Le Mur des Données en Chine : Pourquoi Vous Ne Pouvez Pas Tweeter

La censure constitue un méchant idéal pour expliquer pourquoi vous ne pouvez pas tweeter depuis Pékin, mais elle omet le problème plus complexe : le contrôle des données. Les services occidentaux, de Facebook à X, ne devraient pas seulement supprimer des publications sensibles ; ils devraient également remettre les données résiduelles de centaines de millions d'utilisateurs à un système juridique différent.

La Chine a passé la dernière décennie à construire un régime de souveraineté des données qui traite l'information comme un territoire. En vertu de la Loi sur la cybersécurité, de la Loi sur la sécurité des données et de la Loi sur la protection des informations personnelles (PIPL), les données générées en Chine doivent, par défaut, rester sous juridiction chinoise, sur le sol chinois, et être soumises aux régulateurs chinois.

Pour opérer légalement à grande échelle, une plateforme étrangère doit stocker les données personnelles des utilisateurs chinois et les "données importantes" sur des serveurs situés en Chine. Tout transfert transfrontalier déclenche alors des examens de sécurité, des contrats standards ou des certifications supervisés par l'Administration du cyberespace de Chine, avec des règles détaillées qui se resserrent à nouveau le 1er janvier 2025.

Cette exigence n'est pas une simple technicalité ; c'est un facteur déterminant pour le modèle commercial. Une entreprise comme Meta ou X devrait construire et opérer une infrastructure uniquement réservée à la Chine, maintenir une gouvernance parallèle et accepter que la loi chinoise, et non la loi américaine ou européenne, décide finalement de qui peut accéder aux données des utilisateurs chinois.

La localisation des données entraîne également une attente implicite de coopération. Une fois qu'une plateforme est qualifiée d'« infrastructure d'information critique », elle fait face à des obligations concernant : - Le stockage et la conservation des données localement - Les examens de sécurité nationale des systèmes et des algorithmes - Le transfert potentiel de données dans le cadre du processus juridique chinois

Si cela vous semble familier, regardez TikTok. Washington exige désormais que TikTok stocke les données des utilisateurs américains sur le sol américain, les isolant de Pékin, et se soumette à la surveillance américaine ou fasse face à des désinvestissements ou des interdictions, reprenant la même logique de souveraineté des données que Pékin avait appliquée en premier.

Ce qui empêche les réseaux sociaux occidentaux d'entrer en Chine en 2025, ce n'est pas seulement ce qu'ils permettent aux utilisateurs de publier. C'est qui a le pouvoir de convoquer, d'inspecter et, au final, de contrôler le graphe social brut, les traces de localisation et les messages privés de centaines de millions de personnes.

Oubliez les pare-feu et les filtres de mots-clés pendant un instant ; le paysage des médias sociaux en Chine repose sur une dense couche de réglementations. Au cœur se trouve un « tripod des trois lois » : la Loi sur la cybersécurité (CSL), la Loi sur la sécurité des données (DSL) et la Loi sur la protection des informations personnelles (PIPL). Ensemble, elles définissent qui contrôle les données, où elles se trouvent et quand elles peuvent franchir les frontières de la Chine.

Adoptée en 2017, la Loi sur la cybersécurité a posé les bases. Elle a créé le concept d’« Opérateurs d'infrastructures d'information critiques » (CIIO)—des systèmes dans des secteurs tels que la finance, l'énergie, les télécommunications et les transports que Pékin considère comme vitaux pour la sécurité nationale ou l'intérêt public. Les CIIO doivent stocker les « informations personnelles » et les « données importantes » collectées en Chine sur des serveurs physiquement situés en Chine.

La règle de localisation des données de CSL semble abstraite jusqu'à ce qu'on l'applique à une plateforme sociale mondiale. Un service de l'envergure de Facebook serait presque certainement considéré comme une infrastructure adjacente à la CIIO, compte tenu de son rôle dans les communications et l'opinion publique. Cela signifie que les données des utilisateurs chinois ne peuvent pas simplement se trouver par défaut dans un centre de données en Californie ou à Singapour.

La Loi sur la sécurité des données de 2021 a élevé les enjeux en introduisant des classifications formelles pour les "données importantes" et les "données essentielles". Les données importantes comprennent des informations pouvant affecter la sécurité nationale, l'économie ou les intérêts publics ; les données essentielles sont d'un niveau supérieur, directement liées à la sécurité nationale et aux secteurs clés. Ces deux catégories déclenchent des contrôles accrus en matière de stockage, de traitement et d'exportation.

