La Pipl : Renforcement de la législation chinoise sur la protection des données

La Chine a récemment adopté une nouvelle loi sur la protection des informations personnelles (Pipl) visant à renforcer la réglementation en matière de protection des données. Cette législation est entrée en vigueur le 1er novembre 2021 et s’applique aux entreprises nationales et étrangères traitant les données personnelles des résidents chinois. Dans cet article, nous examinerons les principales dispositions de cette loi ainsi que son impact sur les entreprises et les individus concernés.

Principes clés de la Pipl

Le but principal de la Pipl est de protéger les droits et intérêts d’autrui dans le domaine des données personnelles. Pour ce faire, cette nouvelle législation met en place des règles strictes pour les organisations qui collectent, utilisent ou divulguent des données personnelles. Voici quelques-uns des principes clés :

1. Consentement : Les organisations doivent obtenir le consentement exprès des personnes concernées avant de collecter, utiliser ou divulguer leurs informations personnelles.
2. Finalité : Les organisations ne peuvent collecter et utiliser des données personnelles que dans la mesure où cela est nécessaire pour réaliser un objectif spécifique.
3. Transparence : Les organisations doivent fournir des informations claires et accessibles sur leurs pratiques en matière de traitement des données, y compris les finalités du traitement, les types de données collectées, les méthodes de conservation et les droits des individus concernés.
4. Responsabilité : Les organisations doivent mettre en place des mesures de sécurité appropriées pour protéger les données personnelles contre le risque de divulgation, de modification ou d’accès non autorisé.

Rôles et responsabilités des entreprises

La Pipl met l’accent sur la responsabilité des entreprises qui gèrent des données personnelles. Cela comprend :

• Nommer un responsable du traitement des données (DPO) chargé de superviser les activités liées aux données personnelles.
• Évaluer régulièrement les risques liés au traitement des données et mettre en œuvre des mesures de sécurité adaptées.
• Établir des politiques internes de protection des données et former les employés à se conformer à ces politiques.

Le champ d’application de la Pipl : entreprises nationales et étrangères

La Pipl s’applique non seulement aux entreprises chinoises, mais aussi aux entreprises étrangères qui traitent des données personnelles de résidents chinois. Les entreprises étrangères peuvent être soumises à cette loi si elles répondent à l’un des critères suivants :

• Les activités de traitement des données sont menées pour fournir des produits ou services aux résidents chinois.
• Les activités de traitement des données visent à analyser et évaluer le comportement des résidents chinois.
• Autres critères déterminés par les lois et régulations chinoises.

En conséquence, les entreprises étrangères doivent s’assurer qu’elles se conforment aux exigences de la Pipl lorsqu’elles gèrent des données personnelles de résidents chinois, même si ces activités ont lieu en dehors de la Chine.

Sanctions et amendes pour non-conformité

Les organisations qui ne respectent pas les dispositions de la Pipl peuvent être soumises à des sanctions importantes, les autorités chinoises ayant le pouvoir d’imposer :

• Des amendes pouvant atteindre jusqu’à 5 % du chiffre d’affaires annuel de l’entreprise ou 50 millions de yuans (environ 7,7 millions de dollars).
• La suspension ou la cessation des activités commerciales liées au traitement des données.
• Confiscation des gains illégaux découlant de la violation.

Implications pour les entreprises concernées

Avec la mise en œuvre de la Pipl, les organisations qui collectent et utilisent des données personnelles en Chine devront prendre des mesures supplémentaires pour assurer une protection adéquate. Cela comprend :

1. Revoir leurs politiques et procédures de protection des données.
2. Mettre à jour leur politique de confidentialité pour refléter les nouvelles exigences légales.
3. Réaliser des audits internes pour identifier les lacunes dans leur conformité.
4. Se préparer à démontrer leur conformité en cas d’inspection par les autorités chinoises.

Comment se préparer à la Pipl ?

Les entreprises opérant en Chine ou traitant des données personnelles de résidents chinois doivent se préparer aux exigences établies par la Pipl. Voici quelques étapes clés pour s’y conformer :

1. Identifier et revoir les activités de traitement des données : Les entreprises doivent auditer leurs processus actuels pour identifier où et comment elles collectent, utilisent et divulguent des données personnelles. Il est crucial de documenter ces activités pour démontrer la conformité avec la Pipl.
2. Évaluer les risques : Une fois les activités de traitement identifiées, il est essentiel d’évaluer les risques associés et de mettre en place des mesures de sécurité appropriées pour atténuer ces risques.
3. Mettre en place des politiques et procédures internes : Les entreprises doivent établir des politiques et procédures internes pour assurer le respect de la Pipl et former leur personnel sur ces règles.
4. Nommer un responsable du traitement des données : Comme mentionné précédemment, les organisations sont tenues de nommer un DPO chargé de superviser leurs activités liées aux données personnelles. Ce processeur doit être capable de communiquer efficacement avec les autorités chinoises lorsqu’il s’agit de questions liées à la protection des données personnages.

En résumé, la Pipl représente un développement majeur dans le domaine de la protection des données en Chine. Les entreprises nationales et étrangères qui opèrent sur le marché chinois ou traitent des données personnelles de résidents chinois doivent se préparer à respecter ces nouvelles obligations afin d’éviter de lourdes sanctions et d’assurer une position concurrentielle solide sur le marché.