Le 21 octobre 2020, la République populaire de Chine (RPC) a dévoilé un nouveau projet de loi. Loi sur la protection des renseignements personnels (PIPL), la première loi nationale potentiellement exhaustive sur la protection des données. La PIPL contient de nombreuses dispositions inspirées de la Règlement général sur la protection des données (RGPD) de l'UE dans ses 8 chapitres et 74 articles, en plus de ses lourdes amendes.
Après avoir subi son troisième et dernier examen lors de la réunion de l'Assemblée populaire nationale de Chine en août dernier, la loi devrait désormais entrer en vigueur le 1er novembre 2021, devenant l'une des lois sur la confidentialité les plus strictes actuellement en vigueur.
Bien que la version finale de la loi n'ait pas encore été rendue publique au moment de la publication de cet article, les organisations qui s'attendent à ce que la PIPL s'applique à elles devraient commencer à réfléchir dès maintenant à certains des changements opérationnels potentiels qu'elle pourrait apporter. Voici quelques considérations :
Champ d'application
À l'instar du RGPD, la PIPL s'applique clairement à l'étranger aux entités et personnes physiques étrangères qui traitent les données personnelles de personnes physiques en Chine continentale. Même si une organisation n'a pas de présence physique ni d'entité juridique en Chine, la loi peut néanmoins s'appliquer si le traitement des données personnelles hors de Chine vise à :
-
- fournir des produits ou des services à des particuliers en Chine,
- « analyser » ou « évaluer » le comportement des individus en Chine, ou
- à d’autres fins à préciser par les lois et règlements.
Responsables du traitement des informations personnelles
Contrairement à la plupart des réglementations actuelles en matière de confidentialité, la PIPL ne fait pas de distinction entre responsable du traitement et sous-traitant. Les organisations responsables de la conformité à la PIPL sont des « sous-traitants de données personnelles », ce qui, selon la PIPL, désigne « les organisations ou les individus qui déterminent de manière indépendante la finalité, la portée et les moyens du traitement des informations personnelles. »
En d'autres termes, un sous-traitant de données personnelles au sens de la PIPL est comparable à un responsable du traitement des données au sens du RGPD. Les entités à qui sont confiées le traitement des informations personnelles pour le compte de les informations d'un responsable du traitement des informations personnelles doivent convenir contractuellement de la finalité, de la conservation, du mode de traitement et des mesures de protection de ces informations. En outre, ces fiduciaires doivent accepter de ne pas partager ni utiliser en aval les informations personnelles sans le consentement du responsable du traitement des informations personnelles.
Il convient également de noter que la version finale de la PIPL établit une distinction entre les plateformes Internet à grande échelle et les « petits » processeurs de données personnelles. Ces organisations à grande échelle devrait suivre « les principes d'ouverture, d'équité et de justice pour formuler des règles de plateforme pour la protection des informations personnelles » – qui incluent la publication « Rapports sur la responsabilité en matière de renseignements personnels » – tout en permettant aux régulateurs chinois d’établir des règles pertinentes pour les transformateurs à petite échelle qui « réduiraient de manière appropriée leurs coûts de conformité ».
Définitions des données
Les « informations personnelles » ont une définition similaire Comparé à la définition des « Données personnelles » du RGPD, il s'agit essentiellement d'« informations enregistrées par voie électronique ou autre, relatives à des personnes physiques identifiées ou identifiables, à l'exclusion toutefois de ces informations après un traitement d'anonymisation ».
La PIPL contient également une disposition relative aux « Informations personnelles sensibles », similaire aux « Catégories particulières de données personnelles » du RGPD. Les Informations personnelles sensibles désignent les Informations personnelles qui, une fois divulguées ou utilisées illégalement, peuvent entraîner une discrimination à l'encontre des personnes ou porter gravement atteinte à la sécurité des personnes ou des biens. Cela comprend (sans s'y limiter) les informations sur :
- Course,
- Ethnie,
- Croyances religieuses,
- Données biométriques personnelles,
- Informations personnelles des mineurs de moins de 14 ans
- informations sur la santé
- informations sur les comptes financiers, et
- informations de localisation
Le consentement explicite est requis pour le traitement des informations personnelles sensibles.
Programme de protection des données
La PIPL exige des responsables du traitement des données personnelles qu'ils créent un programme de protection des données. La loi comprend également une liste non exhaustive de mesures spécifiques, telles que :
- Mettre en œuvre un système de gestion classifié des informations personnelles
- Audits de conformité réguliers
- Évaluations d'impact
- Sensibilisation et formation des employés
- Désignation d'un délégué à la protection des données
- Registres des activités de traitement
- Protocoles de demande de droits individuels
- Exigences en matière de réponse et de signalement des violations de sécurité
Comme pour le RGPD, les organisations situées en dehors de la Chine et soumises à la loi devront nommer un représentant à la protection des données en Chine et également signaler les informations pertinentes concernant leur organisation ou leur représentant national aux régulateurs chinois.
Droits individuels
La PIPL inclut divers droits des personnes concernées, similaires au RGPD. Ces droits individuels comprennent :
- Droit à une explication sur les activités de traitement des données
- Droit d'accès aux informations personnelles
- Droit de rectification
- Droit à la portabilité
- Droit de refuser le marketing personnalisé
- Droit à l'effacement
Si la période de conservation prévue par les lois et règlements n’a pas expiré, ou si la suppression des informations personnelles est techniquement difficile à réaliser, le responsable du traitement des informations personnelles doit cesser de traiter les informations, à l’exception du stockage et de la prise des mesures de protection de sécurité nécessaires.
