En mai de cette année le RGPD fêtera le 4 anniversaire de son entrée en application. Bien que ce règlement ne plaise pas à tout le monde, il est sans doute une référence incontournable de la réglementation de la protection de données dans le monde. C’est le cas notamment de la Chine où, en novembre dernier, est entrée en vigueur la Loi de Protection d’Informations Personnelles ou PIPL (Personal Information Protection Law), fortement inspirée de son équivalent européen. Je vous invite à découvrir les principales comparaisons entre le RGPD et la PIPL.
RGPD ou PIPL : le match de la protection de données
En novembre 2021, la PIPL est entrée en vigueur en Chine. Cette loi est la réunion de plusieurs réglementations créées peu à peu telles que la loi d’e-commerce (2019), la loi de cyber-sécurité (2017) et la loi de sécurité de données (2021). Malgré la mauvaise réputation du gouvernement chinois vis-à-vis de la protection des données personnelles, la loi PIPL cherche à proteger les informations sensibles des personnes en Chine.
Tout comme sa contrepartie européenne , il s’agit d’une loi qui concerne les acteurs présents en Chine et ceux en dehors des frontières du pays. Les données personnelles des personnes en Chine (indépendamment de leur nationalité) sont protégées vis-à-vis de
- Les organisations leur offrant des biens et services depuis la Chine ou l’étranger
- Les organisations utilisant leurs données pour mener des analyses
- Tout autre circonstance administrative ou légale
La PIPL permet également aux personnes d’accéder aux informations détenues par n’importe quelle organisation et de leur demander la correction ou suppression de leurs données ainsi que le retrait de leur consentement.
Bien qu’elle soit fortement inspiré du RGPD, la PIPL diverge dans certains points
- Indépendance du régulateur : Contrairement au RGPD, le contrôle du respect de la PIPL n’est pas faite par des agents indépendants du gouvernement. La PIPL, constituée de 8 chapitres, est régulée par l’administration chinoise du cyberespace, ou CAC. Cette entité s’occupe également de la liste des sources d’information approuvées. Cela n’empêcherait probablement pas au gouvernement d’avoir accès aux données si jalousement protégées
- Donnée sensible : le RGPD définit comme donnée sensible toute information entrainant un endommagement physique de la personne concernée, tandis que la PIPL l’étend à tout information pouvant porter un endommagement matériel de la personne concernée. La liste d’informations considérées sensibles est similaire (données concernant la santé, la religion , l’orientation sexuelle…) mais elle est indicative pour la loi chinoise alors que pour le RGPD, elle est plutôt exhaustive.
- Autorisation pour le traitement de données : sous PIPL et RGPD, les organisation sont autorisées à traiter des données personnelles si :
- Elles possèdent un consentement explicit et par action (ou opt-in),
- Les données sont utilisées pour un contrat entre les parties, pour un intérêt publique ou vital.
- Or, en Chine l’exploitation de ces données avec des objectifs journalistiques est également autorisée.
- Traitement de demandes de suppression de données : Bien que la PIPL permette aux personnes de demander la suppression de leur données personnelles, cette loi ne prévoit pas un délai limite de traitement de ces demandes, contrairement au RGPD.
- Transfert de données transfrontalier : Tout comme le RGPD, cette loi impose également de contrôles et approbations pour tout transfert de données vers l’extérieur des frontières chinoises. Cependant, la PIPL exige un consentement explicite des personnes dont les données seront transférées vers l’étranger ainsi que, dans le cas d’un nombre important de données, l’approbation du secrétariat d’État.
- Sanctions : La PIPL prévoit une amende de 5% du chiffre d’affaire de l’entreprise ou 7,8 millions USD contre 4% du chiffre d’affaires ou 23 millions USD du RGPD. Par ailleurs, il est possible que l’organisation soit close sous la loi chinoise.
Sources :
