Assas Legal Innovation part à la rencontre de professionnels afin d’échanger sur le domaine de l’innovation.
Pour cette nouvelle édition, Georges Lebauvy s’est entretenu avec le Professeur Shenkuo Wu, professeur associé au sein de l’école de droit et du département de droit pénal et de sciences criminelles de l’Université normale de Pékin. Il a effectué des recherches notamment dans les domaines du droit du numérique, de la cyber criminalité ainsi que du droit pénal comparé.
Cette interview a été traduite de l’anglais (retrouvez ici la version anglaise). Elle a été réalisée à Pékin le 28 décembre 2019 avant le déclenchement de la pandémie liée au Covid19. Elle ne tient donc pas compte des évolutions ultérieures à cette date..
Pourriez-vous vous présenter : quel est votre parcours académique et professionnel ?
Mon intérêt pour la cybercriminalité est apparu lorsque j’étais à l’Université normale de la Chine Est de science politique et de droit, au département du droit et de la politique. J’y ai effectué une thèse avec pour sujet la cybercriminalité. Par chance, j’ai reçu une offre de bourse de la part de partenaires italien afin d’étudier en Italie, à Vérone. A Vérone j’ai rencontré mon professeur, Lorenzo Picotti, l’un des plus grands experts des questions de cybercriminalité en Italie ; il avait été, dans les années 70, le rapporteur national de l’OCDE sur ces questions. C’est à ce moment que j’ai débuté mes recherches dans le domaine de la protection des données et, étapes par étapes, j’ai constaté l’approche particulière de l’Union européenne à l’égard des question digitales, des questions de cyber sécurité et de cybercriminalité. J’ai pensé que cela pourrait servir d’exemple pour la réglementation chinoise. Je suis rentré d’Italie en 2014 et, l’année suivante, en 2015 la Chine a accéléré les réglementations en matière de cyber sécurité. Le deuxième projet de loi sur la cyber sécurité en Chine a été publié et j’ai participé au processus législatif ainsi qu’offert des avis à titre d’expert. C’est à ce moment que mon désir d’approfondir mes recherches dans ce domaine s’est renforcé.
Pourquoi avez-vous choisi de vous spécialiser dans le cyber sécurité et la cybercriminalité ?
J’ai toujours été intéressé par les questions émergentes et à cette époque, autour de 2004-2005, contrairement à aujourd’hui, les questions liées au digital étaient rarement explorées par les chercheurs. J’ai pensé que ce pourrait être l’opportunité personnelle d’avoir une expérience nouvelle et de conduire des recherches dans ce domaine.
Quelle est la législation actuelle en Chine concernant la cyber sécurité et les données personnelles ?
Depuis 2015, la réglementation dans le domaine de la cyber gouvernance s’est renforcée et s’est améliorée de manière impressionnante. C’est pourquoi, beaucoup d’intérêt y est consacré au niveau politique, au niveau de la législation nationale et au niveau des réglementations administratives. Concernant le domaine politique, il y a eu beaucoup d’initiatives, notamment la Stratégie Nationale pour le Big Data ou la Stratégie Nationale pour le développement de l’intelligence artificielle. Au niveau législatif, la Chine a déjà adopté une loi sur la cyber sécurité, une loi sur le e-commerce et dans le futur, il y aura une loi sur la protection des données personnelles ainsi qu’une loi sur la sécurité des données. Des réglementations administratives existent, telles qu’une réglementation sur la protection en ligne des données personnelles d’enfants. Il y a aussi beaucoup de réglementations administratives dans le domaine de la protection des informations personnelles et dans l’infrastructure critique d’information. En Chine, la structure réglementaire a déjà été établi. Il y a beaucoup de projet dans ce domaine telle qu’un projet de réglementation sur la sécurité des données, un projet de réglementation pour la sécurité des flux de données transnationaux. Dans le futur, nous pouvons nous attendre à plus d’initiatives et à plus normes dédiées dans ce secteur.
Quel est l’état actuel de la cybercriminalité en Chine ?
