Depuis plusieurs années, la question de la protection des données personnelles en Chine a été une préoccupation importante, encore plus particulièrement pour les entreprises ayant des liens commerciaux avec la Chine. Bien que de nombreux pays aient entrepris une réforme de la protection des données personnelles au cours des dernières années, notamment l'Union européenne avec le Règlement général sur la protection des données (« RGPD ») ou la Californie avec la California Consumer Privacy Act (« CCPA »), certains ont estimé que la Chine était en retard en cette matière. C'est dans ce contexte que la Chine a adopté une nouvelle loi importante sur la protection des données personnelles le 20 août 2021. Cette nouvelle Loi sur la protection des informations personnelles (« LPIP »), entre en vigueur le 1er novembre 20211. Comme le souligne la LPIP dans son article premier, la loi a pour but de protéger les droits et les intérêts des particuliers en matière de renseignements personnels, de réglementer le traitement des renseignements personnels et de promouvoir l'utilisation raisonnable de renseignements personnels. La LPIP vient s'ajouter aux côtés de la Loi sur la cybersécurité et de la Loi sur la sécurité des données pour compléter l'arsenal législatif chinois de la réglementation du cyberespace.

Un cadre juridique fragmenté avant l'adoption de la LPIP

Préalablement à l'adoption de la LPIP, il n'existait pas de loi nationale exhaustive sur la protection des données en Chine. Les règles en vigueur dans ce domaine ont été réparties dans divers textes, notamment dans la législation (voir par exemple, les principes généraux du droit civil et la Loi sur la responsabilité), dans les décisions (principalement en 2012 dans la décision sur le renforcement de la protection de l'information sur les réseaux), dans les règlements et les directives (voir par exemple les lignes directrices sur la protection des informations personnelles).

À cet effet, le cadre juridique chinois relatif à la protection des renseignements personnels avant l'adoption de la LPIP s'était considérablement écarté du cadre juridique canadien. Désormais, la LPIP, tant dans sa structure que dans son champ d'application est beaucoup plus similaire au régime canadien de protection des données personnelles, et pourrait même aller plus loin.

Principales dispositions de la LPIP

Bien que ce texte ne se veut pas être un examen exhaustif des dispositions de la LPIP, certaines dispositions essentielles méritent d'être soulignées.

  • Définitions: La LPIP définit certains termes clés similairement au RGPD et à la CCPA, y compris les notions de « données à caractère personnel » (personal information) et de « traitement » (processing). Toutefois, la LPIP utilise le terme de « processeur » (processor)2 pour décrire un rôle qui ressemblerait davantage au rôle du « responsable du traitement » (data controller) sous le RGPD3.
  • Principe de minimisation des données: Le principe directeur qui sous-tend la LPIP est que la collecte, le traitement et la conservation des renseignements personnels doivent être limités au minimum nécessaire pour atteindre l'objectif du traitement, principe bien établi dans la législation canadienne.
  • Base juridique du traitement: La LPIP exige qu'il y ait une base juridique pour le traitement des renseignements personnels; la base principale étant le consentement de la personne physique concernée. Cette approche est semblable au RGPD. Certaines exceptions sont prévues à la LPIP, notamment lorsque le traitement est nécessaire à l'exécution d'un contrat auquel le particulier est partie ou lorsque le traitement est nécessaire pour faire face à des situations d'urgence de santé publique.
  • Portée extraterritoriale: La LPIP est semblable au RGPD en ce qu'elle a une portée territoriale très étendue qui englobe à la fois le traitement des données personnelles en Chine4 et le traitement des données personnelles à l'extérieur de la Chine, lorsque les renseignements personnels d'une personne physique située en Chine sont traités dans le but i) d'offrir des biens ou des services à des particuliers en Chine, ou ii) d'analyser et d'évaluer le comportement de personnes en Chine. Dans ces deux dernières situations, le processeur étranger devra également identifier un représentant local pour surveiller la conformité du traitement.
  • Transfert transfrontalier: Dans les situations où un processeur devrait transférer des renseignements personnes à l'extérieur de la Chine, celui-ci doit soit accomplir le transfert en vertu d'un contrat approuvé par l'État, soit subir une évaluation de la sécurité par l'administration chinoise du cyberespace, ou encore recevoir une certification des pratiques en matière de données par un organisme agréé par l'État. Cette obligation impose donc un lourd fardeau de conformité aux entreprises exerçant leurs activités en Chine et il sera très intéressant de surveiller comment les autorités chinoises mettra en Suvre une telle obligation.
  • Consentement distinct : La LPIP prévoit un certain nombre de situations pour lesquelles le consentement distinct ou écrit des personnes concernées sera requis, notamment lors de la réalisation de transferts transfrontaliers, de la communication de renseignements personnels à des tiers et du traitement de renseignements personnels sensibles, comme les données médicales et financières.
  • Lieu de résidence des données: La LPIP va un cran plus loin que le RGPD et la CCPA en imposant une obligation supplémentaire explicite à l'effet que la conservation des données personnelles doit être faite sur le territoire chinois pour les « exploitants d'infrastructures d'information critique » (critical information infrastructure operators, « CIIO ») et les entreprises qui traitent une quantité importante de données dépassant un certain seuil5. Le terme de CIIO n'est pas défini directement dans la LPIP, mais il est décrit dans le Règlement sur la protection des infrastructures d'information critique adopté en conjonction avec la Loi sur la cybersécurité. Ce règlement stipule que les autorités gouvernementales chinoises sont chargées d'identifier les exploitants entrant dans la catégorie de CIIO pour une branche d'activité donnée. Sur cette base, nous pouvons raisonnablement nous attendre à ce que les CIIO désignés soient avisés par les autorités gouvernementales.
  • Présomption de responsabilité : La LPIP crée une présomption de responsabilité selon laquelle si le traitement porte atteinte aux droits et aux intérêts des renseignements personnels et cause des dommages-intérêts, le processeur a le fardeau de prouver qu'il n'a pas commis de faute.

