La loi sur la cybersécurité chinoise est une pierre angulaire de la réglementation en cybersécurité et protection des données de la Chine. Entrée en application le 1er juin 2017, elle a provoqué de vives réactions dans la communauté internationale. Cet article éclaire les aspects portant sur la protection des données personnelles présents dans la loi.
Besoin des détails ? Téléchargez le dossier complet
J’ai publié un article complet (60 pages) dans la revue juridique américaine Penn State Journal of Law & International Affairs en 2020, disponible sur le site Social Science Research Network (SSRN). Vous devrez créer un compte gratuit avant de pouvoir le télécharger.
Et pour aller plus loin, sur ce blog : Data Privacy Law in China: Comparison with the EU and U.S. Approaches.
Contexte
La Chine développe son arsenal législatif sur la cybersécurité et la protection des données personnelles depuis l’apparition de l’économie du Big Data. Les lois les plus significatives sont apparues vers 2012. Les révélations d’Edward Snowden n’ont fait qu’accroître ces efforts.
Comme aux États-Unis, et à la différence de l’Europe et de nombreux pays, la Chine a une approche sectorielle de la protection des données. C’est à dire qu’au lieu d’avoir une grande loi couvrant tous les aspects de la protection des données personnelles – comme le RGPD – les dispositions sur le sujet sont disséminées dans plusieurs textes.
La loi cybersécurité s’inscrit cependant dans une évolution vers une approche plus globale de la protection des données personnelles en Chine, avec un meilleur respect des standards internationaux. Une preuve des répercussions internationales du RGPD ?
"Comment l'Asie protège les données personnelles" Mon article pour @Asialyst #EUdataP #RGPD https://t.co/Sz85ZoO3Ct
— Emmanuel Pernot-Leplay, Ph.D (@PernotLeplay) May 22, 2018
En bref
La loi sur la cybersécurité chinoise couvre un champ plus large que la protection des données au sens strict. De nombreuses dispositions portent sur la sécurité des systèmes, leur contrôle et les transferts de données vers l’étranger.
Les dispositions sur la protection des données s’appliquent aux « opérateurs de réseaux », dont la définition est très large. Le texte n’a pas de portée extraterritoriale.
La loi étend les obligations en matières de data protection à tout le secteur privé de la Chine. Elle intègre de nouveaux principes et en renforce d’autres existant dans des textes précédents.
C’est une avancée pour la protection des données personnelles en Chine. Plusieurs standards internationaux sur la protection des données se retrouvent dans cette loi (voir ci-dessous). Mais il en manque encore beaucoup. Il n’existe pas d’autorité unique similaire à la CNIL ou de protection spéciale pour les données sensibles.
Des lignes directrices non-contraignantes ont récemment été publiées. Plus strictes, de portée plus large, elles se rapprochent encore davantage des standards internationaux et européens, reprenant les principes de protection des données personnelles du RGPD. Une entreprise en conformité avec le RGPD respectera également beaucoup des exigences chinoises en matière de protection des données personnelles. Au final, la Chine démontre une tendance à se rapprocher du droit européen.
En détail
Les dispositions de la loi pertinentes pour la protection des données se trouvent au chapitre IV (articles 40 à 50). Le texte étant parfois vague, ces observations sont sujettes à l’appréciation qui en sera donnée par les autorités. Cette imprécision volontaire est une caractéristique habituelle des lois chinoises.
Portée de la loi sur la cybersécurité chinoise
Les dispositions de cette loi s’adressent aux « opérateurs de réseau », un terme large qui peut concerner toute entreprise. Les lignes directrices (non-contraignantes) publiées à la suite de la loi ont une portée similaire à celle du RGPD.
Les informations concernées par la loi sont les mêmes que dans le RGPD et les règles de l’OCDE : toute information permettant d’identifier directement ou indirectement un individu (article 76.5).
La loi cybersécurité en Chine a donc un champ d’application large. Elle n’a cependant pas de portée extraterritoriale (article 2), à l’inverse du RGPD (article 3).
