J’avais l'immense honneur d'être co-organisateur de cet évènement via mon travail chez JW & Associates mais aussi d'être responsable de la réception et l'animation des partenaires étrangers... Voici un bref retour sur les discours officiels et l'envers du décor.
Lors de la première partie de mon article (Cyber Security Forum Part 1) j'avais présenté un aperçu global des tendances de la sécurité IT en Chine pour les mois à venir.
Aujourd'hui je m'attèle à la lourde tâche de vous présenter, de manière brève, deux textes de lois majeurs, le Cyber Security Draft Law et le CRBC regulations. Pour plus d'informations je vous invite à me contacter ou à rejoindre l'ICT Working Group de la Chambre Européenne de Commerce et d'Industrie en Chine (EUCCC).
Tout d'abord, le point le plus marquant dans ses deux textes est le manque évident de précision et de définition. Les textes jouent sur les mots (données/informations, Citoyens/utilisateurs, données sensitives/données personnelles, ...). Bien sûr, vous ne trouverez pas, ou de manière très succincte, de definition à ces termes, laissant une libre interprétation.... Pour le gouvernement chinois.
Voici l'un des premiers points les plus sensibles, l'interdiction d'héberger off-shore des données sensibles ; qu'importe le cadre de cet export (commercial, marketing, informatif, ...). Il est obligatoire, sans possibilité de dérogation, de se plier à cet article. De plus, comme mentionné plus haut, la sensibilité des données reste à l'appréciation des autorités chinoises. Il en va de soi que le coût de la transition reste à la charge des entreprises, l'addition sera d'ailleurs salée !
Un autre point sensible concerne l'ouverture du code source (dans certains cas). Si vous êtes une banque ou une assurance, alors vous n'y couperez pas, il en va de la sécurité nationale... Pour les autres activités, l'ouverture du code source ne sera pas conditionnée à la délivrance de certain permis de ventes mais sera obligatoire dans le cas d'une investigation ! Il existe ici une possibilité sérieuse de fuite des propriétés intellectuelle de votre entreprise.
Il ne fait vraiment pas bon d'être une banque ou une compagnie d’assurance ! Si vous souhaitez recevoir votre licence pour pouvoir exercer votre activité, il sera obligatoire de passer par la case audit (délivré par une entreprise de Cyber Sécurité privée mais possédant une accréditation gouvernementale). Vous serez de même contraint de fournir vos clés d'encryptions utilisées pour l'ensemble des flux monétaire de votre entreprise.
Bon, rien de bien méchant (*ironie*), en cas de piratage de vos systèmes vous êtes dans l'obligation de communiquer, immédiatement, à l'ensemble de vos clients. Il est nécessaire d'avoir des équipes IT localement en Chine et si possible en externaliser une partie. De même, l’hébergement mutualisé dans le cloud est "favorable" ; Il faut comprendre qu’en cas d’investigation cela vous donnera un bon point...
Quelques autres points "mineurs" sont présents, je vous conseille donc de vérifier en détails l'impact sur votre entreprise de ces deux textes. ONE MORE THING, D’après le Cyber Security Law, le texte entre en vigueur à sa signature, aucune période de transition…
J'ai mixé volontairement les deux textes de lois pour vous pousser à les analyser plus en profondeur. Il s'agit d'un résumé sommaire, il n'est pas aussi évident que cela de synthétiser ces deux textes en un si petit article.
Pour mon prochain article, je vous présenterai quelques-uns des workaround qu'une société telle que JW & Associates (la société de Cyber Sécurité pour laquelle je travaille) peux vous aider à mettre en place. Il s'agit de moyens légaux de se conformer aux lois tout en vous permettant de garder un contrôle sur ce qui vous appartient et de pousser la Chine à rester un régulateur neutre qui ne s'investit pas au-delà de son rôle.
Suite et fin au prochain article.
N.B.: Merci @Perrine DU-VIGNAUX pour la relecture de cet article.
Original post: Cyber Security Forum : Des textes de lois contraignant et effrayant (part 2)