Sources chinoises, le 25 juin 2026

Mesures relatives à l’évaluation des risques de sécurité des données sur le réseau

网络数据安全风险评估办法

Bureau national de l’information sur Internet (国家互联网信息办公室) Ministère de l’Industrie et des Technologies de l’information de la République populaire de Chine (中华人民共和国工业和信息化部) Ministère de la Sécurité publique de la République populaire de Chine (中华人民共和国公安部)

Ordre n° 24

Les Mesures relatives à l’évaluation des risques de sécurité des données sur le réseau (网络数据安全风险评估办法) ont été examinées et adoptées le 1er juin 2026 lors de la 12e réunion administrative de 2026 du Bureau national de l’information sur Internet (国家互联网信息办公室), puis approuvées par le ministère de l’Industrie et des Technologies de l’information de la République populaire de Chine (中华人民共和国工业和信息化部) et le ministère de la Sécurité publique de la République populaire de Chine (中华人民共和国公安部). Elles sont par les présentes publiées et entreront en vigueur le 20 août 2026.

Zhuang Rongwen (庄荣文), directeur du Bureau national de l’information sur Internet (国家互联网信息办公室) Li Lecheng (李乐成), ministre de l’Industrie et des Technologies de l’information (工业和信息化部) Wang Xiaohong (王小洪), ministre de la Sécurité publique (公安部)

18 juin 2026

Mesures relatives à l’évaluation des risques de sécurité des données sur le réseau

网络数据安全风险评估办法

Chapitre I — Dispositions générales

Article premier. Afin de réglementer les activités d’évaluation des risques de sécurité des données sur le réseau, de garantir la sécurité des données sur le réseau et de promouvoir l’utilisation légale, raisonnable et efficace des données sur le réseau, les présentes Mesures sont formulées conformément à la Loi de la République populaire de Chine sur la sécurité des données (中华人民共和国数据安全法), à la Loi de la République populaire de Chine sur la cybersécurité (中华人民共和国网络安全法), au Règlement sur la gestion de la sécurité des données sur le réseau (网络数据安全管理条例) et aux autres lois et règlements applicables.

Article 2. Les présentes Mesures s’appliquent aux activités d’évaluation des risques de sécurité des données sur le réseau conduites sur le territoire de la République populaire de Chine.

Aux fins des présentes Mesures, l’« évaluation des risques de sécurité des données sur le réseau » (ci-après l’« évaluation des risques ») désigne les activités d’identification, d’analyse et d’appréciation des risques portant sur la sécurité des données sur le réseau et des activités de traitement de ces données.

Article 3. Sous la direction du Mécanisme national de coordination en matière de sécurité des données (国家数据安全工作协调机制), l’autorité nationale compétente en matière de cyberespace (国家网信部门) établit, conjointement avec les départements compétents du Conseil des affaires d’État chargés des télécommunications, de la sécurité publique et d’autres départements concernés, un Mécanisme de travail spécial chargé de l’évaluation des risques liés à la sécurité des données sur le réseau (网络数据安全风险评估专项工作机制), chargé d’orienter et de superviser les travaux d’évaluation des risques.

Article 4. Les autorités compétentes concernées doivent, conformément au principe selon lequel l’autorité qui supervise l’activité supervise les données de cette activité et la sécurité de ces données, organiser périodiquement des évaluations des risques dans leur secteur et dans leur domaine. Selon les besoins du travail, elles procèdent à des contrôles sur les évaluations des risques conduites par les responsables du traitement de données sur le réseau qui traitent des données importantes dans leur secteur ou leur domaine (ci-après les « responsables du traitement de données importantes »). Elles transmettent, avant la fin du mois de janvier de chaque année, leur plan annuel de contrôle des évaluations des risques à l’autorité nationale compétente en matière de cyberespace (国家网信部门). Celle-ci partage ces plans, par l’intermédiaire du Mécanisme national de coordination en matière de sécurité des données (国家数据安全工作协调机制), avec les départements compétents du Conseil des affaires d’État chargés des télécommunications, de la sécurité publique, de la sécurité d’État et les autres départements concernés, et procède à leur coordination afin d’éviter les contrôles inutiles ainsi que les contrôles croisés ou répétitifs.

Les autorités compétentes concernées ne peuvent percevoir aucun frais auprès des responsables du traitement de données importantes faisant l’objet d’un contrôle.

Article 5. Les responsables du traitement de données importantes doivent procéder chaque année à une évaluation des risques.

Lorsque l’état de sécurité des données importantes connaît un changement significatif susceptible d’avoir une incidence défavorable sur la sécurité des données, une évaluation des risques doit être conduite sans délai sur la partie concernée par le changement et sur ses effets.

Les responsables du traitement de données sur le réseau qui traitent des données ordinaires (ci-après les « responsables du traitement de données ordinaires ») sont encouragés à conduire une évaluation des risques au moins une fois tous les trois ans.

