Renseignements personnels en Chine
Il s’agit d’une réforme de plus. Après le Règlement général sur la protection des données (RGPD) en Europe, la vague de modernisation des lois sur la protection des renseignements personnels aux États-Unis et la refonte du régime applicable au Québec avec le projet de loi 64, la Chine joint le rang des états réglementant la collecte et l’utilisation des renseignements personnels avec l’adoption de la Loi sur la protection des informations personnelles (« PIPL » en anglais). Voici un bref survol des impacts de cette nouvelle règlementation pour les entreprises québécoises et canadiennes qui offrent des biens ou des services en République populaire de Chine (RPC).
Forts du constat que les données personnelles peuvent être comparées au pétrole du 21ème siècle en raison de la place occupée par le numérique dans l’ensemble des activités économiques, culturelles et sociales, plusieurs pays ont fait de leur protection et leur gestion un élément central de leurs efforts législatifs. L’entrée en vigueur du RGPD en Union européenne le 25 mai 2018 a non seulement donné le ton, mais également établi un standard sur lequel se sont orientées plusieurs législations adoptées par la suite dans le monde sur le sujet. Le but est notamment d’harmoniser les pratiques afin de faciliter entre autres le transfert international de données et également d’offrir aux résidents et entreprises d’un pays les mêmes droits et protections que ce qu’ils sont tenus d’offrir à l’étranger en vertu de l’application extraterritoriale de ces lois, selon un principe de réciprocité cher aux relations internationales. La PIPL, entrée en vigueur le 1er novembre 2021, s’inscrit dans cette lignée.
Cette nouvelle loi vient compléter le mécanisme mis en place en vue de la régulation du cyberespace amorcé depuis 2017 (avec la Loi sur la cybersécurité et la Loi sur la sécurité des données). Elle encadre le traitement des données personnelles et s’applique aux entreprises situées en dehors de la RPC qui procèdent à un tel traitement dans les cas où (i) elles offrent des produits ou services à des personnes physiques situées en RPC; ou (ii) elles ont pour but d’analyser et d’évaluer les activités domestiques de ces personnes; ou (iii) dans les autres circonstances déterminées par les lois et règlements. Aucun exemple précis n’est mentionné sur ce dernier point dans la PIPL, les évolutions législatives seront donc à surveiller. Les entreprises canadiennes traitant des renseignements personnels de personnes situées en RPC sont ainsi tenues de respecter les dispositions de la PIPL.
En plus de sa portée extraterritoriale, cette loi présente de nombreuses similitudes avec le RGPD. En effet, comme pour le RGPD il est requis dans la plupart des cas d’obtenir le consentement libre, éclairé et spécifique des personnes sur lesquelles des renseignements personnels sont recueillis, notamment en divulguant toutes les informations pertinentes à la prise de décision et par l’utilisation d’un langage simple et concis. Des exigences particulières s’appliquent en ce qui concerne le consentement relatif aux informations sensibles (état de santé, croyances religieuses, opinions politiques, etc.), aux personnes âgées de moins de 14 ans (lequel doit être donné par le titulaire de l’autorité parentale) ainsi que le partage ou le transfert de données personnelles à l’extérieur de la RPC. Dans ce dernier cas, une évaluation de la sécurité du traitement par l’Administration chinoise responsable du cyberespace et une certification par une organisation autorisée par celle-ci pourra être nécessaire.
On retrouve également dans la PIPL les mêmes droits individuels que dans le RGPD, soit notamment le droit d’accès à l’information et aux explications sur le traitement des renseignements personnels, la possibilité d’obtenir une copie de ses données personnelles et de les corriger, le droit de refuser le traitement, de retirer un consentement ayant été donné au préalable, ainsi que le droit à l’effacement des données (« droit à l’oubli »), à la portabilité des données et celui d’être informé de tout bris de sécurité ou de confidentialité.
En termes de sanctions, celles-ci pourront aller jusqu’à 50 millions de RMB (environ 9,8 millions CA$) ou un maximum ou 5% du chiffre d’affaires annuel pour une entreprise et jusqu’à 100 000 RMB (environ 19 600 CA$) pour un individu directement responsable du traitement. En cas de poursuite, ce sera dans certains cas au responsable du traitement des renseignements personnels de prouver qu’il n’a pas commis de faute.
L’entrée en vigueur de ce nouveau texte de façon quasi simultanée avec la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels du Québec en septembre dernier est un rappel aux entreprises québécoises que cette question est désormais devenue un incontournable dans tous les secteurs. Car même si votre modèle d’affaires n’est pas basé sur la valorisation de renseignements personnels, vos activités impliquent nécessairement d’en recueillir et d’en traiter, ne serait-ce que sur vos clients et relations d’affaires. Toutes entreprises, surtout celles faisant affaires à l’international, ainsi que leurs sous-traitants, devraient ainsi procéder à une révision de ses procédés internes et de ses documents légaux en vue de se mettre en conformité avec les différentes législations applicables. Au-delà des enjeux légaux, l’impact réputationnel de négliger la protection des renseignements personnels, ou pire d’être victime d’un piratage est coûteux et s’en remettre prend du temps.
La prévention est donc votre meilleure alliée! La nature des mesures à entreprendre dépend de plusieurs paramètres dont la nature de vos activités, le type et le volume des données recueillies et traitées, le lieu de leur hébergement, etc. Nous pouvons vous aider à y voir plus clair. N’hésitez pas à contacter un membre de notre équipe en technologie et gouvernance de l’information, qui saura évaluer votre situation particulière et déterminer avec vous les mesures à mettre en place dans une optique de proportionnalité et d’optimisation des ressources.
© 2021
Nilce Ekandzi
Stagiaire en droit, Ph.D. (France)
nilce.ekandzi@groupetcj.ca
Geneviève Gagné
Avocate en commerce international
genevieve.gagne@groupetcj.ca