Flux de données entre la Chine et l’Europe : la Chine publie sa première loi sur la protection des données personnelles
Prudence Cadio
Estelle ChenCollaborateurShanghaiEstelle Chen
Eva NaudonCollaborateurParisEva Naudon
Fanny NguyenAssociéShanghaiFanny Nguyen
Olivia RocheCollaborateurParisOlivia Roche
9 novembre 2021
Flux de données entre la Chine et l’Europe : la Chine publie sa première loi sur la protection des données personnelles
Le 1er novembre 2021, la Personal Information Protection Law (PIPL), équivalente musclée du RGPD est entrée en vigueur en Chine. Elle vient s’ajouter à l’arsenal législatif mis en place (notamment la Loi Cybersécurité de 2017 et la Loi sur la Protection des Données de 2021). Elle éclaircit et renforce le cadre juridique au sein duquel les entreprises peuvent collecter, utiliser, partager ou transférer les données personnelles de toute personne se trouvant sur le territoire chinois.
Chaque entreprise peut être concernée par cette loi, à des niveaux différents en fonction du volume des données traitées, du statut du collecteur des informations (critical information infrastructure operator CIIO) et de la nature de ces dernières. Les informations personnelles en Chine sont définies comme toute information de quelque nature que ce soit, identifiant ou pouvant identifier les personnes physiques.
Un des points majeurs de cette loi est son extraterritorialité et l’obligation affirmée pour les entreprises basées hors de Chine de devoir soit établir une entité en Chine soit avoir un représentant local pour gérer la protection des données personnelles qu’elles collectent. Cette obligation s’adresse à toutes les entreprises étrangères qui ont accès à ces données personnelles dans l’objectif de fournir un service, vendre un produit ou analyser les comportements de toute personne installée sur le territoire chinois. Une infraction à cette obligation pourrait entraîner une inscription de l’entreprise concernée sur une liste noire (« blacklisting »), qui lui interdirait l’accès au marché chinois. Elle oblige ainsi toute société qui collecte ou simplement accède à des données personnelles en Chine à mettre en place les mesures de protection nécessaires à sa conformité sous risque de se voir fermer toute opportunité de développer le marché chinois, outre un risque d’amende important.
Pour les entreprises installées en Chine, en sus du risque de révocation de la licence d’activité, cette loi fait état de pénalités financières significatives pouvant aller jusqu’à 50 millions de RMB ou 5% du chiffre d’affaires (la loi ne précise pas à ce stade si elle fait référence au chiffre d’affaires mondial ou domestique) de l’entreprise ne remplissant pas ces obligations.
Cette situation doit se conjuguer avec l’application du RGPD à toutes les entreprises d’origine chinoise ayant un établissement sur le territoire de l’Union Européenne (UE), ou localisées en Chine mais offrant des services à distance à des personnes se trouvant sur le territoire de l’UE. La mise en conformité aux exigences du RGPD devra ainsi se superposer aux nouvelles règles de la PIPL pour les sociétés soumises aux deux règlementations.
La Commission Européenne a par ailleurs récemment mis à jour ses exigences en matière de transfert de données en dehors de l’UE, s’appliquant aux partenaires européens d’entreprises chinoises souhaitant transmettre des données en Chine, ou bien aux entreprises chinoises désirant accéder à des données situées dans l’Union. En effet, les « clauses contractuelles types » (CCT) proposées par la Commission – outil de conformité des transferts de données largement utilisé – ont été modifiées et imposent désormais à l’exportateur et à l’importateur de données d’évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT. A défaut, des mesures supplémentaires devront être mises en place par les entreprises concernées.
Une attention particulière devra ainsi être portée à ces aspects dès lors qu’ils impliquent de potentiels manquement aux dispositions du RGPD et, partant, la mise en œuvre des sanctions correspondantes (les amendes administratives pouvant atteindre un maximum de 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial).