Le 1er novembre 2021 entrait en vigueur la loi chinoise sur la protection des données appelée « Personal information Protection law (PIPL) » en anglais. Cette loi vient former la trilogie législative chinoise qui se compose désormais de la PIPL, d’une loi sur la cybercriminalité ainsi que d’une loi sur la sécurité des données.
Cet ensemble législatif a un double objectif à savoir la protection des informations des citoyens ainsi que la régulation des activités des géants numériques chinois.
En quoi la PIPL vous concerne-t-elle ?
Bien qu’il s’agisse d’une loi chinoise, son champ d’application territorial est plutôt large. Par conséquent, il est possible que ses dispositions s’appliquent à vous !
Dans quels cas ?
La PIPL s’applique aux traitements de données à caractère personnel effectués sur le territoire chinois.
La PIPL s’applique également aux traitements de données impliquant des individus localisés sur le territoire chinois, même si l’entité qui traite les données est établie en dehors du territoire chinois dans 3 hypothèses :
- Le traitement vise à fournir un produit ou un service à un individu situé sur le territoire chinois.
- Le traitement consiste en un suivi du comportement d’individus situés sur le territoire chinois.
- Dans toute autre situation dans laquelle une loi chinoise prévoit l’application de la PIPL.
Par conséquent, si vous traitez des données de personnes situées sur le territoire chinois, peu importe leur nationalité, afin de suivre leurs comportements ou leur proposer des biens ou des services, vous être soumis à la loi chinoise de protection des données.
Attention cependant que lorsqu’il est question du territoire chinois, cela désigne le territoire continental de la République populaire de Chine. Sont exclues les régions de Hong Kong ou Taïwan.
Quelles sont vos obligations si la PIPL s’applique à vous ?
En plus des autres obligations imposées à toute entité qui traite des données, une entreprise qui n’est pas établie sur le territoire chinois, mais qui est tout de même soumise à la PIPL doit désigner un représentant responsable de la protection des données et établi en Chine. Ses coordonnées doivent être renseignées à l’autorité de protection des données.
La PIPL et le RGPD : la même chose ?
Le contenu de la loi chinoise est comparable en beaucoup de points au RGPD.
La loi chinoise prévoit des principes fondamentaux comme le fait le RGPD (loyauté, finalités déterminées, minimisation, transparence…).
Les définitions des données à caractère personnel et des traitements sont comparables à celles du RGPD. Toutefois, la définition chinoise de données sensibles ne correspond pas non plus à notre définition des catégories spécifiques de données (par exemple, le suivi d’itinéraire, les données d’un mineur de moins de 14 ans, les comptes ouverts dans des institutions financières sont listés comme des données sensibles dans la PIPL).
Par ailleurs, la légalité des traitements de données est subordonnée au consentement préalable informé, clair et explicite de la personne concernée. Dans certaines circonstances, un consentement supplémentaire doit être recueilli (changement des modalités du traitement, traitements de données sensibles, transfert de données en dehors du territoire chinois…)
À défaut d’un consentement, le traitement ne peut avoir lieu que s’il est nécessaire pour :
- la performance d’un contrat ou pour la gestion des ressources humaines ;
- respecter des obligations légales ;
- réagir à des incidents de santé publique ou de sécurité publique ;
- mettre en œuvre des reportages, la surveillance de l’opinion publique et d’autres activités de ce type dans un but d’intérêt public ;
- lorsque l’information a été rendue publique par la personne concernée elle-même ou par des moyens légaux ;
- dans d’autres circonstances définies par la loi.
En ce qui concerne les droits des personnes concernées, on retrouve dans la PIPL les droits prévus par le RGPD auxquels est ajouté le droit pour les proches d’une personne décédée d’exercer, pour leurs propres intérêts, les droits que cette dernière avait sur ses données.
En outre, la PIPL prévoit également une série d’obligations pour celui qui traite les données (sécurité, information et transparence, reporting, désignation d’un responsable pour la protection des données, audit, analyse préalable des données, transparence accrue et droit à explication en cas de traitement automatisé des données) ainsi que des obligations supplémentaires pour les fournisseurs de plateformes détenant une position de « gatekeeper ».
Pour finir, la PIPL prévoit des dispositions qui s’adressent spécifiquement aux organes de l’État qui traitent des informations personnelles pour s’acquitter de leurs obligations et responsabilités statutaires. À cette occasion, la PIPL prévoit qu’elles doivent le faire conformément à leurs pouvoirs et aux procédures prévus par les lois et que, ce faisant, elles ne peuvent pas dépasser ce qui est nécessaire pour s’acquitter de leurs obligations et responsabilités. De plus, les informations personnelles traitées par les organes de l’État doivent être stockées sur le territoire continental de la Chine. S’il est vraiment nécessaire de les fournir à l’étranger, une évaluation de la sécurité doit être entreprise.
Qu’en est-il des transferts de données entre l’Union et la Chine ?
Selon la PIPL, vous pouvez transférer les données en dehors de la Chine si l’une des conditions suivantes est remplie :
- le destinataire a réussi une analyse de sécurité menée par une autorité compétente ;
- le destinataire a reçu une certification de protection des données délivrée par une agence professionnelle ;
- l’émetteur et le destinataire des données ont conclu un contrat type élaboré par une autorité compétente qui stipule les droits et obligations de chaque partie ;
- une loi prévoit le transfert.
Dans ce cas, la personne qui envoie les données à l’étranger doit :
- prendre les mesures nécessaires pour assurer que le traitement des données par le destinataire est aussi protecteur que la PIPL.
- remplir une obligation d’information des personnes concernées sur le destinataire et sur le transfert.
- obtenir le consentement des personnes concernées.
La PIPL prévoit aussi que les entreprises et les particuliers ne peuvent pas fournir d’informations personnelles stockées en Chine à des organismes judiciaires étrangers sans l’accord préalable des autorités compétentes.
Enfin, lorsque des organisations ou des personnes étrangères traitent des données d’une manière non conforme aux droits et les intérêts des citoyens chinois ou portent atteinte à la sécurité nationale ou à l’intérêt public de la Chine, le département de la cybersécurité peut limiter ou interdire la fourniture d’informations personnelles à ces organisations.
Quels risques en cas de non-respect de la PIPL ?
Le département d’État chargé de la cybersécurité et de l’informatisation ainsi que certains départements du Conseil d’État sont compétents en matière de protection des informations personnelles.
En cas de violation de la loi chinoise, 3 types de sanctions peuvent être déployées :
- Condamnation au paiement d’une amende administrative qui peut aller jusqu’à 50 millions de RMB (approximativement 6.800.000 EUR) ou 5% du chiffre d’affaires.
- Condamnation à la réparation du dommage subi par la personne concernée à la suite de la violation de ses données.
- Condamnation à d’autres sanctions pénales en application du droit pénal chinois.
Notre conseil :
Concrètement, vous êtes potentiellement soumis à la nouvelle législation chinoise sur la protection des données lorsque :
- Vous traitez des données pour une société chinoise
- Vous recevez des données d’une société chinoise
- Vous traitez des données concernant des personnes localisées sur le territoire chinois lorsque vous :
- suivez le comportement de ces personnes ;
- proposez des services ou des biens à des clients chinois (par exemple si votre site internet de vente en ligne est disponible en langue chinoise et accessible en Chine).
Dans ces situations, vous devez vous conformer à la législation chinoise en matière de protection des données.
Si vous n’êtes pas soumis à la PIPL mais que vous recevez des données d’une société elle-même soumise à la PIPL, le transfert n’est légal que dans les conditions prévues par la loi chinoise. Cela peut nécessiter que vous obteniez une certification ou une évaluation positive délivrée par une autorité chinoise particulière.
Cet article a été rédigé avec Me Jun YANG, avocat-associé de Lexing Chine. N’hésitez pas à le contacter (en français ou en anglais)