Que vaut le RGPD made in china ?

Que vaut le RGPD made in china ?

Par Anne Charlotte Andrieux, Gaël Mahé et Céline Rodier

Dans la continuité de la loi sur la cybersécurité adoptée en 2017, le Comité de l’Assemblée populaire nationale de la République populaire de Chine a annoncé, le 20 août dernier, l’adoption prochaine d’une loi dédiée à la protection des données personnelles en ligne. L’entrée en vigueur de cette loi, dite Personal Information Protection Law (PIPL), est prévue le 1er novembre 2021.

Certains présentent déjà ce texte comme l’équivalent du Règlement général sur la protection des données (RGPD) de l’Union européenne, perçu comme une des règlementations les plus strictes en la matière, mais qu’en est-il vraiment ?

Une loi adoptée face aux abus des géants du numérique chinois

A l’instar des leaders américains, le modèle économique des géants de l’Internet chinois, tels que Tencent, Alibaba, ou Weibo, repose en partie sur l'exploitation des données personnelles des consommateurs. Les chinois sont prêts à « échanger leur vie privée contre du confort, de la sécurité et de l'efficacité » avait même déclaré Robin Li, le PDG de Baidu (le principal moteur de recherche chinois).

Le grand tournant annoncé en Chine en matière de protection des données personnelles était devenu indispensable au vu des nombreuses critiques émanant d’une partie de la population et de l’administration chinoise.

Les pratiques commerciales de certains géants de la tech (des propositions de prix différents pour un même service en fonction des utilisateurs par exemple) étaient dans le viseur des autorités chinoises. En effet, Pékin a sanctionné plusieurs entreprises ces derniers mois, comme en témoigne l’amende record de plus de 2,3 milliards d’euros infligée à Alibaba en avril dernier pour pratique anticoncurrentielle.

Le RGPD pris comme modèle

Composé de 74 articles, répartis au sein de 8 chapitres, la loi chinoise rappelle le RGPD au regard de son ampleur. Alors que des mesures locales étaient déjà applicables dans plusieurs villes, comme Shenzhen, l’organe législatif suprême de Chine vient désormais d’étendre la protection des données personnelles des personnes à l’ensemble de l’Empire du Milieu.

Quels principes ?

L’objectif de la nouvelle loi est de protéger les données personnelles des internautes en limitant la collecte massive de ces dernières par les géants du numérique chinois, et leur exploitation. Plus précisément, le premier article de la PIPL vise à encourager l’utilisation « rationnelle » des informations personnelles.

L’article 4 de la PIPL définit ces données comme « toutes sortes d’informations, enregistrées par voie électronique ou par d’autres moyens, relatives à des personnes physiques identifiées ou identifiables, à l’exclusion des informations après traitement de l’anonymisation ». On note ici un parallèle flagrant avec l’article 4 du RGPD et en particulier la définition de « données à caractère personnel » où certains termes sont identiques.

D’autres grands principes du RGPD trouvent aussi leur place au sein de la PIPL, tels que :

  • Le recueil du consentement préalable de l’internaute avant tout traitement de ses données personnelles (collecte, conservation, ) ;
  • Le droit à l’information, c’est-à-dire informer les internautes de l’usage qui pourra être fait de leurs données ;
  • Le principe de la minimisation des données : les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • Des règles précises pour le traitement de données sensibles: les données biométriques, médicales, financières et de localisation sont soumises à des exigences spécifiques ;
  • La possibilité de refuser la publicité ciblée.

Le délégué à la protection des données trouve également son homologue dans la PIPL. Ce dernier doit être nommé par les entreprises, il est notamment chargé de la gestion des opérations de protection des données personnelles. Aura-t-il la même déontologie et la même protection que le DPO européen ? La question reste entière.

Par ailleurs, la PIPL a une portée extraterritoriale. Là-encore, un parallèle peut être fait avec le RGPD car les transferts de données venant de Chine vers des pays n’ayant pas un niveau de protection des données équivalent à celui édicté par Pékin sont interdits. S’il n’y a pas de difficulté à cet égard pour l’Union européenne, ce n’est pas le cas des États-Unis qui, comme chacun le sait n’est plus considéré comme un pays « adéquat » au sens du RGPD depuis l’arrêt Schrems II.

Quelles sanctions ?

La Chine a compris que le succès du RGPD n’était pas lié à la bonne volonté des entreprises mais aux sanctions qu’il prévoit. La PIPL tire les leçons de cette réussite en prévoyant des sanctions tout aussi dissuasives.

Tableau comparatif des sanctions :

  RGPD - ART 83  PIPL - ART 66

Montant des sanctions

pécuniaires

Jusqu'à : 

  • 20 millions d'euros ;
  • (ou) 4% du chiffre d'affaires annuel.

 

Jusqu'à : 

  • 50 millions de yuans, l'équivalent de 6,6 millions d'euros ;
  • (ou) 5 % du chiffre d'affaires annuel.

 

De plus, pour les cas les plus graves, la PIPL prévoit également la suspension ou la résiliation des services de l’entreprise.

La PIPL n’est pas applicable à l’Etat chinois

On a pu voir que la PIPL avait des similarités avec le RGPD mais un point de taille vient noircir le tableau : l’Etat chinois n’est pas soumis aux dispositions de la PIPL.

 « Faites ce que je dis, pas ce que je fais » disait Saint Matthieu, le Parti communiste chinois semble appliquer cette formule avec zèle en se soustrayant au texte qu’il a lui-même fait adopter.


***

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans leur démarche de conformité au RGPD. Que ce soit en appui du DPO ou en qualité de DPO externalisé le Cabinet Haas réalise ainsi tout type de mission en lien avec la protection de la vie privée avec deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici

 

Sources :

  • CAIRE G., « La Chine va se doter de son propre règlement sur la protection des données », Les Echos, 18 août 2021.
  • COHEN C., « Données personnelles : la Chine adopte son RGPD », Le Figaro, 20 août 2021.
  • “China’s Personal Information Protection Law to Take Effect November 1, 2021”, OneTrust, August 20, 2021.
  • CREEMERS R. et WEBSTER G., “Translation: Personal Information Protection Law of the People's Republic of China (Effective Nov. 1, 2021)”, DigiChina, August 20, 2021.
  • Gérard HAAS “le guide juridique du RGPD «  Editions ENI 2018
Anne-Charlotte Andrieux

Auteur Anne-Charlotte Andrieux

Suivez-nous sur Linkedin