Sélectionner une page

Un projet pour limiter le transfert transfrontalier de données personnelles collectées en Chine

Au mois de juin 2019, la Cyberspace Administration of China (CAC, 国家互联网信息办公室) a publié un projet de loi qui concerne des « mesures d’évaluation de la sécurité du transfert transfrontalier d’informations personnelles » et sollicité les commentaires du public sur ce dernier. Ces nouvelles mesures auront pour objet principal d’interdire le transfert transfrontalier de données personnelles recueillies sur le territoire chinois si celles-ci « impactent la sécurité nationale, nuisent à l’intérêt général ou ne sont pas complètement sécurisées ». Toutes les entités chinoises et étrangères collectant sur le territoire chinois des données personnelles à des fins commerciales, qualifiées « d’opérateurs de réseaux » , sont concernées par ces mesures. Le projet de loi stipule que les informations personnelles incluent les numéros d’identité, les adresses et numéros de téléphone collectés. Ces informations devront être évaluées par les autorités avant de pouvoir être envoyées à l’étranger.

Ces nouvelles mesures sont une nouvelles déclinaison du concept de « cybersouveraineté » promue par le président chinois Xi Jinping, qui prône le droit pour chaque État, et en particulier la Chine, de réguler internet comme il le souhaite à l’intérieur de ses frontières.

Toutes les entreprises étrangères sont concernées – même celles qui ne sont pas établies en Chine

De nombreuses entités étrangères qui ont établi des filiales chinoises collectent des informations personnelles sur les usagers chinois via Internet. Le projet de loi exige donc que ces entreprises remplissent leurs nouvelles obligations via un.e représentant/entité légal.e. Si la filiale chinoise d’une multinationale transmet les données personnelles de ses utilisateurs ou de ses employés hors des frontières chinoises (par exemple à un siège social situé hors de Chine), ou si la maison-mère ou autre entité parente située à l’étranger collecte ces données directement via Internet, sa filiale chinoise devra se conformer à cette loi. Le projet de loi ne spécifie cependant pas si des entités étrangères sans filiale chinoise devront établir une entité sur le territoire chinois qui aurait pour tâche de réaliser les évaluations de sécurité sur les transferts transfrontaliers de données.

Les entités concernées devront faire une demande d’inscription auprès de la branche provinciale du CAC dont elles dépendent. Cette inscription devra ensuite être renouvelée tous les deux ans.

Il va ainsi sans dire que si cette loi était mise en application rapidement, il en résulterait une augmentation importante pour la mise en conformité des entreprises.

Un moyen légal d’évincer les entreprises high-tech étrangères ?

Certains analystes américains s’accordent à dire que, en ces temps de guerre économique entre les États-Unis et la Chine, ce nouveau projet de loi pourrait apparaitre comme un moyen pour Pékin de d’évincer les fournisseurs de produits high-tech sur des motifs de préservation de la sécurité nationale.