Loi PIPL – protection des données personnelles en Chine

La loi sur la protection des informations personnelles (ci-après « PIPL ») a été adoptée par la Chine et entrera en vigueur le 1er novembre 2021.

Il s’agit de la première législation sur la protection des données personnelles en Chine, venant compléter l’arsenal juridique en matière de cybersécurité et sécurité des données introduit par la Data Security Law (« DSL ») et Cybersecurity Law (« CSL »). A l’instar du Règlement général à la protection des données (ci-après « RGPD ») son homologue Européen, la PIPL instaure un cadre juridique protecteur des données personnelles.

Ce texte a vocation à s’appliquer à tout traitement de données personnelles par une entité Chinoise, mais également étrangère si le traitement concerne des personnes situées en Chine et qu’il est entrepris en vue de : 

• fournir un produit ou un service à des personnes physiques situées en Chine ;

• analyser ou évaluer le comportement de personnes physiques situées en Chine ; 

• toute autre circonstance prévue par la loi ou les règlements.

Par conséquent, si vous envisagez de traiter des données personnelles concernant des personnes situées en Chine, vous êtes tenus de respecter les nouvelles obligations mises en œuvre par la PIPL, au premier chef desquelles figure la nécessité de nommer un représentant local dont les coordonnées seront transmises à l’autorité chinoise compétente.

Le nouveau cadre juridique implémenté par la PIPL est similaire à de nombreuses règles d’ores et déjà introduites par le RGPD.

A l’instar du RGPD, la PIPL définit la notion de données personnelles comme toute information relative à une personne physique identifiée ou identifiable, sous forme électronique ou sous toute autre forme. 

Les organisations et individus qui déterminent de manière indépendante la finalité (objectif) et des moyens (méthode) du traitement de données personnelles sont désignés responsable de traitement. 

En outre, le traitement des données personnelles concerne des opérations diverses telles que la collecte, le stockage, l'utilisation, la transmission, la fourniture, la divulgation et la suppression des données personnelles.

La PIPL identifie également des catégories particulières de données, dites « données sensibles », notamment celles dont la fuite ou l'utilisation illégale pourrait conduire à une atteinte à la dignité d'une personne physique ou à une atteinte à la sécurité des personnes ou des biens.

Six bases juridiques sont instaurées afin de légitimer la mise en œuvre du traitement : 

• Conclusions ou exécution d’un contrat ;

• Respect d’une obligation légale ;

• Répondre à une urgence de santé publique ou protéger l'intérêt ou la sécurité d'une personne en cas d'urgence;

• Mettre en œuvre une mission d'intérêt public ;

• La divulgation des données par la personne, ou selon des dispositions légales ;

• D’autres circonstances prévues par les lois ou règlements.

Les personnes concernées par le traitement disposent de droits sur leurs données personnelles, tels que le droit d’accès, de copie, de rectification, d’effacement de leurs données.

La PIPL est également sensible à la responsabilisation des acteurs et instaure des obligations imputables à tous responsables de traitement, dont notamment :

• La mise en place de systèmes de gestion interne, de procédures opérationnelles et de registres permettant la classification des données personnelles ;

• L’adoption de mesures de sécurité techniques correspondantes, telles que le cryptage et l’anonymisation ;

• La sensibilisation des salariés à la culture de la protection des données et la mise en place de formations régulières en matière de sécurité ;

• Mettre en place des politiques en matière d'incidents de sécurité concernant des données personnelles ;

• Effectuer régulièrement des audits de conformité.

Par ailleurs, une responsabilité conjointe est instaurée entre les responsables de traitement qui déterminent conjointement les moyens et finalités du traitement des données, laquelle implique que les obligations de chacun doivent être déterminées en amont.

Enfin, la PIPL encadre les relations de sous-traitance, lesquelles sont supervisées par les responsables de traitement. Les sous-traitants doivent prendre les mesures nécessaires à la protection des données personnelles et ne sauraient confier à un sous-traitant ultérieur une partie du traitement sans l’accord préalable du responsable.

La PIPL met en place des sanctions pécuniaires, allant jusqu'à 50 millions de RMB ou 5 % du chiffre d'affaires de l'entreprise au cours de l'année précédente. D‘autres sanctions, telles que l’interdiction d’exercer certaines fonctions sur une période donnée, l’interdiction de poursuivre un traitement de donnée illégal, la confiscation des bénéfices provenant de l’activité non conforme, sont instaurées.

Comme chacun le sait à présent, le RGPD encadre les transferts de données personnelles vers des pays tiers à l’UE et l’EEE.Un transfert de données personnelles vers un pays tiers est licite uniquement si un niveau de protection adéquat est assuré. Le niveau de protection est déterminé par la Commission européenne, laquelle octroie un tel statut par une décision d’adéquation faisant l’objet d’un examen par le CEPD.

D’autres outils de transferts sont prévus par le RGPD. Cependant, les transferts les plus aisés sont ceux fondés sur une décision d’adéquation dans la mesure où il sont libres de tout formalisme et sont considérés comme bénéficiant d’un niveau de protection adéquat.

En adoptant une réglementation sensiblement comparable à celle du RGPD, la Chine pourrait-elle prétendre à une protection des données substantiellement équivalente à celle garantie par la législation européenne ? Une telle décision tient compte de la législation interne du pays, de ses autorités de contrôle et des engagements internationaux qu’il a souscrits.Or, la PIPL traduit une volonté politique de l’administration Chinoise de reprendre le contrôle sur les données de ses citoyens. En effet, l’Etat n’est pas soumis au respect des obligations introduites par la PIPL. Ce texte se conçoit ainsi comme un outil ambitieux d’encadrement des traitements de données personnelles, mais également comme un moyen de contrôle des grands acteurs du numérique par l’Etat Chinois.