Ce lundi 26 septembre 2022, l’agence britannique de protection des données (ICO) a publié les résultats préliminaires d’une enquête visant TikTok. Le régulateur estime que le réseau social chinois a négligé la protection des données personnelles des mineurs d’âge.
Dans le même temps, la Chine inflige des amendes records aux entreprises chinoises violant les réglementations sur la protection des données personnelles en Chine, à l’instar de Didi qui est sous le coup d’une amende de 1,2 milliard de dollars.
Depuis 2017, et l’entrée en vigueur de la Loi sur la cybersécurité (CSL), la République populaire de Chine a entamé un mouvement en faveur de la protection des données. Ce mouvement a pris une toute nouvelle ampleur avec les entrées en vigueur consécutive de la Loi sur la sécurité des données (DSL) en septembre 2021, et la Loi sur la protection des informations personnelles ou « Personal Information Protection Law » (PIPL) en novembre de la même année.
Le PIPL interpelle du fait de son caractère extraterritorial. En effet, cette législation ne s’applique pas exclusivement aux acteurs chinois, mais à toutes personnes traitant les informations personnelles de résidents chinois, qu’il s’agisse d’entreprises nationales ou multinationales. C’est pourquoi la compréhension de cette réglementation est primordiale pour les entreprises étrangères.
Cette législation vise à protéger les informations personnelles, à consolider les bases juridiques du traitement de ces informations, ainsi qu’à établir les obligations et les responsabilités imposées aux sous-traitants. Pour y parvenir, le PIPL impose des exigences strictes en matière de localisation des données, protégeant les intérêts de la Chine en cas de transfert transfrontalier d'informations personnelles. Le PIPL est en de nombreux points similaire au Règlement général sur la protection des données (RGPD) de l'Union européenne. Il existe cependant des différences notables et des exigences allant au-delà des règles établies dans la réglementation européenne, que les entreprises doivent saisir pour rester en conformité. Sa mise en place nécessite, quoi qu’il arrive, une initiative de compliance de la part des autorités chinoises et des sociétés étrangères dirigeant leur activité vers la Chine et ses habitants.
1. Champ d’application du PIPL
Le PIPL interpelle du fait de son caractère extraterritorial. En effet, cette législation ne s’applique pas exclusivement aux acteurs chinois, mais à toutes personnes traitant les informations personnelles de résidents chinois. Ainsi de la même façon que le RGPD, le PIPL étend son champ d’application pour englober les entités chargées de traitement d’informations personnelles au-delà des frontières chinoises dès que l’objectif de ces traitements soit de fournir des produits ou services aux particuliers chinois, d’analyser leur comportement ou pour toute autre circonstances prévues par la loi ou les règlements.
Les informations personnelles visées par le PIPL doivent être comprises comme « toutes les informations (telles que les données vidéo, vocales ou d'image) relatives à toute personne physique identifiée ou identifiable, qu'elles soient sous forme électronique ou sous toute autre forme, à l'exclusion de toute information anonymisée. ». Les informations anonymisée étant les informations ne permettant pas d’identifier des personnes physiques. Le règlement ne fournis pas d’exemple explicit des informations prises en comptes, permettant ainsi une interprétation large.
Au-delà des simples informations personnelles, le PIPL s’applique aux informations personnelles sensibles, défini dans le règlement comme « les informations personnelles qui, une fois divulguées ou utilisées illégalement, peuvent facilement porter atteinte à la dignité d'une personne physique ou nuire à la sécurité personnelle et à la sécurité des biens, telles que les informations d'identification biométrique, les croyances religieuses, le statut spécialement désigné, la santé médicale informations, comptes financiers, informations sur la localisation des individus, ainsi que les informations personnelles des mineurs de moins de 14 ans. ». Afin d’avoir accès à ces informations, les organismes de traitement de données doivent obligatoirement obtenir préalablement le consentement explicite des individus, ou de leur parent/tuteur. Ces traitements doivent également comprendre un « objectif spécifique et un besoin à remplir ».
Le règlement s’applique aux « entités de traitement » ou « processeurs d’informations personnelles », il est question d’une « organisation ou un individu qui détermine de manière indépendante les finalités et les moyens de traitement des informations personnelles », rappelant la notion de contrôleur de données définie dans le cadre du RGPD.
Le PIPL vise différents types de traitements de données, comprenant entre autres la collecte, le stockage, l’utilisation, la transmission, la fourniture, la divulgation ou encore la suppression d’information personnelle.
2. Les obligations
Le PIPL met en place un cadre réglementaire établissant une nomenclature d’obligation et de responsabilité des gestionnaires d’informations personnelles.
Le PIPL impose aux gestionnaires d’informations personnelles d’informer les personnes avant de traiter quelconque information rentrant dans le champ de la législation « de manière véridique, précise et complète, en utilisant un langage clair et facilement compréhensible ». La conservation des informations doit se faire sur « la période la plus courte nécessaire » conformément au règlement.
Les processeurs d’informations personnelles ne sont pas autorisés à divulguer les données qu’ils viennent à traiter à l’exception des cas où un consentement explicit a été obtenu. Ils sont, de plus, appelé à mettre en place des mesures de sécurité afin de protéger les informations traitées contre d’éventuels violation ou exposition non autorisées, ainsi que de mener des évaluations d’impact sur la protection des données.
