Les nouvelles mesures numériques chinoises pourraient affecter les entreprises internationales

La loi modifiée sur la cybersécurité renforce la supervision étatique des opérations de réseau et élargit les obligations imposées aux entreprises internationales opérant en Chine.

Les autorités chinoises exigent désormais que les entreprises mettent en place des mesures techniques de protection des données, signalent les incidents de cybersécurité dans des délais définis, réalisent des évaluations périodiques de sécurité et conservent des registres de conformité à des fins d’inspection.

Les entreprises internationales doivent intégrer la conformité dans leurs opérations quotidiennes, maintenir des journaux et des pistes d’audit, et se préparer à d’éventuelles inspections gouvernementales ou demandes d’informations complémentaires.

À titre d’exemple des restrictions accrues auxquelles les entreprises peuvent s’attendre, les autorités chinoises ont infligé en septembre 2025 une sanction administrative, incluant une amende, à la filiale shanghaïenne de Christian Dior pour avoir prétendument transféré des données personnelles de clients chinois vers son siège en France sans avoir complété les procédures d’exportation de données requises, notamment les évaluations de sécurité, la conclusion de contrats types ou l’obtention des consentements nécessaires.

Les entreprises internationales doivent également identifier avec prudence les zones d’ambiguïté juridique ou les lignes directrices d’application non publiées. Le non-respect peut entraîner des sanctions administratives, des restrictions d’activité ou la suspension de services. 

Les Mesures relatives à la certification du transfert sortant d’informations personnelles instaurent un processus formel d’approbation pour l’exportation de données personnelles hors de Chine.

Les organisations transférant certains volumes de données personnelles doivent solliciter une certification, effectuer des évaluations des risques, mettre en œuvre des mesures techniques telles que le chiffrement ou l’anonymisation, et assurer un suivi documenté des transferts.

Ces mesures s’inscrivent dans le prolongement des orientations publiées par l’Administration du cyberespace de Chine en octobre 2025, indiquant que les entreprises impliquées dans des transferts transfrontaliers — notamment les entreprises technologiques et les prestataires de services liés au voyage — doivent obtenir la certification préalable avant toute exportation de données.

Les entreprises traitant des données personnelles dans le cadre d’opérations internationales doivent intégrer les procédures de certification dans leurs processus internes, incluant des audits internes et une coordination avec les autorités de régulation.

Le non-respect peut entraîner des sanctions administratives, des restrictions sur les transferts transfrontaliers ou la suspension temporaire des services. 

Les nouvelles mesures relatives à l’exportation de données et à la cybersécurité influenceront probablement la planification opérationnelle des entreprises internationales et des prestataires liés au secteur du voyage, ainsi que la gestion des données personnelles des voyageurs.

Les données des voyageurs pourraient faire l’objet de vérifications et de traitements supplémentaires lors de leur exportation pour des services tels que les réservations hôtelières, les billets d’avion ou les paiements.

Les entreprises internationales — notamment dans les secteurs technologique, du cloud, de la finance, du commerce électronique et du voyage — devraient prioriser la conformité en mettant à jour leurs systèmes informatiques, en instaurant des mécanismes d’audit et de reporting internes, et en documentant les procédures de consentement et de sécurité.

Les prestataires transférant des volumes importants de données hors de Chine, y compris les multinationales dont le siège est situé à l’étranger, seront probablement les plus impactés.

En 2026, les entreprises pourraient connaître des ajustements progressifs à mesure que les régulateurs chinois publieront des directives complémentaires, mèneront des inspections et examineront les demandes de certification.

Les organisations traitant des catégories sensibles de données — financières, liées aux voyages ou similaires — ainsi que celles impliquant des ressortissants non chinois, devraient faire l’objet d’une surveillance renforcée.

Les entreprises internationales doivent anticiper un suivi continu, des audits réguliers et d’éventuelles restrictions opérationnelles si les mesures de conformité sont jugées insuffisantes, ce qui pourrait influencer la planification des infrastructures informatiques, du stockage des données et des services internationaux. 

Pour en savoir plus sur la manière de tirer parti de l’intelligence afin d’anticiper les risques pesant sur vos collaborateurs et vos opérations.