La Chine applique à partir de jeudi sa loi sur la cybersécurité, renforçant encore sa «Grande muraille» informatique, mais des entreprises étrangères s'inquiètent de l'impact de la nouvelle réglementation sur leurs activités.
Cette loi adoptée en novembre dernier ambitionne de protéger les réseaux chinois et les informations personnelles des utilisateurs, à l'heure où le rançongiciel (ransomware) WannaCry a rappelé la vulnérabilité des États face aux cyberattaques.
Mais des entreprises ont réclamé au gouvernement chinois un report de l'application de la loi. Elles s'inquiètent notamment des dispositions imprécises du texte et de l'influence qu'il pourrait avoir sur l'informatique dématérialisée (le «cloud») et le traitement des données personnelles.
Les autorités semblent toutefois vouloir finaliser les règles.
Mi-mai, le directeur de l'Administration chinoise de la cybersécurité (CAC), Zhao Zeliang, a réuni 200 représentants d'entreprises et d'associations professionnelles locales et étrangères au siège de son organisme à Pékin.
La discussion était centrée sur les règles de transfert des données personnelles à l'étranger, ont rapporté des participants à l'AFP. Selon eux, les personnes présentes ont reçu une version actualisée de dispositions de la loi, et l'assurance de M. Zhao que certains des passages les plus polémiques seraient retirés.
Le nouveau document, consulté par l'AFP, ne fait par exemple plus mention de l'obligation controversée pour les entreprises de conserver en Chine les données personnelles de leurs clients.
«Pas prêtes»
Mais les appréhensions demeurent.
Les autorités «ne sont pas prêtes» à faire appliquer la loi et il est «très improbable» qu'un changement concret dans la législation intervienne dès le 1er juin, a assuré à l'AFP un participant qui a requis l'anonymat en raison de la sensibilité du dossier.
La Chine surveille déjà l'internet de façon drastique, en bloquant les sites qu'elle estime politiquement sensibles, un système surnommé «la Grande muraille électronique» qui n'a toutefois pas empêché des universités et stations-services du pays d'être touchées par l'attaque planétaire du virus WannaCry.
La nouvelle loi sur la cybersécurité interdit aux internautes de publier tout contenu portant atteinte à «l'honneur national», «troublant l'ordre économique et social» ou destiné à «renverser le système socialiste», c'est-à-dire le Parti communiste au pouvoir.
Des entreprises étrangères craignent que la nouvelle loi entrave leur accès au marché chinois.
Paul Triolo, spécialiste de la cybersécurité pour la firme américaine de conseil Eurasia Group, juge dans une note que la Chine va probablement mettre en place de «nouveaux obstacles pour la mise en conformité et les activités des entreprises étrangères», notamment pour l'informatique dématérialisée, un secteur où la Chine veut voir émerger des champions nationaux.
«Les entreprises dont les concurrents ont des soutiens dans les milieux politiques pourraient voir leur cas soulevé lors d'enquêtes sur la cybersécurité», estime ainsi M. Triolo.
Fin 2018 seulement ?
La Chambre de commerce de l'Union européenne (UE) en Chine, avec d'autres organisations, a appelé Pékin à «reporter la mise en oeuvre soit de la loi soit des articles concernés».
La nouvelle réglementation «va imposer des obligations substantielles de mise en conformité» et «il est essentiel que ses mécanismes d'application soient appliqués avec prudence, sensés, cohérents et pleinement motivés», a écrit la semaine dernière la Chambre dans un communiqué.
Si l'application de la loi elle-même ne devrait pas être repoussée, les règlements préliminaires distribués mi-mai lors de la réunion stipulent que les entreprises auront... jusqu'au 31 décembre 2018 pour se mettre en conformité avec certaines exigences.
«Il est extrêmement compliqué pour nos entreprises de se préparer (...), car beaucoup d'éléments de la loi restent flous», déplore cependant Jake Parker, vice-président pour la Chine de l'US-China Business Council.
«Les entreprises n'ont pas suffisamment d'informations pour pouvoir élaborer des pratiques internes de mise en conformité.»