S’agissant des organismes implantés hors de Chine, il leur ait demandé d’établir sur le sol chinois un bureau, une entité dédiée ou de nommer un représentant ainsi que d’effectuer des audits de conformité réguliers. Il est également attendu des gestionnaires de demander l’approbation des autorités chinoises concernant la fourniture de toute information personnelle qu’ils sont amenés à traiter.
Les entités sont également soumises à un ensemble d’obligations en termes de mesure de sécurité et de contrôles, notamment l’élaboration de système de gestion interne, de procédures de fonctionnement ainsi que de plans d’intervention en cas d’incidents de sécurité. La mise en place de la gestion classifiée des informations traitées, l’adoption de mesure de sécurité techniques comme le cryptage et l’anonymisation ou encore la détermination d’autorisations opérationnelles pour les informations personnelles, ainsi que la formation du personnel en matière de sécurité.
Cependant les gestionnaires d’informations personnelles peuvent faire l’objet d’exemptions à la conformité à la loi. En effet ces entités peuvent être dispensées de fournir des notifications claires et rapides aux personnes physiques quand les circonstances le permettent, notamment dans les situations d’urgence pour protéger la vie, la santé ou la sécurité des personnes physiques et de leurs biens. Les entités sont cependant tenues de se conformer à la loi une fois l’urgence passée.
3. Transferts transfrontaliers d'informations personnelles
Le caractère international est un aspect central du PIPL, le transfert transfrontalier est l'une des priorités des autorités chinoises en matière de protection des informations personnelles. Depuis l'entrée en vigueur en 2017 de la loi sur la cybersécurité (CSL) des restrictions de plus en plus nombreuses ont été progressivement imposées au transfert transfrontalier d'informations personnelles depuis la Chine continentale. Parmi les diverses lois et réglementations pertinentes, le PIPL est réputé définir les règles de protection des informations personnelles et les principes de bases quant au transfert transfrontalier de ces informations. Cependant, ces dispositions statutaires ne font que stipuler des conditions de base à respecter pour le transfert. Pour qu’un processeur d’information personnelle extérieur à la République Populaire de Chine puisse prétendre à traiter quelconques informations relatives à des résidents sur le sol chinois, il doit remplir au moins une des conditions suivantes :
- - Être soumis à une évaluation de sécurité par les services de cybersécurité et de l’informatisation de l’état chinois.
- - Être certifié en matière de protection des informations personnelles par un organisme spécialisé.
- - Conclure des contrats avec les parties étrangères conformément à un contrat type formulé par les services de cybersécurité et de l’informatisation.
- - Autres conditions prévues par les lois ou règlements administratifs ou par les services de cybersécurité et de l’informatisation de l’état.
En pratique, la manière dont les informations personnelles peuvent être transférées légalement en dehors de la Chine continentale dépend toujours des règlements de mise en œuvre et des orientations définies par des autorités telles que l’Administration du cyberespace de Chine (CAC). Pour l’instant, le PIPL ne définie pas encore de règles spécifiques concernant les transferts transfrontaliers d’information personnelle. Cela a naturellement provoqué une certaine confusion opérationnelle pour les organismes étranger faisant affaire sur le sol chinois, notamment les entreprises multinationales.
4. Sanctions
En cas de violation des règles ou de manquement aux obligations établies par le PIPL, les organismes responsables peuvent être sanctionnés.
La législation met en place des exigences strictes en matière de transfert de données personnelles, de contrôle et de localisation des données. Le non-respect de ces exigences par les entreprises sont susceptibles d’entrainer des sanctions administratives diverses, notamment des sanctions pécuniaires pouvant aller, dans les cas les plus graves, jusqu’à 50 millions de yuan ou 5% du chiffre d’affaires de l’exercice précèdent de l’entreprise concernée. D’autre sanctions peuvent être mises en place telles que des suspension ou cessation d’activité, des interdictions de poursuivre des traitements de données illégales ou encore la confiscation de gains illégaux, provenant d’activité non conforme.
Les personnes directement responsables sont également susceptibles d’être sanctionnées. Pouvant être passible d’amende allant de 100 000 à 1 millions de yuan dans les cas les plus graves, ou pouvant également se voir interdire d’occuper des postes de directeur, superviseur, cadre supérieur ou agent de protection des informations personnels.
5. Conclusion
Avec les adoptions consécutives de la loi sur la sécurité des données (DSL) et de la loi sur la protection des informations personnelles (PIPL), la Chine a établi un cadre solide pour encadrer les activités des entreprises chinoises et étrangères en matière de protection des données et pour protéger les droits des citoyens chinois.
Si le PIPL présente indéniablement de nombreuses similitudes avec le RGPD, il apparait cependant plus strict. Bien que certains points semblent encore incomplets, il ne fait pas de doute que le règlement continuera à se développer progressivement avec les évolutions techniques, les attentes des consommateurs et la pensée juridique. Désormais, les entreprises souhaitant accéder au marché chinois devront donc absolument s’employer à maitriser ce règlement.
Un article rédigé par Lara Boursier, du département International
