1. La Décision (décembre 2012)

Le 28 décembre 2012, l’organe législatif chinois (Standing Committee of the National People’s Congress) a adopté une décision visant à assurer la sécurité des informations (terme employé par le texte) sur internet.

Même si elle n’en a pas le nom, la Décision a la même force obligatoire qu’une loi. Elle est le premier document de référence sur la protection des données personnelles en Chine même si elle ne contient que douze (12) articles et que les principes y sont énoncés en des termes assez généraux.

La Décision s’applique aux fournisseurs d’accès internet (« network service providers ») et aux autres entreprises et institutions publiques (« other entreprises and public institutions ») chinoises qui collectent et utilisent, dans le cadre de leurs activités, des données électroniques (« electronic information ») permettant d’identifier un individu et celles concernant sa vie privée.

Bien que la Décision emploie les termes de fournisseurs d’accès internet et autres entreprises et institutions publiques, elle s’applique bien à toute entreprise qui traite des données personnelles électroniques.

La Décision précise que les données personnelles électroniques ne doivent pas être collectées ni utilisées en violation d’une loi, d’un règlement ou de dispositions contractuelles.

Les entreprises doivent respecter les principes de légitimité et de nécessité, lors de la collecte et l’utilisation, de données personnelles électroniques.

Elles doivent préciser les moyens et la finalité de la collecte, et obtenir le consentement des personnes intéressées. La Décision ne précise pas à quel moment le consentement doit être recueilli mais l’on suppose que celui-ci doit être donné préalablement ou concomitamment à la collecte. Elle n’indique pas non plus quelle forme doit revêtir ce consentement mais des précisions sont apportées par les Lignes directrices.

La Décision dispose également que l’envoi de messages électroniques de nature commerciale sur des téléphones fixes ou mobiles ou sur des adresses email est interdit sauf à ce que la personne intéressée ait donné son consentement ou fait une demande en ce sens.

Par ailleurs, les entreprises doivent rendre publiques les règles qu’elles ont mises en œuvre pour collecter et utiliser les données personnelles électroniques.

Les entreprises doivent également assurer la confidentialité des données collectées. Elles ne peuvent divulguer, altérer, porter atteinte aux données, ni les vendre ou les fournir à des tiers, par tout moyen non permis par la loi. A cet égard, précisons que la notion de vente de données personnelles est sujette à interprétation. Quid, en effet, par exemple, en cas de concession d’une licence temporaire, à titre onéreux, sur une base de données comportant des données personnelles ? Il ne s’agit pas juridiquement d’une vente…

En cas d’altération, de divulgation ou d’atteinte aux données, les entreprises sont tenues de prendre rapidement les mesures de sécurité qui s’imposent pour y remédier.

Enfin, il est prévu que les personnes concernées peuvent adresser une plainte aux autorités en cas d’atteinte portée à leurs données personnelles électroniques (ex : vol ou « vente » de leurs données).

Quelques lacunes sont à mentionner : la Décision ne traite pas du transfert international de données ni de la sous-traitance dans le traitement des données personnelles.

La Décision est rédigée en des termes généraux et ne donne aucune précision quant à sa mise en œuvre. Les termes clés n’y sont pas définis et la Décision n’est pas davantage explicite quant aux sanctions en cas de violation. Celles-ci sont, en effet, énoncées de manière non exhaustive et sans indication de montant.

Des Lignes Directrices ont été adoptées parallèlement par le Ministère de l’Industrie et des Technologies de l’Information (MIIT) afin d’apporter des précisions.

2. Les Lignes directrices (février 2013)

Les Lignes directrices ne sont juridiquement pas contraignantes. Toutefois, elles ont vocation à être utilisées par les autorités et/ou juges comme référentiel/standard pour apprécier la politique de protection des données personnelles de l’entreprise. Etant plus complètes que la Décision et dans la mesure où elles représentent la future tendance en matière de protection des données personnelles en Chine, il est recommandé aux entreprises de s’y conformer.

