Ces dernières années de nombreux pays ont légiféré en matière de données à caractère personnel. C’est désormais au tour de la République populaire de Chine de s’y intéresser.
Afin de protéger les données de ses citoyens, le gouvernement chinois a mis un place un corpus législatif composé de trois textes de référence :
- La Cybersecurity Law (CSL) applicable depuis 2017
- La Data Security Law (DSL) adoptée en juin 2021 et en vigueur depuis septembre 2021
- La Personal Information Protection Law (PIPL) adoptée le 20 août 2021 et entrera en vigueur le 1er novembre 2021
A ces textes s’ajoutent des réglementations régionales. On peut notamment citer la loi locale adoptée par le gouvernement de Shenzhen (Province de Guangdong) applicable à partir du 1er janvier 2022.
Comme le RGPD, la PIPL est d’application extra-territoriale. Elle a ainsi vocation à s’appliquer lorsque :
- Le traitement de données personnelles a lieu sur le territoire chinois
- Le traitement de données personnelles réalisé hors de Chine vise à proposer des produits ou services à des résidents situés en Chine
- Le traitement de données personnelles réalisé hors de Chine vise à analyser ou évaluer les activités des Chinois
Pour pouvoir opérer en Chine, les organismes situés en Europe doivent donc se conformer à cette nouvelle législation. Désigner un représentant sur place ou créer un bureau dédié sur le territoire est un préalable requis par la loi.
Au titre de la PIPL, le responsable d’un traitement est également responsable de la mise en œuvre de la loi et du respect des droits des personnes concernées. Tout manquement à la législation pourra être sanctionné par la Cyberspace Administration of China (CAC), autorité de contrôle désignée à la protection des données, ainsi que par les ministères et services concernés du Conseil d’Etat et des gouvernements locaux.
Pour ce faire, la PIPL prévoit deux types d’amendes :
- L’organisme fautif s’expose à une sanction de 50 millions RMB (soit environ 6 millions d’euros) ou 5 % des revenus de l’année précédente.
- La personne physique responsable d’un manquement peut se voir sanctionner d’une amende de 100 000 RMB (soit environ 13.000 euros) ou 1 million RMB (environ 130.000 euros) ainsi qu’une interdiction de poursuivre son activité au sein de l’organisme.
Outre ces sanctions pécuniaires, la non-conformité aux législations applicables est également passible de sanctions pénales. Les organismes sanctionnés pourraient voir leurs traitements interdits et être exclus du marché chinois.
Sur de nombreux aspects cette loi présente des similitudes de fond avec la règlementation européenne. Ainsi on y retrouve les principes de licéité, loyauté et transparence de la collecte. Le responsable d’un traitement se voit imposer de nombreuses obligations notamment :
- L’obligation de notifier toute violation de données aux autorités et aux personnes concernées
- L’obligation de réaliser des analyses d’impact (AIPD) dans certains cas spécifiques
- L’obligation de désigner un DPO pour les entreprises traitant un large volume de données personnelles
- L’obligation d’encadrer contractuellement les relations avec des sous-traitants
Aujourd’hui certaines dispositions manquent de précision. Dans les mois à venir, la CAC devrait apporter des informations complémentaires sur l’application et l’interprétation de cette nouvelle loi.