Votre entreprise exerce ses activités en Chine. Vous compilez des données à caractère personnel concernant vos collaborateurs chinois et les transférez à votre siège social à des fins de ressources humaines. Vous collectez également des informations personnelles sur les clients chinois qui achètent des produits sur votre site web et les rendez accessibles aux métiers situés en dehors de la Chine. Depuis l’entrée en vigueur de la loi chinoise sur la protection des données personnelles (PIPL) en novembre 2021, vous vous demandez peut-être constamment si vos transferts de données hors des frontières chinoises sont conformes à la réglementation chinoise en matière de protection de la vie privée.

Un système de lois complexe et incertain gouvernant les transferts de données hors du territoire chinois

En fait, la loi PIPL n’est qu’une des nombreuses lois chinoises sur la protection des données.  Elle s’ajoute à la loi chinoise sur la cybersécurité (CSL, 2017) et à la loi chinoise sur la sécurité des données (DSL, 2021). Elle s’applique à toute organisation traitant des informations personnelles identifiables provenant de Chine, en Chine et à l’étranger. Sous la PIPL, les transferts internationaux de données ne sont possibles qu’avec un accord de l’Administration du cyberespace de la Chine (CAC). L’article 38 de la PIPL propose quatre façons d’obtenir cet accord, certaines d’entre elles étant ensuite complétées par cinq mesures et lignes directrices supplémentaires (2022-2023)[1] détaillant comment se conformer et qui est concerné.

En résumé, si vous vous engagez dans le transfert international d’un volume relativement faible d’informations personnelles, vous avez deux options : vous faire certifier par une institution désignée conformément aux règlements de la CAC, ou signer un contrat avec le destinataire étranger des données conformément au contrat type formulé par la CAC.

Dans d’autres cas, vous devez passer une évaluation de sécurité organisée par la CAC. Il s’agit de la norme de conformité la plus élevée. Elle s’applique aux entreprises qui sont des opérateurs d’infrastructures d’information critiques (CIIO), qui traitent les données personnelles de plus d’un million de personnes, qui exportent les données personnelles de 100 000 personnes ou les données personnelles « sensibles » de 10 000 personnes, ou qui exportent des données « importantes ». Cela laisse une marge d’interprétation à la CAC, qui peut qualifier n’importe quelle donnée « d’importante ». De plus, dans tous les cas précédemment mentionnés, la CAC se réserve le droit d’examiner tous les transferts de données hors du territoire chinois et de les interrompre sur la base d’un large spectre de raisons.

En plus d’un paysage réglementaire complexe et en constante évolution qui laisse aux autorités chinoises de nombreuses possibilités de s’opposer à un transfert de données, vous devez aussi tenir compte de deux points clefs sur votre route vers la conformité.  Premièrement, les procédures pour obtenir l’approbation de la CAC peuvent prendre du temps, en particulier l’évaluation de sécurité. Deuxièmement, même si vous parvenez à obtenir l’approbation de la CAC pour un transfert de données, vous devez également obtenir le consentement des personnes dont les données sont transférées (article 39 de la LPRP).

Avec toutes ces informations, il est possible que vous ayez été confus lors du draft de votre stratégie de conformité à la loi PIPL. Aujourd’hui encore, vous ne savez peut-être pas si vos transferts de données sont conformes, ni même si la conformité est possible.

Un assouplissement prochain des exigences en matière de transfert de données hors de la Chine

Les autorités chinoises ont récemment reconnu les difficultés rencontrées lors de l’exportation de données depuis la Chine. Le conseil des affaires de l’État Chinois a officiellement identifié les transferts de données hors des frontières chinoises comme l’un des 24 domaines à améliorer pour attirer des investissements étrangers en Chine[2]. Par conséquent, en septembre 2023, la CAC a publié une proposition d’exemptions du mécanisme de transfert international de données[3].

Vous pourriez être libéré des procédures de l’article 38 précédemment mentionnées (évaluation de sécurité, certification ou contrat spécifique) dans les cas suivants, qui ont fait l’objet d’un débat public jusqu’à la mi-octobre :

• Vous pourriez transférer des données concernant vos collaborateurs en Chine si cela est nécessaire pour la gestion des ressources humaines, conformément à la loi et aux contrats collectifs légalement définis.
• Vous pourriez transférer des données concernant vos clients en Chine afin de conclure et d’exécuter un contrat client : commerce en ligne, transfert de fonds, réservation de billets d’avion, obtention d’un visa, etc.
• Vous pourriez transférer des données à caractère personnel depuis la Chine afin de protéger la vie, la santé et la sécurité des personnes et des biens en cas d’urgence.
• Vous ne devriez effectuer une évaluation de sécurité de la CAC que pour :
  • Le transfert de données de plus d’un million de personnes, probablement au-delà des cas mentionnés ci-dessus.
  • Le transfert de données « importantes », sachant que les données ne sont pas considérées comme « importantes » sauf si vous avez été officiellement notifié du contraire.

