Suivre le rythme du développement des dernières versions de la loi sur la protection des informations personnelles et de la loi sur la sécurité des données – JD Supra

Récemment, le Comité permanent du 13e Congrès national du peuple, la plus haute législature de Chine, a entamé sa 28e session pour examiner plusieurs projets de lois et amendements, parmi lesquels les projets largement attendus de la loi sur la protection des renseignements personnels (PIPL) et de la loi sur la sécurité des données ( DSL) ont été soumis pour le deuxième examen.

Les deuxièmes exposés-sondages du PIPL et de la LIS, qui ont été publiés le 29 avril 2021, ont pleinement absorbé les opinions de toutes les parties sur les premiers projets et ont en même temps répondu à plusieurs préoccupations du public. Par rapport à leurs versions précédentes, elles sont plus matures et complètes.

Étant donné que les deux lois devraient être finalement approuvées cette année et entreront en vigueur au début de l’année prochaine avec une période de grâce, il est très important que les entités opérant en Chine y prêtent une attention particulière. Ici, nous allons présenter les nouveautés des deuxièmes projets de PIPL et de DSL, par rapport à leurs prédécesseurs, à titre de référence.

I. Modifications majeures du deuxième projet de PIPL

Dans l’ensemble, compte tenu des problèmes tels que la collecte excessive et sans scrupules d’informations personnelles, le deuxième projet de PIPL renforce encore la protection des informations personnelles, en améliorant les principes et les règles de traitement des informations personnelles, en clarifiant les devoirs des autorités compétentes et en exigeant obligations supplémentaires pour les géants de l’Internet, en particulier comme suit.

1. Soulignant le principe du minimum nécessaire

L’article 6 du deuxième projet de PIPL met l’accent sur le principe du minimum nécessaire, en exigeant que le traitement des informations personnelles soit limité à la portée minimale nécessaire pour atteindre la finalité du traitement, et soit conduit par une méthode ayant la plus petite influence sur la personne droits et intérêts.

2. Ajout d’une nouvelle base juridique pour le traitement des informations personnelles

Le deuxième projet de PIPL ajoute une nouvelle base juridique pour le traitement des informations personnelles à l’article 13 en prévoyant que, lors du traitement d’informations personnelles précédemment divulguées dans un cadre rationnel, le consentement ne sera pas requis. Notamment, le traitement des informations personnelles sur cette base est également soumis à l’article 28 du PIPL, qui précise les règles d’utilisation des informations personnelles divulguées.

3. Amélioration des règles de retrait du consentement

Le premier projet de PIPL prévoyait qu’un individu a le droit de retirer son consentement au traitement des renseignements personnels sur la base de son consentement. L’article 16 du deuxième projet de PIPL exige en outre que le gestionnaire d’informations personnelles (qui est similaire au «responsable du traitement» en vertu du RGPD) fournisse à l’individu un moyen facile de retirer son consentement. En outre, le retrait du consentement n’affecte pas les effets des activités de traitement des informations personnelles entreprises sur la base du consentement individuel avant le retrait du consentement.

4. Ajustement des règles d’utilisation de la prise de décision automatisée

L’article 25 du deuxième projet de PIPL ajuste le libellé des règles d’utilisation de la prise de décision automatisée, en stipulant que ceux qui mènent le marketing commercial ou la transmission d’informations par le biais de méthodes de prise de décision automatisées offrent simultanément la possibilité de ne pas cibler un individu. caractéristiques, ou fournir à l’individu une méthode pour refuser. En outre, lorsque l’utilisation de la prise de décision automatisée produit des décisions ayant une influence significative sur les droits et les intérêts de l’individu, il / elle a le droit d’exiger du gestionnaire d’informations personnelles qu’il donne une explication, et le droit de rejeter la décision prise. uniquement par des méthodes de prise de décision automatique.

