La loi chinoise sur la protection des données personnelles entre en vigueur aujourd’hui

La loi chinoise sur la protection des informations personnelles (PIPL) est désormais en vigueur et définit les règles de base concernant la manière dont les données sont collectées, utilisées et stockées. Il décrit également les exigences en matière de traitement des données pour les entreprises basées en dehors de la Chine, y compris la réussite d’une évaluation de sécurité menée par les autorités de l’État.

Les sociétés multinationales (EMN) qui transfèrent des informations personnelles hors du pays devront également obtenir une certification sur la protection des données auprès d’institutions professionnelles, selon le PIPL.

La législation a été adoptée en août, après avoir subi quelques révisions depuis sa première présentation en octobre de l’année dernière. En vigueur depuis le 1er novembre, la nouvelle loi était nécessaire pour lutter contre le « chaos » créé par les données, les plateformes en ligne collectant trop de données personnelles, a alors déclaré le gouvernement chinois.

Les informations personnelles sont définies comme tous les types de données enregistrées sous forme électronique ou sous d’autres formes, qui se rapportent à des personnes identifiées ou identifiables. Il n’inclut pas les données anonymisées.

Le PIPL s’applique également aux organisations étrangères qui traitent des données personnelles à l’étranger dans le but, entre autres, de fournir des produits et services aux consommateurs chinois ainsi que d’analyser les comportements des consommateurs chinois. Ils devront également établir des agences désignées ou nommer des représentants basés en Chine pour assumer la responsabilité des questions liées à la protection des données personnelles.

La nouvelle législation comprend un chapitre qui s’applique spécifiquement aux transferts de données transfrontaliers, stipulant que les entreprises qui doivent transférer des informations personnelles hors de Chine doivent d’abord effectuer des « évaluations d’impact sur la protection des informations personnelles », selon le bureau du commissaire à la protection de la vie privée de Hong Kong. Données (PCPD).

Ils devront également obtenir le consentement distinct des personnes concernant le transfert de leurs renseignements personnels et répondre à l’une des nombreuses exigences. Il s’agit notamment d’accepter un “contrat standard” émis par les autorités chargées de superviser les questions liées au cyberespace et de remplir les exigences énoncées dans d’autres lois et réglementations établies par les autorités, a déclaré le PCPD.

Ces multinationales devraient également mettre en œuvre les mesures nécessaires pour garantir que les autres parties étrangères impliquées dans le traitement des données respectent les normes de sécurité des données stipulées par la PIPL.

Ce que les évaluations de sécurité impliquent n’est pas clair

Leo Xin, associé principal du cabinet d’avocats Pinsent Masons, a décrit la législation comme une « étape importante » dans le régime juridique chinois de protection des données et a exhorté les multinationales à accorder une attention particulière aux règles sur les transferts de données transfrontaliers.

Leo a déclaré dans un article : « Certains domaines restent flous et nécessitent des règles de mise en œuvre détaillées, telles que la manière dont l’évaluation de la sécurité doit être gérée, à quoi ressemblent les clauses types pour le transfert de données formulées par l’Administration chinoise du cyberespace, à quoi ressemble l’approbation la procédure doit être [if] il y a une demande d’informations personnelles par des organes judiciaires étrangers ou des organismes chargés de l’application de la loi. »

La législation exigeait en outre que le traitement des données personnelles soit clair, raisonnable et limité à la « portée minimale nécessaire » pour atteindre leurs objectifs de traitement des informations.

L’avocat a recommandé que les multinationales commencent à évaluer l’impact potentiel de PIPL sur leur infrastructure informatique et leurs activités de traitement des données.

Selon le PCPD, la nouvelle législation englobe également le traitement des données « prise de décision automatisée », dans lequel les systèmes informatiques sont utilisés pour analyser et prendre automatiquement des décisions concernant les comportements des consommateurs ainsi que leurs habitudes, leurs intérêts, leurs finances et leur santé.

Ici, les entreprises devront s’assurer que ces processus décisionnels sont transparents et équitables. Les consommateurs doivent également avoir la possibilité de refuser de recevoir du contenu personnalisé. Des évaluations d’impact sur la sécurité doivent être réalisées et ces rapports conservés pendant au moins trois ans.

Les entreprises qui enfreignent les règles PIPL peuvent recevoir une ordonnance de rectification ou des avertissements. Les autorités chinoises peuvent également confisquer tout « revenu illégal », selon le PCPD.

Les contrevenants qui ne se conforment pas aux ordonnances visant à rectifier l’infraction s’exposent à des amendes allant jusqu’à 1 million de yuans (150 000 dollars), tandis que la personne chargée de veiller au respect peut se voir infliger une amende de 10 000 yuans (1 500 dollars) à 100 000 yuans (15 000 dollars).

Pour les cas “graves”, les autorités chinoises infligent également des amendes allant jusqu’à 50 millions de yuans (7,5 millions de dollars) ou 5% du chiffre d’affaires annuel de l’entreprise pour l’exercice précédent. En outre, ses activités commerciales peuvent être suspendues ou les permis et licences commerciaux révoqués.

Le mois dernier, l’administration de Pékin a déclaré aux médias locaux qu’elle prendrait des “mesures ciblées” pour résoudre les problèmes qu’elle jugeait persistants dans l’économie numérique, tels qu’une mauvaise gestion des données. Selon le South China Morning Post, le ministère de l’Industrie et de l’informatique poursuivait son examen minutieux du secteur Internet dans le cadre d’une campagne de six mois qui a commencé en juillet.

Le ministère a récemment demandé à 43 applications d’effectuer des rectifications après avoir découvert qu’elles avaient transféré illégalement des données d’utilisateurs.

La Cyberspace Administration of China (CAC) a ordonné en juillet à la plate-forme chinoise de covoiturage Didi de retirer son application des magasins d’applications locaux, après avoir enfreint les réglementations régissant la collecte et l’utilisation des données personnelles. Did a été chargé de rectifier les « problèmes existants » et de « protéger efficacement » les données personnelles des utilisateurs.

En mai, le CAC a appelé 33 applications mobiles pour avoir collecté plus de données d’utilisateurs qu’il n’estimait nécessaire pour offrir leur service. Ces sociétés, qui comprenaient Baidu et Tencent Holdings, ont également été invitées à combler les lacunes.

Tencent a déclaré le mois dernier qu’il formait un comité pour évaluer ses politiques de protection des données des utilisateurs et de confidentialité. Cette équipe comprendrait des professionnels techniques, juridiques et médiatiques ainsi que des membres du public, a déclaré le géant chinois de la technologie. Le comité ferait ensuite des recommandations sur des améliorations, si et où nécessaire, pour mieux protéger la vie privée des utilisateurs.

COUVERTURE CONNEXE

 
For Latest Updates Follow us on Google News
 

PREV Les foules du Black Friday reviennent, mais les remises ne sont plus ce qu’elles étaient
NEXT Trading Technologies va être racheté par 7RIDGE
----