Le droit chinois, en plus d’exiger l’hébergement en Chine de certaines données, règlemente de façon restrictive la possibilité de transférer des données personnelles ou des données dites importantes en dehors de Chine. Il exige notamment de mettre en place un des outils de transfert prévu par la règlementation applicable. Deux de ces outils, l’évaluation de sécurité et le contrat type, ont été finalisés récemment. Il est donc devenu urgent pour les entreprises concernées de se mettre en conformité. 

1. Règlementation chinoise

La Chine dispose d’un régime de protections des données personnelles à portée globale. Il s’articule principalement autour de trois lois :

  • La « Loi sur la cybersécurité » (entrée en vigueur le 1er juin 2017) qui impose des obligations aux opérateurs d’infrastructures d’information critiques (« CIIO »),
  • La « Loi sur la sécurité des données » (entrée en vigueur le 1er septembre 2021) visant à protéger la sécurité nationale et l’intérêt public et qui comprend des mesures en vue de la protection des « données importantes » et
  • La « Loi sur la Protection des Informations Personnelles » (entrée en vigueur le 1er novembre 2021) dite « PIPL » qui est fortement inspirée du RGPD.

Ces lois sont accompagnées de textes d’application et de réglementations sectorielles (y compris préexistantes) ainsi que de standards et lignes directrices émis par les administrations compétentes.

La PIPL a aussi une portée extraterritoriale semblable au critère du ciblage en vertu de l’article 3 (2) RGPD.

2. Le transfert de données hors de Chine

Ces lois imposent de mettre en place des mesures de protection en cas de transfert de données à des destinataires en dehors de la Chine. Le transfert inclut non seulement le partage ou la communication de données, mais aussi l’accès à partir de l’étranger aux données hébergées en Chine.

En cas de transfert international de données, il existe 3 principaux outils de transfert :

  • L’évaluation de sécurité ;
  • Le contrat type ;
  • La certification : le cadre règlementaire de la certification par un organisme agréé n’est pas encore tout à fait finalisé. Il sera notamment particulièrement utile dans le cas de l’application extra territoriale de la loi chinoise aux organismes établis en dehors de Chine.

D’autres outils peuvent être élaborés tels que définis par les lois et règlementations ou la CAC.

3. L’évaluation de sécurité

 

Le 7 juillet 2022, l’administration chinoise du cyberespace « Cyberspace Administration of China » ou « CAC » a publié les mesures d’évaluation de la sécurité des exportations de données (« Evaluation de Sécurité »).

A ce sujet, vous pouvez lire en anglais l’article de nos spécialistes en droit chinois.

Cas dans lesquels cet outil peut ou doit être utilisé

L’Évaluation de Sécurité peut être choisie volontairement mais est obligatoire dans chacun des cas suivants :

  • Exportation de « données importantes », c’est-à-dire de données susceptibles de mettre en danger la sécurité nationale, le fonctionnement économique, la stabilité sociale, la santé et la sécurité publiques, etc. une fois qu’elles sont altérées, détruites, divulguées ou obtenues ou utilisées illégalement.
  • Exportation de données personnelles par les opérateurs d’infrastructure d’information critique (CIIO). Ceci est conforme au PIPL.
  • Les données traitées concernent plus d’1 million d’individus.
  • Le transfert annuel de données concerne plus de 100.000 citoyens chinois.
  • Le transfert annuel de données concerne des « données sensibles » de plus de 10.000 citoyens. Les données sensibles sont définies comme toute données personnelles qui en cas de fuite de données ou d’utilisation illégale, peut facilement porter atteinte à la dignité de la personne, aux biens ou à la sécurité d’un individu. Cette notion ne recoupe pas totalement celle des « catégories particulières de données » du RGPD.

Procédure

Dans un premier temps les organismes procèdent à une auto-évaluation qui sera ensuite soumise, avec les accords d’exportation/de traitement des données qu’il est envisagé de conclure avec le destinataire étranger, pour autorisation à la CAC.

La CAC disposera de 7 jours ouvrables pour accepter ou non la demande, et de 45 jours ouvrables supplémentaires pour finaliser l’Evaluation de Sécurité. Cette durée peut être prolongée sans limite de temps spécifique. Le résultat de l’Evaluation de la Sécurité est valable deux ans.

Date d’effet

La réglementation est entrée en vigueur le 1er septembre 2022 avec un délai de grâce de 6 mois qui a expiré le 1er mars 2023.

4. Le Contrat Type et l’évaluation d’impact

Le 24 février 2023, la Chine a enfin adopté son contrat type pour le transfert transfrontalier d’informations personnelles (« Contrat Type ») ainsi que des mesures pour sa mise en œuvre.