La DSL ne se contente pas de dire "gardez-le en sécurité" ; elle lie les entreprises au dispositif de sécurité nationale de la Chine. Les entreprises doivent établir des inventaires complets de données, réaliser des évaluations de risques régulières et coopérer avec les enquêtes de la sécurité d'État. Les transferts ou fuites non autorisés de données sensibles peuvent entraîner une responsabilité pénale, et pas seulement des amendes administratives.

Également en 2021, la Chine a déployé PIPL, sa réponse au RGPD de l'UE. Le PIPL régit les données personnelles : comment les entreprises les collectent, les traitent et les partagent, avec des sanctions pouvant atteindre 5 % du chiffre d'affaires mondial de l'année précédente d'une entreprise. Pour une société de l'envergure de Meta, cela représente des milliards de dollars en jeu.

La PIPL renforce également les règles sur le transfert transfrontalier. Pour envoyer des données personnelles à l'étranger, les entreprises doivent réussir des évaluations de sécurité par l'Administration du cyberespace de Chine, obtenir des certifications ou signer des contrats standards approuvés par le CAC, chaque étape maintenant les régulateurs chinois informés.

Les lois sur les données en Chine cachent leur aspect le plus redoutable dans deux phrases délibérément simples : « données importantes » et « données essentielles. » Sur le papier, la Loi sur la sécurité des données définit les données importantes comme tout ce qui pourrait nuire à la sécurité nationale, à l'économie ou à l'intérêt public en cas de fuite ou de falsification. Les données essentielles se situent au-dessus de cela : des informations « étroitement liées » à la sécurité nationale, aux artères de l'économie ou à des intérêts publics majeurs, avec des contrôles et des sanctions encore plus stricts.

Ces définitions semblent générales car elles le sont. Les régulateurs ne publient jamais de catalogue complet et contraignant de ce qui compte, seulement des directives sectorielles et des règles locales éparses. Cette ambiguïté crée une zone grise de plusieurs milliards de dollars où les entreprises étrangères doivent deviner comment Pékin classera leurs données a posteriori.

Presque tout ce qui est à grande échelle peut être considéré comme "important". Les règles sectorielles et les catalogues préliminaires soulignent : - Des données détaillées sur les transactions financières et les paiements - Des ensembles de données de cartographie et de géolocalisation haute résolution - Des dossiers de santé et des informations génomiques - La production industrielle, la logistique et la télémétrie des réseaux énergétiques - Des données comportementales de plateforme pouvant profiler les tendances de la population

Un fournisseur de cloud hébergeant des dossiers hospitaliers à Shanghai, un constructeur automobile collectant des télémétries en temps réel, ou un studio de jeux enregistrant des millions de messages de chat se trouvent à quelques interprétations juridiques de la notion de "données importantes". Une fois que les régulateurs les qualifient ainsi, les transferts transfrontaliers déclenchent des évaluations de sécurité obligatoires, le stockage doit rester en Chine, et les pénalités en cas de violation peuvent atteindre jusqu'à 10 millions de yuans ou plus, en plus d'une suspension des activités.

Les entreprises ne reçoivent pas de liste de refuge sûr ; elles reçoivent des devoirs. Les sociétés doivent s'auto-évaluer, classer et enregistrer leurs ensembles de données, puis concevoir des contrôles techniques et organisationnels autour de ces étiquettes internes. Si l'Administration du cyberspace de Chine décide ultérieurement qu'un ensemble de données était "important" ou même "essentiel", chaque exportation, sauvegarde et pipeline d'analyse ayant touché un serveur à l'étranger peut rétroactivement devenir une violation.

Pour les multinationales, cela transforme les opérations normales—support client mondial, détection de fraude centralisée, ciblage publicitaire unifié—en champs de mines juridiques. Beaucoup réagissent en isolant la Chine sur une infrastructure distincte, des modèles séparés et parfois des produits différents. Pour avoir une idée de la complexité de cette superposition de souveraineté, même des hyperscalers comme Microsoft l'expliquent en détail : Souveraineté des données et régulations en Chine – Microsoft Azure Chine.

