Les sociétés financières sont aux prises avec les lois chinoises strictes sur les données

Si c'est le siècle asiatique, pour les institutions financières, il devient le siècle de la réglementation asiatique de la protection des données. S'il existe un obstacle majeur à la mise en œuvre de stratégies numériques, c'est la mosaïque de marchés et de règles régissant les données dans cette région.

La Chine n'est pas la seule à ériger davantage de barrières et de règles destinées à conserver les données dans le pays. Mais son approche est la plus radicale. Et en tant que deuxième économie mondiale, elle est trop grande pour être ignorée.

Les banques et les gestionnaires d'actifs sont aux prises avec les règles de souveraineté des données. Pour l'industrie dans son ensemble, la situation est susceptible de devenir plus difficile, et non plus facile, et cela réduira la capacité des entreprises à se développer ou à servir leurs clients comme elles le souhaitent.

Leur meilleure réponse consiste à engager divers régulateurs, à déterminer ce qui est prioritaire ou essentiel en matière de partage et de protection des données, et à trouver un terrain d'entente, aussi étroit soit-il.

La fragmentation des lois sur les données

La réglementation sur les données a occupé le devant de la scène lors d'une récente conférence organisée par l'Asia Securities and Investments and Financial Markets Association (ASIFMA). Le message : il n’existe pas de solution simple à ce problème.

L'industrie espérait initialement que des cadres internationaux pour la confidentialité des données régiraient les flux transfrontaliers.

Ces normes ont toutefois été élaborées par des institutions occidentales ou de pays riches telles que l'OCDE. Les gouvernements asiatiques et des marchés émergents en sont venus à sentir qu'ils étaient exploités, les données brutes quittant leurs frontières pour les serveurs du monde développé, où elles seraient traitées, enrichies et valorisées.

Les régulateurs de nombreux pays ont commencé à rédiger leurs propres règles.

"Cela a fait de la confidentialité des données et des données transfrontalières un risque clé pour les institutions financières", a déclaré Tauseef Hussain, directeur de la conformité mondiale et des risques opérationnels chez Bank of America à Singapour.

Ce n’est que la première phase de cette tendance, pas la conclusion. Les régulateurs continuent de modifier leurs règles pour élargir leur portée et renforcer leur application.

Les défis à l'échelle de la région augmentent

Les institutions mondiales ont du mal à suivre. Les définitions des données personnelles sont désormais omniprésentes, ce qui rend difficile la création d'un environnement de contrôle évolutif pour la confidentialité. La conformité devient de plus en plus chère.

Au-delà de la conformité, les entreprises qui s'appuient sur des modèles centrés sur le cloud développés aux États-Unis et en Europe suivent un modèle économique dans lequel les données sont collectées, traitées et conservées à différents endroits. Ce modèle ne fonctionne plus sur un nombre croissant de marchés, ce qui signifie que les opérations des entreprises deviennent également plus coûteuses.

Certains marchés émergents tels que la Malaisie n'avaient pas la capacité de gérer correctement les contrôles des données des entreprises, ils ont donc promulgué des lois très restrictives, exigeant que toute délocalisation soit approuvée par les autorités au cas par cas. Ces régimes pourraient progressivement évoluer vers une approche davantage fondée sur des règles, mais personne ne sait quand.

Les entreprises mondiales pourraient se permettre de traiter les exceptions à l’échelle de la Malaisie avec des solutions locales, car il s’agit de petits marchés. Mais ensuite de grands pays comme l’Inde ont emboîté le pas. Non seulement ces pays adoptent des règles générales, mais ils le font sans directives détaillées sur la manière dont les entreprises doivent les mettre en œuvre – une autre source de confusion pour les entreprises mondiales.

Aujourd’hui, même des centres financiers comme Hong Kong et Singapour – le genre d’endroits qui s’inscriraient normalement parfaitement dans les normes mondiales – soit érigent leurs propres règles de souveraineté des données, soit les étudient.

Les entreprises s'efforcent de montrer aux régulateurs qu'elles prennent au sérieux les préoccupations liées aux données et expliquent dans quelles circonstances il est essentiel pour elles de délocaliser les données. L'argument le plus important est que les entreprises mondiales doivent rendre compte des données locales à leurs régulateurs nationaux.

"Vous pouvez montrer comment les données exportées améliorent la conformité et la gestion des risques de l'entreprise, et aident donc le régulateur local", a conseillé Hussain.

Les règles expansives de la Chine

Nulle part cette ligne de raisonnement n'est plus importante – et plus difficile à faire passer – qu'en Chine.

Eugenie Shen, directrice générale et responsable du groupe de gestion d'actifs chez ASIFMA à Hong Kong, déclare que depuis 2016, Pékin a publié une série de lois de plus en plus difficiles : lois sur la cybersécurité, lois sur la sécurité des données et cette année, lois sur la confidentialité. Celles-ci couvrent toute information sous forme électronique ou autre.

« Nous parlons d'un vaste univers », a-t-elle déclaré lors de l'événement ASIFMA.

Cela crée des problèmes pour les maisons de fonds mondiales opérant en Chine continentale, gérant des portefeuilles locaux et gérant l'argent des clients locaux.

Les entreprises mondiales dans une impasse

Leur siège social dans leur pays d'origine s'attend généralement à ce que les filiales fournissent de nombreuses données concernant les activités locales : procès-verbaux des réunions du conseil d'administration, rapports de gestion, informations financières et comptables, rapports de conformité et informations personnelles des clients.

Les gestionnaires d'actifs mondiaux et leurs filiales doivent montrer à leurs propres régulateurs qu'ils agissent dans l'intérêt de leurs clients et respectent les contrôles KYC et anti-blanchiment d'argent.