Pour plus de détails, lire l’article de nos spécialistes en droit chinois.

Le Contrat Type

Le Contrat Type stipule qu’il prévaut sur tout autre accord et énonce des exigences détaillées sur les obligations des parties en matière de protection des données, ainsi que les informations à préciser sur le traitement.

Il inclut notamment des exigences en matière de durée de conservation, de contrôle d’accès, de notification aux personnes concernées et aux autorités chinoises compétentes en cas d’incident de sécurité, de tenue de registres, etc. et des restrictions importantes en cas de transfert ultérieur et de recours à des sous-traitants (ultérieurs).

Le Contrat Type ne distingue pas selon la qualification des parties (entre responsable de traitement et sous-traitant) mais s’applique globalement à tous les cas de transferts.

Le Contrat Type et les mesures de mise en œuvre comprennent également l’obligation pour le destinataire étranger d’accepter les enquêtes et actions ou décisions des autorités chinoises.

Les parties sont tenues d’évaluer les lois et la réglementation du pays dans lequel le destinataire est situé, et les deux parties doivent s’engager à ce que la règlementation en question n’empêche pas le respect du Contrat Type.

Les personnes dont les données sont transférées sont des tiers bénéficiaires de certains droits.  

Le Contrat Type est régi par le droit chinois et les litiges sont soumis aux tribunaux chinois ou à l’arbitrage en Chine ou un autre forum où la Convention sur la reconnaissance et l’exécution des sentences arbitrales étrangères (Convention de New York) est reconnue.

Évaluation d’impact du transfert sur la protection des données 

En plus de la signature du Contrat Type, il faut procéder à une « évaluation d’impact » du transfert sur la protection des données, exigence qui n’était pas prévue dans la loi PIPL.

Les exportateurs de données doivent passer en revue des questions se rapportant à des principes tels que la nécessité et la légitimité du transfert, les risques pour les intérêts personnels et les mesures de sécurité. Cela inclut également l’évaluation de l’impact potentiel de l’environnement juridique étranger et l’efficacité des recours mis à la disposition des personnes concernées dans le pays en question.

Procédure

Le Contrat Type et l’évaluation d’impact sont à remettre à la CAC dans les 10 jours suivant la signature entre l’exportateur et l’importateur, qui doit, quant à elle, avoir lieu avant l’exportation. Tout changement devra aussi être notifié.

Contrairement à ce qui est prévu pour l’Evaluation de Sécurité, le rôle exact de la CAC dans cette procédure n’est pas encore établi.

Date d’effet

Ces obligations entreront en vigueur le 1er juin 2023. Cependant, un délai de grâce de 6 mois est prévu pour les transferts effectués avant le 1er juin 2023.

5. Autres obligations

Consentement :  Il est toujours nécessaire d’obtenir un consentement séparé et éclairé des personnes concernées par le transfert, en vertu de l’article 39 de la PIPL, lorsque le traitement lui-même a le consentement pour base légale (ce qui est fréquemment le cas, notamment par ce que l’intérêt légitime n’est pas une base légale de traitement).

Nécessité : La PIPL prévoit également que l’exportation ne devrait avoir lieu que lorsque cela est strictement nécessaire pour des besoins commerciaux ou autres. (Article 38)

Rapport annuel : La loi exige aussi de faire un rapport annuel sur la sécurité des transferts à remettre à l’administration locale chinoise.

Autorisation pour certains types de transferts : Les demande d’accès/de communication par une autorité ou un tribunal étranger requièrent l’approbation préalable des autorités chinoises compétentes.

Certaines destinations peuvent s’avérer plus compliquées : la Chine entend adopter une réciprocité de traitement avec les pays ou régions ayant une politique restrictive envers elle.

***

Il est urgent pour les entreprises exerçant des activités en Chine et souhaitant exporter / transférer des données hors de Chine de se mettre en conformité. Celles qui ne sont pas soumises à l’obligation de procéder à une évaluation de sécurité auront jusqu’au 1er juin 2023 pour conclure et déclarer le contrat type de transfert et l’évaluation d’impact. Vous pouvez contacter Stephanie Faber en France ou faire appel à nos spécialistes en droit chinois et plus particulièrement à ceux référencé dans l’article et l’alerte en anglais.

Vous pouvez aussi écouter la présentation en anglais « China’s New Standard Contractual Clauses – What Do They Mean for You? qui sera faite en ligne le 22 ou le 23 mars*, en vous inscrivant ici.

*Deux sessions auront lieu selon les fuseaux horaires : UE /Royaume-Uni/MENA le 22 mars 2023 et les Amériques le 23 mars 2023.