Article 6. Les évaluations des risques doivent être conduites conformément aux exigences pertinentes de la Loi de la République populaire de Chine sur la sécurité des données (中华人民共和国数据安全法) et du Règlement sur la gestion de la sécurité des données sur le réseau (网络数据安全管理条例), en se référant aux normes nationales applicables à l’évaluation des risques de sécurité des données. Lorsque les autorités compétentes concernées ont adopté des dispositions particulières applicables aux évaluations des risques dans leur secteur ou leur domaine, ces dispositions prévalent.

Article 7. Les responsables du traitement de données sur le réseau peuvent conduire eux-mêmes l’évaluation des risques ou mandater un organisme tiers d’évaluation (ci-après l’« organisme d’évaluation »).

Lorsqu’un responsable du traitement de données sur le réseau conduit lui-même l’évaluation des risques, il doit désigner une personne spécialement chargée de cette mission. Lorsqu’il mandate un organisme d’évaluation, il doit définir les droits et obligations des parties par la conclusion d’un contrat ou par tout autre document ayant force juridique.

Article 8. Les organismes d’évaluation concernés sont encouragés à obtenir une certification. La certification des organismes d’évaluation est conduite conformément aux dispositions du Règlement de la République populaire de Chine sur la certification et l’accréditation (中华人民共和国认证认可条例).

Article 9. Sous la direction du Mécanisme national de coordination en matière de sécurité des données (国家数据安全工作协调机制), l’autorité nationale compétente en matière de cyberespace (国家网信部门), les départements compétents du Conseil des affaires d’État chargés des télécommunications, de la sécurité publique et les autres départements concernés favorisent activement le développement des services d’évaluation des risques de sécurité des données sur le réseau et soutiennent l’émergence d’organismes d’évaluation.

Article 10. Les organismes d’évaluation qui conduisent des évaluations des risques doivent respecter les lois et règlements, formuler leurs appréciations de risque de manière impartiale et objective, et assumer la responsabilité de l’authenticité, de la validité et de l’exhaustivité des rapports d’évaluation des risques qu’ils émettent.

Article 11. Les organismes d’évaluation ne peuvent sous-traiter à d’autres organismes la conduite des évaluations des risques.

Article 12. Un même organisme d’évaluation et ses entités affiliées ne peuvent conduire plus de trois fois consécutivement l’évaluation annuelle des risques d’un même responsable du traitement de données sur le réseau.

Article 13. Lorsqu’un organisme d’évaluation découvre, au cours de l’évaluation des risques, que des activités de traitement de données sur le réseau présentent un risque majeur pour la sécurité des données, il doit en informer sans délai le responsable du traitement de données sur le réseau.

Article 14. Les organismes d’évaluation et leur personnel doivent, conformément à la loi, préserver la confidentialité des données, secrets d’affaires, informations commerciales confidentielles et autres informations obtenues au cours de l’évaluation des risques. Ils ne peuvent les divulguer ni les fournir illégalement à autrui. À l’issue de l’évaluation des risques, ils doivent supprimer sans délai les informations concernées ou les traiter de manière appropriée conformément aux stipulations contractuelles.

Article 15. Lorsqu’ils conduisent leur évaluation annuelle des risques, les responsables du traitement de données importantes doivent établir un rapport d’évaluation des risques conformément à la loi et aux dispositions des autorités compétentes concernées. Lorsque les autorités compétentes concernées n’ont pas adopté de dispositions relatives au rapport d’évaluation des risques, celui-ci peut être établi par référence aux normes nationales applicables à l’évaluation des risques de sécurité des données. Le rapport d’évaluation des risques doit être conservé pendant au moins trois ans.

Les responsables du traitement de données ordinaires peuvent établir un rapport d’évaluation des risques en se référant aux exigences énoncées à l’alinéa précédent.

Article 16. Les responsables du traitement de données importantes doivent, dans un délai de vingt jours ouvrables à compter de l’achèvement de l’évaluation annuelle des risques, transmettre le rapport d’évaluation des risques conformément aux exigences des autorités compétentes concernées. Lorsque l’autorité compétente n’est pas clairement déterminée, le rapport est transmis à l’autorité provinciale compétente en matière de cyberespace ou à l’autorité nationale compétente en matière de cyberespace.

Les autorités compétentes concernées doivent rendre publics les canaux de transmission et les coordonnées applicables aux rapports d’évaluation des risques, recevoir sans délai les rapports transmis par les responsables du traitement de données importantes et, dans un délai de dix jours ouvrables à compter de leur réception, communiquer ces rapports à l’autorité compétente en matière de cyberespace de même niveau. L’autorité nationale compétente en matière de cyberespace agrège les rapports concernés et les partage avec les départements compétents du Conseil des affaires d’État chargés des télécommunications, de la sécurité publique, de la sécurité d’État et les autres départements concernés.

Les autorités compétentes en matière de cyberespace de niveau provincial ou supérieur, les autorités chargées des télécommunications, les organes de sécurité publique, les organes de sécurité d’État et les autres départements concernés peuvent procéder à des contrôles et vérifications portant sur l’authenticité et l’exactitude des rapports d’évaluation des risques des responsables du traitement de données importantes. Ces derniers doivent coopérer à ces contrôles et vérifications.

