SHIELD

Déplacements

Voyager en Chine : modèle de menace honnête

Ce que la loi chinoise impose, ce qui se passe en pratique, et la préparation matérielle minimum pour un voyage professionnel.

Publié le 18 min de lecture Critique

Dernière revue:

Skyline de Shanghai la nuit

Pudong, terminal 2, file de l’immigration. Le DG d’une PME industrielle que j’accompagnais sort son iPhone pour prévenir son contact local qu’il a atterri. WhatsApp tourne dans le vide. Il bascule sur Gmail : rien. LinkedIn : rien. Son VPN d’entreprise affiche « connexion en cours » puis abandonne. Quarante minutes plus tard, dans le taxi, il m’appelle depuis le seul canal qui marche encore — l’itinérance de sa ligne française, facturée au prix fort — et me dit : « Personne ne m’avait dit que je serais sourd et muet en sortant de l’avion. » Personne, en effet. Son agence de voyage avait géré le visa. Pas le reste.

Angle de lecture

Le piège habituel

« La Chine, c’est l’étranger avec des sites bloqués. Je mets un VPNTunnel chiffré entre votre appareil et un serveur, masquant votre IP et votre trafic à votre FAI. et c’est réglé. » C’est la phrase que j’entends en réunion de préparation, neuf fois sur dix. Elle contient deux erreurs qui, combinées, transforment un déplacement banal en incident.

Première erreur : croire que votre VPN fonctionnera. Les VPN commerciaux grand public — ExpressVPN, NordVPN, Mullvad, Proton — et la quasi-totalité des passerelles d’entreprise standard sont activement filtrés. Le Great Firewall ne se contente pas de bloquer des adresses : il fait du DPIAttaque où un acteur s'interpose dans une communication entre deux parties qui se croient en direct. (inspection profonde de paquets) et reconnaît la signature des tunnels chiffrés classiques (IKEv2, OpenVPN, L2TP/IPsec) pour les couper en quelques secondes. Vous arrivez avec une solution que vous n’avez jamais testée depuis la Chine, et elle ne passe pas.

Deuxième erreur, plus grave : réduire la Chine à un problème d’accès. Le vrai sujet n’est pas ce qui est bloqué, c’est ce qui est collecté. Vous entrez dans un environnement où le trafic réseau transite par des équipements contrôlés par l’État, où l’application que tout le monde vous demande d’installer analyse le contenu de vos messages, et où le cadre légal — la PIPLRèglement européen 2016/679 sur la protection des données personnelles, applicable depuis mai 2018. entrée en vigueur en novembre 2021 — donne aux autorités des droits étendus sur les données traitées sur le territoire. Le voyageur non préparé se retrouve simultanément coupé de ses outils et exposé à un niveau de captation qu’il n’a jamais rencontré ailleurs. Le VPN, dans cette histoire, est le détail. Le sujet, c’est votre modèle de menaceCartographie des acteurs, motivations, capacités et impacts potentiels contre une cible..

Il y a une troisième couche, plus insidieuse, et c’est celle qui piège les profils techniques. Beaucoup de dirigeants partent avec l’idée que « tout chiffrer » suffit. Le chiffrement protège le contenu en transit et au repos, c’est vrai. Mais il ne protège ni les métadonnées, ni le fait même que vous communiquiez, ni l’appareil lui-même une fois qu’il est physiquement entre d’autres mains. Pire : dans un environnement de contrôle frontalierFouille des appareils électroniques aux frontières par les douanes ou la police. ou de fouille, utiliser massivement des canaux chiffrés que vous refusez d’ouvrir attire l’attention plutôt que de l’éviter. La sécurité en Chine ne se gagne pas par l’opacité maximale. Elle se gagne par la réduction de la surface : moins vous transportez, moins on peut vous prendre.

