Les cadres légaux de protection des données et de la vie privée se sont de plus en plus développés à l’échelle mondiale. C’est particulièrement le cas en Asie : au cours des deux dernières années, plusieurs juridictions clés, dont la Chine, l’Inde, l’Indonésie et le Vietnam, ont soit introduit leurs premières réglementations sur la protection des données, soit mis à jour et réformé leurs réglementations existantes.
Ces réglementations ont été de manière générale très influencées par le Règlement général sur la protection des données de l’UE (RGPD), lui empruntant certains concepts, et fixant une norme de conformité élevée pour les organisations qui traitent des données à caractère personnel.
Vous trouverez ci-dessous un aperçu de l’approche de l’Inde en matière de protection de la vie privée.
Vous pourrez découvrir les approches nationales de la Chine, de l’Indonésie, de Singapour et du Viêt Nam en suivant les liens ci-dessous.
- Inde – Digital Personal Data Protection Act (DPDPA)
- Indonésie – Personal Data Protection Law (PDPL)
- Singapour – Personal Data Protection Act (PDPC)
- Viêt Nam – Personal Data Protection (DPDP)
Notre Asia Data Privacy Taskforce : Chez DS Avocats, nous avons développé une forte expertise sur les questions de protection des données en Asie, nous permettant d’assister nos clients dans le développement de leurs opérations tout en tenant compte de leurs obligations en matière de conformité des données. Notre connaissance du RGPD nous permet également de faire le lien entre les besoins des sièges européens et ceux des filiales locales en Chine, Inde, Indonésie, Singapour et au Viêt Nam.
Brève présentation de la protection des données personnelles en Chine
La Personal Information Protection Law (« PIPL« ) de la République populaire de Chine (« RPC« ), entrée en vigueur le 1er novembre 2021, est connue sous le nom de « RGPD Chinois » en raison de ses similitudes avec le Règlement Général sur la Protection des Données de l’UE (« RGPD« ).
Les entreprises à capitaux étrangers (« FIE« ) familières de l’approche européenne de la protection des données possèdent ainsi certains avantages dans leur mise en conformité avec le RGPD Chinois. Toutefois, bien que fortement influencée par le GDPR, la PIPL s’en démarque tout aussi fortement. Les FIE ne peuvent donc se limiter à dupliquer leur système de conformité RGPD mais doivent prendre en compte les particularités du PIPL.
Avant l’entrée en vigueur de la PIPL, les dispositions relatives à la protection des données étaient dispersées dans différentes lois et réglementations, notamment le PRC Civil Code, Criminal Law, Cybersecurity Law, the Law on the Protection of Minors and E-commerce Law. La protection des données est désormais régie principalement par la PIPL complétées par des règlements d’application, règles de mise en œuvre, normes nationales et lignes directrices recommandées par les autorités compétentes.
Le traitement des données dans certaines industries stratégiques reste soumis à des réglementations, normes et lignes directrices spécifiques à l’industrie pouvant imposer des obligations supplémentaires. Outre le respect des obligations prévues par la PIPL et la PRC Data Security Law pour le traitement des données, les responsables du traitement et les sous-traitants peuvent être confrontés à des exigences supplémentaires et plus strictes en matière de cybersécurité et de traitement des données. Par conséquent, les responsables du traitement des données et les sous-traitants doivent adapter les projets de mise en conformité du traitement des données à leurs objectifs et caractéristiques organisationnelles.
Les responsables du traitement des données ne doivent toutefois pas ignorer l’importance des lois sur la cybersécurité en Chine, en particulier la PRC Cybersecurity Law, qui est étroitement liée à la PIPL. En particulier, certains cas d’infraction concernent des violations de la protection des données à caractère personnel où la mise en conformité aurait dû s’appuyer sur les obligations en matière de cybersécurité. La conformité des données ne peut être complète ou efficace sans la conformité aux règles de cybersécurité.
Compte tenu de l’évolution juridique en Chine, il est conseillé aux responsables du traitement des données et aux sous-traitants relevant du champ d’application de la PIPL d’adopter une approche globale lors de la création et de la mise en œuvre des projets de mise en conformité. En outre, il est essentiel de se tenir au courant des évolutions juridiques et d’adapter sa mise en conformité. En particulier, les FIE doivent trouver un équilibre entre les exigences de conformité imposées par leurs sociétés mères dans d’autres pays et les objectifs de conformité fixés pour leurs filiales/FIE en Chine.
