Protection des données personnelles en Chine : une obligation pour tous !
Publié par Fanny Nguyen, LPA-CGR Avocats le - mis à jour à
En 2021, le gouvernement chinois s'est doté d'un arsenal juridique pour garantir aux individus résidant en Chine une protection de leurs données personnelles. Cette protection est extraterritoriale. Elle s'exerce au-delà des frontières de Chine et contraint toutes les entreprises du monde, quel que soit leur taille et secteur d'activité, à cette obligation.
Toute entreprise doit se poser les questions du "Suis-je soumise à cette contrainte ? Comment se conformer ? Combien ça coûte ?".
Être en conformité avec le RGPD ne signifie pas obligatoirement que la société est en conformité avec la PIPL et vice versa.
Une protection qui s'exerce au-delà des frontières de Chine
Bien que plus strictes, la loi chinoise sur la protection des informations personnelles (PIPL) ainsi que la loi sur la sécurité des données du pays (DSL) encadrant l'exportation des données se sont beaucoup inspirées du règlement général sur la protection des données (RGPD) de l'Union européenne. Ces lois servent maintenant de modèles à d'autres pays d'Asie.
L'application de cette protection extraterritoriale s'applique pour les entreprises qui sont ou non installées en Chine !
Le mauvais usage des données personnelles de ressortissants chinois ou encore l'utilisation sans leur consentement peuvent donner lieu à des sanctions financières lourdes allant jusqu'à l'amende (5% du chiffre d'affaires global de l'entreprise) mais aussi à la fermeture du marché chinois.
Beaucoup de sociétés ont dû modifier leurs activités pour ne pas tomber sous le coup d'une infraction à la PIPL ou à la DSL en restreignant par exemple l'utilisation d'applications et software aux utilisateurs chinois.
C'est ainsi que les groupes de luxe, dépendants du marché chinois, se sont lancés dans des chantiers de modification de leurs conditions générales de vente, d'achat ou encore de politique d'adhésion pour éviter de subir les foudres des autorités chinoises.
Une obligation pour tous
Toutes les entreprises qui commercent électroniquement avec la Chine ou avec ses consommateurs se retrouvent dans l'obligation de garantir cette protection des données soit en logeant le serveur des sites internet en Chine, soit en mettant en place un site internet spécialement dédié aux consommateurs chinois. On est alors face à un cas de superposition des contraintes liées au RGPD et à la PIPL / DSL.
Certains géants du numérique étant trop exposés politiquement, ont finalement et après plusieurs échecs, fait le choix de ne pas s'installer en Chine. D'autres tels que Facebook, Twitter, Google, Instagram ne sont pas autorisés en Chine.
Une question stratégique de sécurité nationale
Derrière ce cadre juridique et ces questions de confidentialité des données, il y a la volonté du gouvernement chinois de préserver sa sécurité nationale mais aussi de contrôler les enjeux technologiques de demain. Le droit régissant le métaverse et les blockchains n'est encore qu'aux prémices de ce qu'il sera prochainement.
Les données personnelles représentent un enjeu commercial et international. La PIPL, à côté de la RGPD, s'impose aujourd'hui comme un outil juridique dans cette guerre commerciale. Pour toutes les entreprises qui se développent à l'international, la protection des données est en train de devenir un imbroglio infernal de lois internes propres à chaque pays superposées à des obligations de conformité.
Il ne s'agit plus d'une considération de second plan. Pour une société française qui vend en Chine avec ou sans implantation, la question de la protection des données est essentielle à son développement.
Pour en savoir plus
Fanny Nguyen est associée locale du bureau de Shanghai du cabinet LPA-CGR Avocats. Elle a développé une expertise reconnue en Chine en droit des sociétés, M&A et fiscalité internationale où elle accompagne des clients internationaux sur des problématiques d'implantation, de transactions transfrontalières, et de négociations avec les autorités chinoises.