Le 20 août 2021, une version définitive de la loi sur la protection des données personnelles, comprenant huit chapitres et 74 articles a été votée et adoptée par l’assemblée populaire nationale qui détient le pouvoir législatif en Chine. La nouvelle loi sur la protection des informations personnelles de la République populaire de Chine entrera en vigueur le 1er novembre 2021.

Cette loi arrive en réaction à la recrudescence ces dernières années des escroqueries sur Internet, mais surtout à l’inquiétude croissante des consommateurs chinois face aux fuites de données ou au recours aux algorithmes.

I- Les personnes concernées.

En vertu de la nouvelle loi, les entreprises publiques et privées devront minimiser leur collecte d’informations personnelles des citoyens et obtenir leur consentement préalable.

La loi devrait encore faire davantage rentrer dans le rang les géants nationaux du numérique tels Didi (réservation de véhicules avec chauffeur) ou Tencent (jeux vidéo), dans le collimateur de Pékin ces derniers mois pour collecte abusive de données.

De son côté, l’Etat chinois pourra continuer à collecter autant d’informations qu’il le souhaite étant donné donné qu’il n’est pas concerné par cette nouvelle loi.

II- Les nouveautés.

 Les entreprises numériques doivent désigner une personne responsable du traitement des données, comme le DPO en Europe, et réaliser des audits réguliers pour vérifier la solidité des systèmes conçus pour assurer la confidentialité.

 Les entreprises numériques devront demander l’autorisation pour traiter des informations personnelles biométriques, médicales, sanitaires, financières et la localisation. Les internautes devront avoir la possibilité de refuser la publicité ciblée.

 La fin de la discrimination algorithmique, régulièrement exploitée en Chine pour adapter le prix des produits vendus en ligne en fonction des données recueillies en ligne sur le consommateur.

 L’interdiction de transférer des informations venant de Chine vers des pays n’ayant pas le même niveau de protection des données.

III - Les sanctions.

En cas de non-respect des dispositions prises par cette nouvelle législation, les sociétés s’exposent à des sanctions et des amendes pouvant aller jusqu’à 5% de leur chiffre d’affaires annuel ou 50 millions de yuans, soit 6,6 millions d’euros. Il est aussi possible que les entreprises soient sous la menace d’une suspension ou de la fin définitive de leurs services en cas de faute très grave.

IV- Pourquoi cette loi suscite un intérêt à l’international ?

La Chine est l’un des pays disposant d’une très grande population et donc représente un marché important dans l’économie mondiale. Elle est courtisée par les entreprises et multinationales et génère une quantité significative de données dans les échanges nationaux et internationaux surtout dans le cadre du commerce électronique. Ainsi, la réglementation de l’utilisation des données personnelles suscite un intérêt particulier pour les entreprises qui s’y investissent ou y s’installent notamment en ce qui concerne leur responsabilité ou les obligations leurs incombant avec l’importante quantité de données en leur mains.

V- Quelle appréciation par rapport au RGPD ?

Le RGPD a été adopté en Europe dans le souci d’accorder plus de garanties, plus de protection aux personnes dans le traitement de leurs données. Il est considéré comme la norme de référence mondiale en matière de protection des données. Des lors, la mise en place de cette loi en Chine prenant en compte certaines bases du RGPD, constitue un pas décisif pour le gouvernement chinois qui se veut être de plus en plus souple dans ses relations avec ses administrés et compte rendre à ses citoyens le monopole de leurs données personnelles.

Cette nouvelle loi chinoise consacre le principe du consentement, de la minimisation des données, la désignation de DPO, la notification de violation de données entre autres, consacrés par le RGPD

Cependant, bien que cette loi constitue un avancement pour l’empire du milieu, l’on ne peut nier qu’elles n’offrent pas assez de garanties à l’image du RGPD. En effet, cette loi semble seulement s’appliquer aux entreprises domiciliées en Chine contrairement au RGPD qui a un champ d’application plus vaste.

De plus, le RGPD s’applique aussi bien aux entreprises qu’aux pouvoirs publics, ce qui permet d’assurer une protection beaucoup plus complète des citoyens tandis que la loi chinoise semble écarter L’Etat de son champ d’application.

Sources : Le Figaro [1], RFI [2], Les Echos [3].

Mouhamed Bocoum Cyberjuriste, Spécialiste protection données personnelles et Julien Briot, expert en compliance