5. Ajout de la protection des informations personnelles de la personne décédée

L’article 49 du deuxième projet de PIPL ajoute la protection des renseignements personnels de la personne décédée, en prévoyant que les droits de la personne décédée quant aux activités de traitement des renseignements personnels doivent être exercés par le plus proche parent.

6. Imposer plus d’obligations aux géants de l’Internet

Compte tenu de la domination du marché des géants de l’Internet et des problèmes importants du secteur tels que le manque de transparence dans la collecte et l’utilisation des données des utilisateurs, l’article 57 du deuxième projet de PIPL stipule des exigences plus élevées pour les gestionnaires d’informations personnelles fournissant des services de base sur une plate-forme Internet. , qui ont un grand nombre d’utilisateurs, ou dont les modèles commerciaux sont complexes.

Plus précisément, ces gestionnaires de renseignements personnels doivent (1) mettre en place un organisme indépendant principalement composé de membres externes pour superviser les activités de traitement des renseignements personnels; (2) cesser de fournir des services aux produits ou aux fournisseurs de services sur la plate-forme qui enfreignent gravement les lois ou les réglementations administratives dans le traitement des informations personnelles; et (3) publier régulièrement des rapports de responsabilité sociale sur la protection des renseignements personnels et accepter la supervision de la société.

7. Clarification des devoirs de la partie chargée de traiter les informations personnelles

La première ébauche de la PIPL a imposé aux gestionnaires de renseignements personnels l’obligation de prendre des mesures institutionnelles, organisationnelles et techniques pour protéger les renseignements personnels. Sur cette base, le deuxième projet de PIPL indique clairement à l’article 58 que, la partie chargée du traitement des informations personnelles (qui est similaire au «sous-traitant» en vertu du RGPD) doit également remplir les fonctions pertinentes en tant que gestionnaires d’informations personnelles, prendre les mesures nécessaires pour garantir la sécurité des informations personnelles qu’ils traitent.

8. Indiquer les responsabilités de l’administration du cyberespace

L’article 61 du deuxième projet de PIPL clarifie les devoirs de l’administration nationale du cyberespace, qui est la principale autorité chargée de coordonner la protection des renseignements personnels et les travaux de supervision et d’administration pertinents. Les fonctions comprennent (1) la formulation de règles et de normes de protection des renseignements personnels; (2) la formulation de règles et de normes spécialisées en matière de protection des informations personnelles pour les nouvelles technologies et les nouvelles applications concernant les informations personnelles sensibles, la reconnaissance faciale, l’intelligence artificielle, etc. (3) soutenir la recherche et le développement d’une technologie d’authentification d’identité électronique sûre et pratique; et (4) promouvoir la construction de systèmes de services pour socialiser la protection des renseignements personnels et aider les organisations concernées à réaliser des services d’évaluation et de certification de la protection des renseignements personnels.

9. Établissement de la doctrine de la présomption dans la détermination de la violation des renseignements personnels

L’article 68 du deuxième projet de la PIPL établit la doctrine de la présomption pour déterminer la violation des renseignements personnels, en prévoyant que lorsque les droits et intérêts relatifs aux renseignements personnels sont lésés en raison des activités de traitement des renseignements personnels, le gestionnaire des renseignements personnels doit assumer la responsabilité de la violation des droits. par compensation et autres responsabilités, si le manutentionnaire ne peut pas prouver qu’il n’est pas en faute.

II. Modifications majeures dans le deuxième projet de DSL

Le deuxième projet de DSL fait écho et complète les règles sur la gestion de la sécurité des données en vertu de la loi chinoise sur la cybersécurité, en réitérant l’importance du système de protection de classification et de catégorisation des données et du système de protection à plusieurs niveaux, clarifiant la restriction au transfert transfrontalier. des données importantes par les opérateurs d’infrastructures d’information non critiques («non-CIIO»), et en ajoutant des sanctions en cas de fourniture non autorisée de données aux autorités étrangères, en particulier comme suit.

