Pékin adopte sa propre version du RGPD européen
Régulièrement taclé sur le terrain de la protection des données, Pékin réplique. Le gouvernement chinois vient en effet d’adopter sa propre version du RGPD européen, via une nouvelle loi sur la protection des données personnelles qui détaille les règles relatives à la collecte, à l’utilisation et au stockage des données. Fait notable : celle-ci inclut le traitement des données par des entreprises basées en dehors de la Chine et comprend de nouvelles exigences pour les entreprises, comme l’obligation de désigner une personne en Chine chargée de veiller au respect de la nouvelle loi.
Selon l’agence de presse officielle Xinhua, le projet de loi, qui entrera en vigueur le 1er novembre, a été conçu pour remédier au “chaos” créé par les données, les plateformes en ligne collectant trop de données personnelles au goût de Pékin. L’organe étatique pointe du doigt – sans les nommer – certaines entreprises ayant déployé des systèmes de reconnaissance faciale sans autorisation, capturant “secrètement” le visage des consommateurs et d’autres données biométriques. Pour rappel, la Chine comptait 989 millions d’utilisateurs en ligne à la fin de l’année 2020.
« La Chine a toujours attaché une grande importance à la sécurité des informations personnelles. La loi sur la protection des informations personnelles clarifie les règles sur le traitement et la fourniture transfrontalière d’informations personnelles », vantait vendredi Zang Tiewei, porte-parole de la Commission des affaires législatives du Comité permanent de l’Assemblée nationale populaire de Chine. Et d’expliquer qu’il s’agit avant tout de surveiller davantage les technologies qui effectuent le profilage des utilisateurs et exécutent des algorithmes de recommandation, ce qui pourrait conduire à une discrimination des prix basée sur les données.
De nouvelles obligations pour les plateformes
Le projet de loi chinois dispose d’un premier volet destiné à ce que les marques – nationales comme étrangères – ne déploient plus de tactiques de marketing ciblant les « caractéristiques personnelles ». Celles-ci devront désormais proposer aux consommateurs la possibilité de refuser tout marketing ciblé.
Les grandes plateformes en ligne qui possèdent des données personnelles d’une large base de clients devront en outre mettre en place un organisme indépendant dont la tâche sera de superviser la manière dont les informations ont été traitées. En outre, ces entreprises devront définir des politiques de protection des données fondées sur « l’ouverture, l’équité et la justice » et publier régulièrement des rapports sur leurs initiatives en la matière.
En ce qui concerne les systèmes de reconnaissance faciale, la loi exige que des panneaux soient affichés de manière bien visible dans les lieux publics où de tels équipements et images sont mis en œuvre et capturés. En outre, la collecte et l’utilisation de ces données doivent être limitées à la « sauvegarde de la sécurité publique ».
Un RGPD à la chinoise ?
Développé sur le modèle du RGPD européen, ce projet de loi, connu sous l’acronyme PIPL, fixe une série d’obligations, de directives administratives et de mesures d’application concernant le traitement des données personnelles, selon un billet de blog publié vendredi par Future of Privacy Forum (FPF). Pour l’organisation, cet ensemble de règle s’applique surtout aux données personnelles transférées en dehors de la Chine, qui devront désormais être évaluée par les autorités avant leur transfert.
Les entreprises devront désormais établir une entité dédiée ou nommer un représentant en Chine responsable des questions liées au traitement de leurs données. Le nom et les coordonnées de ces représentants devront être fournis aux autorités compétentes chargées de superviser la mise en œuvre de la loi. La PIPL s’étend également au traitement des données par des entreprises basées en dehors de la Chine lorsque l’une des trois conditions suivantes est remplie, par exemple lorsque le traitement des données est effectué pour la fourniture de produits ou de services aux consommateurs en Chine, ou lorsque les données sont utilisées pour analyser ou évaluer les activités des consommateurs en Chine.
La troisième condition fait référence à « d’autres circonstances prévues par les lois ou les règlements administratifs », ce qui, selon la FPF, laisse une « marge de manœuvre » aux autorités chinoises pour « étendre davantage la juridiction de longue durée de la loi dans les scénarios transfrontaliers ». L’organisation relève en outre une « saveur de sécurité nationale » plus prégnante dans la PIPL que dans le RGPD, surtout en ce qui concerne les dispositions sur la localisation des données et les transferts transfrontaliers.
Un nouveau régime de sanctions à venir
« Les entreprises ou organisations étrangères qui enfreignent les droits des citoyens chinois, ou mettent en danger la sécurité nationale ou les intérêts publics de la Chine, seront placées sur une “liste noire” et tout transfert d’informations personnelles de citoyens chinois vers ces entités sera restreint, voire interdit », écrivent les auteurs de ce rapport. Et de relever que « la Chine prendra également des mesures de réciprocité à l’encontre des pays ou des régions qui prennent “des mesures discriminatoires, prohibitives ou restrictives à l’encontre de la Chine en matière de protection des informations personnelles” ».
De fait, la PIPL entérine également un nouveau cadre d’application complexe qui comprend des pénalités financières pouvant aller jusqu’à 5 % du chiffre d’affaires d’une organisation, ainsi que des actions punitives, telles que l’ordre de cesser le traitement des données et la confiscation des bénéfices atteints « illégalement ». Si une entreprise refuse de corriger la violation, elle pourrait se voir infliger une amende allant jusqu’à 150 000 dollars. Les employés directement responsables de la violation des données pourraient également se voir infliger une amende de 1 500 dollars à 15 000 dollars. Dans le cas de violations plus graves, les sanctions financières peuvent aller jusqu’à 7,5 millions de dollars ou 5 % du chiffre d’affaires annuel de l’année fiscale précédente de l’entreprise.
Pour Omer Tene, vice-président et responsable des connaissances à l’Association internationale des professionnels de la protection de la vie privée (IAPP), la nouvelle loi exigerait le transfert de données croisées aux autorités chinoises pour une « évaluation de sécurité ». Les organisations qui traitent de gros volumes de données devront également stocker les données localement en Chine. « Si vous faites des affaires en Chine, demandez des conseils juridiques. Ils ne plaisantent pas », avertit l’expert.
Source : ZDNet.com
