La Chine a récemment adopté sa première loi dédiée à la protection des données personnelles, le PIPL (Personal Information Protection Law), tandis que le RGPD (Règlement général sur la protection des données) est la régulation européenne en vigueur depuis 2018. Dans cet article, nous analysons la comparaison PIPL et RGPD, en mettant l’accent sur leurs points communs et leurs différences.
Points communs entre PIPL et RGPD :
- Finalité et légitimité du traitement : Les deux législations mettent l’accent sur la finalité et la légitimité du traitement des données. Les entreprises doivent traiter les données personnelles de manière licite, loyale et transparente et pour des finalités déterminées, explicites et légitimes.
- Droits des individus : PIPL et RGPD accordent aux individus des droits similaires concernant leurs données personnelles, tels que le droit d’accès, de rectification, d’effacement, de limitation du traitement, de portabilité des données et d’opposition au traitement.
- Responsabilité et gouvernance des données : Les deux réglementations exigent que les entreprises mettent en place des mécanismes internes pour assurer la conformité et la responsabilité en matière de protection des données. Cela peut inclure la nomination d’un responsable de la protection des données (DPO) et la mise en œuvre de politiques et procédures de protection des données.
- Transferts internationaux de données : PIPL et RGPD prévoient des mécanismes pour encadrer les transferts internationaux de données personnelles, avec des conditions spécifiques à remplir pour assurer un niveau de protection adéquat des données transférées.
Différences entre PIPL et RGPD :
- Champ d’application : Le RGPD s’applique aux entreprises situées dans l’UE et à celles qui traitent les données personnelles des résidents de l’UE, même si elles sont situées en dehors de l’UE. Le PIPL s’applique aux entreprises situées en Chine et à celles qui traitent les données personnelles des résidents chinois, quelle que soit leur localisation.
- Consentement : Le RGPD exige un consentement libre, éclairé, spécifique et univoque pour le traitement des données personnelles. Le PIPL prévoit également le consentement comme base légale, mais il est généralement moins strict que le RGPD et admet plus facilement des exceptions au consentement.
- Sanctions : Les sanctions en cas de non-conformité au RGPD peuvent atteindre jusqu’à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le montant le plus élevé. Les sanctions prévues par le PIPL sont généralement moins sévères, avec des amendes pouvant aller jusqu’à 5 millions de yuans (environ 770 000 euros) ou 5% du chiffre d’affaires annuel.
- Exigences spécifiques : Le PIPL introduit des exigences spécifiques pour les entreprises chinoises, comme l’obligation de stocker certaines données personnelles critiques et importantes en Chine et de mener des évaluations de l’impact de la protection des données pour certains traitements à haut risque. Le RGPD exige également des évaluations d’impact sur la protection des données, mais ne prévoit pas de restrictions spécifiques en matière de localisation des données.
- Autorités de contrôle : Le RGPD prévoit la coopération entre les autorités de protection des données des États membres de l’UE, avec un guichet unique pour les entreprises qui opèrent dans plusieurs pays. Le PIPL est supervisé par l’autorité chinoise de cybersécurité (CAC), qui est l’organe central responsable de la mise en œuvre et de l’application de la loi en Chine.
En conclusion, bien que la comparaison PIPL et RGPD révèle des points communs en matière de protection des données, il existe également des différences significatives entre les deux réglementations. Les entreprises qui opèrent à la fois en Chine et dans l’UE doivent être conscientes de ces différences et s’assurer qu’elles respectent les exigences de chaque législation pour garantir une protection adéquate des données personnelles de leurs clients et utilisateurs.