La Chine s’intéresse au RGPD. Grâce aux récentes améliorations de son droit concernant la protection des données personnelles, plusieurs éléments propres au droit européen commencent à y apparaitre. La Chine est même en cours de préparation d’une loi inspirée du RGPD. Ce post vient approfondir certains points abordés dans mon article sur Le Cercle-Les Echos intitulé « Protection des données : la Chine en marche vers le modèle européen« .
Pour aller plus loin : Data Privacy Law in China: Comparison with the EU and U.S. Approaches.
1. Contexte : Développement récent de la protection des données en Chine
Le droit chinois n’a que récemment commencé à protéger la vie privée et les données personnelles. L’évolution depuis 2012 a été rapide, jusqu’au plus récent progrès qu’est la Loi Cybersécurité chinoise de 2016. Bien que créant de nouvelles protections et étendant le champ d’application des précédentes, la Loi Cybersécurité est encore loin du niveau de protection garanti par le RGPD en Europe.
Néanmoins, la direction que j’observe dans les évolutions du droit chinois sur la protection des données personnelles est celle d’une convergence graduelle avec le modèle européen (une grande loi dédiée à la protection des données, au champ large et aux obligations dépassant celles requises par l’OCDE), tel que représenté par le RGPD. En gardant à l’esprit que les spécificités du système chinois rendent peu probable le comblement d’importantes lacunes.
Pour une vision très détaillée, consultez mon article publié en law review : China Data Privacy Laws. Une version (un peu) moins longue est disponible en anglais sur ce blog et aborde notamment la China Cybersecurity Law.
2. En quelques mots
La protection des données personnelles en Chine ne couvre que très peu le secteur public, mais a connu de grandes améliorations concernant le secteur privé. Cependant et malgré celles-ci, les fuites de données représentent un coût exorbitant pour l’économie chinoise et des affaires médiatiques outragent la population.
Pour renforcer la protection des données, la Chine regarde vers le modèle européen plutôt que vers le modèle américain, moins protecteur. Cela conduit actuellement les observateurs et le législateur chinois à étudier la possibilité d’une nouvelle loi chinoise qui présenterait beaucoup des caractéristiques du RGPD – d’ici à 2023 selon les médias du pays. Cela dit, même en étant optimiste, il serait illusoire de penser que la protection effective des données personnelles atteigne bientôt en Chine le niveau que nous connaissons en Europe.
3. En détail
3.1. La Chine considère la protection des données à l’européenne depuis longtemps
La Chine a le modèle européen en tête depuis le début de ses travaux sur la protection des données. Dès 2005, le législateur chinois avait envisagé d’adopter directement une grande loi sur la protection des données personnelles, sur la forme du modèle européen.
Une loi avait été ébauchée, avec une large portée couvrant les secteurs privé et public. Elle était censée s’inspirer des standards internationaux et de certains principes européens plus stricts. Le texte comprenait toutefois certaines lacunes vis-à-vis des grandes lois « à l’européenne », notamment l’absence d’une autorité de protection des données.
Finalement, la Chine n’a pas choisi cette voie, le projet n’a jamais été formellement inscrit à l’ordre du jour législatif. Graham Greenleaf, spécialiste de la protection des données en Asie, a attribué cela au scepticisme grandissant contre l’adoption directe d’idées juridiques issues de la culture juridique occidentale.
C’est finalement depuis 2012 que la Chine commence réellement à progresser dans le domaine. C’est d’abord une approche à l’américaine, sectorielle, qui est mise en oeuvre. Plusieurs lois sont passées, ne concernant à chaque fois qu’un secteur précis. Puis, progressivement, les textes concernant le secteur internet ont pris de l’ampleur dans leur portée et leur niveau de protection, conduisant les observateurs à y voir les signes d’une influence européenne.
Cette direction est confirmée par la Loi Cybersécurité qui étend encore la portée et le niveau des dispositions sur la protection des données personnelles. Encore très incomplète cependant, l’espoir vient surtout des lignes directrices (non-contraignantes) qui l’accompagnent. Celles-ci indiquent que le législateur chinois encourage les entreprises à aller plus loin que le texte exprès de la Loi Cybersécurité en adoptant des garanties similaires à celles du RGPD.
3.2. La protection des données actuelles jugée insuffisante
Mais le droit applicable est encore trop en retard pour une partie de la doctrine et de la société juridiques chinoises, qui appelle à une meilleure mise en œuvre des normes internationales et à une grande loi dédiée à la protection des données.
Récemment, la fuite de données personnelles a atteint des niveaux insupportables. En 2016, ces fuites et les fraudes en résultant ont causé une perte de 11,5 milliards d’euros à l’économie chinoise, selon l’agence de presse Xinhua (lien en anglais). En sus, de retentissantes affaires liées au manque de protection des données causent un important mécontentement.
Ainsi dans l’affaire Xu Yuyu, à la suite de la divulgation de données personnelles, un malfaiteur a volé l’argent économisé par une famille pour les études de leur fille de 18 ans (lien en anglais). La jeune fille est décédée d’une crise cardiaque en revenant du poste de police. Un autre cas quasi-identique concernait cette fois un jeune homme aux revenus modestes. On peut également citer le cas des employés d’Apple ou d’Alibaba revendant les données personnelles des clients, conduisant à des attaques sur leurs machines.
3.3. Progression vers une loi dédiée à la protection des données personnelles
Tout ce regain d’attention provoque des appels à renforcer la protection des informations personnelles en Chine. Parmi eux, la nécessité d’adopter une loi complète sur la protection des données, qui a finalement attiré l’attention du Congrès national du peuple. Avec pour effet de réactiver le projet de 2005, son statut étant passé en 2016 de «recherche et formulation» à «promouvoir l’introduction». Ce qui a stimulé l’optimisme de ses promoteurs qui croient maintenant que la loi peut être adoptée avant 5 ans (lien en chinois).
Parmi les problèmes rencontrés se trouve la difficulté de trouver un accord sur la définition des « données à caractère personnel ». Indiquant que certains s’opposent à ce qu’une définition extensive soit incluse dans une loi à large portée. C’est pourtant première condition de l’adoption d’une loi à l’européenne, qui ne fait donc pas l’unanimité.
4. Conclusion
Si cette grande loi est effectivement adoptée, il sera important de vérifier si ces négociations n’ont pas amoindri son contenu. Une approche ambitieuse consisterait, notamment, à intégrer les exigences des lignes directrices de 2016, évoquées plus haut, dans une loi contraignante. Cela constituerait une grande amélioration du droit applicable existant. La Chine entrerait dans le groupe grandissant de pays ayant une loi spécifique à la protection des données personnelles.
Une approche moins ambitieuse serait d’étendre les exigences moins strictes de la Loi Cybersécurité à tous les secteurs. Cela constituerait tout de même une amélioration, d’autant plus que le niveau de détail fourni serait probablement plus important. Mais ce serait aussi une occasion manquée par la Chine de franchir une étape cruciale dans la création d’un corpus juridique moderne concernant la protection des données personnelles.
La potentielle adoption d’une loi à l’européenne (dédiée à la protection des données, au champ d’application large et aux obligations strictes) serait un grand bond en avant. Mais, même malgré cela, le contexte chinois actuel rend improbable l’adoption d’un cadre juridique équivalent à celui de l’Union Européenne. L’accès du gouvernement aux données d’une part, et les problèmes d’application entière et efficace du droit d’autre part, sont les deux grands obstacles à une telle (r)évolution.
