La Loi sur la Protection des Informations Personnelles (LPIP) est entrée en vigueur le 1er novembre 2021, transformant complètement les habitudes de traitement de données en Chine. Cette loi est très fortement inspirée du Règlement Général sur la protection des Données (RGPD) ce qui lui vaut souvent la comparaison au règlement européen. De fait, j’élaborerai quelques notions intégrales de la LPIP, les distinctions notables au RGPD et la très intéressante application de cette loi à l’État même.
La LPIP, entrée en vigueur au début du mois de novembre, est la première loi générale en matière de protection des renseignements personnels en Chine ancrée dans la constitution de ce pays. Toutefois, contrairement au RGPD qui avait été adopté de façon à réglementer les traitements de données, les standards de protection et la cybersécurité, la LPIP n’est qu’une introduction aux textes de loi et règlements à venir dans ces domaines. La Chine a souligné le fait que plusieurs autres lois et règlements allaient être proposés, en plus des nouvelles lois récentes comme la Loi sur la sécurité de l’information et le nouveau Code civil chinois. De fait, la LPIP se concentre particulièrement sur la protection des renseignements personnels et sensibles dans les rapports commerciaux et les rapports avec l’État, la cybersécurité étant plutôt abordée dans la Loi sur la Cybersécurité de la République Populaire de Chine.
La grande majorité des articles du LPIP, divisés en 8 chapitres, peuvent être directement comparés à leurs équivalents du RGPD. Afin d’éviter une longue liste ennuyante des équivalents, je vous partage ce graphique très pratique retrouvé dans un article des auteurs Ken Dai et Jet Deng :
DAI ken et DENG Jet (2021). The comparison between China’s LPIP and EU’s GDPR: Practitioners’ perspective. https://www.jdsupra.com/legalnews/the-comparison-between-china-s-LPIP-and-2189482/
Nous retrouvons notamment le même concept de responsable du traitement de l’article 4, par. 7, du RGPD à l’article 73, par. 1, du LPIP :
« Personal information handler” refers to organizations and individuals that, in personal information handling activities, autonomously decide handling purposes and handling methods. »
Le consentement, retrouvé aux articles 14 et 15 du LPIP est également assez similaire à ce que l’on retrouve au RGPD en matière de consentement exprès. Dans les deux cas, le consentement peut être retiré après avoir été préalablement accordé. De plus, le consentement est obligatoire dans l’exercice du traitement des données personnelles sous réserve d’exceptions prévues à l’article 13 du LPIP, lesquelles sont comparables aux réserves de l’article 6 du RGPD. On y retrouve notamment les situations de santé publique ou d’urgence. Toutefois, il est intéressant de noter que la LPIP indique, au paragraphe 5 de cet article, que le consentement n’est pas nécessaire lorsque le traitement est recueilli aux fins de nouvelles, de surveillance de l’opinion publique et de protection de leurs propriétés.
« Handling personal information within a reasonable scope to implement news reporting, public opinion supervision, and other such activities for the public interest » (art. 6, par. 5, RGDP)
On pourrait alors faire un lien assez direct entre la « surveillance de l’opinion publique » et les critiques de censure et de surveillance abusive et intrusive envers l’État chinois. Cette disposition ferait donc en sorte que ces mesures n’entreraient pas en conflit avec la nouvelle loi.
On constate également en comparant ces articles que le règlement européen RGPD permet, au paragraphe 6 de son article 6, le traitement sans consentement aux fins d’intérêts légitimes poursuivis par le responsable du traitement ou par un tiers. Je n’aime pas particulièrement cette disposition, car l’intrusion aux données personnelles n’est pas accompagnée d’une définition claire et expresse de ce qui peut être considéré comme un intérêt légitime. La LPIP quant à elle n’intègre pas cette notion d’intérêt légitime, ce qui selon moi constitue un progrès par cette loi.
