Le 20 août 2021, le Comité Permanent de l’Assemblée Nationale Populaire (CPANP) a adopté la “Personal Information Protection Law” (PIPL). Il s’agit du premier cadre juridique exhaustif pour la Chine dans le domaine désormais aussi stratégique que sensible de la protection des données à caractère personnel. L’article premier de cette loi inédite en formule les objectifs de manière très claire :
“This Law is enacted in accordance with the Constitution to protect personal information rights and interests, regulate the processing of personal information, and promote the reasonable use of personal information.” – Article 1, PIPL
La PIPL entrera en vigueur le 1er novembre 2021. A quoi doit-on s’attendre ? Quels sont les grands principes de ce texte ? Quels sont les enjeux juridiques, mais également géopolitiques qu’il recouvre ?
>> Grands principes textuels : la PIPL est-elle un simple “RGPD chinois” ?
Par le biais de l’adoption de la PIPL, la Chine s’inscrit dans un mouvement plus global d’encadrement juridique des traitements des données à caractère personnel. Ces dernières années, divers pays ont en effet entrepris cette démarche, bien souvent en se basant sur le texte européen du Règlement Général sur la Protection des Données (RGPD).
> Un socle textuel similaire
La PIPL ne semble, à première vue, pas faire exception à la règle, en implémentant un ensemble de règles très similaires à celles du RGPD. Ainsi, la définition même d’une donnée à caractère personnel reprend les termes exacts du RGPD (Article 4 – PIPL : “Personal information refers to various kinds of information related to identified or identifiable natural persons […]”) ; il est également précisé que les données anonymisées sont exclues de cette catégorie.
S’agissant des organisations qui traitent des données à caractère personnel, la PIPL distingue différentes catégories juridiques qui recoupent largement la catégorisation européenne. L’article 9 de la PIPL définit les “personal information processors”, qui correspondent aux responsables de traitement du RGPD ; l’article 21 PIPL mentionne les “entrusted party”, qui ne sont en réalité rien d’autre que les sous-traitants dans le texte européen ; enfin, l’article 20 PIPL évoque le cas de responsables de traitement conjoints. Les obligations spécifiques à chaque acteur se rapprochent du RGPD, qu’il s’agisse de précautions de sécurité, de durée de conservation, ou d’information aux personnes concernées notamment.
A l’instar du RGPD, la PIPL étend son champ d’application territorial aux traitements de données à caractère personnel effectués hors de Chine, à la condition notamment que de tels traitements concernent des citoyens chinois (Article 3 – PIPL).
Les traitements de données à caractère personnel ne sont autorisés que s’ils disposent d’une base juridique valide. Ces dernières sont listées à l’article 13 PIPL, et recoupent encore une fois les bases juridiques définies par le RGPD. Remarquons cependant que la base de l’intérêt légitime n’est pas reprise dans le texte chinois.
S’agissant des droits des personnes concernées, la PIPL ne s’écarte pas du RGPD, puisqu’elle définit les droits d’accès, d’information, de rectification, à l’effacement, à la limitation du traitement, à la portabilité, le droit de ne pas faire l’objet d’une décision automatisée, de retirer son consentement, et enfin (un ajout à la version finale de la PIPL), le droit de déposer une plainte auprès de l’autorité de régulation.
> Des divergences cruciales
Si la PIPL reste conforme à la plupart des principes du RGPD, les divergences existantes, bien que peu nombreuses, portent sur des obligations cruciales. Plus spécifiquement, deux d’entre elles sont particulièrement fondamentales.
La première concerne la manière dont la PIPL sera appliquée au à l’État chinois. En effet, la plupart des discussions entourant le texte ont jusqu’ici porté sur la collecte d’informations par les entreprises et organisations privées à des fins commerciales. Pourtant, les volumes d’information traités par les différents organes étatiques chinois sont conséquents, et représentent également un enjeu majeur en termes de protection des données personnelles. Il s’agit d’une préoccupation qui résulte directement de l’orientation du gouvernement en matière de sécurité nationale, ainsi que de sa marge de manœuvre énorme en la matière au vu du régime politique du pays, et de sa structure institutionnelle.
Dans ce cadre, l’article 34 PIPL est édifiant en ce qu’il soumet les organes de l’État à ses principes généraux limitatifs de légalité, de légitimité, de nécessité et de portée minimale pour le traitement des données, tout en précisant que les autorités étatiques ne peuvent pas, dans le cadre de leurs traitement, dépasser les limites de leurs missions.
Malgré cette précision, des doutes subsistent quant à l’applicabilité des autres obligations posées par le texte, notamment la désignation de responsables à la protection des données personnelles, la réalisation d’audits et d’analyses d’impact, le signalement des fuites de données, la mise en place de structures de conformité et la publication de rapports sur la responsabilité sociale en vertu de l’article 58.
Au-delà des interrogations juridiques, l’application pratique de la PIPL contre des organes administratifs semble complexe. Les juridictions chinoises ne peuvent se prononcer sur des affaires impliquant la politique étrangère ou la défense nationale, et sont réticentes à statuer sur des questions de sécurité nationale. Les recours contre les organes non administratifs de l’État, tels que les législatures et les tribunaux, sont encore plus problématiques. On peut légitimement douter de la possibilité concrète pour les individus d’obtenir réparation pour violation des droits relatifs aux informations personnelles auprès d’organes de l’État tant que des procédures standardisées et claires n’auront pas été établies spécifiquement pour ces requêtes.
> La seconde est relative aux transferts transfrontaliers des données à caractère personnel. Dans ce cadre, la PIPL introduit un certain nombre d’exigences semblables au RGPD, telle que l’adoption des mesures nécessaires pour garantir que le destinataire des données assure un niveau de protection comparable à celui établi par la PIPL (Article 38 – PIPL).
Cependant, la PIPL va également bien plus loin que le RGPD sur ce point. En effet, l’article 39 PIPL énonce que, dès lors qu’un transfert de données à caractère personnel est envisagé, une analyse d’impact doit automatiquement être conduite, la personne concernée doit se voir communiquer un ensemble d’informations précises concernant le destinataire des données, et doit fournir un consentement séparé pour autoriser un tel transfert.
Les précautions du gouvernement chinois relatives aux transferts ne s’arrêtent pas là. L’article 40 PIPL prévoit que, pour les opérateurs d’infrastructures stratégiques (“Critical information infrastructure operators”), ou à partir d’un certain seuil de données traitées (qui n’a pas encore été défini), l’intégralité des données à caractère personnel devra être stockée sur le territoire chinios. Pour de tels acteurs, un éventuel transfert ne sera autorisé qu’après une évaluation de sécurité organisée par le département d’État de la cybersécurité et de l’informatisation.
>> Un enjeu géostratégique de premier plan
Ces deux divergences fondamentales semblent s’inscrire dans une démarche de l’État chinois qui vise à maintenir son contrôle sur les données de ses citoyens.
Du point de vue interne (première divergence), il s’agit de conserver une certaine marge de manoeuvre dans le cadre de sa politique de sécurité et de renseignement, qui repose presque entièrement sur le traitement des données de ses citoyens (on pense ici par exemple au fameux programme de “crédit social”, dont la construction a débuté en 2014).
Mais il s’agit surtout, d’un point de vue externe (seconde divergence), de protéger l’autonomie numérique de la Chine en favorisant la localisation des données sur son territoire, et en contrôlant étroitement la circulation des données considérées comme stratégiques. Du point de vue de la politique internationale chinoise, les transferts de données représentent un outil extrêmement efficace pour asseoir la souveraineté du pays tout en évitant le développement d’une quelconque vassalisation économique ou technologique vis-à-vis d’une autre puissance, telle que les États-Unis. La PIPL et la régulation stricte des transferts illustre parfaitement la volonté du gouvernement chinois de se saisir d’un tel outil pour en exploiter pleinement le potentiel.
Une telle vision recoupe assez remarquablement les récents développements juridiques européens entourant les transferts. L’arrêt Schrems II, la révocation de la décision d’adéquation visant les États-Unis tout comme la fragilisation des clauses contractuelles types sont autant d’exemples illustrant une volonté européenne de tendre vers un encadrement plus stricte des transferts de données vers des pays tiers, afin de favoriser les acteurs locaux mais aussi de soustraire ces données aux législations à effet extra-territoriales des grandes puissances numériques.
L’entrée en vigueur de la PIPL en novembre prochain s’inscrit donc dans un mouvement plus général de polarisation de la donnée. L’espace numérique mondial se fracture progressivement, suivant les lignes des souverainetés nationales ou régionales. Ce phénomène ne fera que s’accentuer, au fur et à mesure de la prise de conscience par les États des enjeux stratégiques fondamentaux portés par les données et leur circulation. Doit-on déplorer une telle polarisation ? Doit-on s’en réjouir ?
Il est certain qu’il s’agit d’une forme de protectionnisme numérique rendant plus difficile une coopération globale favorisant l’innovation et le progrès technologique grâce à la libre circulation des données. Il faut cependant également avoir conscience d’un certain nombre d’effets bénéfiques, comme une protection plus solide de la vie privée des personnes concernées au travers de la maîtrise des transferts de leurs données, ou la défense des intérêts stratégiques étatiques contre les ingérences étrangères.
Comme souvent, il s’agira finalement de trouver un équilibre satisfaisant au sein de cet équilibre délicat des souverainetés, en proposant des solutions qui, sans s’abandonner à une exploitation débridée des données à caractère personnel, n’étouffera pas l’innovation par un isolement autarcique exacerbé.
Valérie Chavanne & Quentin Roland