La protection des données personnelles est un enjeu majeur de nos sociétés.
D’abord, parce que les données sont devenues une matière première dans les mains des entreprises qui les exploitent pour adapter leurs politiques commerciales et publicitaires à leurs clients. Ensuite, parce que cette utilité pratique explique qu’elles soient échangées, vendues et revendues et qu’elles représentent donc une manne économique pour les entreprises qui les détiennent.
Pour éviter que ces données soient collectées, traitées, vendues au détriment des personnes concernées, sans qu’elles aient conscience des tenants et des aboutissants de ces procédés, les autorités ont compris qu’il était nécessaire d’encadrer le traitement des données. C’est ce qu’a fait l’Union européenne avec le Règlement général sur la protection des données (RGPD), l’un des premiers textes à traiter exclusivement et intégralement de protection des données. Toutefois, ces questions étant nouvelles, elles ne se posent pas dans tous les États et lorsqu’elles émergent le processus d’élaboration des normes n’est pas uniforme à travers le monde.
Il est particulièrement intéressant de se pencher sur l’état de la protection juridiques des données en Chine pour deux raisons :
- D’abord, parce que la Chine est aujourd’hui un acteur économique incontournable, son marché national est l’un des plus importants au monde et par conséquent la protection des données présente notamment un intérêt pour les entreprises qui s’y installent, qui y investissent.
- Ensuite, parce que la Chine fait l’objet d’idées reçues, de préjugés en Occident où elle est largement considérée comme un pays où les libertés individuelles sont bafouées, dont le régime politique est autoritaire et où la protection de l’individu cède face à la sécurité et à la cohésion du collectif. Or, la réalité est parfois plus complexe.
Il conviendra d’abord d’envisager l’état du droit de la protection des données en Chine (Section 1) puis d’analyser le contenu de ce droit et la valeur des normes notamment au regard du RGPD (Section 2).
Section 1 – Le droit de la protection des données en Chine
Pour comprendre l’état du droit de la protection des données en Chine, il convient de faire une distinction entre les normes dont la portée est générale (§1) et les normes sectorielles (§2).
§1. Normes de portée générale
Le droit de la protection des données en Chine n’est pas encore abouti, il est plein essor. Dès lors, pour le comprendre, il est nécessaire d’envisager non seulement les normes en vigueur (i) mais aussi les normes en cours d’élaboration qui seront adoptées prochainement (ii)
i. En vigueur
Le Code civil chinois entré en vigueur le 1er janvier 2021 établit le principe d’un droit au respect de la vie privée et d’un droit à la protection des informations personnelles.
- La loi définit la vie privée par référence à la vie privée et paisible d’une personne physique ainsi que l’espace privé, les activités privées et les informations privées qu’une personne physique ne souhaite pas révéler à des tiers.
- La loi le traitement des données par référence aux activités de collectes, de stockage, d’utilisation, de traitement, de transmission, de fourniture et de diffusion des données personnelles.
Les dispositions du Code civil entendent également réguler le traitement des données personnelles effectué par des tiers en établissant des principes et des conditions relatifs à ce traitement.
La loi sur la cyber-sécurité (2016) contient des dispositions qui font peser sur les opérateurs de réseau et plus généralement sur toutes les entreprises qui ont un système informatisé, des obligations de protection des données ainsi qu’une obligation de notification en cas de brèche de sécurité.
Les précisions sur la sécurité des informations personnelles (2018 mises à jour en 2020) est un document à visée incitative sur les pratiques à adopter en matière de protection des données. Elles renforcent le poids de la volonté individuelle ainsi que les obligations des entités traitant la donnée.
ii. En développement
Le projet de loi sur la sécurité des données qui a été publié en juillet 2020. Il s’agit d’une future loi consacrée exclusivement à la protection et à la sécurité des données, détaillant les obligations en matière de collecte, de traitement, de contrôle et de stockage des données.
Le projet de la loi sur la protection des informations personnelles qui a été publié en octobre 2020 qui entend protéger plus particulièrement les informations personnelles et réglementer les activités de traitement des informations personnelles. La loi prévoit une définition de l’information personnelle, il s’agit de « différents types d’informations électroniques ou enregistrés selon d’autres procédés et qui sont liés à des informations de personne physique identifiée ou identifiable ». Cela exclut donc toute information anonyme.
Une fois qu’elles seront adoptées et qu’elles entreront en vigueur les trois normes que sont : l’actuelle loi sur la cyber-sécurité et les futures lois sur la sécurité des données et la protection des informations personnelles constitueront le corpus juridique de protection des données au sens large.
