Le principal régulateur internet de Chine vient d'établir de nouvelles règles concernant la manière dont les entreprises financières doivent trier, étiqueter et protéger les données. Les directives, publiées le 13 juin par l'Administration nationale du cyberspace (CAC), constituent la dernière pierre du mur croissant de réglementations en matière de cybersécurité à Pékin.
Le cadre se concentre sur l'évaluation et la classification des données au sein du secteur des services financiers. Chaque entité financière opérant en Chine dispose désormais d'instructions plus claires sur ce qui constitue des données sensibles, ce qui constitue des données très sensibles, et ce qu'elle doit faire pour chaque catégorie.
Ce que les directives exigent réellement
Les nouvelles règles se concentrent sur la manière dont les institutions financières catégorisent les informations, en mettant particulièrement l'accent sur l'identification des données que les régulateurs appellent « données importantes ». Ce terme a une portée juridique dans l'écosystème réglementaire chinois, déclenchant des obligations de conformité spécifiques en matière de stockage, de traitement et surtout de transferts transfrontaliers.
Les fournisseurs de services d'informations financières, y compris les plateformes qui diffusent des données et des analyses de marché, entrent pleinement dans le champ d'application.
Les lignes directrices renforcent la conformité avec les trois piliers de la législation chinoise sur les données : la Loi sur la cybersécurité, la Loi sur la sécurité des données et la Loi sur la protection des informations personnelles.
Les transferts transfrontaliers de données reçoivent une attention particulière. Les régulateurs ont clairement indiqué que le partage de données financières critiques hors des frontières chinoises nécessite une navigation prudente, la sécurité nationale et la protection des consommateurs étant citées comme préoccupations principales.
Une pile réglementaire qui s’est accumulée pendant des années
L'Autorité nationale de régulation financière (NFRA) a introduit des règles sur les données bancaires et d'assurance en décembre 2024. Ces règles établissent des exigences spécifiques au secteur pour la manière dont les institutions financières traditionnelles gèrent les données clients et opérationnelles.
La Banque populaire de Chine (PBOC) est entrée en scène avec ses propres mesures de sécurité des données, qui entreront en vigueur le 30 juin 2025.
D'ici le 24 janvier 2026, le CAC avait déjà diffusé un projet ciblant spécifiquement les fournisseurs de services d'informations financières. Ce projet établissait des règles pour classer les données selon leur niveau de risque, indiquant que les lignes directrices finales publiées en juin étaient en préparation.
Ce qui est notoirement absent, et ce que cela signifie pour les investisseurs
Les directives ne mentionnent pas spécifiquement les jetons crypto ou les actifs numériques. Cette omission suggère que Pékin continue de traiter les services financiers traditionnels et les actifs numériques comme des domaines réglementaires distincts. Le cadre de classification des données s'applique aux banques, aux assureurs, aux fournisseurs de données de marché et aux entités similaires.
Pour les entreprises financières traditionnelles, la charge de conformité est réelle et croissante. Les entreprises étrangères opérant en Chine font face à des défis particuliers, car les restrictions sur le transfert transfrontalier de données pourraient compliquer tout, depuis les rapports routiniers vers les sociétés mères jusqu'au partage d'analyses avec les équipes mondiales.
La couche réglementaire, les règles de la NFRA, les mesures de la PBOC et désormais les lignes directrices du CAC, créent une matrice de conformité complexe.