La protection des données personnelles en Chine : quels impacts sur votre activité ?

‍« Sans cyber-sécurité, pas de sécurité nationale ». Le moins que l'on puisse dire, c'est que le ton est donné par le président Xi Jinping.

Numérisation de l'économie, globalisation des échanges, protection citoyenne... Inexistante au début des années 2000, la politique numérique du gouvernement chinois a beaucoup évolué ces dernières années avec les nouveaux enjeux de la mondialisation.

Un premier tournant a été opéré au début de la dernière décennie. Depuis 2016, des lois ne cessent d'être promulguées.

Une accélération de mesures qui dépasse de très loin la seule sécurité nationale...

À l'instar du travail et du capital dans un passé pas si lointain, la data est devenue le facteur de production à contrôler pour exercer une suprématie à l'échelle mondiale.

Découvrez, dans cet article, l'évolution de la réglementation sur la protection des données en Chine et ses impacts sur votre activité.

Bientôt, suivre à la lettre le RGPD ne sera plus suffisant pour développer votre business en Chine…

La protection des données personnelles en Chine avant 2016 : l'empreinte du communisme

Le droit à la vie privée, un concept étranger et flou voilà encore peu de temps en Chine, pays marqué par le communisme, c’est-à-dire une forme d'organisation politique, sociale, fondée sur la suppression de la propriété privée au profit de la propriété collective” (définition du dictionnaire "Le Robert").

De nombreuses années, la Chine a donc choisi délibérément de ne pas s'impliquer dans cette problématique.

Pensez-y !

En 2005, la Chine ne comptait aucune loi sur la protection des données personnelles alors que la loi française « Informatique et Libertés » date du 6 janvier 1978.

La montée en puissance de l'Internet a changé significativement la donne…

La transformation numérique de l'économie mondiale, le poids du “Big data” et les enjeux de cybersécurité (notamment l'affaire Snowden) ont obligé la Chine à réagir.

Les premières lois apparaissent en 2012 avec un objectif très clair : protéger le secteur privé.

Une première étape vers une réglementation de plus en plus stricte…

Toujours prompte à regarder et à adopter les meilleures pratiques étrangères, la Chine observe le développement du RGPD avec attention.

Les principes de la législation européenne plaisent et servent même de base pour la rédaction de la "Loi Cybersécurité" en 2016.

Un texte particulièrement important qui répondait à une urgence économique et à une préoccupation grandissante de leurs ressortissants.

En 2016, la multiplication des fuites de données a coûté 11,5 milliards d’euros à l'économie nationale... (Source : Les Échos.)

2016 - 2021 : une prise de contrôle gouvernementale sur les entreprises... et les citoyens

Maîtriser la circulation des données, contrôler les usages technologiques et informatiques... L'ambition de la loi de 2016 est explicite : la Chine veut savoir exactement ce qui se passe sur son territoire.

Télécoms, réseaux d'énergie (électricité, gaz, eau...), transports... Toute entreprise qui intervient, de près ou de loin, sur les infrastructures dites "critiques" du pays ne peut agir en toute liberté.

Des contrôles de sécurité sont organisés, le matériel informatique utilisé est passé au crible.

Et ce n'est pas tout…

Les données personnelles des Chinois devront être stockées sur des serveurs installés sur le sol national. Les acteurs des télécommunications sont contraints d'apporter leur "soutien technique" lorsque les autorités diligentent des enquêtes de cybersécurité.

Une façon détournée de réduire considérablement la diffusion et le partage d'opinions politiques contraires au régime en place.

Une censure organisée d'Internet, espace virtuel où la liberté d'expression règne.

Par exemple : nous sommes en 2015. Condamnation de Pu Zhiqiang (un avocat des droits de l'homme) à trois ans de prison avec sursis. Son délit : la publication de 7 tweets incitant à la "haine raciale” (du point de vue des autorités chinoises).

Une notation sociale des citoyens

Les entreprises nationales ne sont pas les seules dans le viseur du gouvernement chinois.

La sécurité, l’ordre… n’ont pas de prix…

Les caméras à intelligence faciale sont omniprésentes, personne ne peut rester dans l’ombre. Le système de notation est particulièrement en vogue.

D’abord réservé au domaine bancaire (pour attester une gestion saine des finances personnelles), les données des sociétés privées et des autorités servent également pour une notation sociale sur 950 points.

Pensez-y !

Un don de sang, votre score augmente. Une traversée de passage piéton inappropriée, votre “crédit social” baisse.

Achats dans les supermarchés, surf en ligne… Rien n’échappe au régime : la vie des Chinois est entièrement décortiquée.

Et s’ils ne respectent pas les règles de la société, le “shame and name” est pratiqué.

