En théorie, les entreprises internationales opérant en Chine avaient jusqu'au mercredi 1er mars pour soumettre une documentation détaillée décrivant le flux de données de leurs utilisateurs, ainsi que pour effectuer un examen de sécurité et obtenir l'approbation du gouvernement.

Mais les informations étendues requises et les allers-retours répétés sur des questions telles que la documentation ont rendu la date butoir inatteignable pour beaucoup, selon les avocats.

Dans la pratique, les entreprises doivent désormais n'avoir soumis qu'une demande contenant des documents sur les données et le flux des utilisateurs d'ici mercredi, plutôt que d'avoir effectué un examen complet de la sécurité, a déclaré Carolyn Bigg, associée du cabinet d'avocats international DLA Piper.

Les règles ont été introduites en septembre par l'Administration du cyberespace de Chine (CAC) afin de renforcer la cybersécurité et la sécurité nationale.

Elles s'appliquent aux entreprises ayant plus d'un million de citoyens chinois comme utilisateurs, à celles qui cherchent à exporter des "données importantes", à celles qui traitent les informations personnelles de plus de 100 000 personnes chinoises et à celles qui ont les données personnelles "sensibles" de plus de 10 000 personnes.

Le problème touche un large éventail d'entreprises internationales qui doivent partager des données d'utilisateurs chinois avec des bureaux à l'étranger. La rigueur avec laquelle la sécurité des données sera appliquée à l'avenir déterminera jusqu'où les entreprises devront aller pour "localiser" leurs données.

Ling Jin, responsable des services numériques et commerciaux du cabinet d'avocats Lusheng, a déclaré que les régulateurs avaient fait un "compromis" en n'appliquant pas strictement la date limite car ils étaient également sous pression pour restaurer la confiance des multinationales dans l'économie.

"Leur attitude est devenue beaucoup plus pratique", a-t-elle déclaré.

Il n'était pas immédiatement clair si les régulateurs allaient fixer un nouveau délai pour que l'ensemble du processus soit achevé. Le CAC n'a pas répondu à une demande de commentaire de Reuters.

La branche pékinoise du régulateur a déclaré la semaine dernière que des entreprises telles que Amazon.com Inc, Samsung Electronics, JPMorgan Chase & Co, Toyota Motor Corp, Volkswagen et Xiaomi avaient soumis des documents pour approbation réglementaire.

Mais le processus d'approbation a été lent, les autorités n'ayant jusqu'à présent divulgué les approbations que pour deux entités - Beijing Friendship Hospital et Air China.

Mme Jin a déclaré que les entreprises doivent recevoir l'approbation des régulateurs locaux ainsi que nationaux.

Dans un cas typique, a-t-elle dit, pour obtenir l'approbation au niveau local, une entreprise doit préparer un document de 180 pages décrivant le flux de données de ses utilisateurs. Puis, au niveau national, l'entreprise doit justifier pourquoi certaines données doivent quitter la Chine.

"Pour les régulateurs, c'est également nouveau pour eux", a-t-elle déclaré. "Ils doivent apprendre sur le tas."

Vendredi, la CAC a également publié des règles distinctes sur la sécurité des données qui s'appliquent aux organisations ayant une base d'utilisateurs plus petite.