Le 20 août 2021, la Chine a adopté une nouvelle loi sur la protection des informations personnelles (PIPL) qui entrera en vigueur le 1er novembre 2021. Quelques semaines plus tôt, à peine entré à la bourse de New York, Didi, le VTC chinois a été sanctionné, officiellement, pour avoir enfreint les règles sur la protection des données personnelles.
En peu de temps, la Chine s’est dotée d’un véritable arsenal législatif qui vise à encadrer les traitements de données. Il s’agit non seulement de réguler les atteintes aux données personnelles de ses ressortissants, mais également de prévenir toute atteinte à la sécurité de l’État et de protéger les intérêts nationaux.

Ce contrôle d’Internet et de l’activité numérique des individus et des entreprises traduit une forme de protectionnisme numérique qui vise aussi à lutter contre la « colonisation des données » par les géants du net.
Pour les entreprises qui ciblent le marché chinois, le contexte d’incertitude juridique n’est pas sans risque. En effet, le cadre législatif et réglementaire de la protection des données est complexe et des évolutions sont à prévoir ; ensuite, les textes de loi sont souvent suffisamment vagues pour laisser place à interprétation.

La PIPL, premier texte de loi unifié dédié à la protection des données personnelles en Chine

Pour comprendre la réglementation sur la protection des données en Chine, il faut se référer à une multitude de textes :
Tout d’abord, depuis le 1er janvier 2021, le code civil comprend un chapitre sur le “droit à la vie privée et à la Protection des Informations Personnelles”.
En second lieu, citons les lois relatives à la sécurité des réseaux et d’internet. Ensuite, il y a plusieurs textes législatifs majeurs dont, bien entendu, la PIPL :
– la E-commerce Law applicable depuis janvier 2019
– la Cybersecurity Law (CSL) en vigueur depuis 2017 : La CSL par exemple concerne d’abord les opérateurs de réseaux qui ont une obligation de notification des violations de données. Les “opérateurs de réseau” sont définis au sens large par la CSL, ce qui pourrait inclure pratiquement toutes les entreprises opérant en Chine. La CSL impose aux entreprises opérant en Chine d’évaluer leur exposition au risque cyber et de se préparer au processus de certification MLPS 2.0, sous peine d’être confrontées à des audits et à des inspections menées par la police.
– La Data Security Law (DSL) qui a été adopté en juin 2021 et entrera en vigueur en septembre 2021 ;
– La Personal Information Protection Law (PIPL) sera applicable le 1er novembre 2021, d’ici deux mois seulement. La PIPL s’appliquera aux organisations qui traitent des informations personnelles en Chine mais aussi à celles situées en dehors de la Chine :
– qui traitent des informations personnelles dans le but de fournir des produits ou des services à des personnes situées en Chine ;
– qui traitent des informations personnelles dans le but d’analyser ou d’évaluer des personnes situées en Chine.
On retrouve là une situation analogue à ce que prévoit le RGPD dans l’UE.

Il existe des réglementations et des autorités régionales. Le gouvernement de Shenzhen de la province de Guangdong, le plus gros hub de technologies en Chine, vient ainsi de voter la première loi locale sur la sécurité des données qui sera applicable le 1er janvier 2022. Cette réglementation prévoit un cadre spécifique pour le marché des données à Shenzhen. À noter également qu’exceptionnellement le traitement de données pourrait reposer sur l’intérêt légitime du responsable de traitement, en particulier pour la gestion des ressources humaines. Cette réglementation offre la possibilité d’un retrait « partiel » du consentement et elle autorise le profilage à des fins de personnalisation des services sans consentement « spécifique/séparé ». Une autre particularité consiste à définir une sorte de standard de plateforme d’échange de données.

Il y a aussi les normes sectorielles qui portent par exemple sur les informations personnelles financières qui concernent particulièrement les entreprises des secteurs de la banque et de l’assurance mais qui pourraient avoir un impact indirect sur les sociétés qui traitent de telles données dans le cadre du e-commerce.

Enfin on trouve toute une série de lignes directrices et de standards plus ou moins contraignants sur la cybersécurité et la protection des informations. La plupart du temps, les standards ne sont pas contraignants, mais il est recommandé de les prendre très au sérieux car ils établissent les normes du marché, correspondent aux meilleures pratiques et répondent ainsi aux attentes des autorités : le Personal Information Security Specification (GB/T 35273-2020), par exemple, est particulièrement éclairant pour mieux comprendre les législations de protection des données.

L’obligation de localisation des données, nouvelle arme économique aux mains des états

A l’instar d’autres pays dans le monde, la Chine s’inscrit dans une tendance générale qui consiste à imposer, de façon plus ou moins directe, un stockage local des données.
La notion même de localisation recouvre diverses situations :
– La première concerne l’interdiction des transferts de certaines catégories de données et/ou par certains acteurs en charge d’infrastructures critiques.
– Le deuxième cas, porte sur l’obligation de localisation d’une catégorie de données ; cette catégorie peut être plus ou moins vague et donc extensible ; selon les législations, on parle de données spécifiques, données importantes ou sensibles ou qui de données qui relèvent de la sécurité et des intérêts nationaux.
La troisième situation, de plus en plus fréquente, concerne la localisation de fait. En effet, il devient si compliqué de s’assurer de la conformité des transferts de données selon la catégorie de données, les lois applicables et les garanties à mettre en place, avec toujours cette épée de Damoclès que constitue la sanction, que les sociétés préfèrent limiter les risques de sanction en hébergeant les données localement.

En Chine, la CSL contient une exigence de localisation des données, en vertu de laquelle les opérateurs d’infrastructures d’information critiques (CIIOs) ne peuvent pas transmettre les “données importantes” ou les “informations personnelles” qu’ils recueillent ou génèrent en Chine vers une destination située en dehors de la Chine.
La DSL indique que les transferts de données importantes (hors CIIOs) devront respecter les règles émises par l’administration du cyberespace de l’état.
La PIPL, quant à elle, n’interdit pas complètement les transferts de données personnelles en dehors de Chine, mais elle édicte les mesures pour les encadrer. Ainsi, à partir d’un certain volume qui reste à préciser, les données devront être stockées en Chine ou passer une évaluation de sécurité. Il convient donc de rester prudent, car des lignes directrices doivent encore être précisées par l’administration du cyberespace.

Pour les entreprises qui ciblent le marché chinois, l’impact des règlementations sur la sécurité et sur la protection des données sera au moins égal à celui du RGPD

Le principal risque demeure l’incertitude juridique. D’une part, la rédaction n’est pas toujours très claire sur le point de savoir s’il suffit de stocker une copie des données en local ou si l’obligation porte sur l’hébergement en général, d’autre part, cette réglementation est encore loin d’être figée et des précisions sont à venir. Enfin, les listes de données figurant dans une catégorie particulière (sensible, importante) n’étant pas exhaustives, il subsiste des doutes sur la catégorisation de certaines données et par là même sur les règles qui leur sont applicables. Quoiqu’il en soit, la connaissance et la cartographie de ses traitements de données, comme des processus de protection des données et des mesures de sécurité en place ainsi que des transferts de données hors de Chine reste un prérequis. La mise en œuvre d’un programme de conformité et de sécurité solide nécessite des ressources et une expertise robuste. Outre les sanctions pécuniaires, rappelons que les non-conformités aux législations applicables sont aussi passibles de sanctions pénales et que les entreprises contrevenantes pourraient voir leurs traitements interdits et se trouver ainsi exclues du marché chinois.