Traverser la frontière des données de la Chine ressemble désormais moins à un simple clic sur “accepter” qu'à un examen que vous ne pouvez pas vous permettre d'échouer. À partir de 2025, chaque transfert significatif de données personnelles hors de Chine devra passer par l'un des trois canaux rigoureusement définis, tous connectés à la PIPL, à la Loi sur la sécurité des données et au Règlement de gestion de la sécurité des données en réseau de 2025.

Au sommet de la hiérarchie se trouve l'Évaluation de la Sécurité du CAC, dirigée par l'Administration du Cyberespace de Chine. Cette procédure est obligatoire pour les opérateurs d'infrastructure d'information critique (CIIO), toute personne exportant des "données importantes" et les entreprises transférant de grandes quantités de données personnelles à l'étranger.

Les réglementations et les orientations de la CAC établissent des déclencheurs stricts : si vous exportez les informations personnelles de 1 million d'individus ou plus, ou les informations personnelles "sensibles" de 10 000 personnes en une année, vous devez demander une évaluation de la sécurité. Les données qui touchent à la sécurité nationale, à l'opinion publique ou aux "données essentielles" peuvent également vous amener ici, même en dessous de ces seuils.

L'évaluation de la sécurité n'est pas un simple exercice de cocher des cases ; c'est un examen des risques politiques. Le CAC analyse les catégories de données, le volume, les destinataires étrangers, les conditions contractuelles, l'historique des incidents et détermine si une exportation pourrait « mettre en danger la sécurité nationale, l'intérêt public ou les droits légaux des individus et des organisations ».

La plupart des autres entreprises visent le Mécanisme 2 : Contrats Standards pour les transferts transfrontaliers. C'est la réponse de la Chine aux clauses contractuelles standards de style UE, mais avec une particularité : vous devez les soumettre à la CAC, qui peut les rejeter ou exiger des modifications.

Les contrats standards ne fonctionnent que si vous restez en dessous des seuils de volume CAC et ne traitez pas de « données importantes ». Même dans ce cas, les entreprises doivent réaliser des évaluations d'impact, conserver des journaux pendant au moins 3 ans et s'assurer que les destinataires étrangers s'engagent à respecter des protections équivalentes à celles de la PIPL, à la fois sur papier et dans la pratique.

Mécanisme 3, certification, vise les groupes multinationaux transférant des données entre des filiales chinoises et des sièges sociaux étrangers. Un organisme accrédité évalue votre gouvernance, vos contrôles techniques et votre réponse aux incidents, puis certifie que vos transferts transfrontaliers respectent les exigences du PIPL et du DSL.

La certification reste rare car elle est complexe, lente et encore soumise à la supervision de la CAC. Pour de nombreuses entreprises, elle fonctionne comme une solution de niche pour l'analyse intra-groupe plutôt que comme une stratégie d'exportation par défaut.

Les périodes de transition intégrées dans les premières règles du PIPL et les mesures proposées par le CAC arriveront effectivement à expiration d'ici 2025. Le flux de données transfrontalier en provenance de Chine est passé d'un statut par défaut supposé à un privilège réglementé, subordonné à l'approbation de l'un de ces mécanismes de filtrage établis par l'État.

Washington parle désormais de TikTok comme Pékin parle de Facebook : comme d'un risque pour la sécurité nationale lié à un centre de données étranger. Des responsables américains affirment que la propriété chinoise de TikTok permet à Pékin d'accéder aux données comportementales d'environ 170 millions d'utilisateurs américains, ils veulent donc que ces données soient protégées, localisées et inspectables.

Cette logique a donné naissance au Projet Texas, le plan de 1,5 milliard de dollars de TikTok pour acheminer toutes les nouvelles données des utilisateurs américains via des serveurs gérés par Oracle aux États-Unis. Oracle a la possibilité de surveiller des parties clés de l'infrastructure de TikTok, de l'accès au code du moteur de recommandation à certains journaux, sous la juridiction et la loi américaines.

La poussée de la Chine pour la localisation des données suit le même script, mais de manière plus précoce et plus agressive. En vertu de la Loi sur la cybersécurité, de la Loi sur la sécurité des données et de la PIPL, les plateformes qui atteignent des seuils « critiques » ou de volume doivent stocker les informations personnelles chinoises et les « données importantes » sur des serveurs en Chine et passer des examens de sécurité stricts avant de pouvoir exporter quoi que ce soit.

