La protection des données, nouveau sésame pour accéder au marché chinois

En peu de temps, la Chine s'est dotée d'un véritable arsenal législatif qui vise à encadrer les traitements de données. Il s'agit non seulement de réguler les atteintes aux données personnelles de ses ressortissants mais également de prévenir toute atteinte à la sécurité de l'Etat et de protéger les intérêts nationaux.

Le 20 octobre 2021, la Chine a adopté une nouvelle loi sur la protection des informations personnelles (PIPL) qui entrera en vigueur le 1er novembre  2021. Quelques semaines plus tôt, à peine entré à la bourse de New York, Didi, le VTC chinois a été sanctionné, officiellement, pour avoir enfreint les règles sur la protection des données personnelles. En peu de temps, la Chine s'est dotée d'un véritable arsenal législatif qui vise à encadrer les traitements de données.

Il s'agit non seulement de réguler les atteintes aux données personnelles de ses ressortissants mais également de prévenir toute atteinte à la sécurité de l'Etat et de protéger les intérêts nationaux. Ce contrôle d’Internet et de l’activité numérique des individus et des entreprises traduit une forme de protectionnisme numérique qui vise aussi à lutter contre la « colonisation des données » par les géants du net.

Pour les entreprises qui ciblent le marché chinois, le contexte d’incertitude juridique n’est pas sans risque. En effet, le cadre législatif et réglementaire de la protection des données est complexe et des évolutions sont encore à prévoir ; ensuite, les textes de loi sont suffisamment vagues pour laisser place à interprétation.

La PIPL est le premier texte de loi unifié dédié à la protection des données personnelles en Chine 

Pour comprendre la réglementation sur la protection des données en Chine, il faut se référer à une multitude de textes : 

  • Pour commencer, depuis le 1er janvier 2021, le code civil comprend un chapitre sur le "droit à la vie privée et à la Protection des Informations Personnelles" ;
  • Ensuite il existe plusieurs textes législatifs majeurs dont bien entendu la future PIPL :
  1. La E-commerce Law applicable depuis janvier 2019
  2. La Cybersecurity Law (CSL) qui est en vigueur depuis 2017 : La CSL par exemple concerne d’abord les opérateurs de réseaux qui ont une obligation de notification des violations de données. Les "opérateurs de réseau" sont définis au sens large par la CSL, ce qui pourrait inclure pratiquement toutes les entreprises opérant en Chine. La CSL impose aux entreprises opérant en Chine d’évaluer leur exposition au risque cyber et de se préparer au processus de certification MLPS 2.0, sous peine d'être confrontées à des audits et à des inspections menées par la police.
  3. La Data Security Law (DSL) qui a été adopté en juin 2021 et entrera en vigueur en septembre 2021 ;
  4. La Personal Information Protection Law (PIPL) qui sera applicable dès novembre 2021 concernera les organisations qui traitent des informations personnelles en Chine mais aussi à celles situées en dehors de la Chine quand elles fournissent des produits ou des services à des personnes situées en Chine ou si elles traitent des informations personnelles dans le but d'analyser ou d'évaluer des personnes situées en Chine. On retrouve là une situation analogue à ce que prévoit le RGPD mais appliquée au contexte chinois.
  • On doit aussi citer les réglementations et les autorités régionales. Le gouvernement de Shenzhen de la province de Guangdong, le plus gros hub de technologies en Chine, vient ainsi de voter la première loi locale sur la sécurité des données qui sera applicable le 1er janvier 2022. Cette réglementation prévoit un cadre spécifique pour le marché des données à Shenzhen. A noter qu’exceptionnellement cette loi prévoit que le traitement de données puisse reposer sur l’intérêt légitime du responsable de traitement en particulier pour la gestion des ressources humaines. Cette réglementation permet un retrait « partiel » du consentement et elle autorise le profilage à des fins de personnalisation des services sans consentement « spécifique/séparé ». Autre particularité,  la définition d'une sorte de standard de plateforme d’échange de données.
  • En Chine comme ailleurs, on trouve des normes sectorielles qui portent par exemple sur les informations personnelles financières et qui pourraient avoir un impact indirect sur les sociétés qui traitent de telles données dans le cadre du e-commerce.
  • Enfin on trouve toute une série de lignes directrices et de standards plus ou moins contraignants sur la cybersécurité et la protection des informations. La plupart du temps, les standards ne sont pas contraignants, mais il est recommandé de les prendre très au sérieux car ils établissent les normes du marché, correspondent aux meilleures pratiques et répondent ainsi aux attentes des autorités : le Personal Information Security Specification (GB/T 35273-2020) par exemple détaille les règles relatives à l’information des personnes, au consentement, à la collecte et au stockage chiffré des données sensibles, à la collecte de données relatives aux mineurs (14 ans et moins), au partage et aux transferts de données hors de Chine, à la durée de conservation des informations personnelles, à ce qui s’apparente au principe de finalité spécifique que nous retrouvons dans le règlement européen, au profilage et à la personnalisation des services et contenus, aux notifications d’incident de sécurité, aux droits des personnes, ou au registre des traitements. Ce standard va d’ailleurs plus loin que le principe de minimisation du RGPD puisqu’il comprend une disposition sur la dé-identification des données dès leur collecte.

L’obligation de localisation des données devient une arme économique aux mains des états

A l’instar d’autres pays dans le monde, la Chine s’inscrit dans une tendance générale qui consiste à imposer un stockage local des données.

La notion même de localisation recouvre diverses situations :

  • La première concerne l’interdiction des transferts de certaines catégories de données et /ou par certains acteurs en charge d’infrastructures critiques.
  • Le deuxième cas, porte sur l’obligation de localisation d’une catégorie de données ; cette catégorie peut être plus ou moins vague et donc extensible ; selon les législations, on parle de données spécifiques, données importantes ou sensibles ou de données qui relèvent de la sécurité et des intérêts nationaux
  • La troisième situation, de plus en plus fréquente, concerne la localisation de fait. En effet, il devient si compliqué de s’assurer de la conformité des transferts de données selon la catégorie de données, les lois applicables et les garanties à mettre en place, avec toujours cette épée de Damoclès que constitue la sanction, que les sociétés préfèrent limiter les risques de sanction en hébergeant les données localement.

En Chine, la CSL contient une exigence de localisation des données, en vertu de laquelle les opérateurs d'infrastructures d'information critiques (CIIOs) ne peuvent pas transmettre les "données importantes" ou les "informations personnelles" qu'ils recueillent ou génèrent en Chine vers une destination située en dehors de la Chine. 

La DSL indique que les transferts de données importantes (hors CIIOs) devront respecter les règles émises par l’administration du cyberespace de l’état.

La PIPL, quant à elle n’interdit pas complètement les transferts de données personnelles en dehors de Chine mais elle édicte les mesures pour les encadrer. Ainsi à partir d’un certain volume qui reste à préciser, les données devront être stockées en Chine ou passer une évaluation de sécurité. Il convient donc de rester prudent car des lignes directrices doivent encore être précisées par l’administration du cyberespace. 

Pour les entreprises qui ciblent le marché chinois, l’impact des règlementations sur la sécurité et sur la protection des données sera au moins égal à celui du RGPD 

Le principal risque demeure l’incertitude juridique. D’une part la rédaction n’est pas toujours très claire sur le point de savoir s’il suffit de stocker une copie des données en local ou si l’obligation porte sur l’hébergement en général, d’autre part cette réglementation est encore loin d’être figée et des précisions sont à venir, enfin, les listes de données figurant dans une catégorie particulière (sensible, importante) n’étant pas exhaustives, il subsiste des doutes sur la catégorisation de certaines données et par là même sur les règles qui leurs sont applicables. 

Quoiqu’il en soit, la connaissance et la cartographie de ses traitements de données, comme des processus de protection des données et des mesures de sécurité en place ainsi que des transferts de données hors de Chine reste un prérequis. La mise en œuvre d'un programme de conformité et de sécurité solides nécessite des ressources et une expertise robuste. Outre les sanctions pécuniaires, rappelons que les non-conformités aux législations applicables sont aussi passibles de sanctions pénales et que les entreprises contrevenantes pourraient voir leurs traitements interdits et se trouver ainsi exclues du marché chinois.