La Chine à l'ère de la réglementation sur les données personnelles

Alors que s'approche la date d'entrée en vigueur de la première réglementation exhaustive chinoise dédiée à la protection des données à caractère personnel, nous revenons dans cette tribune sur ses principes fondamentaux.

Le 20 août 2021, le Comité Permanent de l'Assemblée Nationale Populaire (CPANP) a adopté la “Personal Information Protection Law” (PIPL). Il s’agit du premier cadre juridique exhaustif pour la Chine dans le domaine désormais aussi stratégique que sensible de la protection des données à caractère personnel.

La PIPL entrera en vigueur le 1er novembre 2021. Quels sont les grands principes de ce texte ? Quels sont les enjeux juridiques, mais également géopolitiques qu’il recouvre ?

Grands principes textuels : la PIPL est-elle un simple “RGPD chinois” ?

Par le biais de l’adoption de la PIPL, la Chine s’inscrit dans un mouvement plus global d’encadrement juridique des traitements des données à caractère personnel. Ces dernières années, divers pays ont en effet entrepris cette démarche, bien souvent en se basant sur le texte européen du Règlement Général sur la Protection des Données (RGPD).

> Un socle textuel similaire

La PIPL ne semble, à première vue, pas faire exception à la règle, en implémentant un ensemble de règles très similaires à celles du RGPD. Ainsi, la définition même d’une donnée à caractère personnel reprend les termes exacts du RGPD (Article 4 - PIPL : “Personal information refers to various kinds of information related to identified or identifiable natural persons [...]”).

Les organisations traitant les données à caractère personnel se voient également attribuer des qualités juridiques qui rappellent fortement celles définies par le RGPD (article 20 - 21 PIPL) : on retrouve en effet les concepts de responsable de traitement, sous-traitant, responsables conjoints, avec des obligations distinctes.

Qu’il s’agisse ensuite du champ d’application territorial, des bases juridiques autorisant les traitements, ou encore les droits des personnes concernées, les similarités avec le RGPD restent frappantes.

> Des divergences cruciales

Si la PIPL reste conforme à la plupart des principes du RGPD, les divergences existantes, bien que peu nombreuses, portent sur des obligations cruciales.

La principale porte sur les transferts transfrontaliers des données à caractère personnel. Dans ce cadre, la PIPL introduit un certain nombre d’exigences semblables au RGPD, telle que l’adoption des mesures nécessaires pour garantir que le destinataire des données assure un niveau de protection comparable à celui établi par la PIPL (Article 38 - PIPL).

Cependant, la PIPL va également bien plus loin que le RGPD sur ce point. En effet, l’article 39 PIPL énonce que, dès lors qu’un transfert de données à caractère personnel est envisagé, une analyse d’impact doit automatiquement être conduite, la personne concernée doit se voir communiquer un ensemble d’informations précises concernant le destinataire des données, et doit fournir un consentement séparé pour autoriser un tel transfert.

Les précautions du gouvernement chinois relatives aux transferts ne s’arrêtent pas là. L’article 40 PIPL prévoit que, pour les opérateurs d’infrastructures stratégiques (“Critical information infrastructure operators”), ou à partir d’un certain seuil de données traitées (qui n’a pas encore été défini), l’intégralité des données à caractère personnel devra être stockée sur le territoire chinios. Pour de tels acteurs, un éventuel transfert ne sera autorisé qu’après une évaluation de sécurité organisée par le département d'État de la cybersécurité et de l'informatisation.

Un enjeu géostratégique de premier plan

Il s’agit pour le gouvernement chinois de protéger l’autonomie numérique de la Chine en favorisant la localisation des données sur son territoire, et en contrôlant étroitement la circulation des données considérées comme stratégiques. Du point de vue de la politique internationale chinoise, les transferts de données représentent un outil extrêmement efficace pour asseoir la souveraineté du pays tout en évitant le développement d’une quelconque vassalisation économique ou technologique vis-à-vis d’une autre puissance, telle que les États-Unis. La PIPL et la régulation stricte des transferts illustre parfaitement la volonté du gouvernement chinois de se saisir d’un tel outil pour en exploiter pleinement le potentiel.

Une telle vision recoupe assez remarquablement les récents développements juridiques européens entourant les transferts. L’arrêt Schrems II, la révocation de la décision d’adéquation visant les États-Unis tout comme la fragilisation des clauses contractuelles types sont autant d’exemples illustrant une volonté européenne de tendre vers un encadrement plus stricte des transferts de données vers des pays tiers, afin de favoriser les acteurs locaux mais aussi de soustraire ces données aux législations à effet extra-territoriales des grandes puissances numériques.

L’entrée en vigueur de la PIPL en novembre prochain s’inscrit donc dans un mouvement plus général de polarisation de la donnée. L’espace numérique mondial se fracture progressivement, suivant les lignes des souverainetés nationales ou régionales. Ce phénomène ne fera que s’accentuer, au fur et à mesure de la prise de conscience par les États des enjeux stratégiques fondamentaux portés par les données et leur circulation. Doit-on déplorer une telle polarisation ? Doit-on s’en réjouir ?

Il est certain qu’il s’agit d’une forme de protectionnisme numérique rendant plus difficile une coopération globale favorisant l’innovation et le progrès technologique grâce à la libre circulation des données. Il faut cependant également avoir conscience d’un certain nombre d’effets bénéfiques, comme une protection plus solide de la vie privée des personnes concernées au travers de la maîtrise des transferts de leurs données, ou la défense des intérêts stratégiques étatiques contre les ingérences étrangères.

Comme souvent, il s’agira finalement de trouver un équilibre satisfaisant au sein de cet équilibre délicat des souverainetés, en proposant des solutions qui, sans s’abandonner à une exploitation débridée des données à caractère personnel, n’étouffera pas l’innovation par un isolement autarcique exacerbé.