Principes fondamentaux de la protection des données personnelles en Chine
Grâce à cette loi, plusieurs des principes fondamentaux de la protection des données personnelles font leur apparition en Chine. D’autres, qui existaient dans des textes d’application sectorielle, concernent désormais tout le secteur privé. Ces principes sont directement inspirés de ceux de l’OCDE et des standards internationaux.
On peut identifier certains principes fondamentaux fréquemment présents dans les lois sur la protection des données personnelles dans le monde :
- licéité et loyauté
- transparence
- limitation des finalités
- minimisation des données
- qualité des données
- participation individuelle
- sensibilité
- sécurité
- responsabilité
Ces neufs principes se retrouvent, explicitement ou implicitement, dans les lignes directrices de l’OCDE, la Convention 108, le cadre APEC, la Directive sur la protection des données personnelles et le GDPR notamment. Étant enchevêtrés et interdépendants, d’autres études et lois en distinguent plus, d’autres moins.
Ces principes se retrouvent dans la loi sur la cybersécurité, mais sans grande précision. Il ne sont pas non plus clairement listés. Leur portée peut aisément être très limitée si une interprétation stricte en est donnée par les autorités. En revanche, les lignes directrices de 2017 sont beaucoup plus explicites. La liste des principes de data protection donnée à l’article 4 ressemble beaucoup à celle à l’article 5 du GDPR. Ces lignes directrices n’étant pas contraignantes, les entreprises les appliquent de façon volontaire. Mais elles sont plus qu’une simple liste de bonnes pratiques, car les experts soulignent que les autorités pourront s’en servir pour interpréter la Loi Cybersécurité.
Les experts soulignent les proximités de ces lignes directrices avec le RGPD. Par exemple, même s’il est plus limité, il existe un droit à la portabilité des données comme dans le RGPD.
Curieusement, la loi sur la cybersécurité chinoise n’accorde pas de protection supplémentaire aux données sensibles, qui ne sont pas différenciées des autres données définies à l’article 76.5. En revanche, les lignes directrices de 2017 les identifient clairement et requièrent ces protections supplémentaires.
Stockage des données en Chine et transferts transfrontaliers
En pratique, les entreprises stockent fréquemment leurs données hors de Chine pour de multiples raisons. La loi sur la cybersécurité chinoise comporte de strictes obligations sur la localisation des données en Chine.
La localisation des données en Chine et les règles pour leur transfert sont expliquées dans la partie anglophone de ce blog, sur la data localization in China.
Application de la loi & sanctions prévues
La loi ne crée pas de Data Protection Authority (DPA) qui serait l’équivalent de la CNIL en France. Aucune autre loi chinoise ne le faisant, il n’y a donc toujours pas de DPA en Chine. Cependant, certaines des attributions d’un DPA sont données au gouvernement. En vertu de l’approche sectorielle de la protection des données, chaque ministère exerce un pouvoir de contrôle sur son secteur.
Les sanctions applicables en cas de violation des dispositions sur la data protection peuvent consister en la confiscation des gains illégaux et d’amendes pour les entreprises et pour les individus en charge de ces opérations. En plus de cela, ordre peut être donné à l’entreprise de cesser ses opérations temporairement le temps de la correction, de fermer ses sites internet, ou se voir retirer ses autorisations d’exercer.
Conclusions
La loi sur la cybersécurité chinoise illustre la progression du droit chinois sur la question de la protection des données personnelles (observable aussi dans d’autres pays asiatiques). La protection des données en Chine, initialement très divisée entre secteurs, tend à être abordée par des règles à portée plus large, ce que montre également cette loi.
Il est possible que cette tendance mène vers l’adoption d’une grande loi chinoise sur la protection des données personnelles, sur le modèle du RGPD européen.
La mise en conformité RGPD permet aux entreprises de couvrir beaucoup des obligations de la loi sur la cybersécurité chinoise. Par ailleurs, recommandons aux entreprises étrangères de s’appuyer sur les lignes directrices récemment publiées, plutôt qu’uniquement sur la loi elle-même. Cela diminuera les risques de se retrouver du mauvais côté de celle-ci, dont certaines dispositions sont très floues.