Les organisations doivent mettre en place un mécanisme pratique permettant aux individus d'exercer leurs droits. Si l'organisation refuse à des individus la possibilité d'exercer leurs droits – et qu'ils doivent justifier ce refus –, ceux-ci peuvent alors intenter une action en justice devant un tribunal populaire, conformément à la loi.
Bases juridiques du traitement de l'information
PIPL fournit plusieurs bases juridiques pour le traitement des informations personnelles – celles-ci incluent :
- Le consentement de la personne – même si ses informations sont accessibles au public
- Exécution ou exécution d'un contrat avec l'individu
- Satisfaire aux exigences et obligations réglementaires
- Incidents de santé publique ou situations d'urgence
- Nécessaire pour un reportage précis de l'actualité ou pour surveiller l'opinion publique dans l'intérêt public
- Conformité aux autres lois et réglementations chinoises
Consentement
La PIPL exige que le consentement soit clair, volontaire et éclairé. De plus, des exigences de consentement spécifiques s'appliquent à certaines situations :
- Consentement spécifique requis pour le traitement des informations personnelles sensibles
- Consentement parental pour le traitement des informations personnelles des mineurs de moins de 14 ans – si le responsable du traitement des informations personnelles sait ou aurait dû savoir qu’il traite les informations personnelles d’un enfant.
- Consentement à la prise de décision automatisée processus. Consentement – accompagné d'une mention spécifique dans la déclaration de confidentialité de l'organisation – au transfert ou au partage de renseignements personnels et aux mécanismes de prise de décision automatisée. À l'instar de la loi californienne sur la protection de la vie privée, l'utilisation de renseignements personnels à des fins de prise de décision automatisée « ne doit pas imposer de différence de traitement déraisonnable aux individus en termes de prix et autres conditions de transaction ».
La PIPL ne prévoit pas de délai précis pour l'obtention du consentement. La loi implique que celui-ci doit être obtenu « en temps opportun », sans toutefois préciser ce que signifie « en temps opportun ».
Localisation des données
Contrairement aux exigences actuelles de localisation des données prévues par la loi chinoise sur la sécurité (CSL), la PIPL impose des exigences plus spécifiques aux organisations qui doivent stocker des informations traitées spécifiquement sur le territoire de la RPC. Le responsable du traitement des informations personnelles qui traite un certain nombre d'informations personnelles devra se soumettre à une évaluation de sécurité organisée par l'autorité de régulation de la PIPL : l'Administration chinoise du cyberespace (CAC).
Transferts transfrontaliers
La PIPL exige une évaluation de sécurité administrée par la CAC, ainsi qu'une notification et un consentement, pour tout transfert transfrontalier de données. Les organisations doivent réaliser une évaluation interne des risques avant de transférer des informations personnelles hors de la RPC et conserver des traces de ces transferts. Les responsables du traitement des informations personnelles peuvent également recourir à des mécanismes de transfert approuvés par la PIPL, tels qu'un évaluateur de sécurité tiers certifié, ou conclure un accord standardisé de transfert de données transfrontalier.
Notification de violation
En cas de violation de sécuritéLa PIPL exige des entités qu'elles prennent des mesures correctives « immédiates » et informent l'organisme compétent et les personnes concernées. Contrairement au RGPD et à la plupart des lois des États américains sur la notification des violations, il n'existe pas de délai précis pour la notification.
Application de la loi et amendes
La PIPL offre un droit d’action privé relativement large – la possibilité pour les particuliers d’intenter une action en justice – ainsi qu’une application générale par le CAC.
En vertu de la PIPL, toute organisation qui traite illégalement des informations personnelles ou ne prend pas les mesures de sécurité nécessaires pour les protéger est passible d'amendes de base pouvant aller jusqu'à 1 million de RMB. Si l'infraction est jugée grave, l'amende peut être portée à 50 millions de RMB ou 5% du chiffre d'affaires annuel de l'organisation pour l'exercice précédent.
La loi prévoit également une disposition relative à la responsabilité personnelle en cas de violation : le personnel directement responsable du traitement des informations personnelles peut être condamné à une amende pouvant aller jusqu'à 1 million de RMB.
Comment se conformer à la PIPL
La PIPL, ainsi que la toute nouvelle loi chinoise sur la sécurité des données, applicable aux informations critiques présentant un risque pour la sécurité nationale, s'inscrivent dans le cadre des efforts déployés par la RPC pour renforcer son cadre réglementaire en matière de protection de la vie privée et des données. La réforme législative en RPC est également très rapide : la PIPL entrera en vigueur le 1er novembre prochain, après avoir été récemment adoptée. Loi sur la sécurité des données entrera en vigueur le 1er septembre. En effet, le CAC a annoncé cet été qu'il lancer une enquête contre Didi Global, l'application chinoise de covoiturage, pour violation présumée de la vie privée des utilisateurs.
Ces réglementations auront un impact majeur sur les entreprises opérant ou faisant des affaires avec la Chine. Mais comme le dit le proverbe chinois Nàixīn, jiānchí hé hànshuǐ shì chénggōng de bìshèng fǎbǎo. – « Patience, persévérance et transpiration forment une combinaison imbattable pour réussir ». Bien que de nombreux détails de mise en œuvre restent flous, les organisations devraient commencer à examiner et à évaluer leurs informations. activités de traitement désormais conforme aux exigences de la réglementation complète. BigID peut aider les organisations à opérationnaliser leurs programmes de confidentialité, des inventaires d'informations personnelles à automatisation des droits sur les données de la réalisation au suivi des transferts transfrontaliers – obtenez un 1:1 avec nos experts en confidentialité des données pour savoir comment se conformer à la PIPL – et par où commencer.