La Chine PIPL les dés

Lundi dernier entrait en vigueur la PIPL (Personal Information Protection Law), loi chinoise relative à la protection des données personnelles.  

Cette loi, encadrant les traitements de données personnelles ainsi que ses acteurs, s’applique non seulement sur l’ensemble du territoire, mais également en dehors de la Chine dans certains cas prévus par l’article 3 :  traitements visant à proposer des produits et services à des citoyens chinois résidant sur le territoire national ; traitements d’analyse ou d’évaluation des activités de personnes physiques à l’intérieur des frontières; Autres circonstances prévues par les dois ou règlements complémentaires. 

Quelques points remarquables :  

 Si la PIPL emprunte énormément au RGPD européen, elle aborde également plusieurs thèmes complémentaires tout en restant assez générale dans les termes utilisés. L’article 16, par exemple, peut-être lu comme une référence aux cookies.  Elle rejoint également les projets de DSA et DMA en envisageant un cadre pour l’équivalent des grandes et très grandes plateformes (article 58).  

 La Chine se positionne en matière de territorialité de la donnée. L’article 36 introduit ainsi le principe selon lequel les données personnelles détenues par l’état doivent être stockées sur le sol chinois. Des mesures de sécurisation importantes sont d’ailleurs prévues.  

On croirait reconnaître le principe d’accountability au travers de l’article 9 visant la responsabilisation des acteurs quant à la sécurisation des données, pourtant, le chapitre 5, entièrement dédié aux obligations des gestionnaires de renseignements personnels instaure un encadrement très important de ces acteurs notamment à travers la conduite d’audits (article 54), d’analyses d’impact préalables (article 55) 

• Une liste noire est prévue pour répertorier les organisation et entreprises étrangères qui porteraient atteinte aux droits des renseignements personnels des citoyens chinois ou allant à l’encontre du PCC. Des sanctions pécuniaires sont prévues, s’assortissant de limitations ou même d’interdictions de traitement (article 42).

 

• Une manœuvre importante est laissée à l’état grâce aux nombreuses exceptions basées sur ce que des compléments que pourraient apporter les lois chinoises ou les autorités de régulation. Ces exceptions s’appliquent même aux principes généraux comme celui de la conservation limitée (article 19), de la notification de traitement (article 18)… Un régime plus libertaire est d’ailleurs prévu dans le cas d’une situation d’urgence légitimante.

 

A travers cette loi, il est moins question de sensibilisation et de protection du citoyen quant à des droits fondamentaux que d’une nouvelle victoire dans la quête de la souveraineté numérique pour la Chine.  

PROBE IT Prestataire terrain France Relance

Pour retrouver la traduction intégrale de la PIPL : Translation: Personal Information Protection Law of the People’s Republic of China – Effective Nov. 1, 2021 (stanford.edu) 

 

#PIPL #DSA #DMA #donnée #protectiondesdonnées #accountability #audits #analysesdimpact #listenoirechine #conservationdonnée #notificationdonnée #souveraineténumérique #RGPD #loichine #cookies #plateformes #GDPR #data #PIA #chinapipl