La sécurité des données est une question de sécurité nationale

26 juillet 2021

Temps de lecture : 7 minutes
Photo : Photo illustration de l application WhatsApp //07ALLILIMAGES_1.0293/2101141456/Credit:ALLILI MOURAD/SIPA/2101141457
Abonnement Conflits

La sécurité des données est une question de sécurité nationale

par

La sécurisation des données ne concerne pas uniquement les entreprises et les personnes. C’est aussi un enjeu de sécurité nationale et de protection des Etats, comme le démontre la récente affaire Pégasus.

Un article de Ernan Cui paru dans Gavekal. Traduction de Conflits

Avec la sanction spectaculaire infligée à la plateforme de transport par taxi Didi Chuxing immédiatement après son introduction en bourse, le gouvernement chinois a ouvert un nouveau front dans sa répression réglementaire des sociétés Internet : celui de la sécurité des données. Les vagues précédentes de cette répression se sont concentrées sur la réglementation financière et antitrust, faisant passer le message que les sociétés Internet ne bénéficieraient plus d’une réglementation légère mais devraient respecter les mêmes normes que toutes les autres entreprises.

À lire aussi : Prédation des données de santé et cybersécurité

L’accent mis sur la sécurité des données, parce qu’il s’agit d’une question qui concerne principalement les plates-formes internet, représente une escalade significative : cela signifie que le gouvernement considère ces entreprises comme particulièrement risquées et nécessitant un examen particulier. Le système réglementaire émergent en matière de sécurité des données ajoutera de nouveaux coûts de mise en conformité pour les plateformes internet et limitera leur expansion future. L’internet grand public chinois n’est plus une zone de croissance sans entraves, mais devient un secteur étroitement réglementé dans lequel le succès commercial nécessitera de sérieux efforts de mise en conformité.

Ces derniers jours, les actions se sont succédé à un rythme effarant. Les actions de Didi ont commencé à être négociées à la Bourse de New York le 30 juin. Le 2 juillet, la Cyberspace Administration of China (CAC), le principal régulateur de l’Internet, a annoncé qu’elle avait ouvert une enquête sur la cybersécurité de Didi. Le 4 juillet, la CAC a déclaré qu’elle avait déterminé que l’application de Didi avait gravement violé la réglementation et l’a retirée des magasins d’applications. Le 5 juillet, la CAC a lancé des enquêtes supplémentaires sur la cybersécurité de deux autres sociétés Internet chinoises cotées à New York. Le 6 juillet, le gouvernement a publié un document de haut niveau sur les activités illégales sur les marchés de valeurs mobilières, qui mentionne spécifiquement les risques de sécurité des données concernant les sociétés cotées à l’étranger. Le 10 juillet, le CAC a publié un nouveau projet de règles qui élargit son autorité en matière d’enquêtes sur la cybersécurité et exige un examen pour chaque société Internet comptant plus d’un million d’utilisateurs qui souhaite être cotée à l’étranger.

Derrière toutes ces mesures réglementaires individuelles se cache une bataille pour le contrôle des données : d’un côté, les régulateurs qui considèrent les données sur les particuliers et les entreprises chinoises comme un actif national stratégique, et de l’autre, les plateformes internet qui recueillent ces données et les considèrent comme le fondement de leur avantage concurrentiel. En particulier, les autorités chinoises se concentrent sur le risque que les bases de données géantes des plateformes internet, qui touchent à tous les aspects de la vie quotidienne de centaines de millions d’utilisateurs, soient exposées à des gouvernements étrangers. Une cotation à l’étranger est considérée comme un risque potentiel en raison des informations que les entreprises chinoises doivent communiquer aux régulateurs et aux investisseurs étrangers.

À lire aussi : Podcast. Entretien avec Olivier Kempf : géopolitique du cyberespace

Les lois et réglementations chinoises sur les données se concentrent sur le contrôle des données « importantes », un terme qui n’a pas de limites spécifiques mais qui est défini de manière large comme signifiant toute donnée dont la divulgation pourrait affecter la sécurité nationale. Cette vague de mesures réglementaires montre clairement que les autorités considèrent que les données de Didi, avec ses cartes détaillées et ses itinéraires de voyage, sont pertinentes pour la sécurité nationale. Compte tenu de ce jugement, il est difficile de voir comment les données accumulées par toute autre plateforme internet de taille importante ne seraient pas également considérées comme « importantes ».

Tout le monde s’inquiète de la sécurité des données

Les tensions géopolitiques croissantes ont contribué à ce que le gouvernement chinois se concentre davantage sur la sécurité des données. Le gouvernement américain a fait part de ses inquiétudes quant au traitement des données des utilisateurs par les entreprises chinoises lorsqu’il a lancé, fin 2019, un examen de la sécurité nationaleconcernant l’acquisition par ByteDance de l’application de médias sociaux américaine Musical.ly, qu’elle a intégrée à son application TikTok. En août 2020, lorsque l’administration Trump a tenté de forcer la vente des activités américaines de TikTok, le gouvernement faisait valoir que les données sur les utilisateurs américains recueillies par TikTok étaient en danger parce que sa société mère était soumise à la juridiction et à l’influence du gouvernement chinois.

Si l’administration Biden a révoqué les interdictions spécifiques imposées à TikTok et WeChat, elle a mis en place un système réglementaireplus large pour protéger « les données sensibles des Américains contre les adversaires étrangers. » Et l’Inde a effectivement imposé des interdictions permanentes sur TikTok et de nombreuses autres applications chinoises, en invoquant des raisons de sécurité nationale. Ces préoccupations sont l’exact reflet de celles que soulèvent actuellement les régulateurs chinois, qui ont constaté les lacunes de leurs propres règles de sécurité après les actions des gouvernements étrangers.

Les autorités se préoccupent de la sécurité des données depuis des années. Le dirigeant Xi Jinping s’intéresse depuis longtemps à l’intersection entre la technologie et la sécurité nationale. Il a décrit la cybersécurité comme une composante importante de la sécurité nationale dès 2014, et a mentionné pour la première fois la protection de la sécurité des données dans un discours au Politburoen 2017. Les préoccupations initiales concernaient principalement la protection de l’infrastructure physique des données internet : empêcher le piratage ou d’autres agressions sur les serveurs et les réseaux. Des réglementations telles que la loi sur la cybersécurité de 2017 traitaient implicitement les entreprises nationales comme sûres, tandis que les entreprises étrangères, et leurs opérations en Chine, étaient une source de risque.

Le système en cours d’élaboration pour la sécurité des données va au-delà de ces premiers efforts à deux égards importants. Tout d’abord, il vise à garantir que le gouvernement exerce un contrôle adéquat sur les données et puisse empêcher leur utilisation abusive, et non pas simplement à prévenir le piratage et le vol. L’augmentation considérable de la quantité et de la complexité des données en ligne accumulées par les entreprises crée de nouvelles possibilités d’utilisation et d’abus. Deuxièmement, les plateformes internet nationales qui génèrent et gèrent toutes ces données sont considérées comme des risques potentiels en soi, et pas seulement comme des victimes potentielles de la fraude et des mauvais acteurs. Le gouvernement s’inquiète du fait que les plateformes internet accumulent des données pour renforcer leur pouvoir sur le marché, créant ainsi des barrières non seulement aux nouveaux concurrents mais aussi aux régulateurs qui tentent de suivre les activités des entreprises.

Le rôle croissant de l’internet mobile, dont les applications génèrent des quantités massives de données détaillées sur la localisation, les achats et les communications des individus, a mis en évidence le pouvoir des données. Cela a été particulièrement évident lors de l’épidémie de Covid-19, lorsque les plateformes Internet sont devenues essentielles au fonctionnement de base des services gouvernementaux et commerciaux. Les agences gouvernementales ont rapidement adopté la pratique consistant à scanner les codes QR sur les téléphones portables des gens pour vérifier leur historique de voyage et leur état de santé. Pour se conformer aux exigences de distanciation sociale, presque tous les services publics sont devenus couramment disponibles en ligne. Il était impossible de le faire sans le soutien des entreprises privées de l’internet : par exemple, les bureaux gouvernementaux acceptent Alipay ou WeChat Pay pour le paiement des frais et des amendes. Tout cela a accentué la préoccupation des régulateurs concernant le contrôle des données, et la rédaction de la Loi sur la Sécurité des Données, en cours depuis 2018, s’est accélérée. Cette loi, qui fait référence à la sécurité des données comme étant liée à la sécurité nationale globale, a été adoptée en juin et entrera en vigueur en septembre. Une loi sur la protection des informations personnelles est également en cours de rédaction et pourrait être adoptée dès cette année.

Le processus législatif n’a toujours pas été assez rapide pour suivre les projets des sociétés Internet. Selon des rapports de presse, au début de l’année, les régulateurs ont demandé de manière informelle à Didi et ByteDance de retarder leurs introductions en bourse à l’étranger afin de procéder à des examens de la sécurité des données, bien que les règles en vigueur à l’époque n’exigeaient pas formellement de tels examens. ByteDance a abandonné ses projets d’introduction en bourse, mais pas Didi. L’une des interprétations possibles des récentes mesures réglementaires est donc que les autorités punissent simplement une entreprise pour ne pas avoir tenu compte du gouvernement.

À lire aussi : Chine : reprise économique et moins de dépendance à la technologie américaine

Cette interprétation est très certainement fausse. Prenons l’exemple récent de l’antitrust et d’Alibaba : en décembre 2020, les régulateurs ont lancé une enquête antitrust sur les contrats d’Alibaba avec les commerçants. Il était facile de considérer que le gouvernement poursuivait sa vendetta contre Jack Ma pour ses commentaires publics en matière politique, qui avaient déjà conduit à l’annulation de l’introduction en bourse d’Ant. Mais en avril, les régulateurs antitrust ont convoqué 34 grandes plateformes Internet pour leur demander de corriger leurs pratiques anticoncurrentielles et ont lancé plusieurs enquêtes supplémentaires.

L’action contre une seule entreprise n’était donc pas un acte isolé, mais un signal pour d’autres entreprises de ce que serait leur sort si elles ne faisaient pas d’efforts proactifs pour améliorer leur conformité. L’application de la législation antitrust n’a cessé de se durcir depuis lors : le 7 juillet, l’Administration d’État pour la régulation des marchés (SAMR) a infligé des sanctions à 22 opérations de fusion et d’acquisition réalisées par des plateformes Internet, dont Alibaba et Tencent.

Le filet réglementaire se resserre

De même, la sécurité des données n’est pas seulement un prétexte pour attaquer une entreprise de premier plan. La création de ce nouveau régime réglementaire est fondamentalement une réponse à la nature changeante de l’internet en Chine et à la domination croissante des grandes plateformes. Les campagnes de réglementation en matière de sécurité des données et d’antitrust ont donc un objectif commun : limiter le pouvoir de marché des plateformes. Par exemple, en avril, les régulateurs financiers ont appelé les plateformes Internet à « briser le monopole de l’information » sur les données de leurs utilisateurs, et ont récemment présentédes plans plus concrets pour réduire leur avantage informationnel sur les institutions financières traditionnelles. La réglementation des plates-formes Internet continuera de se durcir jusqu’à ce que les régulateurs soient pleinement convaincus d’avoir mis en place des contrôles appropriés sur les actifs de données des entreprises.

À lire aussi : Numérisation du monde, l’ère de la puissance transparente

Il s’ensuit que les régulateurs laisseront moins de place aux sociétés Internet pour une croissance rapide tout en leur demandant de supporter des coûts de conformité plus élevés. La sécurité des données prenant une dimension de sécurité nationale, il sera également de plus en plus difficile pour les sociétés Internet d’accéder aux marchés boursiers étrangers, qui sont souvent privilégiés par les sociétés qui ont des investisseurs étrangers en capital-risque. Après les mesures prises à l’encontre de Didi, plusieurs sociétés internet chinoises auraient mis en veilleuseleurs projets de cotation aux États-Unis, notamment la société de données médicales LinkDoc, l’application de fitness Keep et l’application de podcast Ximalaya. La réduction du potentiel de croissance des entreprises technologiques nationales est très probablement un coût acceptable pour les autorités de réglementation chinoises, qui ont déjà montré qu’elles étaient favorables à l’introduction en bourse de ces entreprises.

À propos de l’auteur
Gavekal

Gavekal

Gavekal est une entreprise qui propose des analyses économiques et financières sur l'Asie, la monnaie et les marchés financiers.
La Lettre Conflits
3 fois par semaine

La newsletter de Conflits

Voir aussi

Pin It on Pinterest