Et puis il y a le déni de réalité géopolitique. « Je vends des machines-outils, je n’intéresse personne. » Possible. Mais vos brevets, vos prix de cession, votre liste de clients, votre stratégie de pénétration du marché asiatique, eux, intéressent quelqu’un. L’espionnage économique ne cible pas que les noms qu’on lit dans la presse. Il cible la PME qui détient un savoir-faire de niche, précisément parce qu’elle ne s’en croit pas la cible et n’a donc rien préparé. La taille de votre entreprise n’est pas un bouclier. Elle est souvent ce qui rend la captation facile.

Ce que la loi impose, ce qui se passe en pratique

Distinguons deux plans, parce qu’on les confond en permanence : le droit écrit et la réalité opérationnelle.

Sur le plan légal, la PIPL et la loi sur la cybersécurité de 2017 imposent aux opérateurs chinois de stocker certaines données sur le territoire et de coopérer avec les demandes des autorités. La loi sur le renseignement national de 2017 va plus loin : son article 7 oblige « toute organisation et tout citoyen » à soutenir et coopérer avec le travail de renseignement de l’État. Traduction concrète : un opérateur télécom, un hôtelier, un éditeur d’application n’a pas le droit de refuser une demande des services. Ce n’est pas de la théorie du complot, c’est le texte. Quand vous achetez une SIM locale, votre passeport est scanné et la carte est liée à votre identité — c’est une obligation légale, pas un zèle de boutiquier.

Il faut bien comprendre ce que la PIPL change, parce qu’on la présente souvent à tort comme « le RGPD chinois ». Sur la forme, elle lui ressemble : consentement, finalité, droits des personnes. Sur le fond, elle s’en distingue radicalement par un point que les juristes d’entreprise négligent : les exemptions au profit de l’État. Là où le RGPD encadre l’accès des autorités, la PIPL le facilite. Les données traitées sur le sol chinois sont accessibles aux autorités dans un cadre que vous ne contrôlez pas et que vous ne pouvez pas contester depuis l’étranger. Et la loi prévoit des restrictions sur les transferts sortants de données : exporter hors de Chine des données collectées localement peut nécessiter une évaluation de sécurité. Pour une entreprise qui opère sur place, c’est un sujet de conformité à part entière. Pour le voyageur, la conséquence est plus simple : ce qui entre en Chine entre dans une juridiction où vos garanties habituelles ne tiennent plus.

Sur le plan frontalier, le pouvoir des agents est large et discrétionnaire. La fouille des appareils électroniques à l’entrée est documentée — particulièrement pour les voyageurs arrivant de certaines régions ou présentant certains profils. L’installation forcée d’applications de contrôle a été rapportée à des points de passage terrestres, notamment au Xinjiang. La divulgation forcéeObligation légale de fournir des mots de passe ou déchiffrer des appareils sous menace de sanction. des mots de passe n’est pas encadrée comme elle peut l’être dans une démocratie : il n’existe pas de protection robuste contre l’auto-incrimination opposable à un agent de sécurité d’État. Refuser, c’est risquer la confiscation, l’interrogatoire prolongé, voire le refus d’entrée. C’est précisément pourquoi la doctrine de l’appareil propre n’est pas un luxe paranoïaque mais la réponse rationnelle : on ne négocie pas un mot de passe sous contrainte si l’appareil ne contient rien.

Sur le plan pratique, voici ce qui se passe vraiment. Le Great Firewall bloque en permanence l’intégralité du portefeuille Google (Search, Gmail, Maps, Drive, Meet, YouTube, Play Store), WhatsApp, SignalMessagerie open-source à E2EE par défaut, opérée par la Signal Foundation., Telegram, Facebook, Instagram, X, LinkedIn, Dropbox, OneDrive, et la plupart des sites de presse étrangers. Slack passe par intermittence. À l’inverse, WeChat devient indispensable : c’est le téléphone, la messagerie, le paiement, le QR code d’entrée au restaurant. Or les recherches du Citizen LabDiscipline qui analyse les traces numériques après un incident pour reconstituer ce qui s'est passé. ont documenté de façon répétée que WeChat analyse le contenu des messages — y compris des comptes étrangers — pour détecter les termes sensibles, et que cette surveillance alimente le filtrage côté serveur. Vous n’êtes pas dans une messagerie privée. Vous êtes dans un canal observé par construction.