Article 17. Lorsque, dans le cadre de la vérification des rapports d’évaluation des risques, de la supervision ou des contrôles, les autorités compétentes en matière de cyberespace de niveau provincial ou supérieur, les autorités chargées des télécommunications, les organes de sécurité publique et les autres départements concernés constatent qu’un responsable du traitement de données sur le réseau se trouve dans l’une des situations suivantes, ils peuvent lui demander de mandater un organisme d’évaluation certifié pour conduire une évaluation des risques :

  1. les activités de traitement de données sur le réseau présentent un risque de sécurité relativement important et sont susceptibles de porter atteinte à la sécurité nationale ou à l’intérêt public ;
  2. un incident de sécurité des données sur le réseau est survenu et a entraîné la fuite, le vol ou la divulgation de données importantes ou de données personnelles à grande échelle ;
  3. toute autre situation prévue par les départements concernés.

Pour un même incident ou risque de sécurité des données sur le réseau, il ne peut être exigé à plusieurs reprises du responsable du traitement de données sur le réseau qu’il mandate un organisme d’évaluation.

Article 18. Lorsqu’un responsable du traitement de données sur le réseau mandate un organisme d’évaluation conformément aux exigences des départements concernés, il doit s’acquitter des obligations suivantes :

  1. fournir à l’organisme d’évaluation le soutien nécessaire à la conduite de l’évaluation des risques, notamment en accordant au personnel chargé de l’évaluation les droits nécessaires d’accès aux installations de données sur le réseau, aux données sur le réseau, aux systèmes et aux journaux d’opérations ;
  2. achever l’évaluation des risques dans le délai fixé ; lorsque la situation est complexe, ce délai peut être prolongé de manière appropriée après approbation des départements concernés ;
  3. après l’achèvement de l’évaluation des risques, transmettre aux départements concernés le rapport d’évaluation des risques émis par l’organisme d’évaluation ; ce rapport doit être signé par le principal responsable de l’organisme d’évaluation et par le responsable de l’évaluation des risques, et porter le sceau officiel de l’organisme ;
  4. procéder aux rectifications des problèmes découverts lors de l’évaluation des risques conformément aux exigences des départements concernés et, dans un délai de quinze jours ouvrables à compter de l’achèvement des rectifications, transmettre aux départements concernés un rapport sur la situation des rectifications.

Le responsable du traitement de données sur le réseau ne peut, de quelque manière que ce soit, exiger d’un organisme d’évaluation ni lui suggérer d’émettre un rapport d’évaluation des risques inexact ou inapproprié.

Article 19. Lorsque, dans l’organisation d’une évaluation des risques, les départements concernés constatent que les activités de traitement de données importantes d’un responsable du traitement de données importantes sont susceptibles de porter atteinte à la sécurité nationale ou à l’intérêt public, ils doivent, conformément à leurs attributions, ordonner à ce responsable de procéder à des rectifications. À l’égard d’un responsable du traitement de données importantes qui refuse de procéder aux rectifications ou qui ne satisfait pas aux exigences de rectification, ils peuvent prendre des mesures telles que l’exigence de cesser le traitement des données importantes.

Article 20. Les autorités compétentes concernées doivent renforcer le partage des informations relatives aux risques et le traitement coordonné de ceux-ci, traiter sans délai les risques et problèmes de sécurité découverts lors des évaluations des risques, et procéder aux signalements requis conformément aux dispositions applicables.

Article 21. Toute organisation ou personne a le droit de déposer une plainte ou un signalement auprès des départements concernés au sujet d’activités illicites commises dans le cadre des évaluations des risques. Les départements qui reçoivent ces plaintes ou signalements doivent les traiter sans délai conformément à la loi.

Article 22. Lorsque les autorités compétentes en matière de cyberespace de niveau provincial ou supérieur, les autorités chargées des télécommunications, les organes de sécurité publique, les organes de sécurité d’État ou les autres départements concernés constatent qu’un responsable du traitement de données sur le réseau n’a pas conduit l’évaluation des risques conformément aux dispositions applicables, ils doivent le traiter conformément à la Loi de la République populaire de Chine sur la sécurité des données (中华人民共和国数据安全法), au Règlement sur la gestion de la sécurité des données sur le réseau (网络数据安全管理条例) et aux autres lois et règlements administratifs applicables.

Lorsqu’il est constaté qu’un organisme d’évaluation a conduit une évaluation des risques en violation des présentes Mesures, les départements concernés doivent le traiter conformément à la loi.

Article 23. L’évaluation des risques des responsables du traitement de données sur le réseau qui traitent des données essentielles suit les dispositions nationales applicables.

Lorsque sont en cause des mesures techniques telles que le chiffrement de données importantes, l’évaluation de la sécurité de l’application de la cryptographie commerciale doit être conduite conformément aux exigences des lois et règlements administratifs nationaux relatifs à la cryptographie.

Article 24. Les évaluations des risques impliquant des secrets d’État ou des secrets de travail sont conduites conformément à la Loi de la République populaire de Chine sur la protection des secrets d’État (中华人民共和国保守国家秘密法), aux autres lois et règlements administratifs applicables ainsi qu’aux dispositions nationales relatives à la confidentialité.

Article 25. Les présentes Mesures entrent en vigueur le 20 août 2026.