PIPL Chine : Votre entreprise est-elle prête ?

Le 20 août 2021, la Chine a adopté sa nouvelle loi sur la protection des informations personnelles (PIPL), la première du genre dans ce pays d'Asie de l'Est. Cette loi crée un nouveau paysage autour de la sécurité et de la protection des informations personnelles.

Cette loi sur la protection des informations personnelles aura des effets considérables sur les activités commerciales en Chine, à l'instar de ce que le Règlement général sur la protection des données (RGPD) de l'Union européenne (UE) a eu dans le monde.

La loi chinoise PIPL établit un nouvel ensemble de règles sur la manière dont les entreprises peuvent utiliser les données des citoyens chinois, et les entreprises technologiques, en particulier, seront touchées, non seulement en Chine, mais dans le monde entier.

À partir du 1er novembre 2021, les organisations qui traitent les données des citoyens chinois doivent respecter certaines conditions énoncées dans le PIPL. Si votre entreprise SaaS est déjà conforme au GDPR, vous devriez avoir plus de facilité à atteindre les niveaux de conformité de la PIPL.

Cependant, si vous n'avez pas mis en œuvre les pratiques du GDPR, votre entreprise devra peut-être passer du temps supplémentaire pour se préparer à la PIPL de la Chine. Cette loi ajoute une autre couche de complexité à la conformité de la sécurité des données pour les entreprises faisant des affaires en Chine.

Qu'est-ce que le PIPL de la Chine ?

Qu'est-ce que PIPL?

La loi chinoise PIPL est une loi sur la confidentialité des données qui impose de nouvelles exigences en matière de traitement des données. Il s'agit peut-être de l'ensemble de lois sur les données le plus strict au monde à l'heure actuelle.

La loi sur la protection des informations personnelles met en place des protections et des restrictions sur la collecte et le transfert des données. La loi se concentre en particulier sur les applications qui utilisent les informations personnelles pour cibler les consommateurs et leur fournir des publicités personnalisées.

Le PIPL vise également à améliorer la protection des informations personnelles en empêchant le transfert des données vers d'autres pays dont les politiques de protection des données ou de sécurité sont moins strictes.

Contexte du PIPL

La PIPL est la troisième loi chinoise visant à réglementer la technologie. En 2017, la loi sur la cybersécurité a été promulguée, qui a ensuite été suivie, début 2021, par la loi sur la sécurité des données. Aujourd'hui, la PIPL vient compléter ce cadre, en mettant spécifiquement l'accent sur la protection des informations personnelles.

Champ d'application territorial

La PIPL a également des applications extraterritoriales. Ce terme signifie que la réglementation ne s'applique pas seulement aux activités menées en Chine ; sous certaines conditions, elle s'applique également au traitement des informations personnelles des citoyens en dehors des frontières chinoises.

Il semble donc que même sans aucune présence en Chine, les entreprises SaaS qui traitent les informations personnelles des citoyens chinois seront liées par cette loi.

En fait, cela signifie que presque toutes les grandes entreprises du monde auront besoin d'une stratégie de conformité à la PIPL. Et si vous vendez des logiciels en ligne et que votre entreprise traite des informations personnelles de personnes situées en Chine, vous devrez vous assurer que vous respectez systématiquement les exigences de la PIPL.Comparaison de la PIPL et du GDPR

Qu'entend-on par "informations personnelles" et "informations personnelles sensibles" dans la PIPL ?

En vertu de la loi chinoise sur la protection des données personnelles, les informations personnelles sont définies comme toute information telle que des données vidéo, vocales ou d'image concernant une personne physique identifiée ou identifiable, indépendamment du fait que l'information soit saisie sous forme électronique ou sous un autre type de forme. Cette définition exclut toute information rendue anonyme.

En outre, la PIPL définit les informations personnelles sensibles. Ce terme désigne les informations personnelles dont la fuite ou l'utilisation illégale pourrait facilement porter atteinte à la dignité personnelle d'une personne physique ou nuire à la sécurité des personnes ou des biens.

Parmi les exemples de ce type d'informations figurent les données biométriques, les informations religieuses, les informations médicales, les adresses personnelles, les informations financières et les informations personnelles des personnes âgées de moins de 14 ans.

Pourquoi la distinction entre ces types d'informations personnelles est-elle pertinente ?

Les entreprises SaaS pourraient être tenues de conserver les informations personnelles sensibles séparément des autres informations personnelles afin d'atténuer le risque que des enregistrements complets d'informations personnelles soient partagés sans consentement.

En outre, les informations sensibles ne doivent être utilisées que lorsqu'elles sont pertinentes pour atteindre un objectif spécifique, et elles doivent être protégées à tout prix par le sous-traitant.

6 point Legal Basis for Processing Information

Obtenir le consentement des personnes concernées a toujours été l'un des fondements de la protection des données. Mais tout comme le GDPR, le PIPL a désormais officiellement élargi la notion de base légale de ce qu'est le traitement des informations personnelles aux éléments suivants :

• Lorsque cela est nécessaire pour conclure ou exécuter un contrat ou pour effectuer la gestion des ressources humaines.

