Cyber-sécurité et protection des données personnelles : morceaux choisis d’Asie et du Moyen Orient

À l’aube de l’année 2018, émergent de nouvelles lois régionales sur la protection des données et la cyber sécurité. Bon nombre de ces dispositions semblent conçues en vue d’obtenir une décision d’adéquation de la Commission européenne afin de faciliter le transfert des données de l’UE vers ces pays.

Il est important que les entreprises comprennent que le fait d’être basées dans un pays bénéficiant d’une décision d’adéquation de l’UE, ne les dispense pas de se conformer aux exigences du RGPD lorsqu’elles s’appliquent. Pour être clair, les décisions d’adéquation et le Privacy Shield pour les USA (bouclier de protection de la vie privée) ne sont que des mécanismes protégeant le transfert de données. Ils n’indiquent pas que l’entreprise respecte l’intégralité des obligations plus généralement prévue par le RGPD.

Nous nous intéressons à certains des développements au sein de l’Asie et du Moyen Orient.

Japon

Depuis mai 2017, les exigences se sont accrues en matière de consentement pour la collecte de certains types d’informations personnelles. Les détenteurs de données doivent ainsi répondre aux demandes des individus visant à ce que leur soit fournies leurs données personnelles ou qu’elles puissent être modifiées. La règlementation japonaise s’applique aux consommateurs et / ou salariés résidant au Japon, même si les données sont collectées par des entreprises situées hors du Japon. Le Japon a bon espoir d’obtenir une décision d’adéquation de la Commission européenne, mais celle-ci ne devrait pas intervenir avant plusieurs mois.
Le Japon a été le premier pays d’Asie à souscrire aux Cross-Border Privacy Rules system (CBPRs), ensemble de règles de confidentialité transfrontières des pays de l’APEC (Coopération économique pour l’Asie-Pacifique). Participent aussi aux CBPRs, le Canada, la Corée du Sud, les États Unis et le Mexique.

Corée du sud

Cyber-sécurité et protection des données personnelles : morceaux choisis d’Asie et du Moyen Orient
La Corée du Sud a mis en place depuis 2011 des lois strictes sur la confidentialité des données, qui contiennent un grand nombre de dispositions similaires à celles du RGPD. La Corée du Sud espère obtenir une décision d’adéquation de la Commission européenne dans le mois ou les deux mois à venir. Comme mentionné ci-dessus, elle a récemment souscrit aux CBPRs.

Chine

La loi chinoise sur la cyber sécurité est entrée en vigueur en juin 2017 pour exiger que les « informations personnelles et autres données importantes » soient stockées en Chine et que les équipements certifiés par le gouvernement chinois soient sécurisés. Les entreprises concernées sont celles que le texte désigne comme des « infrastructures critiques d’information », qui concernent par exemple « les services de communication, l’énergie, le transport, l’eau, la finance, le service public, l’e-gouvernement et autres ». Une définition à la fois très large et très floue, qui pourrait potentiellement concerner toutes les entreprises, selon les intérêts des autorités chinoises.

En outre, un projet de loi est en cours d’adoption depuis avril 2017, qui exigerait que toutes les informations personnelles collectées en Chine soient stockées en Chine, sauf dans les cas où il est possible d’obtenir une dérogation.
Il est considéré que cette loi représente une manière pour la Chine de protéger les données, mais aussi de les surveiller.

Qatar

Le Qatar a adopté une loi sur la protection des données personnelles à la fin de 2016. La date prévue pour l’entrée en vigueur du texte était initialement le mois de juillet 2017, mais elle a été décalée « tardivement » (le 2 janvier) au 29 janvier 2018.  Une prolongation supplémentaire est attendue, mais d’ici là les obligations devraient entrer en vigueur à brève échéance et être accompagnées de sanctions financières pouvant s’élever à plus de 1,3 million USD en cas de violation de la loi. La loi prévoit un consentement supplémentaire pour la collecte, le traitement ou le transfert d’informations personnelles, sous réserve de certaines exceptions. En outre, les individus ont le droit d’obtenir des informations et/ou de faire modifier leurs données. Plus préoccupantes sont sans doute les dispositions exigeant l’approbation du gouvernement avant la collecte de « catégories spéciales de données personnelles » telles que l’origine ethnique, la santé, les croyances religieuses, le statut matrimonial / familial, etc. D’autant plus que ces informations sont souvent collectées par un employeur afin de déterminer les avantages salariaux et sociaux applicables.

Marché mondial d’Abou Dhabi (ADGM)

ADGM est un centre financier international situé sur l’île d’Al Maryah dans les Émirats Arabes Unis (EAU). L’ADGM offre aux entreprises un lieu de travail dans un cadre réglementaire international, avec sa propre infrastructure judiciaire et législative fondée sur la Common Law. En tant que tel, il régit uniquement l’activité des sociétés créées au sein de l’ADGM, par opposition à l’ensemble des EAU. Cependant, compte tenu du nombre d’entreprises établies dans l’ADGM, son impact régional peut être large.

Sa règlementation sur la protection des données personnelles a été adopté en 2015 et couvre un large éventail d’obligations, y compris concernant la collecte, le traitement et la « maintenance » des données personnelles, ainsi que leur transfert hors de l’ADGM. Le Bureau de la protection des données a été créé en décembre 2017 et la règlementation a été amendée très récemment le 17 janvier 2018. Parmi les modifications, figure dorénavant l’exigence de notifier les violations de données « sans retard indu et, dans la mesure du possible, au plus tard 72 heures après en avoir eu connaissance ».  Le montant des sanctions applicables aux responsables du traitement qui ne respectent pas la règlementation ont été augmentées de façon significative.

À retenir

Si la technologie facilite grandement le transfert des données entre les pays, il n’en demeure pas moins que vous devez identifier les différentes lois qui ont vocation à s’appliquer et, le cas échéant, mettre en place des programmes de conformité adaptés. Comme on peut le voir ci-dessus, la question ne se limite pas à la réglementation de l’UE ni à celle plus sectorielle des États-Unis, car de nombreux pays dans le monde développent progressivement une législation dans ce domaine.
Contact : scott.warren@squirepb.com
stephanie.faber@squirepb.com