A l'épreuve du RGPD chinois
En plein mois d'août, la Chine a adopté une grande loi sur la protection de la vie privée en ligne, la Personal Information Protection Law (ou PIPL, adoptée le 20 août 2021) qui entrera en vigueur le 1er novembre 2021.
PublicitéLa Chine Populaire serait-elle brusquement devenue un grand État protecteur des individus ?
A la première lecture de la grande loi sur la protection de la vie privée en ligne, la Personal Information Protection Law (ou PIPL, adoptée le 20 août 2021), qui entrera en vigueur le 1er novembre 2021, on pourrait le penser.
On retrouve dans la PIPL la plupart des principes du RGPD, à commencer par les conditions de licéité, de loyauté et de transparence dans la collecte et le traitement des données à caractère personnel ou encore les droits d'accès, de copie, de rectification, d'effacement... des données. Les données sensibles (biométriques, religieuses, médicales, de santé ou encore concernant les mineurs de moins de 14 ans...) bénéficient d'une protection renforcée. L'objectif est ici de mettre fin à certaines pratiques courantes en Chine, à l'exemple de la discrimination algorithmique qui permet d'adapter le prix des produits ou services vendus en ligne à certaines données concernant le consommateur, par exemple son historique internet ou sa localisation géographique.
La PIPL est également, comme le RGPD, d'application extraterritoriale. Elle vise tous les traitements de données à caractère personnel sur le territoire de la République populaire de Chine mais aussi tous ceux qui, à partir de l'étranger, permettent de « fournir des produits ou des services à des personnes physiques » en Chine ou « d'analyser et d'évaluer le comportement des citoyens chinois. Le texte prévoit l'obligation d'avoir une représentation en Chine, soit un bureau dédié, soit un représentant désigné, pour veiller à l'application de la loi. C'est ici l'équivalent du représentant de l'UE prévu par le RGPD.
La sécurité occupe une partie importante du dispositif. Les responsables de traitement, comme leurs sous-traitants, ont l'obligation de prendre les mesures qui s'imposent pour empêcher l'accès non autorisé ainsi que les fuites ou pertes de données. Ils peuvent avoir recours au cryptage ou encore à l'anonymisation des données. Ils doivent également prévoir des « plans d'urgence en cas d'incidents ». Un responsable de la protection des données indépendant doit être désigné avec pour mission de veiller à la bonne application de la loi. C'est l'équivalent de notre DPD (Délégué à la protection des données).
Pour les grands opérateurs d'infrastructures critiques et les grandes plateformes qui dépassent un seuil en nombre de données (le chiffre n'a pas encore été fixé), il y a des contraintes complémentaires, par exemple la mise en place d'un comité indépendant, composé principalement de membres externes, dédié à la protection des données personnelles. Ils doivent également stocker les données sur le territoire de la République populaire de Chine. De même, en cas de transfert de données vers un pays tiers, ils sont tenus d'informer les personnes concernées et d'obtenir leur consentement spécifique. Ils doivent également s'assurer que le pays tiers offre le même niveau de protection, étant précisé que les transferts de données sont en tout état de cause interdits lorsque le pays de destination n'offre pas un niveau de protection adéquat. Les États-Unis qui ne disposent pas d'une législation fédérale de protection des données sont ainsi directement visés, ainsi que de nombreux autres pays. Dans tous les cas, les transferts doivent être certifiés par des autorités administratives ou soumis à un contrat type élaboré par ces mêmes autorités.
PublicitéLe non-respect de ces dispositions expose le contrevenant à des injonctions de rectification, avertissements ou encore la confiscation de ses revenus, voire la suspension ou la résiliation du service. A défaut de s'exécuter, les sanctions sont pour le moins dissuasives, les amendes pouvant aller jusqu'à 50 millions de Yuans (environs 6,5 millions d'euros) ou 5 % du chiffre d'affaires de l'année précédente. S'y ajoutent une panoplie de mesures telles que l'injonction de rectification, l'avertissement, la confiscation des gains illégaux, la suspension ou la fin du service, voire pour les infractions les plus graves, la révocation du permis d'exploitation concerné ou de la licence commerciale ou encore la fermeture définitive. On peut y ajouter que la ou les personnes à l'origine d'une atteinte peuvent également être tenues individuellement responsables et se voir infliger une amende allant jusqu'à un million de yuans assortie de l'interdiction d'exercer les fonctions de direction et de responsables de la protection des informations personnelles (art.66).
On pourrait donc se réjouir. Le RGPD européen aurait, par contamination positive, irrigué les autres continents, allant même jusqu'à faire émerger un RGPD chinois, soucieux de protéger le droit fondamental au respect à la vie privée des citoyens chinois !
Il faut cependant se rendre à l'évidence. Si le PIPL apporte indiscutablement une sécurité aux citoyens chinois, l'Etat conserve des pouvoirs de contrôle et de surveillance sans précédent. Les autorités chinoises pourront donc continuer, de manière discrétionnaire, à gérer comme elles l'entendent toutes les données de citoyens chinois. Il y a là une différence fondamentale avec notre RGPD et la loi informatique et libertés !
Par ailleurs, il faut constater que la PIPL n'est que l'un des trois piliers d'un dispositif législatif plus large qui englobe la loi sur la cybersécurité de 2017 (LCS entrée en vigueur le 1er juin 2017) et la loi sur la sécurité des données qui est entrée en vigueur ce 1er septembre 2021 (Source 1 et Source 2). L'ensemble constitue un tout qui vise à encadrer les grandes entreprises chinoises, tout particulièrement les géants numériques (les BATX : Baidu, Alibaba, Tencent et Xiaomi), et les investisseurs étrangers astreints à une série de contraintes réglementaires fortes.
Tout cela est loin d'être anodin et risque de peser très lourdement dans les relations économiques mondiales et de créer un casse-tête juridico-politique. Qu'il s'agisse des relations entre une société étrangère et sa filiale chinoise ou d'une société étrangère partenaire d'une société chinoise, elles seront nécessairement toutes impactées ! Voici un volet complémentaire à rajouter dans un audit de compliance.
Article rédigé par
Christiane Féral-Schuhl, cofondatrice du cabinet FÉRAL
Christiane Féral-Schuhl est avocate associée du cabinet FÉRAL. Depuis plus de 35 ans, elle exerce dans le secteur du droit du numérique, des données personnelles et de la propriété intellectuelle. Elle est également inscrite sur la liste des médiateurs auprès de différents organismes (OMPI, CMAP, Equanim) ainsi que sur la liste des médiateurs de la Cour d'Appel de Paris et du Barreau du Québec (en matière civile, commerciale et travail). Elle a été nommée seconde vice-présidente du Conseil national de la Médiation (2023-2026).
Elle a publié plusieurs ouvrages et de nombreux articles dans ses domaines d'expertise. Dont, tout récemment, « Adélaïde, lorsque l'intelligence artificielle casse les codes » (1ère BD Dalloz, 16 mai 2024) avec l'illustratrice Tiphaine Mary, également avocate.
Elle a présidé le Conseil National des Barreaux (2018-2020) et le Barreau de Paris (2012- 2013). Elle a également co-présidé avec le député Christian Paul la Commission parlementaire sur le droit et les libertés à l'âge du numérique et a siégé au Haut Conseil à l'égalité entre les femmes et les hommes (2013-2015) et au Conseil Supérieur des tribunaux administratifs et des cours d'appel administratives (CSTA CAA -2015-2017).
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire