L’administration chinoise du cyberespace l’avait annoncé : une loi relative à la protection des données personnelles est entrée en vigueur le 1er juin 2017. A l’heure où les Etats subissent de plein fouet l’attaque du rançongiciel WannaCry, cette loi ambitionne de protéger les réseaux chinois et les informations personnelles des utilisateurs.
La Chine ne disposait jusqu’alors que de dispositions parcellaires protégeant, dans certaines situations uniquement, la protection des données personnelles.
Decision on Strengthening Protection of Online Information28/12/2012 | Guidelines for Personal Information protection in information systems for public and commercial services01/02/2013 | Provisions on Protecting the Personal Information of Telecommunications and Internet Users01/09/2013
| Amendment to the Law on the Protection of the rights and interests of consumers15/03/2014 | |
Contexte
| Premier document de référence relatif à la protection des données personnelles | Référentiel afin d’apprécier une politique de protection des données personnelles d’une entreprise | Dispositions relatives à la protection des données personnelles des utilisateurs d’internet et des services de télécommunications | Amendement des lignes directrices
|
Destinataire du texte | FAI, entreprises et institutions publiques chinoises qui, dans le cadre de leurs activités, collectent et utilisent des données permettant d’identifier un individu et/ou concernant sa vie privée | Toute entreprise opérant un ou plusieurs traitements de données à caractère personnel | Fournisseurs de services internet et de télécommunication collectant et utilisant les données personnelles des utilisateurs
| Toute entreprise opérant un ou plusieurs traitements de données à caractère personnel |
Portée du texte | Juridiquement contraignant | Non juridiquement contraignant | Juridiquement contraignant | Non juridiquement contraignant |
Apports du texte | Principes de légitimité, finalité, nécessité, confidentialitéPrincipe du recueil du consentement (sans indiquer à quel moment ni sous quelle forme)
| Définitions des termes clefs (eg. donnée personnelle)Transfert international de données personnelles
Sous-traitance
Sécurité
| Principes de légitimité, nécessité, proportionnalité, confidentialité, d’information préalable et de recueil du consentementPrincipes de minimisation de la collecte, de droit de rectification, de droit à l’oubli
| Domaine de protection du consommateur étendu en intégrant des dispositions relatives à la protection de ses données personnellesConduite à suivre par les entreprises lors de la collecte et de l’usage de données personnelles |
Chronologie de la protection des données à caractère personnel en Chine
La Chine est engagée depuis plusieurs années dans la mise en place d’un cadre juridique ayant pour objectif de protéger dans certains cas la collecte et l’utilisation des données personnelles.
Néanmoins :
- Les différents textes adoptés ne vont pas au-delà des principes énoncés dans la décision de 2012 mais ouvrent la voie à l’élaboration progressive d’un cadre juridique plus précis ;
- Il n’existe pas d’autorité de régulation chargée de veiller à la protection des données personnelles.
Adoptée en novembre 2016, la loi Cybersécurité pour la République Populaire de Chine[1] est le premier texte réellement contraignant et dédié à la protection des données personnelles.
Un alignement sur les standards européens
Articulé autour de 79 articles, ce texte fait écho à plusieurs dispositions présentent dans le Règlement Européen sur la Protection des Données (RGPD).
La loi interdit par exemple la vente de données personnelles des utilisateurs de services « sans le consentement de la personne dont les informations ont été collectées »[2]. En cela, la Chine se place dans le sillage européen et prend le contrepied de la récente prise de position américaine qui a aboli les règles relatives à la protection et au secret des données sur internet. Les opérateurs de télécommunications et FAI ont donc désormais la possibilité d’exploiter les informations relatives à l’activité de leur client, notamment pour les revendre à des partenaires commerciaux, sans consentement préalable.
D’autre part, les entreprises opérant des traitements de données à caractère personnel « ne doivent pas collecter d’informations personnelles qui ne sont pas liées aux services qu’elles proposent » (principe de minimisation de la collecte). Elles doivent également « obtenir le consentement des utilisateurs pour exploiter les données qu’elles ont stockées » [3].
L’extension du contrôle des autorités
La Chine encadre strictement l’internet en bloquant les sites qu’elle estime sensibles et continue d’étendre son contrôle sur la toile : après l’adoption de lois sur la sécurité nationale en 2015 et l’antiterrorisme en 2016, ce texte sur la cybersécurité s’inscrit dans le prolongement du développement de la « Grande Muraille numérique ».
Cette loi interdit aux internautes de publier tout contenu portant atteinte à « l’honneur national », « troublant l’ordre économique ou social » ou destiné à « renverser le système socialiste »[4].
D’autre part, l’envoi des données hors du territoire est très encadré. Le texte impose même à certains services en ligne de stocker les données de leurs utilisateurs sur le territoire chinois, citant notamment les « infrastructures critiques d’information » (Critical Information Infrastructure)[5]. Or certaines entreprises s’inquiètent du flou entourant la rédaction de certaines dispositions et de l’influence de ce texte qui serait susceptible in fine de concerner n’importe quelle entreprise, selon les intérêts des autorités chinoises.
Cette loi représente donc à la fois pour les autorités une manière de protéger ses données mais aussi une façon de les surveiller.
Estimant le texte « rempli de défauts », la chambre de commerce de l’UE en Chine a appelé les autorités à « reporter la mise en œuvre soit de la loi soit des articles concernés »[6]. En ce sens, les règlements préliminaires parus mi-mai disposent que les entreprises auront jusqu’au 31 décembre 2018 pour se mettre en conformité avec certaines exigences…
Le Cabinet HAAS, fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficie d’une triple labellisation CNIL et accompagne régulièrement ses clients du secteur public comme du secteur privé dans la mise en conformité de leurs traitements en vue de la sécurisation de ceux-ci.
Le cabinet HAAS propose à ce titre l’externalisation de la fonction CIL/DPO, la réalisation d’études d’impact (PIA), la formalisation de référentiels sécurité ou encore la dispense de formations relatives aux enjeux de la loi informatique et libertés dans le cadre d’une offre globale de DataCompliance.
Pour plus d’informations, cliquez-ici.
[1] Traduction en anglais disponible à l’adresse https://chinacopyrightandmedia.wordpress.com/2016/11/07/cybersecurity-law-of-the-peoples-republic-of-china/
[2] Article 42: “Network operators must not disclose, tamper with, or destroy personal information they gather; and, absent the consent of the person whose information was collected, must not provide personal information to others.”
[3] Article 41: “Network operators collecting and using personal information shall abide by the principles of legality, propriety and necessity; they shall publish rules for collection and use, explicitly stating the purposes, means, and scope for collecting or using information, and obtain the consent of the person whose data is gathered.”
[4] Article 12§2 : “Any person and organization using networks shall abide by the Constitution and laws, observe public order and respect social morality; they must not endanger cybersecurity, and must not use the Internet to engage in activities endangering national security, national honor and interests, inciting subversion of national sovereignty, the overturning of the socialist system, inciting separatism, undermining national unity, advocating terrorism or extremism, inciting ethnic hatred and ethnic discrimination, disseminating violent, obscene or sexual information, creating or disseminating false information to disrupt the economic or social order, or information that infringes on the reputation, privacy, intellectual property or other lawful rights and interests of others, and other such acts.”
[5] Article 31: “The State implements key protection of public communication and information services, power, traffic, water resources, finance, public service, e-government, and other critical information infrastructure that if destroyed, loses function, or experiences leakage of data might seriously endanger national security, national welfare and the people’s livelihood, or the public interest, on the basis of the cybersecurity multi-level protection system. The State Council will formulate the specific scope and security protection measures for critical information infrastructure.”
[6] http://uk.reuters.com/article/us-china-cyber-law-idUKKBN188156