§2. Normes sectorielles
La loi sur la protection des consommateurs (amenée en 2014) prévoie quelques dispositions sur la protection des données personnelles des consommateurs. Ainsi, l’article 14 confère aux consommateurs un droit à la protection de leurs informations personnelles et l’article 29 oblige les détenteurs des informations personnelles au respect de certains principes, de légalité de la collecte et de l’utilisation des données, mais aussi de confidentialité des données collectées.
La loi sur le cryptage (2019) inclue des dispositions réglementant l’utilisation decryptage commercial, un outil qui peut être utilisé par les entreprises pour assurer la sécurité informatique, la protection d’un réseau et donc la protection des données.
Section 2 – Analyse du corpus juridique chinois à la lumière du RGPD
L’approche de la protection des données en Chine est assez différente de l’approche européenne bien que les deux tendent à converger. Bien que certaines différences entre les deux régimes traduisent des différences de visions (§1) la Chine se rapproche progressivement du modèle européen de protection des données (§2).
§1 Des conceptions différentes de la protection des données et de la cyber-sécurité
Les enjeux qui se cachent derrière la protection des données varient d’un système juridique à l’autre.
En Europe, l’individu est au centre de la protection. Ainsi, l’article 9 du RGPD interdit le traitement de certaines données jugées sensibles, à savoir l’origine raciale, ethnique, les opinions politiques, donnés biométriques.
En Chine, l’enjeu majeur de la protection des données est celui de la sécurité collective. Ainsi, l’article 37 de loi sur la cyber-sécurité de 2016 encadre particulièrement les entreprises considérées comme des infrastructures critiques d’information, c’est-à-dire dont le domaine d’activité constitue un enjeu pour la sécurité nationale, à savoir l’eau, l’électricité ou encore les transports.
Par ailleurs, l’on notera que l’article 27 du projet de loi sur la protection des informations personnelles autorise la collecte d’image ou l’emploi d’outils permettant la reconnaissance de l’identité de l’individu dans les lieus publics, si cela est nécessaire pour la sécurité publique.
Enfin, le projet de loi sur la protection des informations personnelles permet de fonder un traitement de données sur des exigences liées à une urgence de santé publique, ce qui permet de passer outre un nécessaire consentement de la personne concernée pour traiter ces données. Avant même l’adoption de ce projet de loi, il semblerait que le gouvernement chinois ait utilisé des solutions de « tracking » pour repérer les personnes potentiellement contaminées par le virus du Covid19. A ce propos, le New York Times révélait que l’application Alibaba aurait permis de partager automatiquement les données de certains utilisateurs avec la police, sans avertir les concernés. Ainsi, l’on comprend que de façon générale, les autorités chinoises considèrent que des exigences liées à l’intérêt collectif permettent de passer outre certains principes en matière de protection des données.
Il apparaît que la cyber-sécurité est un enjeu national et régalien pour l’État chinois qui utilise l’outil juridique pour asseoir son autorité et ainsi préserver un intérêt collectif supérieur.
L’on remarque toutefois que les dispositions du nouveau Code civil, citées précédemment, illustrent un changement de direction en la matière. En outre, la Chine protège aussi particulièrement certaines données, notamment celles relatives aux données de cartes bancaires, à l’adresse, à l’identité ou aux informations biométriques. Toutefois, dans l’absolu ces dernières semblent bien moins sensibles que celles dont le traitement est interdit par le RGPD.
Si les occidentaux ont tendance à considérer que l’importance du collectif pour la société chinoise est l’expression caractéristique d’un régime autoritaire, il vaut mieux se garder de tout jugement hâtif. En effet, tout comme l’Europe et la France, la Chine, a été façonnée des siècles durant par des valeurs et des priorités souvent tournées vers le collectif. Or, les textes juridiques restent marqués par ces siècles d’histoire et de pensée chinoise. Dès lors, il est absurde de juger la valeur d’une norme juridique étrangère exclusivement en fonction de nos propres valeurs et de notre propre histoire.
§2 Des protections convergentes
Sans que cela détermine la mise en application, la Chine et l’Union européenne se rapprochent dans la protection des données sur un plan théorique, d’abord parce que les obligations imposées aux responsables de traitement sont similaires (i) ensuite parce que les droits accordés aux personnes concernées sont équivalents (ii)
i. Des obligations similaires
Le RGPD fait peser nombre d’obligations sur les responsables de traitement pour assurer la protection des données. Par exemple, pour assurer la protection des données, les responsables de traitement peuvent utiliser des techniques de pseudonymisation. En outre, le contenu de la notification faite à l’autorité en cas de brèche de sécurité portant atteinte à la sécurité des données est détaillé par le RGPD.