Il y a eu une augmentation de la cybercriminalité au cours des dernières années. En fait, l’augmentation est estimée autour de 30% en Chine.
Il est difficile de faire respecter des décisions de justice concernant des infractions en termes de cybercriminalité à cause d’un problème de juridiction. Internet n’a pas de barrière : une cyberattaque peut être effectuée depuis un pays différent de la Chine tout en ayant un impact sur les utilisateurs chinois. De plus, une assistance juridique mutuelle entre les pays est presque inutile et la procédure prend souvent trop de temps.
Qui sont les victimes de cyber criminalité ?
Les victimes peuvent être des entreprises publiques, comme privées ainsi que des individus. L’identité des victimes n’a pas d’importance. Ce qui est important ce sont les mesures techniques et la sensibilité vis-à-vis du risque.
Seules 1% des victimes font part de leurs pertes. Les victimes souvent ne font souvent pas confiance aux autorités chargées de faire respecter la loi et par conséquent, ne considèrent pas que cela mérite qu’on y accorde du temps et de l’argent. De plus, pour les entreprises, faire part des pertes associées aux cyber attaques peut conduire à une perte de confiance de la part des consommateurs ou des clients, une fois que l’information est rendue publique comme conséquence du processus d’enquête.
Quel est l’impact de la cyber sécurité et de la protection des données personnelles sur l’économie chinoise ?
La protection de la vie privée par les entreprises est perçue comme un argument économique. Cette année les ministères chinois ont mis en place des groupes ad hoc dédiés à la gestion des applications, la conformité aux normes de sécurité es données. Cela aidera à déterminer si une application est dangereuse ou non. Par conséquent, des entreprises pourraient devenir soucieuses de leur réputation et être amenées à se préoccuper de l’utilisation et du respect de la vie privée d’un individu.
Est-ce que la protection des données est un sujet d’intérêt général en Chine ?
Depuis 2017, les chinois parlent beaucoup plus de cyber sécurité ; l’intérêt du public et la demande de la population en matière de cyber sécurité a augmenté. La protection individuelle, la sensibilisation à propos de ce sujet et la protection publique ont toutes augmenté de manière spectaculaire. Par exemple, beaucoup d’entreprises refusent d’être cotées en bourses pour des raisons de confidentialité.
Quelle est la vision chinoise concernant l’incitative européenne du RGPD ? Est-ce qu’en terme de protection des données elle est considérée comme un bon instrument juridique ?
Le RGPD a un rôle déterminant dans l’augmentation de la sensibilisation du public à l’égard de la protection des données personnelles. Le RGPD a aidé beaucoup de pays à créer un cadre pour la protection de la vie privée. Nous partageons beaucoup de valeurs au sujet de la protection des données personnelles comme les droits fondamentaux de protection ainsi que le consentement des utilisateurs vis-à-vis des opérateurs de réseau. Je dirais d’abord que nous partageons une expérience et qu’ensuite nous pouvons avoir des échanges bilatéraux et des références permettant l’amélioration de ces systèmes de protection des données personnelles.
Il y a aussi des recherches concernant la conformité au RGPD faites par des entreprises chinoises. Le RGPD est vu comme proposant des standards élevés de protection. Le travail de conformité des entreprises fonctionne pour les entreprises chinoises comme instrument pour entrer sur le marché européen. Si l’entreprise remarque que son activité contient un risque de violation du RGPD, elle fera marche arrière.
Jusqu’à maintenant, il n’y a eu aucune affaire de violation du RGPD mettant en cause des entreprises chinoises. Si une entreprise chinoise violait le RGPD, il y aurait plusieurs moyens pour faire appliquer une décision de justice. D’abord, cela pourrait impliquer une reconnaissance officielle en Chine d’une décision civile rendue par un tribunal européen. C’est possible et cela a déjà réussi dans certaines affaires. Ensuite, l’on pourrait avoir recours à un arbitrage international. Enfin, la dernière mesure pourrait impliquer le Comité européen de la protection des données, qui pourrait par exemple décider de refuser d’accorder un visa en Europe à un membre d’une entreprise chinoise ayant violé le RGPD.