Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Entrée en vigueur de la PIPL, le RGPD made in China

Publié le par

Ce lundi 1er novembre, le PRC Personal Information Protection Law (the PIPL) est entré en vigueur dans toute la République populaire de Chine. C’est dans le but de maîtriser les géants de la technologie et en réponse aux nombreuses pressions externes que la Chine accouche de son premier texte unifié en matière de protection des données. Cette loi nationale se veut très comparable mais pas pour autant identique à son grand frère européen, le RGPD.

Fondements de la nouvelle loi

La Chine a adopté le 20 aout 2021 son premier texte de loi unifié dédié à la protection des données. Jusqu’ici, les règles en la matière étaient fixées de manière éclatée par une multitude de textes sans être centralisées au niveau national : Code civil, loi E-commerce (2017), Guardian State Secret Law (2010), Encryption Law (2020), Data Security Law (2021), Cybersecurity Law (2017), standards, normes sectorielles etc.

Ce cadre légal était surtout très peu contraignant à propos des activités numériques, ce qui faisait d’ailleurs le plus grand bonheur des géants chinois tels que Alibaba et Xiaomi.

Si le laxisme qu’on observe en matière de protection des données depuis de nombreuses années est propre à la République populaire de Chine, l’on peut légitimement se demander ce qui l’a poussée à adopter un tel texte juridique unifié. Bien qu’il n’y ait pas un incitant unique, l’on peut raisonnablement considérer que les facteurs suivants sont à l’origine de l’initiative :

  • La pression mondiale pour renforcer la protection des données, notamment par l’Europe qui a déjà fêté le 3e anniversaire de son RGPD ;
  • La colonisation du Web par les grands acteurs. L’Etat Chinois entend lutter contre l’emprise des géants chinois dont le modèle économique repose aujourd’hui de plus en plus sur l’exploitation des données de clients. Comme le constatait  Winston MA de la faculté de droit à l’université de New-York, « En général, l’ère de la « croissance exponentielle dans le désert » pour l’expansion des entreprises technologiques chinoises est révolue, qu’elles soient nationales ou étrangères » ;
  • L’exploitation abusive sous-jacente, par ces géants chinois. L’indulgence offerte jusqu’ici par les textes aux grands acteurs est évidemment la porte ouverte aux dérives. Parmi les nombreux exemples, citons celui du leader chinois de la livraison à domicile qui a été accusé de différencier ses tarifs de livraison en fonction du statut socio-économique du client. La liberté opérationnelle laissée jusqu’ici engendre un réel commerce des données sur le marché noir et des pratiques déplorables par les entreprises, comme la revente pour quelques cent d’images faciales sur le web ;
  • L’augmentation des fuites de données. Si les autorités élargissent sans cesse les mesures de surveillance des citoyens notamment par les technologies de reconnaissance faciale dans le cadre du calcul du crédit social, les fuites de données sont aussi de plus grande ampleur. C’est notamment ainsi que 202 millions de demandeurs d’emplois ont vu leurs données exposées en libre accès ;
  • L’augmentation des sanctions, comme conséquence des pratiques abusives, heureusement condamnées par l’Etat ;
  • La pression montante des citoyens. Si les grands acteurs ont construit leur modèle économique autour du manque de sensibilisation des citoyens à la protection de la vie privée, ces derniers sont de plus en plus informés et commencent à s’insurger face aux utilisations abusives de leurs données. Une enquête menée en 2019 révèle en effet que 70% des personnes interrogées s’inquiètent de l’utilisation de la technologie de reconnaissance faciale dans les espaces publics ;   
  • La volonté de la Chine de devenir une superpuissance technologique. C’est aussi dans cette démarche plus globale que l’on peut voir une telle initiative.  La Chine entend protéger sa sécurité nationale et ensuite le consommateur grâce à des mesures d’antitrust et de protection des données.  La PIPL permettra à la Chine de protéger son autonomie numérique, notamment en contrôlant la circulation des données.

Similitudes avec le RGPD

  • C’est d’abord au niveau de la structure générale que la PIPL montre les premiers rapprochements avec le RGPD. Elle comporte 8 chapitres et 74 articles contre 11 chapitres et 99 articles pour le RGPD, qui abordent les mêmes thématiques ;
  • Pour son champ d’application territorial, de la même manière que le RGPD, la PIPL s’applique aux activités de traitement des informations personnelles des personnes physiques à l’intérieur de la République populaire de Chine. Elle s’applique aussi aux traitements effectués hors territoire lorsque le but est de fournir des produits et services à des individus en Chine, ou d’évaluer le comportement d’individus en Chine, ou pour d’autres circonstances prévues par les lois et règlements administratifs ;
  • Bien qu’ils ne soient pas identiques, les concepts employés par la PIPL sont fidèles à ceux du RGPD : information personnelle, traitement, information personnelle sensible,… Ils illustrent la même interprétation large de la notion et englobante « d’information personnelle » ;
  • Les grands principes de la PIPL nous rappellent aussi ceux du RGPD : légalité, pertinence, nécessité, bonne foi, finalité, minimisation, transparence, ouverture, exactitude et sécurité ;
  • Comme l’Europe, la Chine impose aux organisations d’avoir une base légale pour traiter des informations personnelles. Alors que le consentement était jusqu’aujourd’hui l’unique base de licéité pour le traitement des données (les autres étant prévues dans des lignes directrices non contraignantes juridiquement), la PIPL le renforce en introduisant le concept de consentement séparé pour certains traitements et ajoute 6 autres bases juridiques similaires au RGPD (l’exécution d’un contrat, l’obligation légale, la sécurité et santé publique, etc.). Un seul grand absent : l’intérêt légitime ;
  • La PIPL s’aligne au RGPD en prévoyant les mêmes droits pour la personne concernée, avec comme nouveauté le droit à la portabilité des données qui n’était pas présent dans les deux versions antérieures du projet ;
  • Pour le reste, on y retrouve aussi des obligations similaires en matière d’analyse d’impact lorsqu’un traitement est susceptible d’avoir des conséquences significatives sur les individus, elle prévoit aussi des exigences contractuelles et de sécurité en matière de sous-traitance, l’obligation de désigner un délégué à la protection des données, l’obligation de notification en cas de violation de données, …

Les différences avec le RGPD

Le parallélisme entre les deux textes n’est pour autant pas parfait. De manière générale, la loi chinoise reste nettement plus vague que le RGPD et nécessitera des lignes directrices pour préciser certains termes équivoques.