Les métadonnéesDonnées sur les données : qui a écrit quoi, quand, où, à qui., elles, sont collectées en continu et sans exception : qui vous appelez, quand, depuis quelle antenne, combien de temps. Pour un ressortissant étranger en déplacement, ce niveau de captation passive est l’état de base, pas un risque hypothétique. Et pour les profils exposés — journaliste, avocat sur un dossier impliquant des actifs chinois, dirigeant avec des intérêts économiques significatifs, chercheur sur un sujet sensible — on bascule de la collecte passive au ciblage actif : tentatives d’intrusion sur les appareils, faux points d’accès Wi-Fi, applications légitimes modifiées, surveillance physique.

Détaillons les vecteurs, parce que « surveillance » reste un mot vague tant qu’on ne le décompose pas. Le premier vecteur, c’est le réseau : tout ce qui transite en clair sur le Wi-Fi d’un hôtel, d’un café ou d’un centre de conférences doit être considéré comme lu. Les hôtels sont légalement tenus d’enregistrer leurs clients étrangers auprès de la police et de coopérer avec les demandes de sécurité ; supposer que leur réseau est neutre n’a aucun sens. Le deuxième vecteur, c’est l’application : les apps locales réclament des permissions très larges — contacts, localisation précise, micro, caméra, fichiers — non par négligence de développement, mais parce que c’est l’architecture attendue. WeChat n’est pas une messagerie qui aurait un problème de confidentialité ; c’est une infrastructure de surveillance qui rend aussi service de messagerie. Le troisième vecteur, c’est l’accès physique : un appareil laissé sans surveillance, même quelques minutes, dans un coffre d’hôtel, sur une table de réunion, dans une voiture, est un appareil exposé au clonage ou à l’implantation. Le quatrième, réservé aux profils les plus exposés, c’est le ciblage logiciel ciblé : le Citizen Lab a documenté des cas de journalistes et de militants dont les appareils ont été compromis par des malwares distribués via des canaux locaux légitimes. Pour ces profils, un appareil propre n’est pas une recommandation, c’est un prérequis.

Ce qui rend tout cela difficile à intégrer pour un dirigeant français, c’est l’absence de signal. En France, une intrusion laisse des traces, déclenche des alertes, ouvre un recours. En Chine, la captation est silencieuse, légale, et sans contre-pouvoir accessible. Vous ne saurez pas qu’on vous a lu. Vous ne le saurez jamais. C’est exactement pour cette raison que la préparation doit être a priori : il n’y a pas de remédiation a posteriori possible quand on ignore même qu’il s’est passé quelque chose.

Le bon design : entrer propre

La bascule mentale tient en une phrase : on ne sécurise pas un appareil chargé de données en Chine, on entre avec un appareil qui n’a rien à protéger. C’est plus simple, plus robuste, et ça ne dépend pas du fait que tel ou tel VPN passe ce mois-ci.

Concrètement, la règle de base pour tout déplacement professionnel : entrer avec un appareil qui n’a aucun accès à vos données de production. Un téléphone de voyage avec une eSIMCarte SIM intégrée et reprogrammable, supportant plusieurs profils opérateurs. internationale préachetée — pas une SIM locale liée à votre passeport — et un laptop de voyage dédié, provisionné pour la mission, vide de tout ce qui n’est pas strictement nécessaire sur place. Si l’appareil ne contient rien de sensible, ni la frontière, ni le coffre d’hôtel, ni l’analyse forensique au retour ne peuvent rien en extraire. C’est la même logique que pour les fouilles aux frontièresFouille des appareils électroniques aux frontières par les douanes ou la police. : la meilleure protection contre la saisie d’un secret, c’est de ne pas transporter le secret.

