Table of contents
Share Post

Avec la PIPL en Chine (Personal Information Protection Law), les restrictions sur les transferts de données en dehors du pays ont été renforcées. Ils restent autorisés mais sont très encadrés, avec quelques règles de data localization plus strictes. Pour ce qui concerne l’export de données personnelles, il existe trois mécanismes principaux : l’analyse de sécurité (ou security assessment), la certification et les clauses contractuelles types.

1. La PIPL clarifie les obligations de data localization et transferts de données

La loi chinoise sur la Cybersécurité de 2016 avait introduit en Chine la nécessité de passer une analyse de sécurité avant de transférer les données hors de Chine. Mais à part lister de façon vague certaines conditions déclenchant l’obligation, la loi ne précisait rien de plus. Deux drafts de lignes directrices avaient été publiées mais jamais finalisées. Les entreprises faisaient donc face à une grande incertitude juridique, notamment sur les questions de data localization.

Avec l’entrée en vigueur de la PIPL en 2021, ces conditions se sont précisées. On savait désormais que les transferts de données hors de Chine pouvaient se réaliser de trois façons. Soit via un mécanisme de certification ressemblant aux Binding Corporate Rules du RGPD ; soit via des clauses contractuelles types qui, là aussi, rappellent le mécanisme européen équivalent ; soit via une analyse de sécurité, cette fois propre au droit chinois.1 La PIPL requiert aussi un Personal Information Protection Impact Assessment (PIPIA) avant tout transfert de données, ressemblant à nos AIPD/DPIA européens.2

Cependant, il manquait encore de nombreux détails permettant d’appliquer ces obligations et surtout de savoir à qui et quand elles étaient effectivement applicables. Depuis l’été 2022, c’est désormais plus clair.

2. La certification (BCR chinoises) : peu de chance d’être très utilisée en pratique

En Europe, les BCR sont un moyen pour les multinationales de transférer des données entre leurs différentes entités. Elles sont cependant peu utilisées en pratique, notamment à cause de la difficulté à faire aboutir un projet de BCR, qui doivent au final être approuvées par une autorité de protection des données comme la CNIL en France.

En Chine, le mécanisme de transfert de données intra-groupe introduit par la PIPL est une certification. Un projet de guidelines a été publié (lien en chinois) le 24 juin 2022 par le TC260. Celui-ci détaille les éléments, notamment contractuels, à mettre en place et réitère la nécessité de réaliser un PIPIA. Un organisme de certification devra valider le projet. Cependant, à ce jour, encore aucun organisme de certification n’a été désigné.

Il ne s’agit encore que d’un draft, mais le mécanisme de certification n’est pas accueilli avec un grand enthousiasme par certains observateurs, qui le jugent potentiellement coûteux et difficile à mettre en place.

3. Clauses contractuelles types et PIPL : fonctionnement similaire aux SCC européennes

Le draft concernant les clauses contractuelles types de la PIPL a été publié (lien en chinois) par le CAC le 30 juin 2022, pour consultation publique. La date limite pour envoyer ses commentaires étant dépassée depuis juillet, une nouvelle version devrait arriver prochainement. Les règles rappellent d’abord dans quels cas une organisation peut recourir à ces clauses. A défaut, une analyse de sécurité sera nécessaire. Ainsi, peuvent recourir aux SCC chinoises les entreprises qui ne sont pas des opérateurs d’infrastructures d’information critiques, qui ont exporté les données de moins de 100,000 personnes depuis le 1er janvier de l’année précédente ou de moins de 10,000 personnes en cas de données sensibles.

De la même façon que pour la certification, un PIPIA doit être réalisé, analysant notamment le contexte réglementaire du pays où sont envoyées les données. Les SCC chinoises forment un ensemble unique. A ce jour, elles ne reprennent pas la distinction qui existe en Europe entre les transferts de responsable à responsable, de responsable à sous-traitant, etc. Les autres différences concernent notamment l’obligation de notification, des obligations plus strictes pour les transferts ultérieurs, ou davantage de contraintes dans la fourniture d’informations à des autorités étrangères.

4. Le security assessment conduit par l’Etat : lourd mais souvent obligatoire…

A l’inverse de l’Europe, en Chine la certification ou les SCC ne sont des moyens de transferts possibles que pour les cas considérés comme les moins risqués. Hors de ces situations, une analyse de sécurité (security assessment) conduite par l’État est obligatoire. Des guidelines ont été adoptées et sont applicables depuis septembre 2022.

4.1. Quand le security assessment est-il obligatoire ?

Les guidelines sont précises sur les seuils au-dessus desquels un security assessment est nécessaire. De nombreuses multinationales sont concernées.

  1. Lorsque le responsable de traitement fournit des « données importantes »3 à l’étranger ;
  2. Les opérateurs d’infrastructures d’information critiques et les responsables de traitement traitant les données personnelles de plus d’un million de personnes et exportant des données personnelles à l’étranger ;
  3. Les entités fournissant à l’étranger les informations personnelles de plus de 100 000 personnes ou les « données sensibles »4 de plus de 10 000 personnes depuis le 1er janvier de l’année précédente ;
  4. Les autres circonstances où le service de la cybersécurité et de l’informatisation de l’État fournit une évaluation de la sécurité de l’exportation des données doivent être demandées.

4.2. Quel est le contenu d’un security assessment PIPL ?

Le contenu de l’assessment est assez proche de celui d’un PIPIA (DPIA chinois). Il s’agit d’une analyse de risque qui inclut le niveau de protection offert dans la juridiction de destination des données, en plus de la conformité de l’importateur. Ce niveau est évalué par rapport à celui garanti par la PIPL ; ce qui n’est pas sans rappeler le terme « niveau de protection essentiellement équivalent » utilisé dans le contexte du RGPD. Il est important de noter ici que, contrairement au RGPD, la PIPL considère les conséquences sur la sécurité nationale et la stabilité économique et politique de la Chine dans son security assessment. Ainsi, certaines données peuvent être sensibles pour les individus mais également pour l’Etat chinois. Une formation PIPL permettra de prendre pleinement conscience de ces nuances chinoises.

De nombreux détails administratifs sont donnés (documentation à fournir, délais…) y compris dans des guidelines additionnelles également publiées en 2022. En cas de succès, l’autorisation est valable deux ans.

5. Le chemin vers la conformité PIPL, transferts de données et data localization

Evidemment, le sujet des transferts de données hors de Chine ne se pose qu’après la vérification de la conformité du traitement à la PIPL dans son ensemble. Sans cela, nulle chance de pouvoir exporter les données chinoises. Il est donc essentiel que les parties prenantes en Chine, mais aussi celles qui vont recevoir les données (en France, par exemple), suivent une formation PIPL adéquate. Sans preuve que les données seront reçues par des gens formés à la PIPL, peu de chance d’être autorisé à les sortir de l’Empire du Milieu.

On le voit, les règles de data localization en Chine sont fortes. Les transferts sont très encadrés. Il existe beaucoup de ressemblances avec les règles européennes, mais les différences chinoises sont très significatives. Elles peuvent affecter drastiquement les échanges de données d’une multinationale.

Footnotes

  1. PIPL, art. 38
  2. PIPL, art. 55.4
  3. Ces données sont celles qui, si violées, pourraient porter atteinte à la sécurité nationale, la santé publique, etc.
  4. La définition de « donnée sensible » dans la PIPL est beaucoup plus large que celle du RGPD, car elle se fonde sur le niveau de risque engendré si ces données venaient à être violées.

Emmanuel Pernot-Leplay

Stay in the loop

Subscribe to our free newsletter.

Related Articles