En plein mois d’août, la Chine a adopté une grande loi sur la protection de la vie privée en ligne, la Personal Information Protection Law (ou PIPL, adoptée le 20 août 2021) qui entrera en vigueur le 1er novembre 2021.
La Chine Populaire serait-elle brusquement devenue un grand État protecteur des individus ?
A la première lecture de la grande loi sur la protection de la vie privée en ligne, la Personal Information Protection Law (ou PIPL, adoptée le 20 août 2021), qui entrera en vigueur le 1er novembre 2021, on pourrait le penser.
On retrouve dans la PIPL la plupart des principes du RGPD, à commencer par les conditions de licéité, de loyauté et de transparence dans la collecte et le traitement des données à caractère personnel ou encore les droits d’accès, de copie, de rectification, d’effacement… des données. Les données sensibles (biométriques, religieuses, médicales, de santé ou encore concernant les mineurs de moins de 14 ans…) bénéficient d’une protection renforcée. L’objectif est ici de mettre fin à certaines pratiques courantes en Chine, à l’exemple de la discrimination algorithmique qui permet d’adapter le prix des produits ou services vendus en ligne à certaines données concernant le consommateur, par exemple son historique internet ou sa localisation géographique.
La PIPL est également, comme le RGPD, d’application extraterritoriale. Elle vise tous les traitements de données à caractère personnel sur le territoire de la République populaire de Chine mais aussi tous ceux qui, à partir de l’étranger, permettent de « fournir des produits ou des services à des personnes physiques » en Chine ou « d’analyser et d’évaluer le comportement des citoyens chinois. Le texte prévoit l’obligation d’avoir une représentation en Chine, soit un bureau dédié, soit un représentant désigné, pour veiller à l’application de la loi. C’est ici l’équivalent du représentant de l’UE prévu par le RGPD.
La sécurité occupe une partie importante du dispositif. Les responsables de traitement, comme leurs sous-traitants, ont l’obligation de prendre les mesures qui s’imposent pour empêcher l’accès non autorisé ainsi que les fuites ou pertes de données. Ils peuvent avoir recours au cryptage ou encore à l’anonymisation des données. Ils doivent également prévoir des « plans d’urgence en cas d’incidents ». Un responsable de la protection des données indépendant doit être désigné avec pour mission de veiller à la bonne application de la loi. C’est l’équivalent de notre DPD (Délégué à la protection des données).
Pour les grands opérateurs d’infrastructures critiques et les grandes plateformes qui dépassent un seuil en nombre de données (le chiffre n’a pas encore été fixé), il y a des contraintes complémentaires, par exemple la mise en place d’un comité indépendant, composé principalement de membres externes, dédié à la protection des données personnelles. Ils doivent également stocker les données sur le territoire de la République populaire de Chine. De même, en cas de transfert de données vers un pays tiers, ils sont tenus d’informer les personnes concernées et d’obtenir leur consentement spécifique. Ils doivent également s’assurer que le pays tiers offre le même niveau de protection, étant précisé que les transferts de données sont en tout état de cause interdits lorsque le pays de destination n’offre pas un niveau de protection adéquat. Les États-Unis qui ne disposent pas d’une législation fédérale de protection des données sont ainsi directement visés, ainsi que de nombreux autres pays. Dans tous les cas, les transferts doivent être certifiés par des autorités administratives ou soumis à un contrat type élaboré par ces mêmes autorités.
Le non-respect de ces dispositions expose le contrevenant à des injonctions de rectification, avertissements ou encore la confiscation de ses revenus, voire la suspension ou la résiliation du service. A défaut de s’exécuter, les sanctions sont pour le moins dissuasives, les amendes pouvant aller jusqu’à 50 millions de Yuans (environs 6,5 millions d’euros) ou 5 % du chiffre d’affaires de l’année précédente. S’y ajoutent une panoplie de mesures telles que l’injonction de rectification, l’avertissement, la confiscation des gains illégaux, la suspension ou la fin du service, voire pour les infractions les plus graves, la révocation du permis d’exploitation concerné ou de la licence commerciale ou encore la fermeture définitive. On peut y ajouter que la ou les personnes à l’origine d’une atteinte peuvent également être tenues individuellement responsables et se voir infliger une amende allant jusqu’à un million de yuans assortie de l’interdiction d’exercer les fonctions de direction et de responsables de la protection des informations personnelles (art.66).
On pourrait donc se réjouir. Le RGPD européen aurait, par contamination positive, irrigué les autres continents, allant même jusqu’à faire émerger un RGPD chinois, soucieux de protéger le droit fondamental au respect à la vie privée des citoyens chinois !
Il faut cependant se rendre à l’évidence. Si le PIPL apporte indiscutablement une sécurité aux citoyens chinois, l’Etat conserve des pouvoirs de contrôle et de surveillance sans précédent. Les autorités chinoises pourront donc continuer, de manière discrétionnaire, à gérer comme elles l’entendent toutes les données de citoyens chinois. Il y a là une différence fondamentale avec notre RGPD et la loi informatique et libertés !
Par ailleurs, il faut constater que la PIPL n’est que l’un des trois piliers d’un dispositif législatif plus large qui englobe la loi sur la cybersécurité de 2017 (LCS entrée en vigueur le 1er juin 2017) et la loi sur la sécurité des données qui est entrée en vigueur ce 1er septembre 2021 (Source 1 et Source 2). L’ensemble constitue un tout qui vise à encadrer les grandes entreprises chinoises, tout particulièrement les géants numériques (les BATX : Baidu, Alibaba, Tencent et Xiaomi), et les investisseurs étrangers astreints à une série de contraintes réglementaires fortes.
Tout cela est loin d’être anodin et risque de peser très lourdement dans les relations économiques mondiales et de créer un casse-tête juridico-politique. Qu’il s’agisse des relations entre une société étrangère et sa filiale chinoise ou d’une société étrangère partenaire d’une société chinoise, elles seront nécessairement toutes impactées ! Voici un volet complémentaire à rajouter dans un audit de compliance.