« Appareil propre » ne veut pas dire « vieux téléphone qui traîne dans un tiroir ». Un appareil propre se provisionne : système réinstallé à neuf, comptes de voyage dédiés et non rattachés à vos identités principales, strict minimum d’applications, et accès aux documents de mission via cloud après le passage de la frontière plutôt qu’en stockage local. Pour un dirigeant, le réflexe inverse — « je prends mon laptop habituel et j’efface deux-trois dossiers » — est l’erreur classique : les données effacées sont récupérables, les caches d’applications regorgent d’informations, et un trousseau de mots de passe synchronisé donne accès à tout le reste. Vous n’allégez pas un appareil de production, vous en montez un autre. Pour les déplacements les plus exposés, certains poussent jusqu’au téléphone jetable (burner phoneTéléphone prépayé jetable utilisé pour un objectif ponctuel, puis abandonné.) reconfiguré ou détruit au retour, et à l’isolationIsolation physique : pas de connexion réseau entre un système et le reste de l'infrastructure. totale des documents les plus sensibles, qui ne traversent simplement jamais la frontière.

Le VPN reste utile, mais comme outil de confort et de connectivité, pas comme bouclier. Et il se teste avant le départ, depuis la Chine ou via un serveur sur place, jamais depuis Paris. Les protocoles obfusqués (Shadowsocks, V2Ray, Trojan) résistent mieux au filtrage que les VPN standards — c’est ce qu’utilisent les filiales d’entreprises étrangères installées sur place. Leur statut légal pour un étranger de passage est une zone grise (les VPN non autorisés sont techniquement illégaux), mais les poursuites contre un voyageur d’affaires sont rares. Point capital : le VPN doit être armé avant de franchir la frontière. Une fois sur le territoire, télécharger ou configurer une solution de contournement devient nettement plus difficile, l’accès aux stores étrangers étant lui-même bloqué.

Enfin, le comportement sur place compte autant que le matériel. Ne discutez jamais d’affaires confidentielles via WeChat, même avec un partenaire de confiance. Les réunions sensibles se tiennent dehors, dans un espace ouvert et bruyant, pas dans une salle de conférence d’hôtel ni dans des bureaux que vous ne contrôlez pas — c’est le standard des diplomates et des correspondants étrangers depuis des décennies. Et l’appareil ne quitte jamais votre poche pendant une réunion : pas posé sur la table pendant que vous allez chercher un café.

Paiement et communication : la double contrainte

Le paiement est le piège logistique numéro un. Les cartes bancaires occidentales sont acceptées dans les grands hôtels et quelques restaurants internationaux, mais refusées dans l’immense majorité des commerces, des restaurants locaux et des transports. La norme, c’est le QR code : WeChat Pay ou Alipay. Depuis 2023, ces deux services acceptent l’enregistrement de cartes étrangères (Visa, Mastercard), ce qui a beaucoup simplifié la vie du voyageur — mais cela signifie aussi lier une carte à un compte hébergé sur une infrastructure soumise à la PIPL. La bonne pratique : un compte dédié au voyage, approvisionné juste pour la durée du séjour, jamais votre compte personnel principal rattaché à toute votre vie numérique. Vous limitez ainsi ce qui est exposé à la durée et au périmètre du déplacement.

La communication suit la même logique de compartimentation. Pour joindre vos partenaires locaux, WeChat est incontournable — donc compte dédié, contenu anodin. Pour vos échanges sensibles avec votre équipe en France, vous passez par SignalMessagerie open-source à E2EE par défaut, opérée par la Signal Foundation. ou un canal chiffré de bout en boutChiffrement de bout en bout : seuls l'émetteur et le destinataire peuvent lire le contenu. via votre VPN obfusqué, en sachant que ces applications sont elles-mêmes bloquées sans tunnel. Et pour le vraiment confidentiel — une négociation en cours, un prix de cession — rien d’écrit, rien de stocké localement : un appel vocal chiffré, ou mieux, ça attend votre retour. La règle qui résume tout : sur le territoire, vous traitez chaque canal comme s’il était public, et vous organisez vos secrets pour qu’aucun canal n’en porte.