Les Lignes Directrices apportent tout d’abord des précisions sur les termes clés. Elles définissent ainsi la donnée personnelle et distinguent la donnée personnelle générale de la donnée personnelle sensible. Elles définissent également la personne concernée par les données personnelles, le responsable de traitement, le destinataire des données personnelles et ce qu’est un traitement de données personnelles.

Au stade de la collecte, les Lignes Directrices précisent les informations qui doivent être portées à la connaissance de la personne concernée par les données (but du traitement, méthodes de collecte, liste des données collectées, durée de conservation, périmètre d’utilisation, identité et coordonnées du responsable de traitement, voies de recours et traitement des plaintes, transfert ou non des données à des tiers, etc.). Précisons à cet égard que la collecte indirecte de données ou toute collecte utilisant des moyens détournés est interdite.

Elles précisent, en outre, dans quel cas le consentement de la personne concernée par le traitement de données doit être explicite ou peut être tacite.

Au stade du traitement, les Lignes Directrices indiquent les obligations qui pèsent sur le responsable de traitement : traitement des données collectées conformément au but poursuivi et tel que notifié à la personne concernée, confidentialité des données pendant leur traitement et leur conservation, accès de la personne concernée à ses données, etc.

Par ailleurs, seules les Lignes Directrices évoquent (mais très brièvement) le transfert international de données personnelles. Ainsi un responsable de traitement ne peut transférer à des destinataires étrangers des données personnelles qu’avec le consentement explicite de la personne concernée par les données ou s’il y est autorisé en vertu de dispositions légales ou réglementaires et conformément aux modalités qu’elles précisent. En outre, les contrats de transfert de données (Data Tranfer Agreement) ne sont pas utilisés dans la pratique en Chine (pas de standard préétabli, ni de précédent). En conséquence, il n’est pas évident de déterminer avec certitude si un tel contrat serait suffisant pour légitimer un transfert de données personnelles ou si des conditions complémentaires seraient requises.

A la différence de la Décision, les Lignes Directrices abordent la question du traitement de données personnelles par des tiers (sous-traitance) et précisent les conditions que le responsable de traitement devrait respecter dans une telle hypothèse.

Enfin, en matière de sécurité, les Lignes Directrices recommandent au responsable de traitement de prendre les mesures techniques et organisationnelles appropriées pour empêcher que les données ne soient endommagées, perdues, altérées ou qu’elles fassent l’objet d’un traitement non autorisé ou illégal. Les mesures de sécurité doivent être proportionnées au risque encouru. En outre, il est conseillé au responsable de traitement :
- D’établir et mettre en œuvre une politique de gestion des données personnelles ;
- D’affecter un service spécifique ou désigner un membre de son personnel afin d’assurer en interne la gestion des données personnelles et le traitement des demandes et plaintes éventuelles ;
- De former ses employés à la protection des données personnelles ;
- De périodiquement évaluer le niveau de sécurité des données personnelles collectées et traitées.

3. Les Dispositions Telecom (septembre 2013)

Le 1er septembre 2013, sur initiative du Ministère de l’Industrie et des Technologies de l’Information (MIIT), et en application de la Décision, sont entrées en vigueur les dispositions relatives à la protection des données personnelles des utilisateurs d’internet et des services de télécommunication.

Les Dispositions Telecom gouvernent la collecte et l’utilisation des données personnelles des utilisateurs par les fournisseurs de services internet et de télécommunication sur le territoire chinois.

Les données personnelles des utilisateurs sont définies comme étant les données collectées par les operateurs de télécommunication et les fournisseurs de services internet lors de la fourniture des services, qui peuvent être utilisées pour identifier les utilisateurs, les lieux, le temps, etc. et qui peuvent être le nom, la date de naissance, le numéro d’identité, l’adresse, le numéro de téléphone, le mot de passe, etc. de l’utilisateur (la liste n’est pas limitative). Les Dispositions précisent également que ces données peuvent être utilisées seules ou en combinaison avec d’autres. A ce titre, les informations collectées via des cookies peuvent être considérées comme des « données personnelles de l’utilisateur » au sens de ces Dispositions.

Les Dispositions Telecom réitèrent les principes de légitimité, nécessité et proportionnalité applicables en matière de protection des données, et en particulier, l’information préalable et le recueil du consentement de l’utilisateur des services.

S’agissant de l’information préalable, les Dispositions requièrent du fournisseur de services qu’il informe l’utilisateur de la finalité, des méthodes et du périmètre de collecte et d’utilisation des données, ainsi que des moyens mis à sa disposition pour adresser toute demande, faire des corrections et les conséquences qu’un éventuel refus de sa part de communiquer les données requises peut avoir. L’utilisation des données personnelles par le fournisseur doit être limité à ce qui est nécessaire pour la fourniture du service. En outre, les Dispositions imposent au fournisseur de services d’arrêter toute collecte et utilisation des données personnelles une fois le service fourni et de garantir à l’utilisateur un « droit à l’oubli ».

Les fournisseurs de services doivent aussi assurer la confidentialité des données et éviter leur altération, destruction ou divulgation. Ils ne doivent pas non plus vendre ou fournir de façon illégale les données à des tiers.

Les Dispositions Telecom précisent également de façon détaillée les exigences requises en matière de sécurité des données et prévoient les sanctions applicables en cas de non-respect du texte.

Il convient enfin de noter que le terme de « Internet information services » employé dans le texte est très large en droit chinois. En effet, selon le Telecommunication Business Classification Catalogue édité par le MIIT en mai 2013, ce terme couvre les activités réalisées par internet qui conduisent à la publication et diffusion de données (ex : sites de presse, app stores, systèmes de bulletins électroniques), les logiciels de recherche, les plateformes de réseaux sociaux, les systèmes d’échange spontané d’informations (VoIP), les solutions anti-virus basées sur le cloud, etc. En d’autres termes, cette définition est susceptible de faire tomber sous le coup de ces Dispositions la plupart des business modèles basés sur internet.

4. L’Amendement à la loi relative à la protection du consommateur (mars 2014)

Le 25 octobre 2013, l’organe législatif chinois (Standing Committee of the National People’s Congress) a amendé la Loi relative à la protection du consommateur. Cet amendement, entré en vigueur le 15 mars 2014, a étendu le domaine de protection du consommateur en y intégrant des dispositions relatives à la protection de ses données personnelles, et ce, afin de répondre au récent boum de la vente en ligne en Chine. Le texte vise à améliorer les droits du consommateur chinois notamment :
- En augmentant les sanctions en cas de violation des droits du consommateur ;
- En insérant une nouvelle règle relative aux dommages-intérêts ;
- En faisant peser la charge de la preuve sur le vendeur ou le fournisseur de services en cas de litige ;
- En interdisant tout(e) divulgation/transfert non autorisé(e) de données personnelles.
Afin de régler les problèmes croissants relatifs au détournement ou à la mauvaise utilisation des données personnelles des consommateurs en Chine, la loi ainsi amendée prévoit la conduite à suivre par les entreprises lors de la collecte des données personnelles et de l’usage de celles-ci. L’amendement met l’accent sur la confidentialité des données personnelles collectées par les entreprises et leurs employés. Il interdit également aux entreprises la divulgation, la vente et la fourniture illégale de ces données aux tiers et requiert la mise en place de mesures techniques de sauvegarde de ces données. En outre, les entreprises ne sont pas autorisées à envoyer des messages électroniques de nature commerciale aux consommateurs à moins que ces derniers n’aient donné leur consentement en ce sens ou en aient fait la demande.
Les principes et règles énoncé(e)s ainsi que la terminologie employée dans la Loi relative à la protection du consommateur sont très proches de ceux de la Décision, mais à la différence de la Décision, la Loi ne distingue pas entre les données personnelles électroniques et non électroniques.

