Avec l’essor des services numériques, la protection des données personnelles est devenue un sujet phare du droit des personnes. Outre l’Union européenne, de plus en plus de pays à travers le monde ont adopté leur propre réglementation sur la protection des données personnelles, souvent inspirées des lignes directrices de l’OCDE sur la protection de la vie privée, voire de la réglementation européenne. Certains pays, tels que les Etats-Unis, ont opté pour une approche sectorielle de la protection des données avec par exemple des lois spécifiques aux services financiers, aux consommateurs, aux enfants, etc., alors que d’autres tels que le Canada, le Japon ou Singapour, ont opté pour une approche globale.
Après avoir adopté une loi sur la cybersécurité en juin 2017, suivie d’une loi sur la sécurité des données en juin dernier, la République Populaire de Chine vient de renforcer sa réglementation sur la protection des données avec l’adoption d’une nouvelle loi, de portée globale, sur la protection des données personnelles (Personal Information Protection Law - PIPL) le 20 août 2021. Bien que comportant de nombreuses ressemblances avec le RGPD, la PIPL n’est pas exactement une loi-miroir du règlement européen.
Nous étudions ci-après les principales règles de la PIPL du point de vue des droits des personnes, puis des obligations des responsables de traitements, l’application territoriale de la loi et enfin, les sanctions applicables.
1. Les principales dispositions de la PIPL relatives aux droits des personnes concernées
Les droits des personnes concernées, tels que définis dans la PIPL, sont généralement très similaires au RGPD, ainsi que les définitions de “données personnelles” et de “traitement de données personnelles” notamment.
a) “Données personnelles” et “traitement de données personnelles” dans la PIPL
Les données personnelles sont définies comme tout type de données concernant des personnes identifiées ou identifiables, enregistrées de manière électronique ou autre. Les données anonymisées ne sont pas considérées comme des données personnelles.
Les traitements de données personnelles comprennent notamment les opérations de collecte, stockage, utilisation, transmission, suppression de données personnelles. Comme le RGPD, la PIPL impose que les traitements de données personnelles reposent sur les principes de licéité, loyauté, et transparence de la collecte (droit à l’information).
b) Le consentement
Le consentement de la personne concernée constitue la base de la licéité d’un traitement de données personnelles. Il doit être informé, libre, et résulter d’un acte clair de la personne. Le consentement doit être révocable, sans remettre en cause le traitement réalisé jusqu’à la date de sa révocation.
Un consentement spécifique est requis dans les cas suivants : transfert de données par le responsable de traitement à un tiers, publication de données personnelles, collecte de données personnelles par des équipements de sécurité dans des espaces publics, traitement de données sensibles et transferts de données à l’international.
Les cas dans lesquels le consentement n’est pas requis sont limités : pour l’exécution d’un contrat avec la personne concernée, pour la gestion des ressources humaines conformément à la réglementation et aux conventions collectives, aux fins de conformité à la loi, pour répondre à des problèmes de santé publique et pour protéger la santé ou la vie de la personne, pour des reportages journalistiques “dans des limites raisonnables”, etc. On notera par ailleurs que la PIPL n’intègre pas la notion d’intérêt légitime.
c) Les droits de la personne sur ses données
La personne concernée dispose de droits sur ses données similaires à ceux applicables en Europe, tels que les droits d’accès, de rectification et de suppression des données, ainsi que le droit de recevoir une copie des données collectées. Le droit à la portabilité est également prévu, sous réserve de précisions sur les modalités d’exercice de ce droit, devant être apportées par la CAC (Cyberspace Administration of China - l’autorité de contrôle équivalente de la CNIL).
d) Les données sensibles
Une protection renforcée est prévue pour les données sensibles. La notion de “donnée sensible” couvre les données personnelles qui, en cas de divulgation non autorisée, porteraient atteinte à la dignité ou à la sécurité de la personne concernée ou de ses biens. Par exemple, les données biométriques, la religion, la santé, la situation financière, la géolocalisation ainsi que les données personnelles des enfants de moins de 14 ans sont considérées comme des données sensibles. Contrairement au RGPD, il ne s’agit pas d’une liste exhaustive.
Les données sensibles peuvent faire l’objet d’un traitement sous certaines conditions, telles que : la réalisation d’une analyse d’impact par le responsable du traitement préalablement à sa mise en oeuvre, une finalité spécifique et nécessaire, et sous réserve de mesures de sécurité adaptées, l’information de la personne concernée sur la nécessité du traitement de données et ses conséquences, le consentement spécifique de la personne concernée.
e) Les données des défunts
Enfin, contrairement au RGPD, la PIPL prend en compte la possibilité pour les proches d’une personne décédée de gérer ses données personnelles (accès aux données, mise à jour, suppression). La France prévoit cette possibilité avec la Loi pour une république numérique de 2016. (voir notre article sur ce sujet)
2. Les obligations des responsables du traitement
a) La mise en oeuvre de la PIPL
Le responsable du traitement est responsable de la mise en oeuvre de la PIPL (identification des traitements de données, mise en place de procédures adaptées, assurer la sécurité des données, former les salariés, mener régulièrement des audits de conformité, etc.), et du respect des droits des personnes concernées. Les entreprises traitant de larges volumes de données personnelles devront désigner un délégué à la protection des données (DPO). Le seuil entraînant cette obligation doit encore être fixé.