Ce que ça implique concrètement

Pour vous, en tant que personne

  1. Téléphone de voyage avec eSIM, pas votre quotidien — Achetez une eSIMCarte SIM intégrée et reprogrammable, supportant plusieurs profils opérateurs. internationale avant le départ (Airalo, Holafly, une trentaine d’euros pour deux semaines). Elle route souvent le trafic hors du Great Firewall, et surtout elle n’est pas liée à votre passeport comme une SIM locale. Idéalement, un second téléphone bon marché plutôt que votre appareil principal bourré de comptes.
  2. Compte WeChat dédié à la Chine — Créez un compte WeChat distinct, non rattaché à votre identité complète ni à vos contacts professionnels permanents. Pareil pour Alipay : un compte voyage approvisionné juste pour la durée du séjour. Vous installez ces apps, et les apps locales type DiDi (taxi) ou Meituan (restauration), uniquement sur le téléphone de voyage — jamais sur votre appareil principal.
  3. VPN obfusqué installé et testé avant l’embarquement — Mettez en place une solution obfusquée (Outline, qui est du Shadowsocks clés en main, ou un serveur V2Ray) et vérifiez qu’elle se connecte depuis la Chine, en demandant à un contact sur place de tester le même accès. Coût : un petit VPS à quelques euros par mois. Une fois sur le territoire, il sera trop tard pour bricoler.

Pour vous, RSSI / DSI / dirigeant

1. La PIPL fait de la Chine une juridiction à part dans votre politique de voyage. La loi de protection des données personnelles de 2021, couplée à la loi sur le renseignement de 2017, donne aux autorités des droits étendus sur tout ce qui est traité sur le territoire — et oblige les acteurs locaux à coopérer. Conséquence directe : vous ne pouvez pas appliquer à la Chine la même politique de compartimentationSéparer ses identités par usage (civil, pro public, pro sensible, opérationnel) pour limiter la propagation des fuites. qu’à un déplacement intra-UE. Il faut une clause dédiée, écrite, qui définit explicitement ce qui n’a pas le droit d’entrer sur le territoire.

2. L’appareil de retour est un appareil suspect jusqu’à preuve du contraire. Tout matériel ayant transité par la Chine (ou la Russie) doit être traité comme potentiellement compromis. Conséquence directe : interdiction de reconnecter directement au réseau d’entreprise, ré-image systématique du laptop de voyage, et procédure de retour de missionProcessus structuré de gestion d'un incident de sécurité : détection, containment, eradication, recovery. documentée — pas un « ça va, je l’ai gardé sur moi ».

3. Le brief n’est pas optionnel pour les profils exposés. Un négociateur sur un dossier sino-européen, un dirigeant avec des actifs significatifs, un chercheur sensible : ces profils passent du risque diffus au ciblage actif. Conséquence directe : brief sécurité avec un intervenant connaissant le contexte chinois avant le départ, appareil provisionné propre, et aucun stockage local de données sensibles pendant le séjour — l’accès se fait via cloud après la frontière, sur connexion maîtrisée.

Pour vous, dirigeant

Le DSI va vous préparer un appareil, configurer un VPN, vous remettre une fiche. C’est son métier, laissez-le faire. Mais trois décisions ne sont pas les siennes. Elles sont les vôtres, parce qu’elles engagent un risque que vous seul pouvez accepter.

Qu’est-ce que j’emporte. Pas vos appareils habituels. Pas votre téléphone bourré de dix ans d’historique, pas le laptop sur lequel vit toute votre vie professionnelle. Un matériel dédié, préparé vierge pour ce voyage, qui ne contient que ce dont vous avez besoin sur place. La règle est simple : ce qui ne franchit pas la frontière ne peut pas vous être pris.