Les décideurs politiques appellent désormais cela la souveraineté des données : l'idée que les données des citoyens doivent rester à l'intérieur des frontières nationales, soumises aux tribunaux, aux régulateurs et aux services de sécurité domestiques. Les données ne sont plus simplement un élément pour le ciblage publicitaire, mais deviennent un atout stratégique, comme les réserves de pétrole ou les usines de semi-conducteurs.

La sécurité nationale fournit l'excuse universelle. Washington présente TikTok comme un potentiel canal de renseignement chinois ; Pékin considère les transferts transfrontaliers non réglementés comme un moyen d'espionnage étranger, d'application des sanctions ou d'ingérence dans des "révolutions de couleur". Les deux parties insistent sur le fait que celui qui contrôle les serveurs et les ingénieurs contrôle le risque.

L'infrastructure de plateforme devient de la géopolitique par d'autres moyens. Les centres de données, les équipes de modération de contenu et les moteurs de recommandation doivent désormais être physiquement et légalement ancrés à un drapeau, et non plus simplement à une étiquette de région cloud dans un menu déroulant de la console.

Les deux superpuissances convergent sur le même principe fondamental : le contrôle juridictionnel des données. La Chine exige que Facebook, Twitter et iCloud d'Apple placent les données des utilisateurs chinois sous la réglementation chinoise ; les États-Unis exigent que TikTok place les données américaines sous la réglementation américaine, sous peine d'interdiction ou de cession forcée.

C'est la nouvelle norme. Toute grande plateforme opérant au-delà des frontières doit désormais supposer que chaque gouvernement majeur finira par exiger un stockage local, des audits locaux et des interrupteurs d'arrêt locaux pour les flux de données.

Les racks de serveurs et les liaisons de fibre optique sont la partie facile. Pour une entreprise comme Meta ou X, le véritable coût d'entrée sur le marché chinois est de reconstruire l'ensemble de leur infrastructure - technique, juridique et politique - autour de la définition de la souveraineté des données de Pékin.

L'infrastructure passe en premier, et c'est brutal. On ne se contente pas de créer une région Alibaba Cloud et de s'arrêter là ; on conçoit un univers parallèle où les données des utilisateurs chinois résident sur le sol chinois, sous la loi chinoise, séparées des systèmes mondiaux. Cela signifie souvent des branches de code séparées, des bases de données isolées, des journaux personnalisés et des plans de récupération après sinistre sur mesure uniquement pour un pays.

Les plateformes mondiales fonctionnent grâce aux effets de réseau des données ; le régime chinois brise cela intentionnellement. Un segment de Facebook réservé à la Chine aurait besoin de ses propres modèles de recommandation, filtres anti-spam, outils de prévention de la fraude et pipelines de confiance et de sécurité entraînés sur des données locales qui ne peuvent pas facilement traverser les frontières. Chaque fonctionnalité qui repose sur la télémétrie mondiale—ciblage publicitaire, détection d'abus, suggestions d'amis—doit être réorganisée pour respecter les barrières de localisation.

Les coûts de conformité s'accumulent encore plus rapidement. La loi sur la cybersécurité, la loi sur la sécurité des données et le PIPL créent des obligations qui se chevauchent et évoluent chaque année à travers de nouvelles mesures de la CAC, des FAQ et des directives provinciales. Les amendes peuvent atteindre 5% du chiffre d'affaires annuel en vertu du PIPL, et les régulateurs peuvent suspendre des applications, révoquer des licences ou imposer une « rectification » qui met effectivement votre activité sur pause.

Les équipes juridiques ne peuvent pas simplement traduire des politiques ; elles ont besoin de spécialistes connaissant bien Pékin, de conseils locaux dans plusieurs villes et d'une surveillance 24/7 des projets de règles et des affaires d'application. Pour une plateforme hyperscale, cela signifie des dizaines de personnels de conformité et de cabinets externes juste pour respecter les normes. Des guides comme Démystifier la localisation des données en Chine : Un guide pratique – IAPP ne font qu'effectuer une allusion à la réalité opérationnelle.

La souveraineté est le point où la plupart des entreprises occidentales se retirent. Pour déplacer des données ou opérer à grande échelle, vous devez vous soumettre à des revues de sécurité qui peuvent examiner le code source, les flux de données et parfois la conception des algorithmes. Les autorités peuvent exiger un « soutien technique » dans le cadre d'enquêtes, ce qui, en pratique, peut signifier un accès aux journaux, aux identifiants et aux inférences que vous ne remettriez jamais en Europe ou aux États-Unis.

