- Le respect de la loi sur la cybersécurité obligera les banques à modifier considérablement la méthode de collecte, de sauvegarde, d’envoi et d’utilisation des données produites en Chine.
- La loi met en place un contrôle juridictionnel sur les informations et les contenus créés en Chine, affirmant fortement que « dans la zone chinoise, le Web est sous la souveraineté de la Chine ».
Le 29 avril 2022, la Commission chinoise de réglementation des valeurs mobilières (CSRC) a lancé un projet de loi qui vise à le rendre nécessaire pour les banques d’investissement financier, les superviseurs d’actifs et les sociétés à terme ayant des opérations locales en Chine pour partager des données avec la Commission, permettre un contrôle dirigé par le régulateur et utiliser une sauvegarde centralisée des données. Le projet de procédures administratives pour la sécurité des réseaux sur le marché des valeurs mobilières et des contrats à terme a fait l’objet d’une consultation publique d’un mois.
Tout au long du mois, des professionnels, composés de groupes de pression, ont en fait activement exprimé leurs préoccupations concernant le projet de loi. Le projet de décision des autorités chinoises intervient à un moment où une série de banques d’investissement financières et de superviseurs d’actifs occidentaux étendent leur présence en Chine, soit en établissant des systèmes en propriété exclusive, soit en prenant une part plus importante dans les entreprises communes existantes.
Pour les organisations étrangères opérant en Chine comme pour les institutions régionales, la dernière loi sur la cybersécurité soulève des questions sur le coût du travail à faire conformité certaine. Pékin renforce sa surveillance de la sécurité des données, principalement dans le secteur de la technologie, dans le cadre de sa répression réglementaire plus large.
Quoi de neuf ?
Les « Étapes administratives pour la sécurité des réseaux dans les valeurs mobilières and Futures Industry » ne serait pas la toute première incursion de la Chine dans la législation sur la cybersécurité. L’année 2021 s’est avérée être un tournant pour la protection des données et la cybersécurité en Chine, lorsque la loi sur la sécurité des données personnelles (PIPL), la loi sur la sécurité des données (DSL) et la loi sur la cybersécurité (CSL) sont entrées en vigueur, représentant ensemble le « trident » de la structure réglementaire chinoise en matière de protection des données et de cybersécurité. Au-delà du trio, de nouvelles consignes ont également été dévoilées dont cette dernière. Comme l’a déclaré le cabinet d’avocats mondial Bird & Bird LLP dans un article de Lexology, les projets de mesures sont la réaction de la CSRC au renforcement des exigences en matière de cybersécurité et de défense de l’information dans le cadre réglementaire développé par la CSL, la DSL et le PIPL. « La CSRC se joint à ses collègues régulateurs monétaires pour mettre en œuvre ces exigences dans l’industrie monétaire », indique le message.
Les projets de mesures les plus récents s’appliquent en particulier aux types d’entités suivants : institutions centrales (organisations qui exercent des fonctions publiques ou gèrent des installations d’information sur le marché des valeurs mobilières et des contrats à terme), les institutions opérationnelles (organisations de valeurs mobilières et de contrats à terme) et les organisations de services d’Infotech (IT) (tout fournisseur de services informatiques associés aux institutions financières concernées).
Une alliance technologique américano-européenne qui résout les produits à puce, la compétitivité de la Chine
La troisième catégorie est constituée d’entreprises qui assurent le développement , dépistage, combinaison, évaluation, maintenance et service ou produits de gestion quotidienne des titres pour les systèmes d’information essentiels des sociétés de valeurs mobilières et de contrats à terme. En bref, les fournisseurs d’entreprises financières qui sont sous-traités à tout ce qui est technologique.
Parmi la série de mesures qui, selon le projet, sont nécessaires à la mise en œuvre de ces institutions financières (« garantir la sécurité du système de réseau ») sont l’exigence de « partager les données » pour « de nombreuses fonctions » et de développer un centre d’information pour la sauvegarde, la défaillance du système et la reprise après sinistre.
Le projet de règles stipule également que le CSRC pourrait procéder à la pénétration- tests (simulations de cyberattaques par rapport au système des entreprises) et analyse du système sur les valeurs mobilières, les contrats à terme et les piles informatiques des sociétés de fonds.
Les lobbyistes interviennent
Dans un rapport actuel de Reuters, le groupe de pression Asia Securities Industry and Financial Markets Association (ASIFMA), dans une lettre adressée à la CSRC datée du 27 mai, a révélé les préoccupations de ses membres concernant le projet de règles exigeant le partage d’informations sensibles. Pour le contexte, l’association compte plus de 160 membres comprenant des institutions financières de premier plan qui négocient dans la région, des banques, des cabinets d’avocats et des sociétés d’installations de marché telles que des opérateurs boursiers.
Le groupe de pression craint que la transmission les informations sensibles rendront les entreprises du secteur vulnérables aux « pirates informatiques et autres acteurs malveillants ». La lettre ouverte à la CSRC indique que « cela présente non seulement des risques énormes pour toutes les organisations de base et les institutions opérationnelles sur une base spécifique, mais entraîne également des risques systémiques considérables pour le secteur en Chine et dans le monde, à condition que l’interdépendance du secteur financier international, si le les données sont compromises ou dégoulinées », a déclaré l’ASIFMA.
Le groupe de pression a également signalé les problèmes des banques internationales selon lesquelles le contrôle de la pénétration dirigé ou commandé par le régulateur pose « de véritables risques pour les entreprises en raison de la nature potentiellement perturbatrice de les tests d’intrusion et la sensibilité des résultats des tests. » Il a déclaré : « La vérification des systèmes et des applications sans contexte opérationnel pourrait entraîner une interruption significative des opérations de l’entreprise. »
D’une part, la question des autorités chinoises selon lesquelles les données financières devraient être bien mieux contrôlées peut être prise avec une pincée de sel. Cependant, les organisations financières internationales acceptent rarement une réglementation de quelque nature que ce soit. Les deux côtés de la formule ont aimé des motifs d’après ce qui apparaît dans leurs déclarations publiques. Pour les entreprises occidentales dans tous les secteurs, les dépenses liées aux affaires avec la Chine ne sont pas entièrement déterminées en devises.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
