
La Chine adopte un nouveau texte sur la protection des données

Le 20 aout dernier la Chine a adopté une nouvelle loi sur la protection des données ; la loi Personal Information Protection Law (PIPL) qui entrera en vigueur le 1er novembre 2021.
Comparée au RGPD, que prévoit concrètement cette loi ?
L’objectif de cette loi est principalement d’empêcher les collectes abusives de données personnelles en ligne par les géants du numérique chinois.
Le texte vient notamment consacrer le principe de minimisation des données, encadre le recueil du consentement des personnes concernées et prévoit la désignation par les organismes d’une personne chargée de la protection des données (comme le DPD avec le RGPD). La loi pose également l’interdiction de transférer des données personnelles vers des pays n’ayant pas le même niveau de protection des données qu’en Chine.
En cas de non-respect des dispositions issues de la loi PILP, les organismes s’exposent à des amendes pouvant aller jusqu’à 50 millions de yuans (soit 6,6 millions d’euros) ou même 5% de leur chiffre d’affaires annuel. D’autres sanctions sont également prévues telles que la fermeture définitive de la société.
Peut-on vraiment considérer que la loi PILP est un équivalent du RGPD ?
Même si à première vue nous avons l’impression que la Chine s’inspire du RGPD, on constate que la loi PILP n’offre pas assez de garanties aux personnes concernées. En effet, l’Etat chinois n’aura pas à changer ses pratiques en matière de collecte de données personnelles puisqu’il n’est pas concerné par cette nouvelle loi. De plus, cette loi ne s’applique qu’aux organismes domiciliés en Chine. Alors s’agit-il vraiment de renforcer la protection des données personnelles des citoyens chinois ou est-ce une façon supplémentaire de contrôler d’avantage les entreprises chinoises ?
L’adoption de cette loi va-t-elle permettre de transférer les données depuis l’UE vers la Chine librement ?
Bien que cette loi semble renforcer les droits des citoyens chinois, nous sommes encore très loin des règles protectrices prévues par le RGPD, notamment dû au fait que cette loi ne s’applique pas à l’Etat chinois. Il faudra donc encore patienter quelques temps avant que la Chine soit reconnue comme pays adéquat par la Commission européenne. En attendant, les organismes qui se trouvent sur le territoire de l’UE ou qui traitent des données de personnes se trouvant sur le territoire de l’UE devront continuer à encadrer par des outils juridiques spécifiques leurs transferts de données personnelles vers la Chine
Articles similaires