C’est une très bonne nouvelle. Cela veut dire que dans de nombreux cas vous pourriez continuer à transférer des données depuis la Chine sans charge administrative et sans risquer la non-conformité et les amendes qui en découlent.

Toutefois, on ne sait pas encore quand ces exceptions seront adoptées, si elles le sont, ni à quoi ressemblera la liste finale. Par ailleurs, le CAC a mis en évidence deux problèmes auxquels vous seriez toujours confrontés. Tout d’abord, le consentement spécifique des personnes dont les données sont transférées hors de la Chine serait toujours requis en vertu de la PIPL dans les cas où le consentement est la base juridique du traitement des données – ce qui pourrait s’appliquer à la plupart des traitements en dehors de l’exécution d’un contrat. Deuxièmement, et surtout, la CAC conserverait le droit de contrôler tous les transferts de données hors de la Chine, d’enquêter sur les transferts à haut risque et même de les interrompre complètement.

Ainsi, si vous pensiez pouvoir bientôt à nouveau transférer une bonne partie de vos données générées en Chine à l’international sans contraintes, vous vous trompez probablement.

Garder les données en Chine, la solution la plus sûre à long terme

À partir de toutes ces informations, comment préparer une bonne stratégie de mise en conformité avec les lois chinoises sur la protection des données personnelles ?

Sur le plan juridique, vous êtes confrontés à des lois complexes à comprendre, en constante évolution et sujettes à interprétation par les autorités. Contrairement au RGPD, vous ne pouvez pas savoir si vous êtes en conformité dès maintenant, et encore moins dans les mois et années à venir.

À cela s’ajoute le point de vue technique : dans les entreprises globalisées, l’information circule. Les données résident à la fois dans des plateformes globales de gestion de ressources humaines ou des clients, et dans des systèmes locaux interconnectés. Le simple fait d’identifier toutes les informations personnelles et de déterminer les flux de données associés constituera un véritable défi avant de pouvoir discuter de mesures de protection spécifiques.

De plus, n’oublions pas que les enjeux sont élevés : en cas de non-conformité, le CAC peut restreindre vos transferts de données, infliger des amendes à votre entreprise et à ses dirigeants, voire forcer la fermeture de votre entreprise en Chine.

Vous devriez profiter du fait que la CAC est actuellement concentrée à adapter plutôt qu’à appliquer son règlement sur la protection des données pour considérer une stratégie de conformité à long terme. Cette stratégie peut consister à s’assurer que les données générées en Chine restent en Chine au lieu d’être systématiquement transférées vers votre siège.

Il est indéniable que la Chine vise, au long terme, la souveraineté numérique. Parmi les nombreuses lois implémentées dans différents pays afin de réguler le cyberespace et protéger les données personnelles, la PIPL est unique en ce qu’elle remet en cause de manière significative le modèle du système d’information des entreprises globales, qui consiste en une informatique centralisant les informations de tous les sites. Mais dans un monde où les tensions géopolitiques s’intensifient, on peut s’attendre à ce que les appels au protectionnisme informatique se multiplient.

Par conséquent, vous devriez considérer vos réflexions sur la stratégie de mise en conformité PIPL comme une étude de cas pour le découplage de votre système d’information, auquel vous pourriez bientôt être confrontés à plus grande échelle.

[1] 2022: Measures of Security Assessment for Data Export

2022: Practice Guide for Cybersecurity Standards – Outbound Transfer Certification Specification V2.0 for Cross-border Processing of Personal Information (Exposure Draft)

2023: Information Security Technology – Certification Requirements for Cross-border Transmission of Personal Information (Exposure Draft) 

2023: Measures on the Standard Contract for Outbound Transfer of Personal Information

2023: Guidelines for Filing of Standard Contract for Outbound Transfer of Personal Information (First Edition)

2023: Regulations on Standardizing and Promoting Cross-Border Data Flows

[2]  国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见

[3] Provisions on Standardizing and Promoting Cross-Border Data Flows (Draft for Comment) 

Cet article L’impact de l’évolution de la loi PIPL sur votre stratégie de conformité de protection des données personnelles est apparu en premier sur RiskInsight.

Les révélations de Snowden sur la NSA derrière l’invalidation du Safe Habor

En principe, le transfert de données personnelles hors de l’Union européenne est autorisé à condition que le pays destinataire offre un niveau de protection des données au moins égal à celui garanti au sein de l’UE. Pour transférer des données personnelles vers des pays non-adéquats, les entreprises doivent s’engager à respecter des accords particuliers permettant de garantir un niveau de protection suffisant au regard du droit européen.

