétation par les autorités. Contrairement au RGPD, vous ne pouvez pas savoir si vous êtes en conformité dès maintenant, et encore moins dans les mois et années à venir.

À cela s’ajoute le point de vue technique : dans les entreprises globalisées, l’information circule. Les données résident à la fois dans des plateformes globales de gestion de ressources humaines ou des clients, et dans des systèmes locaux interconnectés. Le simple fait d’identifier toutes les informations personnelles et de déterminer les flux de données associés constituera un véritable défi avant de pouvoir discuter de mesures de protection spécifiques.

De plus, n’oublions pas que les enjeux sont élevés : en cas de non-conformité, le CAC peut restreindre vos transferts de données, infliger des amendes à votre entreprise et à ses dirigeants, voire forcer la fermeture de votre entreprise en Chine.

Vous devriez profiter du fait que la CAC est actuellement concentrée à adapter plutôt qu’à appliquer son règlement sur la protection des données pour considérer une stratégie de conformité à long terme. Cette stratégie peut consister à s’assurer que les données générées en Chine restent en Chine au lieu d’être systématiquement transférées vers votre siège.

Il est indéniable que la Chine vise, au long terme, la souveraineté numérique. Parmi les nombreuses lois implémentées dans différents pays afin de réguler le cyberespace et protéger les données personnelles, la PIPL est unique en ce qu’elle remet en cause de manière significative le modèle du système d’information des entreprises globales, qui consiste en une informatique centralisant les informations de tous les sites. Mais dans un monde où les tensions géopolitiques s’intensifient, on peut s’attendre à ce que les appels au protectionnisme informatique se multiplient.

Par conséquent, vous devriez considérer vos réflexions sur la stratégie de mise en conformité PIPL comme une étude de cas pour le découplage de votre système d’information, auquel vous pourriez bientôt être confrontés à plus grande échelle.

[1] 2022: Measures of Security Assessment for Data Export

2022: Practice Guide for Cybersecurity Standards – Outbound Transfer Certification Specification V2.0 for Cross-border Processing of Personal Information (Exposure Draft)

2023: Information Security Technology – Certification Requirements for Cross-border Transmission of Personal Information (Exposure Draft) 

2023: Measures on the Standard Contract for Outbound Transfer of Personal Information

2023: Guidelines for Filing of Standard Contract for Outbound Transfer of Personal Information (First Edition)

2023: Regulations on Standardizing and Promoting Cross-Border Data Flows

[2]  国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见

[3] Provisions on Standardizing and Promoting Cross-Border Data Flows (Draft for Comment) 

Cet article L’impact de l’évolution de la loi PIPL sur votre stratégie de conformité de protection des données personnelles est apparu en premier sur RiskInsight.