PIPL : loi chinoise sur la protection des informations personnelles

La loi chinoise sur la protection des informations personnelles (PIPL) est entrée en vigueur le 1er novembre 2021.

Comme le règlement général sur la protection des donnéesRGPD, cette loi est complète, s'aligne sur la norme mondiale émergente en matière de protection de la vie privée et concerne les sites web et les entreprises du monde entier.

Ci-dessous, j'explique plus en détail le PIPL et comment vous pouvez préparer votre entreprise à mieux l'aligner sur la loi chinoise sur la confidentialité des données.

Quelle est la nouvelle loi chinoise sur la protection de la vie privée ?

La loi chinoise sur la protection des données, la PIPL , est la dernière d'une série de lois destinées à protéger les données personnelles des individus en Chine.

Selon Todd Liao , avocat chez Morgan Lewis à Shanghai, l'objectif du PIPL est d'établir un cadre général sur la manière dont les entreprises, tant à l'intérieur qu'à l'extérieur de la Chine, doivent traiter, collecter et transférer les données personnelles.

Le PIPL est donc très proche du RGPD l'UE.

Que signifie l'abréviation PIPL ?

PIPL est un sigle qui désigne la loi chinoise sur la protection des informations personnelles.

Quelle est la date d'entrée en vigueur de la PIPL ?

Elle a été adoptée le 20 août 2021 et les PIPL sont entrées en vigueur le 1er novembre 2021 .

Que signifie le PIPL chinois pour les consommateurs ?

La nouvelle loi chinoise sur la protection des informations personnelles change la donne pour les consommateurs.

La PIPL accorde aux individus certains droits dans le chapitre IV de la PIPL , notamment :

• Le droit de savoir ce que les entreprises feront de leurs données personnelles
• Le droit de prendre des décisions concernant leurs données personnelles
• Le droit d'interdire ou de restreindre le traitement de leurs données personnelles par les entreprises
• le droit de copier et de consulter leurs données personnelles auprès des responsables du traitement
• Le droit d'effacer et de corriger leurs données personnelles
• Le droit à la portabilité de leurs données personnelles
• Le droit de vous demander des explications sur les règles de traitement

Les proches parents d'une personne peuvent également exercer ces droits pour leurs propres intérêts légitimes et justifiés après le décès de la personne, à moins que celle-ci n'ait pris d'autres dispositions de son vivant.

Ce que pensent les consommateurs du PIPL

Le besoin d’un produit comme le PIPL était attendu depuis longtemps par les consommateurs chinois.

Selon une enquête réalisée en octobre 2021 par Cisco , les consommateurs chinois étaient les plus enthousiastes à l’égard des lois sur la confidentialité par rapport aux consommateurs de tous les autres pays mesurés.

Environ 80 % des personnes qui ont eu connaissance de la loi chinoise de 2017 sur la cybersécurité ont estimé qu'elle avait eu un effet positif .

On peut donc s’attendre à ce que les consommateurs chinois approuvent la PIPL, notamment parce qu’elle garantira une sécurité renforcée des données dans le secteur privé.

En outre, la PIPL permettra aux consommateurs d’avoir davantage de contrôle sur la manière dont leurs informations personnelles sont partagées ou non.

Toutefois, la PIPL ne protégera pas les informations personnelles des consommateurs contre la manipulation et le traitement par le gouvernement, puisqu'elle ne réglemente que le secteur privé.

Que signifie la LPRP pour les spécialistes du marketing ?

Le PIPL impacte les spécialistes du marketing et les annonceurs de plusieurs manières :

• Fournir aux spécialistes du marketing des lignes directrices plus claires pour opérer au niveau national et international
• Contribuer à l'établissement d'une norme mondiale cohérente à laquelle les entreprises multinationales peuvent s'adapter

Les spécialistes du marketing doivent appliquer ce qu'ils ont appris lors de la mise en conformité avec le RGPD et examiner attentivement les points suivants pour la mise en conformité avec la LPRP:

• Cookies pour le stockage d'informations personnelles
• Campagnes de génération de leads
• Analyse et relations avec les clients
• Localisation des personnes dans les campagnes de reciblage et de remarketing
• Formulaires de contact
• Bulletins d'information
• Utiliser des algorithmes pour prédire le comportement des consommateurs
• Utilisation et accès aux données de tiers
• Utilisation, traitement et transfert de données transfrontalières

Pour obtenir de l'aide afin de vous assurer que vous êtes conforme aux lois actuelles sur la confidentialité des données, utilisez Termly Scanner de conformité et Générateur de politique de confidentialité .

Que signifie le PIPL pour les entreprises multinationales du secteur privé ?

Le PIPL contribue à améliorer les relations entre les entreprises multinationales du secteur privé.

Par exemple, en mars 2021, il a été révélé que de grandes entreprises technologiques chinoises telles que ByteDance et Tencent étaient en train de développer un identifiant mobile appelé CAID.

Le CAID répondait à toutes les normes chinoises de confidentialité des données, mais il allait à l'encontre de la mise à jour de confidentialité d'Apple, qui limitait l'utilisation par les annonceurs de son identifiant pour les annonceurs (IDFA).

Cela signifiait qu’Apple devait prendre une décision difficile : devait-elle mettre fin à sa relation avec les annonceurs chinois ou accepter le CAID et donner aux annonceurs chinois un avantage sur ceux des autres marchés ?

Heureusement, Apple n’a plus à se soucier de ce problème.

Maintenant que la Chine dispose de la PIPL, son régime de protection de la vie privée s'est aligné sur les normes internationales. Il y aura ainsi plus de cohérence – du moins dans le secteur privé – quant aux données qu'il est permis d'utiliser et de collecter, et à quel moment.

Qui doit se conformer à la loi chinoise sur la protection des renseignements personnels ?

Selon l'article 73, la LPRP s'applique à tous les "responsables du traitement des informations personnelles", c'est-à-dire aux personnes et aux organisations qui "décident elles-mêmes des finalités et des méthodes de traitement".

La loi chinoise sur la protection des données ne s'applique qu'aux organisations du secteur privé et ne s'applique pas aux personnes qui traitent des informations personnelles pour des raisons familiales ou personnelles.

Tout comme le RGPD de l'UE, la LPRP de la Chine exige que les organisations du monde entier s'y conforment. Toute organisation qui traite, collecte ou transfère des données personnelles de personnes vivant en Chine doit se conformer à la LPRP.

Toutefois, contrairement au RGPD, la PIPL ne protège les données des consommateurs que contre les entreprises privées. Cela signifie que le gouvernement chinois aura toujours un accès total aux données personnelles des consommateurs chinois.

Quelles sont les exigences de l'IPPC pour les entreprises ?

La PIPL établit des normes strictes de conformité. Voici les concepts et définitions auxquels les entreprises doivent prêter attention.

Base du traitement

Selon l'article 13, les entreprises ne peuvent traiter les données personnelles des individus que si elles remplissent au moins l'un des critères suivants :

• Ils ont obtenu le consentement des personnes.
• Elles ont besoin des informations personnelles des individus pour exécuter ou conclure un contrat dans lequel le consommateur est une partie intéressée.
• Ils ont besoin des informations personnelles des individus pour la gestion des ressources humaines, conformément au droit du travail et aux contrats collectifs légaux.
• Ils ont besoin des informations personnelles des individus pour remplir des devoirs, des obligations ou des responsabilités statutaires.
• Ils ont besoin des informations personnelles des individus pour des activités d'intérêt public et des incidents tels que les reportages d'actualité et les situations d'urgence.
• Les personnes elles-mêmes ont déjà divulgué leurs données personnelles.

La LPRP interdit également aux entreprises de traiter les informations personnelles de manière "trompeuse ou coercitive". Veillez donc à ce que votre site politique de confidentialité soit transparent et permette aux consommateurs de comprendre exactement comment vous traiterez leurs informations personnelles.

Définition des informations personnelles sensibles

Comme le RGPD, la LPRP établit une définition complète des "informations personnelles sensibles".

Conformément à l'article 28 de la PIPL, les informations personnelles sensibles désignent les informations personnelles qui peuvent facilement porter atteinte à la dignité, à la sécurité personnelle ou à la sécurité des biens d'une personne.

Ce SPI comprend

• Informations sur les caractéristiques biométriques
• Statut de personne spécialement désignée
• Croyances religieuses
• Santé médicale
• Informations financières
• Localisation individuelle
• Informations personnelles des mineurs de moins de 14 ans

Obligations des sous-traitants

La PIPL établit de nombreuses obligations pour les responsables du traitement des informations personnelles.

Les entreprises doivent informer les particuliers des points suivants avant de traiter leurs données personnelles :

• Le nom et les coordonnées du responsable du traitement des données personnelles
• L'objectif du traitement des informations personnelles de la personne, les catégories d'informations personnelles traitées, les méthodes de traitement et la période de conservation.
• Procédures et méthodes permettant aux individus d'exercer leurs droits en vertu de la LPRP
• Tout changement dans le processus de traitement

En outre, les entreprises doivent établir les éléments suivants avant de traiter les données personnelles des individus :

• Règles de fonctionnement et structures de gestion interne
• Mesures de sécurité visant à prévenir les violations et les fuites de données, telles que la dépersonnalisation et le cryptage
• Gestion catégorisée des informations personnelles
• Détermination de limites opérationnelles pour le traitement des informations personnelles et formation régulière des employés en matière de sécurité

Si votre entreprise gère une certaine quantité de données — qui n’a pas encore été déterminée par le département de cybersécurité et d’informatisation du gouvernement chinois — vous devez nommer des responsables de la protection des informations personnelles.

Ces agents seront chargés de superviser le traitement et les mesures de protection des renseignements personnels.

Après avoir nommé ces agents, vous devez communiquer leurs coordonnées et leurs noms au gouvernement.

Selon l'article 54, les entreprises qui traitent des informations personnelles doivent régulièrement vérifier leurs processus de gestion des informations personnelles afin de s'assurer qu'ils sont conformes aux lois et règlements administratifs pertinents.

Consentement

L'article 14 de la LPRP exige des entreprises qu'elles soient extrêmement prudentes lorsqu'elles obtiennent et déterminent le consentement. Comme dans le RGPD, le consentement doit être :

• Volontaire
• Une déclaration explicite
• données après que la personne a été pleinement informée de la manière dont les informations la concernant seront utilisées

Les personnes ont le droit d'annuler leur consentement à tout moment, et les entreprises doivent leur fournir un moyen pratique de retirer leur consentement. Les entreprises doivent également obtenir un nouveau consentement ou un consentement renouvelé de la part des personnes concernées dans les cas suivants

• Transmission de leurs données à un tiers
• Changer la façon dont ils traitent leurs données
• l'utilisation de leurs données dans tout type de prise de décision automatisée

Lorsque vous obtenez le consentement pour une prise de décision automatisée, vous devez fournir une explication transparente du processus de prise de décision et prouver au consommateur que les résultats seront justes et équitables.

Les consommateurs ne peuvent pas donner leur consentement approprié si votre prise de décision automatisée crée des résultats biaisés.

Vous devez également préciser le type de consentement requis pour chaque donnée à caractère personnel. Dans le cas contraire, vous ne pourrez pas respecter les normes de l'IPPL en matière de consentement spécifique.

En outre, la LPRP exige que vous obteniez le consentement d'un parent ou d'un tuteur avant de traiter les informations d'un mineur de moins de 14 ans.

Tiers en Chine

Conformément à l'article 21, si votre entreprise souhaite partager les données à caractère personnel d'un consommateur avec un tiers ou une personne de confiance en Chine, vous devez.. :

• Obtenir le consentement du consommateur
• Établir un contrat avec un tiers qui précise ce qu'il fera des données.

En vertu de la PIPL, les tiers ne sont pas autorisés à partager les données des consommateurs avec un autre tiers.

Vous devez créer un autre contrat pour réglementer ce deuxième transfert de données.

Transferts transfrontaliers d'informations à caractère personnel

La LPRP impose de nombreuses limites aux transferts transfrontaliers d'informations à caractère personnel.

Conformément à l'article 38, votre entreprise doit remplir l'une des conditions suivantes avant de transférer des informations personnelles de consommateurs en dehors de la Chine :

Si les personnes chargées du traitement des données personnelles dans votre entreprise ne vivent pas en Chine, vous devez nommer un "représentant désigné" ou un "bureau spécialisé" en Chine pour traiter toutes les questions liées au traitement des données personnelles.

Après avoir désigné ce représentant, vous devez communiquer son nom et ses coordonnées au gouvernement chinois. Malheureusement, le gouvernement chinois n'a pas encore révélé comment vous pouvez choisir ce représentant.

La PIPL interdit également aux entreprises de communiquer des informations personnelles à toute entité gouvernementale étrangère sans l'autorisation du gouvernement chinois.

En vertu de l'article 41, seul :

les autorités compétentes de la République populaire de Chine [...] doivent traiter les demandes des autorités judiciaires ou policières étrangères concernant la fourniture d'informations à caractère personnel.

Comment se conformer à la PIPL

Le PIPL impose de nombreuses obligations aux entreprises. Toutefois, si votre organisation est déjà RGPD, vous avez déjà fait le plus gros du travail.

Il convient de noter les différences entre la LPRP et le RGPD et de trouver un avocat pour vous aider à vous préparer à la mise en conformité avec la LPRP.

Après avoir acquis une meilleure idée de ce qu'exige la conformité à la LPRP, envisagez de prendre les mesures suivantes :

Sanctions et amendes imposées par la Chine au titre de la loi sur la protection des renseignements personnels (PIPL)

Par rapport à ses homologues, les sanctions et les amendes prévues par la loi sur la protection des renseignements personnels sont incroyablement sévères. Les violations de la loi sur la protection des renseignements personnels peuvent entraîner.. :

• Suspension du service en Chine.
• Confiscation de tous les revenus qu'une entreprise a tirés des infractions à la loi sur la protection des renseignements personnels.
• Des poursuites pénales si la violation du PIPL est un délit.
• Sanction de la gestion de la sécurité publique si la violation de la LPRP est une violation de la gestion de la sécurité publique.
• Indemnisation des victimes, si le traitement des informations personnelles porte atteinte aux intérêts et aux droits en matière d'informations personnelles et entraîne un préjudice.

Si l'entité refuse de corriger ses infractions, le gouvernement peut imposer une amende pouvant aller jusqu'à 1 million de yuans à la personne responsable qui est directement à l'origine des infractions.

Toute autre personne directement responsable se verra également infliger une amende comprise entre 10 000 et 100 000 yuans.

En outre, les "violations graves" - que l 'article 66 définit comme des violations répétées, intentionnelles et flagrantes - sont passibles de l'une des deux sanctions suivantes :

• Amendes jusqu'à 50 millions de yuans (7 821 055 USD)
• Environ 5 % du chiffre d'affaires annuel de l'entité fautive et des amendes allant de 100 000 à 1 million de yuans (15 642 à 156 421 USD) pour les autres membres du personnel directement responsables.

Les autres membres du personnel directement responsables mentionnés ci-dessus peuvent également se voir interdire d'exercer les fonctions suivantes pendant une certaine période :

• Responsable de haut niveau
• Directeur
• Superviseur
• Délégué à la protection des données personnelles

Lois chinoises sur la protection des données personnelles par rapport à d'autres pays : Comment la PIPL se compare-t-elle à des lois similaires ?

Voici comment la législation chinoise sur la confidentialité des données se compare à celle d'autres pays.

PIPL vs. RGPD

Comme nous l'avons déjà mentionné, l'IPPL ressemble à bien des égards au RGPD.

Comme le RGPD, la LPRP établit des normes strictes en matière de protection de la vie privée, exigeant un consentement explicite et volontaire avant que les entreprises puissent traiter les informations personnelles des consommateurs.

Elle a également une large compétence internationale, ce qui signifie que même les entreprises qui n'ont rien à voir avec la Chine peuvent être concernées par la loi si elles collectent des données auprès de personnes en Chine.

Les deux lois réglementent également le traitement de l'information à l'étranger.

L'article 53 de la LPRP exige que les entités offshore de traitement des informations personnelles situées en dehors de la Chine nomment un représentant ou créent un "bureau spécialisé" en Chine avant de pouvoir transférer légalement des données personnelles de consommateurs en Chine. De même, le RGPD exige des entités qu'elles désignent un représentant dans l'UE pour les contrôleurs offshore.

Il existe également des différences significatives entre le PIPL et le RGPD.

Contrairement au RGPD, l'article 13 de la PIPL inclut la gestion des ressources humaines et les employés dans la définition des informations personnelles protégées. Cela signifie que toutes les informations personnelles liées aux ressources humaines et à l'emploi, y compris les évaluations des performances et les fiches de paie, ne peuvent pas être envoyées en dehors de la Chine, sauf si l'employé a donné son consentement éclairé ou si les informations ont été rendues anonymes. Ce règlement a de nombreuses implications pour les entreprises qui ont des services de ressources humaines en dehors de la Chine.