La supervision algorithmique est la ligne rouge finale. Les systèmes de recommandations et de classement relèvent de la régulation du contenu et de la sécurité, exposant les secrets commerciaux et les choix éditoriaux au contrôle de l'État. Pour les plateformes reposant sur des modèles opaques et propriétaires, ce n'est pas seulement un obstacle réglementaire ; c'est un frein stratégique.

Jouer avec le régime de données chinois signifiait auparavant se cacher derrière des seuils vagues et s'appuyer sur des excuses d'« opérations internes ». Les récentes directives et documents de questions-réponses de la CAC à la fin de 2024 et au début de 2025 ferment ces portes, précisant que presque tout transfert régulier de données utilisateur à l'étranger est considéré comme une exportation transfrontalière réglementée. Les régulateurs traitent désormais les transferts « occasionnels » et « nécessaires » comme de rares exceptions, et non comme une exemption générale pour les flux de travail dans le cloud à l'échelle mondiale.

Les nouvelles FAQ de la CAC reviennent sur les échappatoires favorites de l'industrie. Les entreprises soutenaient autrefois que l'anonymisation ou la tokenisation sortaient les données du champ d'application de la PIPL et de la DSL ; les orientations actuelles indiquent que si la ré-identification est techniquement possible, vous exportez toujours des informations personnelles. Même le « traitement de confiance » par des filiales à l'étranger déclenche un dépôt ou une révision de sécurité si les volumes dépassent les seuils actualisés.

Les exemptions qui semblaient spacieuses sur le papier apparaissent désormais comme un couloir étroit. Les transferts internes des ressources humaines, la résolution de problèmes transfrontaliers ou l'analyse mondiale doivent démontrer une minimisation des données stricte, un consentement clair des utilisateurs et la nécessité d'un objectif commercial spécifique. Les régulateurs mettent en garde contre l'utilisation de politiques de confidentialité types ou de consentements génériques pour justifier le transfert continu de données vers des serveurs étrangers.

Les zones de libre-échange à Shanghai, Hainan et ailleurs offrent un allégement partiel, mais seulement en surface. Les règles des ZLE expérimentent des déclarations simplifiées pour les flux de données à faible risque et des pilotes en environnement contrôlé pour les données financières et logistiques. Certaines zones permettent un traitement CAC plus rapide ou des évaluations consolidées pour les groupes multinationaux.

Même à l'intérieur des ZES, les Listes Négatives agissent comme un frein puissant. Les données liées à la sécurité nationale, aux infrastructures critiques, à la géolocalisation à grande échelle ou aux dossiers financiers et de santé "importants" restent fortement verrouillées, avec des exigences de stockage et d'examen de sécurité en onshore. Le slogan de libre-échange ne change pas la règle fondamentale : les données sensibles chinoises ne circulent pas dans le cloud mondial sans autorisation explicite et révocable de l'État.

Les contraintes réglementaires se sont considérablement durcies en 2024 et début 2025, transformant le régime de données en Chine d'un risque abstrait en contrainte opérationnelle quotidienne. La CAC est passée de lois basées sur des principes à des instructions détaillées, publiant des FAQ, des questions-réponses et des contrats types qui éliminent l'ambiguïté mais aussi les prétextes. Les entreprises qui se cachaient autrefois derrière l'« incertitude » doivent désormais faire un choix binaire : se conformer ou sortir.

Les nouvelles règles de Réglementation sur la Gestion de la Sécurité des Données Réseau, qui entreront en vigueur le 1er janvier 2025, servent de guide principal pour quiconque traite des données réseau en Chine. Elles regroupent des obligations dispersées sous la CSL, la DSL et la PIPL en un seul cadre d'application : classifiez vos données, localisez ce qui importe à Pékin, et enregistrez ou rapportez presque tout ce qui traverse la frontière. Les processeurs de données doivent désormais maintenir des catalogues de données détaillés, des évaluations des risques et des journaux d'exportation prêts pour une inspection sur place.