En conclusion

A l’exception de quelques dispositions (comme celles prévoyant des sanctions spécifiques en cas de violation des données personnelles), les récents développements intervenus en matière de protection des données personnelles ne vont pas au-delà des principes énoncés dans la Décision de 2012. Ils continuent cependant d’ouvrir la voie à l’élaboration d’un cadre juridique plus précis. En outre, et bien que les points d’intérêt du régime légal de protection chinois sont similaires à ceux du régime européen de protection des données, le régime chinois a ses propres spécificités : pas d’approche systématique de la protection des données ni de loi nationale dédiée (Les tentatives d’élaboration de la Personal Information Protection Law commencées en 2008 n’ont pas abouti) ; pas de véritable équivalent à la directive européenne de protection des données. Cela conduit à des difficultés d’application du régime de protection. Le même sujet peut être résolu par différents textes, créant de potentiels conflits et des zones grises. De plus, certains sujets typiques en Europe comme la protection des données personnelles des salariés ne sont pas abordés en tant que tels par le régime actuel. Et la situation se complique un peu plus lorsque l’on regarde du côté de l’application de la loi : en effet, il n’y a pas encore à ce jour, en Chine, d’autorité régulatrice dédiée à la protection des données personnelles. Les domaines d’intervention et compétences sont, en effet, éclatés entre plusieurs autorités (ex : le MIIT traite davantage des questions techniques, alors que le SAIC (State Administration for Industry and Commerce) intervient lorsqu’est en jeu la protection du consommateur). Il en résulte un manque de cohérence et parfois même une certaine concurrence entre les différentes autorités quant à leurs domaines de compétence.
Les entreprises opérant ou souhaitant opérer en Chine doivent prendre en considération ces récents développements afin de minimiser les risques de non-conformité et d’éventuelles sanctions. Elles sont notamment invitées à :
- revoir leur politique de gestion des données personnelles ;
- le cas échéant, les adapter aux spécificités du droit chinois ;
- revoir les mesures mises en œuvre par leurs partenaires (ex : prestataires de services informatiques, etc.) et vérifier les clauses relatives aux données personnelles dans leurs différents contrats dès lors que ceux-ci ont un impact sur la collecte, le traitement ou le transfert de données personnelles ;
- en cas de silence des textes chinois sur certains sujets, appliquer les procédures de groupe (s’il y en a).

Nous avons posé, en substance, le cadre juridique de la protection des données personnelles en Chine. Mais, seules les dispositions prévues par les principaux textes ont été abordées dans la mesure où ces textes ont un champ d’application plus large et sont susceptibles de concerner la majeure partie des entreprises exerçant leurs activités en Chine. L’application d’autres dispositions légales et réglementaires chinoises est fonction du contexte et des besoins de l’entreprise concernée par le sujet. Ainsi, l’existence de recours efficaces, devant une juridiction chinoise, pour sanctionner des entreprises chinoises qui captent des données personnelles illégalement en Europe, est l’un des sujets qui pose encore question.

Arnaud TESSALONIKOS
Avocat Associé - Correspondant Informatique et Libertés
Département Propriété Intellectuelle, Technologies numériques et Data

Anne LAMBERT-FAVREAU
Avocat – Département Propriété Intellectuelle, Technologies numériques et Data

A propos des auteurs

Arnaud TESSALONIKOS, Avocat Associé, DS Avocats - Correspondant Informatique et Libertés - Département Propriété Intellectuelle, Technologies numériques et Data

Arnaud Tessalonikos conseille de grandes entreprises dans les secteurs bancaire et financier, de l’assurance et du secteur pharmaceutique.
En relation étroite avec la direction des achats, la direction juridique, la direction informatique et les directions métiers, il participe au pilotage juridique des projets informatiques.
Arnaud est régulièrement consulté par des personnes publiques, eu égard notamment à leurs projets de modernisation des services aux administrés.
Il est également le correspondant informatique et libertés (CIL) actuellement désigné de différentes entreprises et collectivités territoriales.

Anne LAMBERT-FAVREAU, Avocat, DS Avocats – Département Propriété Intellectuelle, Technologies numériques et Data

Anne Lambert-Favreau, titulaire d'un DEA de droit économique et des affaires (Université d’Orléans) et d'une Maitrise de droit privé (Université Panthéon-Assas Paris II / University of Ottawa, Canada) est spécialisée en droit de l’informatique, du numérique et des données personnelles et intervient tant en conseil qu’en contentieux. Elle intervient à partir du bureau de Shanghai.