Adopté en 2000, le Safe Harbor est un accord de ce type, autorisant donc le transfert des données personnelles des citoyens européens vers les États-Unis. Plusieurs milliers d’entreprises américaines étaient jusqu’à présent concernées par cet accord, des géants du numérique aux petites et moyennes entreprises. Mais en octobre 2015, la Cour de justice de l’Union européenne (CJUE) – considérant les révélations faites par Edward Snowden sur les pratiques américaines en matière de surveillance – a invalidé le Safe Harbor . En effet, compte tenu de la primauté de la législation américaine liée à la sécurité nationale sur l’accord Safe Harbor, la CJUE a estimé qu’il existe des risques « d’ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes ». La CJUE a également motivé sa décision par le fait qu’il n’existait « aucune possibilité pour le justiciable d’exercer des voies de droit » lui permettant d’accéder à ses données ou d’en obtenir la rectification ou la suppression, ce qui est contraire au droit européen.

En considérant que le Safe Harbor ne garantissait pas une protection adéquate des données personnelles, la CJUE a rendu de fait illégale des centaines de milliers de transferts de données. Pour autant, ces transferts transatlantiques ne pouvaient évidemment pas être arrêtés brutalement en raison des forts enjeux économiques inhérents. Conséquence directe de cette invalidation donc, trois mois de latence ont été accordés aux diplomates américains et européens pour négocier et définir un nouvel accord permettant de satisfaire les exigences de la CJUE. Par ailleurs, poursuivant le raisonnement de la CJUE, les CNIL européennes ont demandé que les solutions proposées par les parties s’appuient sur des « mécanismes clairs et contraignants » et comportent « au minimum des obligations de nature à garantir le contrôle des programmes de surveillance par les autorités publiques, la transparence, la proportionnalité, l’existence de mécanismes de recours et la protection des droits et des personnes ».

Privacy Shield : un tour de force diplomatique qui ne fait pas l’unanimité

Et c’est finalement le 2 février dernier – deux jours après la fin du délai accordé par les CNIL européennes – qu’un accord politique entre les parties européennes et américaines a été trouvé, remplaçant le Safe Harbor par le Privacy Shield . Ce mécanisme devrait permettre aux citoyens européens d’attaquer en justice les entreprises américaines si celles-ci divulguent leurs données personnelles à un tiers sans leur accord ou si elles refusent de fournir un accès aux données collectées les concernant. Une commission bipartite devrait également être créée pour contrôler l’application de l’accord, et un système d’arbitrage spécial via un médiateur sera mis en place en tant qu’instance de dernier recours. Par ailleurs les États-Unis ont fourni une garantie écrite assurant que l’accès aux données des citoyens européens par les services de renseignement sera limitée et contrôlé.
Mais le Privacy Shield fait déjà grincé des dents, puisqu’il est, pour l’instant, seulement un accord politique et donc non-contraignant juridiquement. Côté européen, une transposition dans le droit communautaire est le préalable pour qu’il puisse produire des effets juridiques.

Au-delà de l’accord de principe et du soulagement immédiat à la hauteur du défi diplomatique que représentait la conclusion d’un tel accord dans des temps aussi courts, il s’agira de constater, dans les mois et années à venir, sa traduction en règles juridiquement contraignantes et effectivement respectées. Dans le cas contraire, ce nouvel accord sera de toute évidence, à son tour, contesté devant la CJUE qui est la seule autorité compétente pour déclarer l’invalidité d’un acte de l’Union.

Sceptiques, les CNIL européennes se prononceront en mars

Une entrée en vigueur de l’accord « EU-US Privacy Shield » est prévue d’ici trois mois et sera pilotée durant les prochaines semaines par la Commission européenne. Par ailleurs cette dernière sera attentive à l’avis des vingt-neuf CNIL européennes, autrement appelées G29. Réuni le 3 février, et dirigé actuellement par la Présidente de la CNIL française Isabelle Falque-Pierrotin, le G29 s’est montré réservé sur le Privacy Act, avec cette formule : « We can’t just accept words. (…) The legal format of the arrangement is still unclear for us ». Les CNIL européennes attendent en effet la réception de l’ensemble des documents composant le Privacy Shield, d’ici la fin du mois de février, pour se prononcer sur le fond de l’accord à la fin du mois de mars .

Ce même jour le G29 était justement réuni pour présenter son interprétation de la jurisprudence européenne, fondée sur la décision de la CJUE, en matière de transfert des données personnelles. Pour les autorités européennes, quatre garanties doivent donc être respectées, et seront donc considérées dans les semaines à venir lors de l’étude du Privacy Act :

1. Le traitement des données doit être fait selon des règles claires, précises et accessibles
2. L’accès aux données doit être nécessaire et proportionnel à la fin poursuivie
3. Un mécanisme indépendant de surveillance doit pouvoir vérifier l’accès aux données
4. Des recours effectifs doivent exister pour les citoyens

En attendant d’en savoir plus sur le Privacy Shield, le G29 est resté pragmatique au sujet des transferts actuels de données personnelles en les autorisant, jusqu’à nouvel ordre . Enfin, Isabelle Falque-Pierrotin, réélue à la tête du G29 le 3 février, a partagé son inquiétude sur les probables répercussions de l’élection présidentielle américaine à venir sur l’accord.

Cet article Transfert des données UE-USA : le Safe Harbor remplacé par le Privacy Shield est apparu en premier sur RiskInsight.