Incidences pour les sociétés canadiennes ayant des liens commerciaux avec la Chine

Tel que mentionné précédemment, la LPIP prend effet le 1er novembre 2021. Par conséquent, les parties intéressées qui font des affaires en Chine ou qui traitent autrement des renseignements personnels de résidents chinois doivent agir rapidement pour s'adapter aux nouvelles mesures, si ce n'est pas déjà fait.

Le respect de la nouvelle LPIP est encore plus important pour les parties prenantes étrangères qui font des affaires en Chine en raison de son application extraterritoriale et l'obligation de désigner un représentant local dans certaines situations mentionnées précédemment. De même, les entreprises étrangères doivent déterminer rapidement si elles entrent dans la définition de CIIO ou si elles atteignent le seuil de traitement d'informations personnelles en lien avec l'obligation de conserver les renseignements personnels en Chine.

Dans l'ensemble, la LPIP comble de grandes lacunes dans la réglementation de la protection des données en Chine et les entreprises seront incitées à se conformer afin d'éviter les pénalités importantes, y compris des amendes pouvant aller jusqu'à 5 % du chiffre d'affaires des entreprises, la révocation du permis/licence permettant la poursuite des affaires et la responsabilité personnelle pour les dirigeants d'entreprises. Nous surveillerons donc avec grand intérêt les mesures d'application futures de la LPIP.

Footnotes

1. Voir le texte officiel ici : http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml. Une traduction anglaise de la LPIP préparée par China Briefing est disponible à l'adresse suivante : https://www.china-briefing.com/news/the-prc-personal-information-protection-law-final-a-full-translation/

2. Traduction en anglais du LPIP, article 73(I): « A personal information processor refers to any organization or individual that independently determines the purpose and method of processing in personal information processing activities ».

3. RGPD, article 4(7): « 'controller' means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data ».

4. Il est également pertinent de noter que la LPIP ne s'applique qu'en Chine continentale puisque Hong Kong demeure régie par son propre régime de protection des données.

5. Aux termes de la réglementation, un CIIO s'entend, entre autres, d'opérateurs dans des secteurs importants comme les services publics de communication et d'information, l'énergie, les transports, la conservation de l'eau, les finances, l'administration en ligne, la défense nationale, la science et la technologie, ou des industries où une violation de données peut mettre gravement en péril d'importantes installations de réseaux, systèmes d'information, sécurité nationale, économie nationale, moyens de subsistance et intérêt public. Conformément à l'article 10 du Règlement sur la protection des infrastructures d'information critique, l'autorité compétente est chargée d'identifier les infrastructures d'information clés dans un secteur conformément aux règles d'identification, de notifier sans délai aux opérateurs les résultats de l'identification et de les communiquer au service de la sécurité publique. Voir : https://www.dataguidance.com/opinion/china-operationalizing-pipl-part-two-data-transfers

To view the original article click here

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.