Par exemple : vous êtes gérant d’un restaurant. Un client ne paie pas la note et détient une dette envers votre entreprise. Vous pouvez rendre public son nom, son prénom, son adresse… 

Une pratique éloignée de notre RGPD (Règlement Général sur la Protection des Données) européen qui exige la plus grande discrétion des entreprises gérant nos données personnelles. 

Une nouvelle organisation doit donc être adoptée par les entreprises étrangères pour répondre aux attentes du gouvernement chinois et pour s’inscrire pleinement dans la culture nationale.

C’est une “dictature numérique” : les citoyens avec un crédit social nul sont inscrits sur la liste noire de la Cour suprême. Cela implique, pour eux, la perte de certains droits. 

Et la Chine souhaite vraisemblablement étendre hors de ses frontières le contrôle des données.

La protection des données personnelles en Chine : une guerre imminente…

Le contenu de la loi du 20 août 2021

“La data”, l’origine d’un conflit technologique entre les États-Unis et la Chine qui se prépare... Le 1er novembre 2021, le coup d'envoi sera lancé...

Le 20 août dernier, le congrès national du peuple s’organise en assemblée et adopte une nouvelle loi sur la protection des données personnelles en Chine. Nul doute, l’une des lois sur les données personnelles les plus dures au monde.

La totalité des entreprises, à l'échelle mondiale, doit dorénavant proposer des options aux internautes pour éviter le ciblage à caractère personnel pour des opérations commerciales en ligne.

Les Chinois doivent pouvoir donner leur consentement pour l’utilisation de données hautement sensibles telles que la biométrie, la santé, la localisation et les comptes financiers.

Stockage, traitement, gestion des données… A priori, une nouvelle loi (apparentée au RGPD européen) qui définit uniquement de grandes lignes directrices. Une réponse efficace face à la prolifération des escroqueries sur le Web, un texte qui vise à rassurer la population sur la gestion de leurs données.

Les véritables objectifs poursuivis

Mais pas que...

En effet, Karman Lucero, chercheur à l'université de Yale, souligne que ce texte n'encadre pas la surveillance et les pratiques gouvernementales.

C’est plutôt un nouvel outil juridique qui vise essentiellement les investisseurs étrangers, pour limiter leur accès à des données de ressortissants Chinois, et donc leur contrôle sur les entreprises nationales.

Avec cette loi, la Chine réaffirme sa souveraineté sur son sol... sans pour autant renoncer à sa volonté expansionniste avec des applications comme Tik Tok : l’une des grandes gagnantes du confinement.

Imaginez ! Le 27 septembre dernier, l'entreprise chinoise déclarait avoir passé le cap du milliard d'utilisateurs. En janvier 2018, 55 millions d'utilisateurs de la plateforme vidéo. En juillet 2020, on en comptait 700 millions !

Je vous laisse évaluer la quantité de données personnelles disponibles…

“La data”, le levier pour devenir une puissance technologique majeure et faire face aux États-Unis. 

La stratégie chinoise repose sur 2 axes :

• un renforcement du contrôle sur les entreprises nationales ;

Par exemple : ByteDance, le groupe propriétaire de Tik Tok, a renoncé à une introduction à " Wall Street " (Bourse de New York) à la suite de pressions gouvernementales.

Se financer à l'extérieur, c'est faciliter une prise de contrôle étrangère. Un enjeu de sécurité nationale pour les autorités chinoises.

• une collecte accélérée des données des ressortissants étrangers.
  

La protection des données en Chine : une adaptation inévitable.

Vous en savez désormais un peu plus sur la protection des données personnelles en Chine... Et sur les ambitions de l'empire du Milieu.

Vous y entretenez des relations commerciales ? Si oui, vous ne pourrez y échapper.

À compter du 1er novembre 2021, la loi encadre strictement le transfert de données à l'étranger et, de fait, les échanges commerciaux internationaux.

Ces transferts ne seront possibles que vers des états au niveau de sécurité équivalent.

Autrement dit, si vous traitez des données personnelles de ressortissants chinois avec, par exemple, des logiciels américains, un risque significatif pèse sur la pérennité de votre entreprise.

Les standards de protection adoptés Outre-Atlantique sont très insuffisants et les sanctions peuvent être particulièrement lourdes (jusqu'à 6,6 millions d'euros ou 5 % de votre chiffre d'affaires annuel).

Comme pour Pu Zhiqiang, les autorités chinoises pourraient tout aussi bien vous interdire d'exercer votre activité sur leur territoire (suppression de la licence commerciale, fermeture...).

« Pour le dire simplement, les données des consommateurs chinois doivent désormais être stockées en Chine et être traitées en Chine », selon Cédric Delzenne, directeur Asie de Fifty-five, une entreprise de conseil dans l'exploitation des données (interrogé par Les Échos).

Des interrogations subsistent sur votre conformité RGPD ? Le logiciel RGPD Leto vous accompagne à chaque étape. Réserver une démo avec nos experts.