Les récentes questions-réponses du CAC ont enfin chiffré certains seuils longtemps débattus. Les entreprises exportant moins de 1 million de dossiers d'informations personnelles peuvent, sur le papier, éviter une évaluation complète de la sécurité si elles utilisent des contrats standards ou une certification. Mais les mêmes directives précisent ce qui est considéré comme des transferts « occasionnels » ou « nécessaires » et soulignent que toute « donnée importante » vous propulse immédiatement vers le parcours de révision le plus strict.

L'application de la loi est également passée d'un processus lent et négociable à un système rapide et punitive. Les violations de données déclenchent désormais un délai de 8 heures pour le premier rapport à l'agence locale de la CAC, avec des rapports d'enquête et de notification aux utilisateurs généralement dus dans un délai de 3 à 5 jours. Manquer ces délais vous expose non seulement à des amendes, mais aussi à des suppressions forcées d'applications, des audits de code et une nomination publique.

Les délais de grâce pour les violations ont considérablement diminué. Là où les régulateurs accordaient autrefois aux entreprises des mois pour résoudre des problèmes de transfert transfrontalier ou de collecte illégale de SDK, les délais de remédiation se situent désormais souvent dans une fourchette de 15 à 30 jours, accompagnés d'audits par des tiers obligatoires. Les récidivistes ou les plateformes traitant des données relatives aux jeunes, aux finances ou à la mobilité voient de plus en plus la “rectification” liée à des fermetures partielles de fonctionnalités jusqu'à ce qu'ils puissent prouver leur conformité.

Pour toute plateforme mondiale, ces règles de 2025 réécrivent le calcul d'expansion. La conformité n'est plus un simple exercice administratif ; c'est un exercice d'urgence constant fonctionnant sous le chronomètre du CAC.

La localisation des données en Chine touche désormais presque toutes les multinationales, pas seulement les plateformes sociales qui n'ont jamais pu entrer. Toute entreprise collectant des données sur des personnes en Chine—qu'elle vende des voitures, du stockage en cloud ou des baskets—se heurte au même mur CSL–DSL–PIPL qui garde Facebook et X à l'extérieur.

Les fabricants d'automobiles y font face de manière directe. Les voitures connectées de Tesla, BMW et d'autres doivent stocker les données de télémétrie et de cartographie à bord sur le territoire national, avec des exportations considérées comme des « données importantes » liées à la sécurité nationale. Plusieurs marques ont discrètement désactivé les fonctionnalités avancées d'assistance à la conduite ou la cartographie haute résolution pour les flottes d'essai jusqu'à ce que les régulateurs valident leurs centres de données locaux.

Les entreprises de fabrication et de logistique rencontrent des obstacles similaires. Les capteurs IoT des usines, les journaux de maintenance et les tableaux de bord de la chaîne d'approvisionnement peuvent révéler des informations sur des infrastructures critiques ou des flux de ressources. Les entreprises qui auparavant centralisaient tout dans une instance SAP ou Oracle mondiale décomposent désormais leurs systèmes : un environnement uniquement pour la Chine, un pour le reste du monde, ainsi qu'une équipe de conformité opérant sous les directives du CAC.

La finance et le commerce de détail ne sont pas épargnés non plus. Les banques et les fournisseurs de paiement doivent conserver les données de transaction et les informations personnelles détaillées en Chine, avec des transferts transfrontaliers pour la détection de fraudes ou les modèles de risque soumis à des évaluations de sécurité ou à des contrats standards. Les détaillants mondiaux disposant de systèmes de CRM unifiés doivent segmenter les profils clients chinois et les analyses marketing en groupes distincts, hébergés localement.

L'accord d'Apple avec iCloud montre jusqu'où cela peut aller. Pour les utilisateurs chinois du continent, Apple s'associe à Guizhou-Cloud Big Data (GCBD), une entreprise soutenue par l'État qui gère le centre de données et possède techniquement la licence du service iCloud. Les clés de cryptage pour cette région se trouvent en Chine, sous la juridiction chinoise, et non dans l'infrastructure habituelle de gestion des clés d'Apple aux États-Unis.

Les services d'IA sont désormais dans le viseur. Les régulateurs examinent à la fois les ensembles de données utilisés pour former les modèles et les requêtes, conversations et images générées par ces modèles. Les fournisseurs étrangers proposant des modèles de base ou des API en Chine doivent prouver que les corpus d'entraînement, les données de perfectionnement et les journaux d'inférence restent soit sur le territoire, soit passent l'examen transfrontalier du CAC. Pour une analyse plus approfondie de ce labyrinthe de souveraineté des données, Qu'est-ce que la localisation des données en Chine ? – Chinafy décrit comment ces règles s'appliquent dans différents secteurs.