En Chine les textes législatifs contraignants en vigueur ne sont pas aussi précis et sont beaucoup plus larges dans leurs termes bien que cela soit amené à évoluer. En cas de cyber-attaque, la loi sur la cyber-sécurité de 2016, oblige uniquement les plateformes à adopter des mesures d’urgence et à prendre des mesures correctives, sans préciser davantage. En revanche, il est indiqué que pour atteindre l’objectif de maintien de la confidentialité des données mais également de traitement respectueux des principes de légalité, nécessité et propriété, les opérateurs doivent adopter des règles qui sont publiées, celles-ci sont en fait similaires aux codes de conduite du RGPD et qui ont pour fonction de préciser les objectifs, moyens et l’utilisation faite des données. En cas de fuite de données, la loi prévoit également que la responsable de traitement avertisse la personne concernée et l’autorité, sans que l’on dispose ici d’information concernant le contenu de l’avertissement.
Les textes en préparation sont l’illustration du rapprochement progressif de la Chine vis-à-vis du modèle européen du RGPD.
Ainsi, le projet de loi sur la sécurité des données prévoit une obligation de formation à la sécurité des données mais également de désigner une personne responsable du traitement de données importantes.
Le contenu du projet de la loi sur la protection des informations personnelles est encore plus fourni. Tout comme dans le RGPD, il y est prévu que le traitement soit fondé sur une base légale. Ainsi, en Chine, le traitement d’informations personnelles peut être fondé sur le consentement de la personne concernée, mais également sur les exigences liées à une urgence de santé publique, comme cela a été mentionné précédemment. Ce dernier fondement peut se révéler particulièrement utile en période de crise sanitaire. Cette liste de bases légales n’est pas limitative. Par ailleurs, il est prévu à l’article 18 que les responsables de traitement soient soumis, comme c’est le cas dans le RGPD, à une obligation de notifier et d’expliquer aux personnes concernées le traitement de leurs données. Enfin, l’article 50 du projet de loi précise différentes mesures permettant d’assurer la sécurité des informations personnelles, parmi lesquelles le cryptage ou l’anonymisation.
Les précisions sur la sécurité des informations personnelles détaillent davantage les obligations des responsables de traitement. Ainsi, en cas de brèche de sécurité qui porterait atteinte à la sécurité des données, le responsable de traitement doit évaluer l’impact potentiel de l’incident, rédiger un rapport, prendre les mesures nécessaires et notifier l’incident à la personne concerné. Enfin, les obligations en cas de délégation du traitement sont précisées.
ii. Des droits équivalents
Les droits accordés aux personnes concernées sont équivalents dans les deux systèmes.
Le Code civil chinois requiert le consentement de la personne au traitement des informations personnelles. Néanmoins, des exceptions peuvent être prévues par la loi ou le règlement. En outre, les individus disposent de droits sur leurs informations personnelles, tels qu’un droit d’accès, de copie, de rectification, d’effacement de leurs données ainsi que la possibilité d’empêcher toute fuite, falsification ou fourniture illégale d’informations personnelles à des tiers. Ce sont des droits qui sont similaires à ceux que l’on peut retrouver dans le RGPD, tels que le droit à la rectification, à l’oubli, à la portabilité des données ou l’obligation de recueillir le consentement qui constitue l’une des bases légales au traitement des données.
Les précisions sur la sécurité des informations personnelles prévoient que la personne concernée dispose d’un droit à la transparence sur le traitement et du droit au retrait du consentement.
Le projet de loi de protection des informations personnelles conférera plusieurs droits aux individus concernant le traitement de leurs informations personnelles, parmi lesquels notamment un droit de restriction des informations traitées, un droit d’accès et de copie, un droit de correction, un droit à l’effacement des données dans certaines circonstances précisées par la loi.
Conclusion
Bien que la Chine et l’Union européenne voient différemment les enjeux qui sous-tendent la protection des données, les deux systèmes tendent à se rapprocher progressivement. Ainsi, la Chine adopte certains des standards juridiques de l’Union européenne.
Cela pourrait s’expliquer par une volonté des autorités de se « normaliser » et de s’aligner pour des raisons commerciales sur certains des normes occidentales.
Malgré cette convergence apparente, la Chine conserve un particularisme et est culturellement extrêmement différente des pays occidentaux. Par conséquent, il est prématuré de déduire de ce positionnement juridique (limité aux données) un alignement plus général des valeurs chinoises sur les valeurs occidentales, notamment dans un contexte de conflit commercial avec les États-Unis.
Georges Lebauvy – Membre du pôle Données personnelles & Cybersécurité