b) Les analyses d’impact
Le responsable du traitement doit réaliser une analyse d’impact avant la mise en oeuvre de certains types de traitements :
- nouveau traitement de données sensibles,
- traitement de données faisant l’objet d’une décision automatisée,
- partage de données personnelles avec d’autres organismes ou divulgation publique de données,
- transfert de données à l’international,
- traitement ayant un impact significatif sur les droits des personnes.
Ces types de traitements doivent par ailleurs être réalisés pour une finalité spécifique et nécessaire, et sous réserve de mesures de sécurité adaptées et du consentement spécifique de la personne concernée après avoir été informée sur la nécessité du traitement de données et ses conséquences.
c) Les violations de données
Enfin, en cas de violation de données (fuites de données, intrusion frauduleuse dans le système informatique de l’opérateur, etc.), le responsable du traitement doit immédiatement prendre des mesures correctives et notifier la violation aux autorités et aux personnes concernées.
3. L’application territoriale de la PIPL
a) La localisation des données personnelles de citoyens chinois
La loi sur la cybersécurité de 2017 imposait le stockage des données personnelles et des données “importantes” (à savoir les données sensibles, de sécurité nationale ou stratégiques) collectées par les opérateurs d’infrastructures d’information critiques, sur le territoire chinois. Toutefois, cette disposition était considérée comme trop imprécise. Une incertitude demeurait notamment pour les données des opérateurs de réseaux et des grandes entreprises du numérique.
La PIPL apporte des précisions sur l’obligation de localisation des données personnelles.
Les opérateurs d’infrastructures d’information critiques restent tenus de stocker les données personnelles sur le territoire chinois, sauf lorsqu’un transfert international est nécessaire, et sous réserve notamment du consentement spécifique de la personne concernée, d’avoir passé un test de sécurité des données organisé par la CAC, et de la signature de clauses contractuelles types entre l’organisme chinois et l’entreprise étrangère. Les conditions du test et les clauses contractuelles types doivent être publiées par la CAC.
b) Les dispositions d’application extra territoriale
Comme le RGPD, la PIPL comporte des dispositions d’application extra territoriale.
La PIPL est en effet applicable notamment :
- aux traitements réalisés en dehors de la Chine mais dont la finalité est de proposer des produits ou des services aux résidents situés en Chine, et
- aux traitements dont la finalité est d’analyser et évaluer les activités des Chinois.
Les organismes réalisant ces types de traitements de données depuis l’étranger devront soit créer un bureau dédié en Chine, soit désigner un représentant en Chine pour s’assurer de l’application de la loi - obligation similaire au RGPD, qui prévoit la nomination d’un représentant dans l’UE.
4. Les sanctions prévues en cas de non-conformité à la PIPL
a) Les sanctions
Deux types de sanctions sont prévus par la PIPL :
- une amende maximum de 50 millions de RMB (environ 6,6 millions €) ou 5% des revenus de l’année précédente, applicable à l’organisme fautif ;
- une amende fixée entre 100.000 RMB (environ 13.000€) et 1 million de RMB (environ 130.000€), applicable aux personnes physiques responsables d’un manquement à la PIPL et l’interdiction de poursuivre leurs activités de directeur, superviseur, responsable ou DPO de l’organisme en cause.
b) Le contrôle de la conformité
La conformité à la PIPL est assurée par la Cyberspace Administration of China (CAC), l’autorité de contrôle au niveau global, mais également par les ministères et services concernés du Conseil d’Etat et les services concernés des gouvernements locaux.
Il convient de noter que la PIPL n’est pas applicable aux services du gouvernement.
La PIPL doit entrer en application le 1er novembre 2021 - laissant très peu de temps aux organismes concernés (les entreprises présentes sur le territoire chinois et les entreprises à l’international traitant des données personnelles de résidents chinois) pour se mettre en conformité. Après la phase de mise en conformité au RGPD en 2018-2019, les entreprises européennes présentes en Chine et celles traitant de données personnelles de résidents chinois doivent engager un projet similaire de mise en conformité à la PIPL, couvrant notamment des audits internes pour identifier les traitements éventuellement concernés par la loi, l’adaptation des politiques de protection des données personnelles et des procédures internes, le cas échéant, la nomination d’un représentant local.
Dans la mesure où certaines dispositions manquent encore de précision ou doivent être complétées, il sera nécessaire de suivre les conditions d’application et d’interprétation de la PIPL par les autorités chinoises concernées, dont la CAC.
* * * * * * * * * * *
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Septembre 2021
Aucun commentaire:
Enregistrer un commentaire