Qu’est-ce que je laisse. Tout ce qui a de la valeur. Et plus que les documents, vos historiques de communication. Vos fils de discussion avec votre comité de direction, vos échanges sur le dossier en cours, vos messages avec vos avocats. C’est là qu’est l’information stratégique, pas dans une présentation PowerPoint. Un historique de messagerie en dit plus sur votre stratégie qu’un classeur de contrats.

Qu’est-ce que j’accepte de perdre. Posez-vous la question avant de partir, pas dans l’avion. Si on vous prend vos appareils à la frontière, ou si on vous demande de les déverrouiller, qu’est-ce qui se passe ? Si la réponse est « rien de grave, l’appareil est vide », vous avez bien préparé. Si la réponse vous noue le ventre, vous avez emporté la mauvaise chose.

Le DSI prépare le matériel. Le dirigeant décide du risque. Ne déléguez pas ces trois arbitrages : ils ne sont pas techniques, ils sont à vous.

Erreurs qu’on voit tout le temps

  • Tester son VPN depuis Paris. Il fonctionne parfaitement à Paris. C’est exactement pour ça que le test ne prouve rien. Le seul test valable est depuis la Chine.
  • Partir avec son téléphone et son laptop habituels « parce que ce n’est qu’une semaine ». La durée du séjour ne change rien à la captation. Dix minutes d’accès physique au coffre suffisent.
  • Acheter une SIM locale par commodité. Passeport scanné, ligne liée à votre identité, et trafic dans le périmètre du Great Firewall. L’eSIM préachetée évite les trois.
  • Discuter d’un dossier sensible sur WeChat « parce que l’interlocuteur est de confiance ». La confiance de l’interlocuteur n’a aucun rapport : c’est le canal qui est observé, pas la personne.
  • Reconnecter l’appareil de retour au VPN d’entreprise dès l’aéroport, pour « rattraper ses mails ». C’est le moment précis où un appareil compromis contamine le réseau.
  • Croire que le RGPDRèglement européen 2016/679 sur la protection des données personnelles, applicable depuis mai 2018. vous protège là-bas. Il ne s’applique pas. C’est la PIPL qui régit le territoire, et elle joue dans l’autre sens.

Checklist actionnable

  • N1 Cartographier ce qui est bloqué (Great Firewall) avant le départ
  • N1 eSIM internationale préachetée — jamais de SIM locale avec scan passeport
  • N1 Plan de paiement validé : Alipay/WeChat Pay sur compte dédié, ou carte utilisable sur place
  • N2 VPN obfusqué (Outline/V2Ray) installé ET testé depuis la Chine avant l'embarquement
  • N2 Comptes WeChat et Alipay dédiés au voyage, non liés à l'identité principale
  • N2 Apps locales (WeChat, DiDi, Meituan) sur le téléphone de voyage uniquement
  • N2 Aucune discussion d'affaires confidentielle via WeChat
  • N2 Réunions sensibles tenues à l'extérieur, jamais en chambre ni salle de conf
  • N3 Laptop de voyage dédié, provisionné propre, sans données de production
  • N3 Données sensibles en cloud post-frontière, jamais en stockage local sur place
  • N3 Brief sécurité spécifique Chine pour tout profil exposé avant le départ
  • N3 Ré-image systématique au retour, aucune reconnexion directe au réseau d'entreprise

Pour aller plus loin

Le Citizen Lab documente depuis des années la surveillance de WeChat et le ciblage des journalistes et militants — c’est la source de référence pour comprendre les vecteurs concrets, au-delà des généralités. Le texte de la PIPL traduit par DigiChina (Stanford) permet de lire le droit plutôt que de le supposer. GreatFire suit en temps réel l’état du filtrage, utile pour vérifier ce qui passe avant de partir. Enfin, le passeport de conseils aux voyageurs de l’ANSSI cadre la doctrine « appareil propre » qui sous-tend tout cet article. Pour le volet matériel et le retour, voyez aussi nos articles sur le laptop de voyage, l’eSIM et le passage des frontières.

Sources et lectures complémentaires

Articles liés