• Lorsqu'il est nécessaire d'assumer des responsabilités statutaires ou des obligations légales.

• Lorsque cela est nécessaire pour répondre à une urgence de santé publique ou pour protéger l'intérêt ou la sécurité d'une personne en cas d'urgence.

• Lorsque cela est nécessaire pour mener des activités dans l'intérêt public.
• Lorsque les informations personnelles pertinentes, qui ont été soit divulguées par la personne concernée, soit divulguées légalement, sont traitées dans un cadre raisonnable conformément à la loi.
• Autres circonstances prévues par les lois ou les règlements administratifs.

Au moins l'une d'entre elles doit être établie pour que le traitement des informations personnelles d'une personne concernée soit licite.

Droits des individus (6 points principaux)

La PIPL confère aux individus divers droits en matière de protection de leurs informations personnelles. Il s'agit notamment des droits suivants

• Le droit de connaître et de décider des questions relatives à leurs informations personnelles.

• Le droit de restreindre ou d'empêcher le traitement de leurs informations personnelles.

• Le droit de consulter et de copier leurs informations personnelles auprès des processeurs.

• Le droit de transférer leurs données personnelles d'une organisation à une autre (portabilité).
• Le droit de corriger et de supprimer leurs informations personnelles.
• Le droit de demander aux sous-traitants une explication des règles de traitement.

PIPL de la Chine : 7 obligations pour les processeurs

Le PIPL impose des responsabilités et des obligations au responsable du traitement des informations personnelles. Le sous-traitant est tenu de :

• Formuler des systèmes de gestion interne et des procédures opérationnelles.

• Mettre en place une gestion classifiée de la protection des informations personnelles.

•  

  • Adopter des mesures de sécurité techniques telles que le cryptage et la dépersonnalisation.
• Déterminer raisonnablement les autorisations opérationnelles pour les informations personnelles et fournir une formation régulière et une éducation à la sécurité au personnel opérationnel.
• Formuler et mettre en œuvre des plans d'intervention en cas d'incidents de sécurité liés aux informations personnelles.
• Effectuer des audits de conformité réguliers.
• Adopter d'autres mesures de sécurité prévues par les lois et règlements.

Une approche fondée sur le risque

La PIPL prévoit une approche fondée sur le risque, avec des obligations de conformité plus strictes pour les situations considérées comme à haut risque. Par exemple, les entités traitant des informations personnelles qui traitent des volumes d'informations supérieurs à un certain seuil (encore à annoncer) doivent nommer un responsable de la protection des informations personnelles. Cette personne surveillera tous les traitements de données personnelles pour l'organisation en question.

Autre exemple, les entreprises exploitant des "plates-formes Internet" avec de nombreux utilisateurs doivent faire appel à une entité externe et indépendante pour contrôler la conformité. Ces entreprises doivent également publier régulièrement des rapports de responsabilité sociale, qui rendent compte du succès de leurs efforts en matière de protection des informations personnelles.

Comme indiqué précédemment, les informations personnelles sensibles sont considérées comme présentant un "risque plus élevé" que les informations personnelles ordinaires et doivent être traitées en conséquence.

Le PIPL de la Chine est-il applicable ?

En bref, la réponse est oui. La Chine peut adopter ce type de législation sur la protection des données et de la vie privée, et les entreprises traitant des informations personnelles de citoyens chinois devront se conformer à la loi lorsqu'elle entrera en vigueur le 1er novembre 2021.

Comparaison entre le PIPL de la Chine et le GDPR de l'UE

Nombreux sont ceux qui qualifient la PIPL de "GDPR de la Chine" - à juste titre. La PIPL ressemble en effet de très près au GDPR lorsqu'on la compare à d'autres lois sur la protection de la vie privée dans le monde.

Cependant, il présente quelques différences essentielles. Examinons brièvement ces similitudes et ces différences :

Tous deux sont extra-territoriaux.

Le GDPR et le PIPL mettent tous deux fortement l'accent sur le consentement comme principale justification légale de la collecte d'informations personnelles. Toutefois, d'autres motifs légaux de traitement sont désormais également applicables, comme mentionné précédemment. De plus, comme le GDPR, le PIPL donne aux individus le droit d'accéder, de demander, de modifier, de supprimer, de transférer et de restreindre la collecte et l'utilisation de leurs données personnelles.

Le consentement est similaire dans le GDPR et le PIPL. Le GDPR exige que les entreprises et les responsables du traitement des données désignent un représentant de l'UE, tandis que dans certaines conditions, le PIPL exige que les responsables du traitement des données désignent un représentant dans le pays pour contrôler la conformité.

Toutefois, la PIPL exige un consentement distinct pour certaines activités de traitement. Ces activités comprennent le partage de renseignements personnels avec d'autres entités de traitement, la divulgation publique de renseignements personnels, le traitement de renseignements personnels sensibles et le transfert de renseignements personnels à l'étranger.

