Qu’est ce que le PIPL ?
Le 20 août 2021, l’Assemblée nationale populaire de Chine a adopté la version finale de la « Personal Information Protection Law » (PIPL).
Cette loi a 4 objectifs officiels :
- Protéger les droits et les intérêts des individus
- Réglementer les activités de traitement des données personnelles
- Sauvegarder la licéité et le « flux ordonné » des données
- Faciliter l’utilisation raisonnable des informations personnelles
Les législateurs se sont inspirés du Règlement européen pour rédiger le texte de loi. Le texte (article 12) indique par ailleurs que la Chine souhaite contribuer activement à l’établissement de normes mondiales de protection des données « avec d’autres pays, régions et organisations internationales ».
Cependant, la Chine profite de l’adoption de ce texte pour réaffirmer son intention de « défendre sa souveraineté numérique ».
Ainsi, les articles 42 et 43 de la loi prévoient que les entités étrangères enfreignant les droits des citoyens chinois ou mettant en péril la sécurité nationale ou les intérêts publics de la Chine seront placées sur une liste noire et tout transfert de données personnelles de citoyens chinois vers ces entités sera restreint, voire interdit.
La Chine se retournera également contre les pays ou régions qui prennent « des mesures discriminatoires, prohibitives ou restrictives à l’encontre de la Chine en matière de protection des informations personnelles« .
Le texte est divisé en 8 chapitres :
Chapitre 1 : Dispositions générales
Chapitre 2 : Règles de traitement des données personnelles
- Section 1 : Dispositions ordinaires
- Section 2 : Règles relatives au traitement des données personnelles sensibles
- Section 3 : Dispositions spéciales sur le traitement des données personnelles par les autorités de l’État
Chapitre 3 : Règles relatives à la fourniture transfrontalière de données personnelles
Chapitre 4 : Droits des personnes dans les activités de traitement des données personnelles
Chapitre 5 : Devoirs des gestionnaires de données personnelles
Chapitre 6 : Départements s’acquittant des devoirs et responsabilités en matière de protection des données personnelles
Chapitre 7 : Responsabilité légale
Chapitre 8 : Dispositions supplémentaires
Définition de la notion de donnée à caractère personnel
PIPL vs RGPD
PIPL
« Les informations personnelles sont toute sorte d’informations électroniques ou enregistrées d’une autre manière concernant une personne physique identifiée ou identifiable ».
Ce même article définit le traitement de données qui consiste en la collecte, le stockage, l’utilisation, le traitement, la transmission, la fourniture, la divulgation ou la suppression des informations personnelles.
(NB : cette définition n’est pas limitative)
RGPD
Selon le RGPD, une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.
Un traitement de données peut être constitué par de la collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou l’interconnexion, limitation, effacement ou destruction
Définition de la notion de donnée sensible
PIPL vs RGPD
PIPL
Article 28:
« Les informations personnelles sensibles désignent les informations personnelles qui, en cas de fuite ou d’utilisation illégale, peuvent facilement porter atteinte à la dignité des personnes physiques ou à la sécurité des personnes ou des biens, y compris les informations sur les caractéristiques biométriques, les croyances religieuses, les statuts particuliers, la santé médicale, les comptes financiers, la localisation individuelle, etc. ».
- Les gestionnaires de l’information ne peuvent traiter des données personnelles sensibles que s’il y a un but spécifique et un besoin à satisfaire.
- Les responsables doivent en outre obtenir un consentement spécifique s’ils se fondent sur le consentement individuel pour le traitement (article 29).
Article 30:
Les personnes traitant des informations personnelles sensibles, en plus des éléments énoncés à l’article 17, doivent également informer les individus de la nécessité et de l’influence sur les droits et intérêts de l’individu du traitement des informations personnelles sensibles, sauf si la présente loi prévoit qu’il est permis de ne pas informer les individus.
⊕ les informations financières, les données de localisation et les données des mineurs sont incluses dans le champ des données sensibles, ce qui a pour effet de soumettre leur traitement à l’obtention du consentement spécifique de la personne concernée. La liste n’est pas exhaustive et peut être étendue avec justification.
Seul le consentement peut justifier le traitement.
⊗ Aucune disposition spécifique concernant le traitement des données liées aux condamnations pénales et aux infractions.
RGPD
Selon le RGPD, une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable.
Un traitement de données peut être constitué par de la collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou l’interconnexion, limitation, effacement ou destruction
Notions de pseudonymisation, d'anonymisation et de désidentification
PIPL vs RGPD
PIPL
La « désidentification » « fait référence au traitement des informations personnelles afin de garantir qu’il est impossible d’identifier des personnes physiques spécifiques sans le soutien d’informations supplémentaires. ». Ce processus constitue une mesure de sécurité technique qui peut être utilisée pour se conformer aux obligations de sécurité.
L’anonymisation désigne « le processus par lequel des informations personnelles subissent un traitement visant à les rendre impossible à distinguer de personnes physiques spécifiques et impossible à restaurer. »
L’article 4 exclut les données anonymisées du champ des informations personnelles.
RGPD
La pseudonymisation est un traitement de données personnelles réalisé de manière à ce qu’on ne puisse plus attribuer les données relatives à une personne physique sans information supplémentaire.
L’anonymisation est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible.
La législation relative à la protection des données ne s’applique plus à ce types de données, car la diffusion ou la réutilisation des données anonymisées n’a pas d’impact sur la vie privée des personnes concernées.