1.Mise en place du système de protection de la classification et de la catégorisation des données

Le deuxième projet de DSL, pour la première fois, prescrit au niveau de la loi que, l’État doit mettre en place un système de classification et de protection de la catégorisation des données, et déterminer le catalogue de données important pour renforcer la protection des données importantes (article 20). Les services locaux détermineront le catalogue spécifique des données importantes dans la région, le secteur et les industries et domaines connexes conformément au catalogue de données importantes, et adopteront une protection spéciale pour les données répertoriées dans le catalogue.

2. Soulignant l’importance d’un système de protection à plusieurs niveaux

L’article 26 du deuxième projet de DSL ajoute une exigence relative à la gestion de la sécurité des données selon laquelle les activités de traitement des données doivent être effectuées sur la base de la protection à plusieurs niveaux du système de cybersécurité. Cette exigence fait écho et est conforme aux dispositions de l’article 21 de la loi chinoise sur la cybersécurité.

3. Élargissement de la restriction à l’exportation de données importantes par des non-CIIO

La loi chinoise sur la cybersécurité dispose que les données importantes collectées et générées par les opérateurs d’infrastructures d’information critiques (CIIO) dans le cadre d’opérations sur le territoire chinois doivent être stockées en Chine et exportées sous réserve d’une évaluation de sécurité par les autorités. L’article 30 du deuxième projet de DSL précise en outre que l’exportation de données importantes collectées et générées par des non-CIIO doit également être conforme aux mesures de gestion pertinentes à prendre par les autorités, renforçant ainsi la protection des données importantes.

4. Ajout des sanctions en cas de fourniture non autorisée de données aux autorités étrangères

Le premier projet de DSL exigeait que les organisations et les particuliers coopèrent à la collecte de données par les organes de sécurité publique et nationale, si nécessaire, pour préserver légalement la sécurité nationale ou enquêter sur les crimes; et en même temps, ne pas fournir de données à des organes judiciaires ou répressifs en dehors de la Chine sans l’approbation des autorités compétentes. Sur cette base, l’article 46 du deuxième projet de LIS prévoit en outre les sanctions en cas de violation des prescriptions ci-dessus.

Plus précisément, ceux qui refusent de coopérer avec la collecte de données des organes de sécurité seront condamnés à apporter des corrections, avertis et infligés une amende pouvant aller jusqu’à 500 000 CNY (environ 77 250 USD), tandis que la personne directement responsable et les autres personnes directement responsables se verront infliger une amende. jusqu’à 100 000 CNY (environ 15 450 USD). Ceux qui fournissent des données aux autorités étrangères sans approbation seront condamnés à apporter des corrections, avertis et infligés une amende pouvant aller jusqu’à 1 million CNY (environ 154500 USD), et la personne directement responsable et les autres personnes directement responsables seront condamnées à une amende maximale de 200000 CNY ( environ 30 900 $ US).

III. Observation pratique et prospective

Pour résumer, la deuxième ébauche de la PIPL améliore encore la protection des renseignements personnels en imposant des exigences plus élevées et un fardeau de preuve plus strict aux gestionnaires de renseignements personnels. En particulier, des règles de protection des données plus strictes sont prévues à l’égard des géants de l’Internet, en vertu desquelles les grandes plates-formes Internet peuvent avoir à mettre en place un organisme indépendant pour superviser les activités de traitement des informations personnelles et adopter d’autres mesures nécessaires pour protéger les informations personnelles. Le deuxième projet de DSL souligne à nouveau l’adoption du système de protection de classification et de catégorisation des données et du système de protection à plusieurs niveaux, et ajoute la restriction au transfert transfrontalier de données importantes par des non-CIIO.

Comme mentionné ci-dessus, ces deux lois devraient être promulguées d’ici 2021 et entreront en vigueur début 2022, il est suggéré aux entreprises opérant en Chine de s’y préparer, par exemple, en complétant le dépôt de la protection à plusieurs niveaux de la cybersécurité; et de garder un œil sur la formulation des lois, de mettre à jour les politiques de conformité des données selon le cas.