La PIPL est également similaire au GDPR en termes de droits relatifs aux informations personnelles mais ne contient pas la même spécificité autour des droits que le GDPR. Les deux lois sont similaires en termes de transfert transfrontalier d'informations personnelles, mais la PIPL comprend quelques exigences supplémentaires. Nous vous en dirons plus à ce sujet ultérieurement.

Le GDPR et le PIPL exigent des évaluations d'impact du traitement des données, mais les exigences pour déclencher ces évaluations sont différentes. Enfin, le GDPR ne met pas l'accent sur la sécurité nationale, alors que c'est l'une des principales caractéristiques de la PIPL.

Comment le PIPL peut-il affecter mon entreprise SaaS ?

Stratégie de conformité de PIPL

Chaque organisation SaaS qui traite les informations personnelles des citoyens chinois devra créer une stratégie de conformité à la PIPL. La création de cette stratégie nécessitera l'engagement de toutes les exigences de la PIPL afin de développer un cadre de conformité complet.

Exigences relatives aux transferts transfrontaliers d'informations personnelles

Des exigences strictes s'appliquent aux transferts transfrontaliers d'informations personnelles. Lorsqu'une entité de traitement prévoit de transférer des données personnelles à des entités situées en dehors de la Chine, elle doit fournir aux individus des informations spécifiques sur ces transferts. En outre, l'entité de traitement doit prendre les mesures nécessaires pour garantir que les informations personnelles seront toujours traitées conformément aux exigences de la LPRP.

Enfin, l'entité de traitement doit procéder à une analyse d'impact sur la protection des informations personnelles.

Évaluation de la sécurité

Les entités traitant de grandes quantités d'informations personnelles doivent stocker les données localement. Sinon, si l'entreprise ne peut pas stocker les informations localement et doit les transférer ailleurs, l'Administration du cyberespace de la Chine (CAC) a le droit de procéder à une évaluation de la sécurité de surveillance.

Opérateurs d'infrastructures d'information critiques (IIC)

Les infrastructures d'information critiques (IIC) sont des informations qui, si elles étaient détruites, modifiées ou divulguées, pourraient porter gravement atteinte à la sécurité de l'État, à l'économie nationale ou aux moyens de subsistance de la population.

Les services publics de communication et d'information, ainsi que les secteurs de l'énergie, des transports et de la finance sont des exemples d'industries classées comme opérateurs d'infrastructures d'information critiques.

Les opérateurs de ce type d'informations devront passer des évaluations de sécurité spécifiques avant d'envoyer des données personnelles hors de Chine. Si votre entreprise traite ce type d'informations personnelles, vous devrez vous assurer que vous passez l'évaluation pour continuer à faire des affaires dans le pays.

Informations personnelles identifiables (IPI) Représentants et formation dans le pays

Les entreprises SaaS qui traitent de grandes quantités d'informations personnelles identifiables (PII) doivent avoir des représentants désignés dans le pays pour gérer le traitement des données et la conformité. En outre, toute personne qui s'occupe de la protection des données doit suivre une formation obligatoire...

Considérations relatives à la conformité des systèmes informatiques

La PIPL exige que les données personnelles collectées auprès des opérateurs CII (et des opérateurs qui traitent des informations personnelles) atteignant un montant spécifique déterminé par la CAC doivent stocker ces informations en Chine. Cette règle signifie que de nombreuses entreprises devront mettre en place une nouvelle infrastructure pour leurs sociétés dans le pays.

Il est également important de noter que, même si vous stockez les données en Chine, elles seront toujours considérées comme un transfert transfrontalier si un utilisateur en dehors du pays y a accès

Pénalités, amendes et mise sur liste noire des entreprises non conformes

Si votre entreprise SaaS n'est pas conforme aux réglementations PIPL spécifiées, les régulateurs chinois peuvent prendre des mesures. Ils peuvent, par exemple, émettre des avertissements, suspendre la licence de votre entreprise, vous infliger une amende ou même vous empêcher totalement de faire des affaires dans leur pays. L'amende peut atteindre 50 millions de RMB ou 5 % du chiffre d'affaires annuel de votre entreprise pour l'exercice précédent.

Une entreprise peut également être tenue responsable de dommages délictuels si elle porte atteinte aux droits des personnes concernant leurs informations personnelles. En outre, si l'infraction concerne un groupe important, l'entreprise peut faire l'objet d'un procès d'intérêt public.

Premières étapes vers la conformité PIPL

Après avoir lu cet article, vous vous êtes peut-être rendu compte que votre entreprise devra procéder à des changements importants pour se conformer à la loi PIPL. Vous ne savez pas par où commencer ?

La première étape consiste à examiner les étapes du cycle de vie des données. Ensuite, pour chaque étape du cycle de vie, évaluez vos pratiques par rapport aux exigences du PIPL et faites les ajustements nécessaires pour vous assurer que vous êtes en conformité.