Dernières mises à jour sur la protection des données en Chine
Suite à la mise en œuvre de la PIPL, plusieurs normes, réglementations et lignes directrices ont été publiées ou mises à jour. Ces instruments juridiques fournissent des instructions spécifiques sur des aspects clés de la protection des données, notamment la gestion du consentement, le transfert transfrontalier de données (« CBDT« ), la reconnaissance faciale et l’audit des données personnelles.
Gestion du consentement
L’obtention du consentement est l’une des obligations prévues par la PIPL pour le traitement des données à caractère personnel. Pour certains traitements importants de données à caractère personnel, il est également nécessaire d’obtenir le consentement distinct des personnes concernées. Néanmoins, les lois et règlements chinois n’expliquent pas explicitement comment recueillir et conserver ce consentement, mais une recommandation nationale énonce les principes généraux concernant le consentement.
L’Information Security Technology—Implementation Guidelines for Notices and Consent in Personal Information Processing (Reference No. GB/T 42574-2023) traite des points suivants :
- information des personnes concernées (forme et contenu de l’avis) ;
- exigences relatives à l’obtention du consentement (y compris le consentement séparé) et dérogations ;
- refus et retrait du consentement ; et,
- conservation du consentement en tant que preuve.
CBDT
Le régime chinois des CBDT est principalement basé sur deux règlements qui précisent les scénarios et les exigences dans lesquels les évaluations de sécurité et les contrats types chinois servent d’outils de conformité au CBDT :
- Measures for the Security Assessment of Outbound Data Transfers (publié le 7 juillet 2022 et applicable depuis le 1er septembre 2022);
- Measures for the Standard Contract for Outbound Cross-Border Transfer of Personal Information(publié le 22 février 2022 et applicable depuis le 1er juin 2023).
Le premier règlement s’applique à tout transfert transfrontalier de données tandis que le second ne supervise que les transfert transfrontalier de données personnelles. Un projet de règlement, le Draft Provisions on Regulating and Facilitating Cross-border Data Flow (« DPRF CBDF« ), publié le 28 septembre 2023, prévoit des exemptions aux deux règlements susmentionnés qui, s’il est adopté, facilitera le CBDT et, notamment, réduira le fardeau de la conformité pour les exportateurs de données.
Une société ne peut toutefois s’exonérer de l’ensemble de ses obligations en application de ses dérogations. Ces exceptions ne concernent que la mise en conformité avec les règles applicables en matière de CBDT, phase intervenant en aval de la mise en conformité avec le PIPL, laquelle nécessite de réaliser la cartographie des données et les mesures correctives pour assurer un traitement licite des données à caractère personnel.
Les responsables du traitement disposent d’un autre outil de conformité du CBDT, la certification de protection des données personnelles. En raison de sa complexité et de son coût, cette option n’est actuellement pas largement adoptée par les responsables du traitement.
Reconnaissance faciale
Les informations obtenues par reconnaissance faciale sont définies comme des données biométriques/données personnelles sensibles conformément à la PIPL. Les personnes chargées du traitement des données doivent donc se conformer à des règles plus rigoureuses à leur sujet. Avant la PIPL, une interprétation judiciaire intitulée Provisions of the Supreme People’s Court on Several Issues concerning the Application of Law in the Trial of Civil Cases involving the Processing of Personal Information Using Facial Recognition Technology, publiée le 1er août 2021, donnait des exemples de litiges civils courants liés à la reconnaissance faciale, ainsi que des critères sur la manière dont les tribunaux les résoudront.
Un projet de règlement sur la reconnaissance faciale, the Provisions on Security Management of the Application of Face Recognition Technology (for Trial Implementation), a été publié en août 2023 pour examen public. Le projet de document réglemente l’application de la reconnaissance faciale et définit les principales obligations des responsables du traitement des données. En particulier, il mentionne que la reconnaissance faciale utilisée dans les lieux publics et le traitement des données personnelles de plus de 10 000 personnes doivent être déclarés auprès de l’autorité compétente locale. Outre les obligations de conformité de base concernant les données, les fournisseurs de services de reconnaissance faciale ciblant le public sont soumis à des exigences plus strictes en ce qui concerne le système de protection à plusieurs niveaux (« MLPS« ) prévu par la PRC Cybersecyrity Law.
Audit des données personnelles
La PIPL impose à tous les responsables du traitement des données de procéder à un audit des données à caractère personnel, soit volontairement, soit sur ordre des autorités compétentes, sans toutefois préciser les procédures, la fréquence ou les routines d’audit. En août 2023, un projet de règlement, The Administrative Measures for Personal Information Protection Compliance Auditing, a été publié pour commentaires publics et fournit des conseils sur les audits de données personnelles.
La réalisation d’un audit de protection des données personnelles est une tâche essentielle pour les responsables du traitement des données dans les phases initiales de leur mise en conformité. Cela permet aux responsables du traitement d’évaluer toutes les lacunes relatives aux exigences de conformité.
S’ils disposent de ressources suffisantes, les responsables du traitement peuvent procéder eux-mêmes à l’audit des données à caractère personnel. Cet audit devrait avoir lieu au moins une fois tous les deux ans, ou une fois par an si des données personnelles concernant plus d’un million de personnes sont traitées.
La violation des données ou tout autre incident lié aux données peuvent également déclencher un audit, auquel cas il convient de faire appel à un prestataire de services d’audit qualifié et enregistré auprès des autorités compétentes. Les responsables du traitement devront mettre en œuvre des mesures correctives sur la base des conclusions du premier rapport d’audit. Un deuxième audit sera effectué pour déterminer si la situation s’est améliorée et si l’objectif de conformité a été atteint. Le rapport final sera soumis à l’autorité compétente.
En outre, le projet de règlement décrit également les obligations des prestataires de services d’audit et les sanctions en cas de non-conformité.
Résumé du PIPL
Loi | Personal Information Protection Law (“PIPL”) |
Date d’entrée en vigueur | 1er novembre 2021 |
Définition de données personnelles/informations personnelles (“PI ») | Les informations personnelles désignent tout type d’informations relatives à une personne physique identifiée ou identifiable, enregistrées électroniquement ou d’une autre manière, à l’exclusion des informations rendues anonymes (Article 4, PIPL). Les informations personnelles sont les informations enregistrées électroniquement ou d’une autre manière qui peuvent être utilisées, seules ou en combinaison avec d’autres informations, pour identifier une personne physique, y compris le nom, la date de naissance, le numéro d’identification, les informations biométriques, l’adresse résidentielle, le numéro de téléphone, l’adresse électronique, les informations sur la santé, les allées et venues, etc. de la personne (Article 1034, PRC Civil Code). |
Données et informations personnelles des mineurs | Toute information personnelle concernant des mineurs de moins de 14 ans est considérée comme une information personnelle sensible. Le traitement des informations/données personnelles des mineurs doit également respecter d’autres lois et règlements applicables, y compris, mais sans s’y limiter, les suivants the Law of the People’s Republic of China on the Protection of Minors, Regulations on the Protection of Minors Online, et les Provisions on the Protection of Minors at School, etc. |
Personnes assujetties à la réglementation | Data Processor (terme utilisé dans la PIPL pour désigner le responsable du traitement des données, afin d’éviter tout malentendu ; ci-après dénommé “data controller”/ “controller”) Entrusted Processor (terme utilisé dans la PIPL pour désigner le responsable du traitement des données ; pour éviter tout malentendu, il est ci-après dénommé “data processor”/ “processor”) |
Champ d’application | Territorial : Les activités de traitement des PI localisées en Chine. Principe de ciblage : Les activités de traitement des données personnelles se déroulent en dehors de la Chine mais visent des personnes physiques en Chine : pour la fourniture de produits et/ou de services ; ou, pour analyser leur comportement. |
Traitement | L’ensemble du cycle de vie des données/informations à caractère personnel, y compris, mais sans s’y limiter, « la collecte, le stockage, l’utilisation, le traitement, la transmission, la mise à disposition, la divulgation et la suppression (article 4 of PIPL, a non-exhaustive list)”. |
Sécurité | Les organisations doivent mettre en place des mesures de sécurité raisonnables et appropriées pour protéger les données personnelles et empêcher leur accès, collecte, utilisation, divulgation, copie, modification, élimination ou tout autre risque similaire et comportement non autorisé. |
Principes généraux | 1. Légalité, légitimité, nécessité et bonne foi ; 2. Le but légitime ; 3. La minimisation des données ; 4. Ouverture et transparence ; 5. Exactitude et exhaustivité ; 6. Sécurité. |
Base légale du traitement | Le PIPL exige que les contrôleurs remplissent au moins l’une des conditions suivantes pour le traitement des données personnelles : 1. Consentement éclairé ; 2. Gestion des contrats et de la main-d’œuvre ; 3. L’obligation légale ; 4. Urgence (santé publique/intérêt vital des individus) ; 5. Reportage d’actualité, ou 6. à des fins d’intérêt public ; 7. PI divulguée au public ; et, 8. toute autre base juridique spécifiée par d’autres lois et règlements. La PIPL précise que le traitement des informations personnelles divulguées légalement au public ne nécessite pas le consentement de la personne concernée, mais que celle-ci a le droit de refuser un tel traitement. Dans ce cas, le traitement doit être interrompu. |
Droits de la personne concernée | 1. Droit à l’information ; 2. Droit d’accès ; 3. Droit de rectification ; 4. Droit à l’effacement/à l’oubli ; 5. Droit à la limitation du traitement ; 6. Droit à la portabilité des données ; 7. Droit d’opposition ; 8. Droit de ne pas faire l’objet d’une prise de décision automatisée. 9. Droit de faire des copies (associé au droit d’accès) ; 10. Droit de décider des activités de traitement (associé au droit de restriction et au droit de refus). |
Mesures de protection | La PIPL exige que seuls les responsables du traitement tiennent un registre des activités importantes de traitement des données (les scénarios énumérés dans l’analyse d’impact ci-dessous). La plupart des obligations obligatoires en matière de protection des données à caractère personnel et des personnes concernées sont assumées et dirigées par les responsables du traitement, qui doivent prendre les mesures techniques et organisationnelles appropriées pour garantir le traitement licite des données à caractère personnel. Les sous-traitants doivent être responsables de la sécurité des données, traiter les données comme convenu dans les accords contractuels et aider les responsables du traitement lorsque ces derniers remplissent leurs obligations obligatoires dans le cadre des activités de traitement des données à caractère personnel. |
Etude d’impact | L’évaluation de l’impact de la protection des informations personnelles (« PIPIA« ) est requise dans les cas suivants : 1. Transfert transfrontalier 2. Traitement d’informations personnelles sensibles 3. Traiter des informations à caractère personnel pour la prise de décision 4. Fournir des informations personnelles à des tiers 5. Publier des informations personnelles 6. Tout autre scénario dans lequel les droits et les intérêts des personnes concernées seront fortement affectés. Le rapport PIPIA doit être conservé pendant au moins trois ans. En ce qui concerne les approches, elles sont fournies dans les normes nationales chinoises pertinentes. En outre, le rapport PIPIA pour les transferts transfrontaliers doit suivre un modèle officiel et être soumis à l’autorité compétente pour archivage. |
Transfert transfrontalier de données à caractère personnel | Informer les personnes concernées et obtenir un consentement distinct, le cas échéant, et en choisir un pour légitimer le transfert : 1. Évaluation de la sécurité organisée par l’autorité compétente (dans certains scénarios, cette évaluation est obligatoire et non facultative pour les exportateurs de données) ; 2. Obtention d’une certification de protection des informations personnelles délivrée par des prestataires de services agréés ; 3. Conclusion d’un contrat type entre l’exportateur et l’importateur de données. |
Notification de violation | La violation doit être rapportée immédiatement/dans les 24 heures aux autorités compétente(s). Selon un projet de règlement publié le 8 décembre 2023, l’Administrative Measures for the Reporting of Cybersecurity Incidents, tout incident cybernétique grave doit être signalé dans l’heure à l’autorité compétente, et tous les détails essentiels doivent être communiqués dans les 24 heures ; le rapport d’élimination de l’incident cybernétique doit également être soumis dans les 5 jours ouvrables suivant sa résolution. |
Recours | Les personnes concernées peuvent intenter une action en justice contre la partie en infraction, et les organisations qualifiées peuvent également intenter une action en justice au civil pour des raisons d’intérêt public. |
Détails des sanctions administratives en cas de violation de la PIPL
Infractions mineures | · Ordre de rectification Avertissement Confiscation des gains illégaux (le cas échéant) (pour les applications logicielles) ordre de suspension ou de cessation du service. |
Dans le cas où la personne en infraction refuse de rectifier ses violations | En plus de ce qui précède, Amende pécuniaire (inférieure à 1 million de RMB) pour le contrevenant ;Amende pécuniaire (de 10 000 à 100 000 RMB) pour la personne directement responsable de l’auteur de l’infraction. |
Infractions graves | Ordre de rectification par l’autorité compétente au niveau provincial ;Confiscation des gains illégaux (le cas échéant) ;Amende pécuniaire d’un montant maximum de 50 millions RMB ou de 5 % du chiffre d’affaires de l’année précédente ;Suspension ou cessation d’activité, et annulation des agréments ou de la licence d’exploitation ;Amende pécuniaire de 100 000 RMB minimum à 1 million RMB maximum pour la personne directement responsable ; et,La personne directement responsable du contrevenant peut se voir interdire, pendant une certaine période, d’exercer les fonctions de directeur, de superviseur, de cadre supérieur ou de responsable de la protection des PI dans une entreprise concernée. |