La LPRP et le RGPD ont également des bases légales différentes pour le traitement.

Si le RGPD considère les "processus légitimes" comme une base légale pour le traitement, ce n'est pas le cas de la LPRP. Outre le consentement, l'article 13 de la LPRP autorise également les personnes chargées du traitement des informations personnelles à traiter ces dernières lorsque :

• Ils ont besoin d'informations personnelles pour exécuter ou conclure un contrat dans lequel le consommateur est une partie intéressée.
• Ils ont besoin de ces informations personnelles pour la gestion des ressources humaines, conformément au droit du travail et aux contrats collectifs légaux.
• Ils ont besoin d'informations personnelles pour s'acquitter de leurs devoirs, obligations ou responsabilités statutaires.
• Ils ont besoin de ces informations personnelles pour des activités d'intérêt public et des incidents tels que les reportages et les situations d'urgence.
• Les personnes elles-mêmes ont déjà divulgué leurs données personnelles.

PIPL vs. CCPA

La PIPL ressemble également à la loi californienne sur la protection de la vie privée des consommateurs(CCPA), qui est entrée en vigueur le 1er janvier 2020 et sera modifiée par la loi californienne sur les droits à la protection de la vie privée de 2020(CPRA) le 1er janvier 2023.

Tout comme la PIPL, la CCPA établit une définition large des informations personnelles, y compris :

• Nom
• Courriel
• Données de géolocalisation
• Adresse IP
• Données sur les ménages
• Informations biométriques

Toutefois, contrairement à la PIPL, la CCPA n'exige pas des entreprises qu'elles obtiennent le consentement explicite ou "opt-in" d'une personne avant d'utiliser ou de collecter ses informations personnelles. Au lieu de cela, les organisations ne doivent obtenir ce consentement que si elles ont l'intention de vendre les informations personnelles d'une personne.

En outre, la CCPA ne considère pas le transfert ou le partage d'informations comme une vente d'informations, alors que la PIPL réglemente toutes les formes de manipulation et de traitement des données. En tant que telle, la LPRP a un champ d'application plus large que la CCPA.

Une autre différence entre la PIPL et la CCPA est la manière dont elles traitent les mineurs.

La CCPA interdit aux entreprises de vendre intentionnellement les informations personnelles de consommateurs âgés de moins de 16 ans, à moins que l'une des deux situations suivantes ne se produise :

• Le consommateur est âgé de 13 à 16 ans et a "autorisé la vente" de ses données personnelles.
• Le consommateur est âgé de moins de 13 ans et son tuteur a "autorisé expressément la vente" de ses données personnelles.

En revanche, la LPRP propose un modèle plus simple pour la protection des informations personnelles des mineurs. Selon l'article 31, les personnes chargées du traitement des informations personnelles doivent prendre les mesures suivantes lorsqu'elles traitent les informations personnelles d'un mineur de moins de 14 ans :

• Obtenir le consentement du parent ou du tuteur du mineur.
• Créer des règles spécifiques de traitement des informations personnelles pour les mineurs de moins de 14 ans.

Conclusion

Bien que la mise en conformité avec le PIPL semble décourageante, elle n'est pas si difficile si vous êtes déjà RGPD.

La LPRP comporte de nombreuses dispositions similaires au RGPD et, dans une moindre mesure, à la CCPA, de sorte que les entreprises qui se conforment déjà à ces lois seront familiarisées avec les exigences de la LPRP.

Nous vous recommandons vivement de faire appel à un avocat ou à un spécialiste de la protection de la vie privée pour vous aider à vous conformer à la LPRP.

Les organisations doivent commencer à prendre des mesures dès que possible pour éviter les pénalités et les amendes.

En savoir plus sur l'auteur

Écrit par Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha est spécialiste en sécurité de l'information et en protection des données, ainsi que déléguée à la protection des données certifiée. Depuis six ans, elle aide les petites et moyennes entreprises à se conformer aux réglementations et accompagne de nombreux accélérateurs internationaux en tant que mentor en conformité. Elle est spécialisée dans la mise en œuvre, le suivi et l’audit de la conformité des entreprises aux réglementations sur la protection des données (HIPAA, LPRDE, Directive ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha a étudié le droit à l’Université de Belgrade et a obtenu son examen du barreau en 2016. En savoir plus sur l'auteur