RGPD chinois : une muraille à surmonter pour les entreprises étrangères
Chine > Droit privé > Protection des données personnelles
Anne Charlotte Andrieux, avocat au barreau de Paris et Gael Mahé[1]
Octobre 2021
La Personal Information Protection Law (« PIPL ») nouvellement adoptée par la Chine entrera en vigueur le 1ier novembre prochain. Nous avons pu voir que la PIPL visait les géants du net chinois [2] mais qu’en est-il des conséquences sur les entreprises européennes ?
Plusieurs mesures de la PIPL visent directement les entreprises étrangères et viennent restreindre les possibilités de transferts de données hors Chine confirmant ainsi la politique de privacy protectionniste souhaitée par Pekin.
L’exigence de « separate consent »
L’article 39 de la PIPL, par exemple, introduit la notion de « separate consent » ou « consentement séparé » de la personne concernée nécessaire pour transférer ses données à caractère personnel hors de la Chine. Les modalités d’application et de recueil de ce consentement séparé restent encore floues à l’heure actuelle.
Toutefois, par analogie avec le règlement général sur la protection des données (« RGPD »), se baser sur le consentement[1] est un processus lourd de conséquence pour une entreprise en raison de l’important dispositif qui doit être mis en place pour recueillir le consentement libre, éclairé, univoque et spécifique de la personne concernée (information, recueil, etc.).
Dans le cadre du RGPD le consentement de la personne concernée n’est qu’une possibilité parmi d’autres de régulariser un transfert de données à caractère personnel hors EEE. Or, pour la PIPL, cela semble être un pré requis par défaut pour transférer les données hors Chine.
Pékin garde la main mise sur les opérateurs essentiels
La PIPL prévoit que :
- Pour les entreprises considérées comme « critical information infrastructure operator [2]» ; et/ou
- A partir d’un certain seuil de données traitées ;
les données à caractère personnel collectées ou générées sur le territoire chinois devront être stockées sur le territoire chinois.
Cette localisation forcée pour les entreprises, devra être couplée à une évaluation de sécurité organisée par le département d'État de la cybersécurité et de l'informatisation en cas de transfert hors Chine.
En dépit du caractère contraignant de cette obligation, Pekin n’a à ce jour pas dévoilé d’information sur le seuil de données traitées et à partir duquel les données devront être stockées sur le territoire chinois.
Des sanctions prohibitives et asymétriques
Au-delà des sanctions prévues à l’article 66 de la PIPL déjà abordées [3] et comparables à celles mises en place par le RGPD (6.6 millions d’euros ou 5% du chiffre d’affaires annuel), un autre type de sanction a été mis en place par la PIPL.
Lorsqu’un traitement de données à caractère personnel effectué par une entreprise/organisation étrangère porte atteinte :
- aux droits et intérêts des citoyens chinois en matière de données à caractère personnel ; ou
- à la sécurité nationale ; ou
- à l’intérêt public de la Chine
le département d'État de la cybersécurité et de l'informatisation peut :
- inscrire cette entreprise/organisation sur une liste limitant ou interdisant le traitement de données à caractère personnel ;
- émettre un avertissement ; et
- adopter des mesures telles que la limitation ou l'interdiction du traitement de données à caractère personnel à ces entreprises/organisations.
En plus des classiques sanctions financières, les entreprises étrangères qui enfreindraient la PIPL risquent le « blacklistage ».
Une guerre des données ?
On pourrait imaginer que la Chine, étant considérée comme un pays n’offrant pas un niveau de protection par Bruxelles, fasse preuve d’une certaine réciprocité en rendant plus difficiles les transferts en dehors de la Chine.
D’autant plus lorsque les actions sont prises récemment contre les géants chinois comme TikTok. En effet, la Data Protection Commission Irlandaise a annoncé [4], le 14 septembre dernier, l'ouverture de deux enquêtes à l’encontre de la plateforme chinoise de partage de vidéos sur la question de l'exploitation des données personnelles des mineurs et aux transferts de données vers la Chine.
Une chose est certaine, les données sont le nouvel or noir du 21e siècle et les grandes puissances ont compris que la maitrise physique des données est un levier économique et politique considérable. Bien loin de se résumer à un instrument de protection des données, la PIPL, à l’instar du RGPD, sont des armes de contrôle massives des flux de données aux mains des Etats.
Au vu du délai serré avant l’entrée en vigueur de la PIPL, les entreprises en affaire avec la Chine devront rapidement revoir leurs stratégies logistiques et leurs process si elles souhaitent se mettre en adéquation avec la nouvelle règlementation chinoise.
Références
- ↑ 1 Base légale « consentement » du RGPD
- ↑ 2 Selon l’article 2 de la Regulations on the Security and Protection of Critical Information infrastructure il s’agit d’une entreprise engagée dans des industries ou des domaines importants, notamment les services publics de communication et d'information, l'énergie, les transports, l'eau, la finance, les services publics, les services d'administration en ligne, la défense nationale et toute autre installation de réseau ou système d'information important susceptible de nuire gravement à la sécurité nationale, à l'économie nationale et aux moyens de subsistance de la population, ou à l'intérêt public en cas d'incapacité, de dommages ou de fuites de données. Facebook