Elle émerge dans le but de renforcer la sécurité nationale davantage que dans un but strict de protection de l’individu, ce qui justifie des développements plus importants sur d’autres priorités que celles du RGPD.

Parmi celles-ci, on l’a relevé, la Chine entend cadrer l’emprise des grands acteurs. C’est ainsi que le nouveau texte prévoit en cas de violation de la loi, des sanctions jusqu’à 5 pourcents du chiffre d’affaires (contre 4 pourcents pour le RGPD), avec au surplus la possibilité de suspendre ou de résilier les services fournis par l’entreprise concernée. Notons que le texte ne précise pas s’il s’agit du chiffre d’affaires global ou local.

Contrairement au RGPD, la PIPL prévoit directement des obligations à charge des plateformes fournisseurs Internet, d’établir un organisme indépendant pour la supervision, de suspendre les services pour les fournisseurs qui enfreignent la loi et de fournir des rapports.

Une autre majeure différence avec le RGPD porte sur les transferts internationaux de données. Outre des garanties similaires à celles prévues par le RGPD, la loi conditionne le transfert à la réalisation d’une analyse de sécurité préalable (du type DPIA), en plus de collecter le consentement séparé de la personne concernée et de lui fournir les informations spécifiques. La PIPL tend aussi à limiter les transferts transfrontaliers de données par les fournisseurs traitant un nombre considérable de données en imposant, sauf autorisation spécifique par le département d’Etat après analyse d’impact, de stocker l’intégralité des données exclusivement sur le territoire chinois.

Ces règles illustrent la stratégie du gouvernement chinois de maintenir l’autonomie numérique de la Chine en contrôlant la circulation des données hors du territoire. Peut-on le leur reprocher ? Il s’agit de la même stratégie que celle adoptée par l’UE, notamment par l’arrêt Schrems II qui tend à favoriser les transferts « locaux » de données…

Pour le reste, la loi laisse bien sûr certaines prérogatives au gouvernement, nulles connues des autres législations, et c’est toute la spécificité de la République populaire de Chine. Elle prévoit ainsi à l’article 42 la possibilité pour les autorités d’interdire la fourniture de données et de maintenir une liste noire des individus et organisations ayant agi en violation avec les intérêts des citoyens ou de la République ou contre la sécurité nationale ou l’intérêt public.

L’Etat chinois, le grand oublié ? entre protection et surveillance

Le doute plane sur l’applicabilité du texte aux organes étatiques de la Chine. En principe, bien que l’attention soit portée sur l’application de la loi aux entreprises, des exigences sont aussi imposées aux organes de l’Etat qui, en qualité de « gestionnaires d’informations personnelles », doivent s’y soumettre…

C’est précisément ce que prévoit l’article 33 de la PIPL.

Comme les autres gestionnaires d’informations personnelles, les organes étatiques doivent respecter les grands principes de légalité, finalité, légitimité, transparence, …

L’Etat devrait respecter les obligations prévues par le chapitre V en nommant un DPO (agent de protection des informations personnelles), faisant des analyses d’impact, notifiant les fuites et les risques, publiant ses rapports, etc.

L’article 34 précise que les organes de l’Etat qui traitent des informations personnelles dans le cadre de leurs pouvoirs le font conformément aux procédures et prérogatives prévues par les lois. L’article précise qu’ils ne peuvent excéder la portée ou la mesure nécessaire pour s’acquitter de leurs devoirs.

Cependant, parallèlement à la mise en place d’un cadre de protection du consommateur, le contrôle par l’Etat reste bel et bien omniprésent et la surveillance des citoyens se renforce. Les caméras et systèmes de reconnaissance faciale s’installent au quotidien pour les citoyens et régulent le comportement de rigueur notamment par le système du crédit social. C’est sans parler des rapports qui dénoncent l’espionnage à grande échelle effectué grâce aux backdoors dont le gouvernement disposerait dans plusieurs applications populaires.

Le parti communiste au pouvoir ne se le cache pas, et comme le constate Daum de Yale (chercheur au centre chinois Paul Tsai de la faculté de droit de Yale), la surveillance de masse reste pour le gouvernement essentielle pour le maintien de la stabilité, et il est peu probable que les nouvelles lois protègent les citoyens contre le gouvernement chinois : « en fin de compte, lorsque les choses se gâteront, la sécurité publique et la sûreté publique auront la priorité sur la vie privée ».

Même s’il est déraisonnable de penser que ces nouvelles mesures vont strictement limiter les plateformes étatiques telles que celle calculant le crédit social, ce nouveau texte en vigueur fait miroir d’une bonne volonté de la Chine pour encadrer la sécurité et le traitement des données. C’est toute la spécificité de l’Empire du Milieu que de limiter de traitement des données par les entreprises, alors que l’Etat s’en donne à cœur joie en renforçant le contrôle par la reconnaissance faciale.

Plus d’infos ?

En lisant la traduction en anglais de la version finale du texte disponible au lien suivant.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK