Technology

En Chine, la loi de protection des données a un air de RGPD

Les entreprises internationales qui traitent des données personnelles en provenance de Chine doivent obtenir le consentement des utilisateurs et établir une geolocalisation des données, afin de ne pas enfreindre la loi chinoise sur la protection des données personnelles (LCPDP). Plus précisément, elles doivent examiner de près les flux de données transfrontaliers et la résidence, même si certains éléments de la nouvelle législation doivent encore être clarifiés.

Les organisations qui sont déjà en conformité avec le règlement général européen sur la protection des données (RGPD), cependant, disposent d’une bonne base pour obtenir une conformité à la loi chinoise.

Un air de famille

Adoptée en août, la législation chinoise est entrée en vigueur le mois dernier. Elle établit des règles de base sur la manière dont les données doivent être collectées, utilisées et stockées. Elle énonce les exigences en matière de traitement des données pour les entreprises basées en dehors de la Chine, qui doivent notamment passer une évaluation de sécurité menée par les autorités nationales.

Les multinationales qui transfèrent des données personnelles hors du pays devront également obtenir une certification auprès d’institutions professionnelles. Le gouvernement chinois a décrit la législation comme étant nécessaire pour remédier au “chaos” créé par la collecte excessive de données personnelles par les plateformes en ligne.

Parce qu’elle a été largement modelée sur le RGPD, les entreprises qui se sont préparées à la législation européenne sur la protection des données seraient mieux placées pour la LCPDP.

Par exemple, les deux projets de loi précisent la nécessité d’obtenir le consentement de l’utilisateur et les règles relatives à la souveraineté des données, selon Leo Xin , un associé principal du cabinet d’avocats Pinsent Masons basé à Shanghai.

À l’instar du RGPD, les entreprises devront obtenir le consentement de leurs clients avant de collecter et d’utiliser leurs données dans le cadre de la LCPDP. La législation chinoise décrit également les clauses standard qui devraient être incluses dans les contrats de service ou les accords entre les deux parties – l’une qui fournit les données et l’autre qui les reçoit – qui sont similaires à celles détaillées dans le RGPD.

Cela garantit que les organisations qui collectent et traitent des données offrent des niveaux de protection similaires dans le cadre de la LCPDP et du RGPD, a déclaré Xin dans un entretien avec .

Le fait d’être conforme au RGPD place les entreprises sur la bonne voie pour être conforme aux législations chinoises associées, en particulier les projets de loi sur la cybersécurité de 2017 et la sécurité des données de 2021, a déclaré JoHannah Harrington, directrice juridique d’Elements Global Services, société spécialisée dans la technologie et la conformité des RH. L’entreprise travaille avec des cabinets d’avocats locaux en Chine, où elle a également des partenaires de secrétariat d’entreprise.

Mme Harrington a également souligné que la nécessité d’obtenir le consentement de l’utilisateur avant de pouvoir traiter ou transférer des données hors de Chine était un élément commun aux lois chinoises et européennes sur la protection des données.

En outre, les deux lois éxigent des organisations qu’elles répondent à certaines exigences, telles qu’un objectif clair et raisonnable pour le traitement des données collectées et qu’elles aient des processus en place pour maintenir la protection des données. Il s’agit notamment de déployer des outils de sécurité et de mettre en place des processus d’atténuation des risques, tels que les pare-feu et les avis de confidentialité en ligne.

Comme le RGPD, la LCPDP souligne la nécessité d’assurer l’opt-in des utilisateurs et la reclassification des données, a déclaré Sovan Bin, PDG d’Odaseva. Le fournisseur de solutions de gestion des données propose des outils censés garantir la conformité des données avec les lois européennes et chinoises, noamment lorsqu’elles circulent sur le réseau mondial d’une entreprise.

Les consommateurs protégés par ces deux législations ont également le droit de demander à être supprimés ou retirés de la base de données d’une organisation, a déclaré Bin à .

Les efforts concertés pour définir la propriété des données et rendre le consentement aux consommateurs, quel que soit l’endroit où se trouvent leurs données, ont commencé avec le RGPD, qui a été adopté en 2016. La législation européenne a mis en avant le concept de transferts de données transfrontaliers.

Les régulateurs chinois, cependant, ont eu l’avantage du temps pour évaluer l’impact de ces lois et adopter une approche moderne

Des questions demeurent quant au consentement de l’utilisateur

Mais si la LCPDP partage plusieurs similitudes avec le RGPD, il y a quelques différences significatives entre les deux législations dont les organisations devraient connaitre.

Selon Harrington, la LCPDP n’inclut pas les intérêts ou les objectifs légitimes comme condition au traitement des données, alors que le RGPD le fait. Cela permet, par exemple, aux organisations de traiter les données personnelles de leurs employés, car cela est considéré comme une raison légitime.

L’exclusion des fins légitimes pourrait signifier que les multinationales devraient demander le consentement de tous les employés en Chine, si elles ne l’ont pas déjà fait, avant que leurs départements RH ne soient autorisés à traiter les données personnelles de l’employé.

Les incertitudes concernant le concept de consentement de l’utilisateur, qui n’est pas encore bien défini dans la LCPDP, sont l’une des raisons pour lesquelles les grandes entreprises technologiques ont choisi de quitter le marché chinois, a déclaré M. Harrington.

La clarté du consentement est primordiale car, selon la législation chinoise, il doit être appliqué avant que les données puissent être traitées. Elle a ajouté que la loi étant nouvelle et non testée, des définitions plus claires dans certains domaines doivent encore être établies.

Selon Xin, la législation définit trois domaines que les organisations doivent prendre en compte dans le cadre des transferts transfrontaliers de données. Il s’agit notamment de la nécessité d’une évaluation de sécurité par le gouvernement si les données traitées dépassent un seuil spécifié par la législation.

Certaines exigences demandent l’établissement de certaines certifications, dans des cas spécifiques, entre l’exportateur de données et le récepteur de données, mais la manière dont ces procédures doivent être menées à bien reste floue, a-t-il ajouté.

Les deux parties doivent également se mettre d’accord sur un contrat type, ou modèle, qui sera stipulé par le régulateur. Les termes de ce contrat n’ont toutefois pas encore été publiés.

Selon M. Xin, une autre incertitude plane sur les règles relatives à la souveraineté des données, en vertu desquelles les données personnelles stockées en Chine ne peuvent être fournies à des juridictions ou organisations étrangères sans le consentement du gouvernement chinois.

Bien que cette politique ne soit pas nouvelle, des questions se posent quant à la manière dont elle s’articulera avec les lois internationales. Le CLOUD Act (Clarifying Lawful Overseas Use of Data) Act américain, en particulier, donne aux forces de l’ordre américaines le pouvoir d’exiger l’accès aux données stockées par les fournisseurs de services cloud, y compris les données détenues en dehors des États-Unis.

Agir de la sorte en Chine serait une violation la loi de protection des données, a déclaré Xin, ce qui pourrait créer un dilemme pour les multinationales opérant dans le pays. Il a ajouté que les dispositions, s’il y en a, et les procédures que les organisations doivent suivre dans de telles circonstances ne sont pas claires actuellement.

M. Bin a noté que les organisations déployaient davantage d’efforts, en particulier pour assurer le respect des spécifications relatives aux données transfrontalières et à la résidence des données. La LCPDP a défini certains seuils en deçà desquels les organisations devraient adhérer à des lignes directrices sur la manière de traiter les données transfrontalières, a-t-il déclaré. Les entreprises qui traitent les données personnelles de plus d’un million d’utilisateurs, par exemple, ou qui doivent transférer les données personnelles de plus de 100 000 utilisateurs, devront se conformer à des politiques spécifiques.

Des politiques supplémentaires concernant la territorialité des données s’appliqueraient également à certains types de données, a-t-il ajouté. Par exemple, les entreprises traitant des données jugées plus sensibles devront passer une évaluation de sécurité par l’Administration du cyberespace de Chine (CAC).

Il a conseillé aux entreprises de faire preuve de plus de prudence dans le traitement transfrontalier de ces données, afin de garantir le respect de la LCPDP.

Il a également noté que, contrairement au RGPD, qui avait prevu une période de grâce de deux ans pendant laquelle les organisations peuvent se préparer avant la mise en œuvre de l’application et des amendes, la LCPDP ne dispose pas d’une allocation similaire. En outre, la législation chinoise a été adoptée et est entrée en vigueur dans un délai plus court, ce qui donne aux entreprises moins de temps pour se préparer à la conformité.

Premières etapes : le consentement et un representant local

Bien que la législation chinoise soit nouvelle et que certaines définitions restent floues, les organisations peuvent prendre certaines mesures pour se mettre en conformité avec la LCPDP. Il s’agit notamment de nommer un représentant local et de s’enregistrer, le cas échéant, auprès des autorités compétentes.

Demander le consentement de l’utilisateur pour tout recueil de données serait une bonne base de départ, tout comme s’assurer que la collecte des données de l’utilisateur a un objectif clair, a déclaré Harrington.

Elle a également recommandé aux organisations de nommer des représentants locaux pour gérer les processus liés aux données en Chine et de procéder à une évaluation de la sécurité de leur gestion des données.

Xin a conseillé aux entreprises d’établir une cartographie des données, notamment en déterminant les types de données personnelles qu’elles détiennent, et d’effectuer un examen de conformité pour identifier les écarts entre leurs pratiques actuelles en matière de données et les exigences de la nouvelle loi.

Elles devront ensuite améliorer leurs politiques en matière de données, ainsi que leur infrastructure informatique et leur structure organisationnelle, afin de combler ces lacunes, a-t-il ajouté.

Les différentes unités commerciales traitant les données différemment, il a souligné la nécessité pour les organisations de s’assurer qu’elles ont une compréhension complète de la manière dont tous ces départements collectent et traitent les données.

Il a également souligné l’importance de la formation des employés et du renforcement de la sensibilisation générale aux politiques de gestion des données. Les entreprises peuvent envisager de nommer, pour chaque unité commerciale, un représentant chargé de la protection des données, qui rendrait compte au responsable de la protection des données de l’entreprise, a-t-il ajouté.

En ce qui concerne le traitement des données personnelles des employés, M. Xin a également suggéré que les organisations formulent leurs règles de travail de manière à y intégrer des pratiques de collecte et de protection des données. En acceptant leur emploi dans l’organisation, les employés donnent leur consentement à la collecte et à la gestion des données personnelles, comme le stipule le contrat de travail ou le manuel de l’entreprise.

Cela n’obligerait donc pas les entreprises à obtenir séparément le consentement des employés pour le LCPDP, a-t-il déclaré. Toutefois, la plupart des multinationales qui traitent les données de leurs employés en Chine devront probablement procéder à une évaluation distincte de l’impact sur la vie privée, a-t-il noté.

Toute organisation souhaitant transférer des données hors de Chine sera également tenue de procéder à de telles évaluations, a-t-il ajouté, précisant que les entreprises fournissant des données personnelles sensibles à un tiers devraient faire de même.

Selon la LCPDP, les contrevenants qui ne se conforment pas à la legislation s’exposent à des amendes pouvant aller jusqu’à 1 million de yuans (150 000 dollars), tandis que la personne chargée de veiller à la conformité peut se voir infliger une amende comprise entre 10 000 yuans (1 500 dollars) et 100 000 yuans (15 000 dollars).

Pour les cas “graves”, les autorités chinoises infligent également des amendes pouvant aller jusqu’à 50 millions de yuans (7,5 millions de dollars) ou 5 % du chiffre d’affaires annuel de l’entreprise pour l’année fiscale précédente. En outre, ses activités commerciales peuvent être suspendues ou ses permis et licences d’exploitation révoqués.

Source : “.com”

Woodmart Theme Nulled, WP Reset Pro, Newspaper 11.2, Newspaper – News & WooCommerce WordPress Theme, Premium Addons for Elementor, Rank Math Seo Pro Weadown, WeaPlay, WordPress Theme, Plugins, PHP Script, Jannah Nulled, Elementor Pro Weadown, Woocommerce Custom Product Ad, Business Consulting Nulled, Jnews 8.1.0 Nulled, Avada 7.4 Nulled, Nulledfire, Dokan Pro Nulled, Yoast Nulled, Flatsome Nulled, PW WooCommerce Gift Cards Pro Nulled, Astra Pro Nulled, Woodmart Theme Nulled, Slider Revolution Nulled, Wordfence Premium Nulled, Elementor Pro Weadown, Wpml Nulled, Consulting 6.1.4 Nulled, Fs Poster Plugin Nulled

Back to top button