L’article 24 du LPIP ajoute également le besoin du consentement de la personne concernée lorsqu’un responsable de traitement, comme une entreprise par exemple, partage ses données avec une tierce-partie. Ce principe se retrouve également dans le RGPD, bien que je suis d’avis qu’il n’est pas réellement renforcé par les autorités, tel que le démontre le partage d’information par l’entreprise Ring d’Amazon.
À la lecture de cette loi, il est clair que la Chine a une volonté législative de se conformer aux tendances internationales en matière de protection de la vie privée, tout en l’adaptant à sa structure politique unique.
L’application à L’État
Dans ce cas, comment cette loi s’applique-t-elle à l’État et aux organes étatiques? Cette question pourrait être sujet de mémoire considérant la complexité des données personnelles recueillies par l’État chinois.
D’une part, plusieurs citoyens chinois semblent peu troublés par le traitement et la collecte de leurs données personnelles par l’État chinois, tant et aussi longtemps que cette information demeure dans les mains de l’État uniquement. De fait, toutes diffusions et publications illégales de ces informations seraient passibles de sanctions sévères en vertu de la nouvelle loi « P.R.C. Law on Governmental Sanctions for Public Employees » et du nouveau Code civil chinois, article 1039.
Toutefois, le partage légal de ces informations entre organismes étatiques n’est pas contraire à la loi et est même encouragé afin de faciliter une meilleure gouvernance de l’État sur ses citoyens. Ce partage est si important pour l’État que le Parti communiste chinois (PCC) et le Conseil d’État construisent actuellement un système de collecte, traitement et conservation de toutes les données personnelles du pays.
De fait, en vertu de l’article 26 du LPIP, l’État est en droit d’utiliser des systèmes biométriques telles la géolocalisation et la reconnaissance faciale tant et aussi longtemps que le traitement des données recueillies est fait en vue d’assurer la sécurité publique. Ainsi, le traitement de ces données biométriques afin d’opérer le système de crédit social serait entièrement en règle avec la nouvelle loi et sa publicisation, fondée sur le consentement ou un autre texte de loi, est légale.
Tout comme dans le RGPD, les individus peuvent demander les droits d’accès (art. 45 LPIP), de correction (art. 46 LPIP) ou de suppression (art. 47 LPIP) de leurs données personnelles détenues par l’État. En vertu de l’article 65 du LPIP et de la loi « State Compensation Law of the People’s Republic of China », les individus peuvent également poursuivre les organes administratifs lorsque ceux-ci sont en violation aux dispositions en matière de protection des renseignements du LPIP. Toutefois, les procédures de poursuite et les procédures de réparations contre les organismes étatiques ne sont pas encore définies. On pourrait penser que celles-ci seraient élaborées dans des règlements à venir, mais je ne crois personnellement pas qu’il s’agisse d’une priorité pour l’État.
Bien que l’adoption de cette loi renforce substantiellement la protection des renseignements personnels des individus en Chine, il est clair que l’intérêt politique a eu une grande influence dans sa rédaction. La portée extraterritoriale du LPIP prévue au troisième chapitre de la loi, similaire au RGPD et encore plus permissive dans son application, étend l’application des lois et règlements chinois (art. 3 LPIP) aux entités étrangères. Le pouvoir de l’État de restreindre ou d’interdire la transmission à l’étranger des données provenant de la Chine (art. 40 LPIP) impose de fortes restrictions aux entreprises chinoises opérant à l’internationale et aux entreprises étrangères opérant en Chine. Cette restriction est très politique, s’appuyant principalement sur le besoin d’assurer la sécurité nationale, un principe qui revient souvent dans ce texte de loi.
Enfin, l’entrée en vigueur de cette loi pourrait représenter un défi important pour toutes les entreprises opérant en Chine. Toutefois, malgré les quelques dispositions concernant les organes d’État, je demeure sceptique que la loi sera appliquée très strictement aux entités étatiques, celles-ci pouvant facilement justifier leur traitement de données par le principe de sécurité nationale très large.
Commentaires