---

---

Les équipes d'investissement mondiales voudront également des informations sur les sociétés cotées dans leurs portefeuilles - d'une part, elles doivent savoir si leurs niveaux de propriété pourraient déclencher des exigences de divulgation.

En Chine, dit Shen, les gestionnaires d'actifs ne peuvent pas partager les informations sur les clients avec leur siège. Même les rapports des analystes de recherche, souvent basés sur des informations accessibles au public, ne peuvent pas être envoyés aux PM à l'étranger. "On craint que le partage de ces informations avec des entités offshore ne porte atteinte à l'intérêt public ou à la sécurité nationale", a déclaré Shen.

Cela met les entreprises mondiales dans une impasse, car la divulgation de ces informations à leurs propres actionnaires est généralement requise par la loi des pays occidentaux, comme la loi américaine sur les sociétés holding bancaires ou les règles fiscales.

L'approche publique chinoise des données

Xun Yang, associé chez Llinks Law China à Shanghai, déclare qu'à première vue, les règles chinoises en matière de données ressemblent aux réglementations occidentales en matière de confidentialité. Mais les autorités chinoises placent la vie privée dans le contexte de l'intérêt public et de la stabilité du marché.

Les entreprises mondiales sont confrontées à deux ensembles de réglementations sur les données en Chine. Premièrement, la protection personnelle.

En Occident, le consentement d'un consommateur ou d'un client suffit pour partager ses données. Ce n'est pas le cas en Chine, qui dit qu'il y a une dimension publique à l'exportation de telles données en masse.

Le deuxième ensemble de règles concerne la manière dont les régulateurs financiers chinois supervisent les données personnelles et transactionnelles, qui ne peuvent pas être divulguées car elles pourraient donner trop d'informations aux gouvernements étrangers et aux multinationales. Pékin ne fait pas confiance à l'idée d'une séparation juridique ou fiduciaire des intérêts. (Il n'est peut-être pas utile que les Occidentaux les appellent des « murailles de Chine ».)

Beaucoup de Chines

Cette situation est compliquée par la diversité des régulateurs chinois. Les services financiers ont plusieurs régulateurs au niveau national. Mais les gouvernements provinciaux et municipaux ont aussi leur mot à dire.

"Il y a peu de détails sur la mise en œuvre, pas de calendrier et des points de vue différents parmi les régulateurs locaux", a déclaré James Zhang, associé pour les services financiers chez KPMG.

Par conséquent, les régulateurs veulent que toutes les données soient stockées à terre. "Il n'est pas impossible d'exporter ces données, mais c'est très difficile", a déclaré Yang.

D’un autre côté, Pékin souhaite attirer les capitaux étrangers et les entreprises multinationales, et rester impliqué sur les marchés mondiaux. "Il y a donc une issue", a ajouté Yang.

Trouver un terrain d'entente

Si les banques traitent des données personnelles de détail, il y a très peu de chances que les régulateurs permettent à ces informations de voyager. Il y a une marge de manœuvre si les entreprises mondiales peuvent montrer que c'est pour des clients institutionnels ou des entreprises, surtout s'il s'agit de banques ou d'entreprises chinoises qui opèrent déjà à l'étranger. S'ils sont cotés aux États-Unis, à Hong Kong ou sur d'autres marchés, ils publient déjà de nombreuses informations dans leurs rapports annuels, ce qui peut suffire.

Les entreprises mondiales doivent également examiner les données en question et renoncer à l'habitude de simplement tout expédier à un centre de données à l'étranger. Ils devront déterminer les problèmes de conformité auxquels ils sont confrontés chez eux s'ils n'exportent pas de données locales en Chine, ce qu'ils peuvent se permettre de conserver à terre, ce qui est susceptible d'être considéré comme le plus sensible pour les régulateurs et ce qu'ils pensent pouvoir gagner grâce au lobbying.

Ils doivent également convaincre les autorités que les contrôles de l'entreprise sont solides, qu'elle respecte les lois chinoises et qu'elle a mis en place un processus pour gérer les piratages ou les fuites de données.

"Les régulateurs tiendront compte de la nature de la contrepartie", a déclaré Zhang de KPMG, ce qui donne aux entreprises une chance de défendre leur cause. "La Chine n'essaie pas de se dissocier du monde, donc je pense que nous verrons des changements. Mais c'est une situation douloureuse pour l'instant.

Faire valoir ses arguments auprès des régulateurs

Yang de Llinks Law affirme que les régulateurs chinois accueillent favorablement les entreprises qui demandent des éclaircissements. Ils comprennent que leurs règles sont très variées et sont ouverts aux résultats pratiques. Les régulateurs ne peuvent pas accorder d’exemption générale à la délocalisation de données, mais ils peuvent travailler avec les entreprises pour trouver un moyen de les aider à se conformer sur leurs marchés nationaux.

Shen de l'ASIFMA a déclaré : « J'explique aux régulateurs [chinois] pourquoi nous avons besoin de certaines informations. Si je n'obtiens pas l'information, j'enfreins les lois étrangères. J'explique donc quelles sont ces lois. Il s'agit de trouver un équilibre. » Elle a ajouté que les règles chinoises reconnaissent les données jugées critiques, donc ce n'est pas une taille unique. Les régulateurs n'ont pas encore publié de détails sur la façon dont ils classent les données, mais au fil du temps, ces détails aideront les entreprises financières à déterminer quelles données elles peuvent essayer d'obtenir exemptées.

"Nous essayons de combler le fossé", a déclaré Shen. "J'espère qu'un jour nous pourrons avoir des tables rondes avec les autorités chinoises pour une discussion ouverte."