Les frontières découpent désormais les données, et pas seulement les cartes. La souveraineté des données a remplacé le fantasme du web d’autrefois d’un réseau unique et sans frontières, et le mur de données de Pékin est simplement la version la plus explicite d'une tendance mondiale. Les États ne considèrent plus les données des utilisateurs comme des déchets ; ils les traitent comme une infrastructure, au même titre que les ports et les réseaux électriques.

Les CSL, DSL et PIPL de la Chine intègrent cette logique dans la loi, mais Bruxelles et Washington ne sont pas en reste. Le RGPD, la Loi sur les données et la Loi sur la gouvernance des données de l'UE affirment que les données européennes doivent suivre des règles européennes, peu importe où se trouvent les serveurs. Les États-Unis s'appuient sur le CFIUS, les contrôles à l'exportation et les projets de loi TikTok pour maintenir les ensembles de données « stratégiques » sous juridiction américaine.

Parler d'un futur "Splinternet" semble maintenant désuet car la fragmentation existe déjà. On peut l'observer en trois blocs aux paramètres par défaut incompatibles : - Une sphère américaine centrée sur les plateformes corporatives et l'examen de la sécurité nationale - Une sphère européenne axée sur les droits fondamentaux et le processus réglementaire - Une sphère chinoise fondée sur le contrôle du parti et le maximalisme en matière de sécurité

Les transferts de données transfrontaliers existent toujours, mais ils passent par des points de blocage bureaucratiques étroits. Les évaluations de sécurité de la CAC, les clauses contractuelles types de l'UE et les règles américaines sur le cloud computing agissent tous comme des valves sur le même tuyau mondial. Les entreprises qui auparavant concevaient pour la rapidité et la redondance conçoivent désormais pour le confinement juridictionnel.

Comprendre ces murs de données se trouve désormais dans le dossier critique des PDG technologiques, des décideurs politiques et même des utilisateurs d'applications. Un responsable produit qui décide où enregistrer la télémétrie, un régulateur qui rédige des règles sur l'IA, et un adolescent se demandant pourquoi il ne peut pas télécharger une application à Shanghai se heurtent tous à la même frontière invisible. La localisation des données, les mandats de conservation et l'accès aux audits façonnent tout, du ciblage publicitaire au chiffrement de bout en bout.

La lutte pour l'internet du XXIe siècle ne se concentre plus sur ce que vous pouvez dire en ligne. Elle se concentre sur l'emplacement des fichiers journaux, qui peut les saisir, et quelle agence de sécurité peut couper le contact. La parole reste importante, mais les serveurs et la souveraineté décident désormais qui a le droit de s'exprimer.

Quelle est la politique de localisation des données en Chine ?

Cela exige des entreprises, en particulier des Opérateurs d'Infrastructure d'Information Critique (OIIC), de stocker les données personnelles et les "données importantes" collectées en Chine sur des serveurs locaux, soumis aux lois chinoises et aux examens de sécurité.

Pourquoi Facebook et Twitter ne sont-ils pas vraiment présents en Chine ?

Au-delà de la censure, la raison fondamentale est l'exigence de construire des centres de données locaux et de soumettre les données des utilisateurs ainsi que les opérations de la plateforme à la juridiction et à la supervision de la sécurité du gouvernement chinois, un défi structurel et de sécurité fondamental.

Qu'est-ce que la PIPL de la Chine ?

La Loi sur la protection des informations personnelles (PIPL) est la législation chinoise complète sur la confidentialité des données, similaire au RGPD en Europe. Elle impose des règles strictes et des amendes sévères pour le traitement des données personnelles des individus en Chine, en particulier pour les transferts transfrontaliers.

Comment l'approche des États-Unis envers TikTok est-elle similaire à celle de la politique chinoise ?

Les exigences des États-Unis pour que TikTok stocke les données des utilisateurs américains localement sous la surveillance des États-Unis (comme le Projet Texas) reflètent la logique chinoise de la 'souveraineté des données', où la sécurité nationale est utilisée pour justifier le contrôle sur les plateformes numériques et les données des citoyens.