Êtes-vous prêt pour la loi chinoise sur la protection des informations personnelles ?

novembre 13, 2021 Par admin 0
Êtes-vous prêt pour la loi chinoise sur la protection des informations personnelles ?

Crédit image: Bloomberg Creative/Getty Images

En août 2021, la Chine a passé une pièce majeure d'une loi appelée Loi sur la protection des renseignements personnels (LPIP). Il est entré en vigueur le 1er novembre et s'applique à toutes les entreprises cherchant à faire des affaires en Chine, qu'elles soient ou non établies dans le pays.

Le PIPL a été un long temps dans la fabrication. La Chine parle de ce type de loi omnibus sur les informations personnelles depuis au moins 2015. La loi actuelle découle d'une norme non obligatoire de 2017 appelée «Spécification de sécurité des informations personnelles», qui a été appliquée en 2018 et révisée en 2020. La différence avec le PIPL est qu'il est un peu plus inclusif de toutes les données personnelles et, plus important encore, il va maintenant être obligatoire.

En surface, PIPL fait écho à beaucoup de les mêmes réglementations proposées par le règlement général sur la protection des données (RGPD) de l'UE, entré en vigueur en mai 2018. Il permettra essentiellement aux individus de décider de la manière dont leurs données personnelles sont utilisées. Ce pouvoir va de l'inscription à des fins de marketing à l'approbation de l'utilisation et du traitement de données plus sensibles, telles que la biométrie, les informations financières et les services de localisation. Le PIPL comprend les mêmes principes et la même structure de fonctionnement que le RGPD, y compris les contrôleurs, les sous-traitants, la base juridique du traitement, les mesures de sécurité, les mesures organisationnelles, la notification des violations et plus encore.

La différence est que cela se passe à travers une lentille chinoise – et cela signifie qu'il n'y aura pas d'organisations indépendantes pour la surveillance. Dans le RGPD de l'UE se trouve la clause suivante: «Chaque État membre prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application du présent règlement, afin de protéger les droits et libertés fondamentaux des personnes physiques en ce qui concerne le traitement et pour faciliter la libre circulation des données à caractère personnel au sein de l'Union. Une clause comme celle-ci n'existe pas dans le PIPL chinois, définissant la différence la plus nette entre les deux. Si le PIPL prévoit des autorités de contrôle, celles-ci ne sont pas indépendantes de l'Etat. À cet égard, le PIPL est conforme aux lois précédentes, telles que la loi chinoise sur la cybersécurité.

Semblable au RGPD, les organisations qui traitent plus d'un certain seuil de données personnelles seront devra embaucher un délégué à la protection des données qui supervise la protection des données et sera soumis à des obligations plus strictes concernant certaines activités, y compris les transferts transfrontaliers d'informations personnelles, entre autres. Si la Chine n'a pas encore annoncé quel sera le montant seuil pour l'embauche obligatoire d'un délégué à la protection des données, le projet de mesures sur l'évaluation de la sécurité des données transfrontalières publié par la Cyberspace Administration of China (CAC) le 29 octobre donne un aperçu. En effet, ces mesures obligeront, entre autres, tout opérateur transfrontalier qui traite cumulativement les informations personnelles de plus de 100 000 résidents chinois, ou les informations personnelles sensibles de plus de 10 000 résidents chinois, à soumettre aux autorités chinoises une auto-évaluation de sécurité d'un tel transfert de données transfrontalier pour approbation. En d'autres termes, le seuil est assez bas, de sorte que les transferts de données transfrontaliers d'informations personnelles seront soumis à un examen minutieux.

Bien que de nombreuses entreprises aient essentiellement réussi à respecter le RGPD- conforme à ce jour, la Chine est beaucoup moins susceptible de tolérer les entreprises qui contournent les règles ou mettent le strict minimum, et les conséquences pourraient être assez graves. En plus des amendes astronomiquement élevées, les organisations non conformes peuvent voir leur licence commerciale suspendue ou leur entreprise entièrement fermée. L'impact en Chine, ainsi que dans le monde, va être énorme.

Les autorités chinoises seront sévères en ce qui concerne l'application de cette loi, car nous assistons au renforcement de l'application de toutes les lois relatives à la cybersécurité, à la sécurité des données et au traitement des données. Le gouvernement chinois veut être perçu comme très protecteur des données personnelles.

Les entreprises qui sont déjà conformes au RGPD ressentiront moins d'impact que d'autres, mais cela aura toujours un impact impact significatif sur notre société de plus en plus mondialisée. Si une partie de votre entreprise touche la Chine, vous devez vous conformer à cette loi. Le gouvernement peut couper tout accès à sa population. De plus, toute violation du PIPL peut entraîner une amende administrative pouvant aller jusqu'à 50 millions de RMB ou 5 % du chiffre d'affaires du transformateur de l'année précédente.

Une disposition spécifique dans la loi appelle les gouvernements étrangers à une considération particulière : « Si adopter des mesures contre la Chine dans le domaine des informations personnelles, la Chine peut adopter des mesures de rétorsion. De telles dispositions pourraient bien être une réponse directe à la guerre commerciale de Trump avec la Chine. Il s'agit d'une disposition fourre-tout qui donne aux autres pays un aperçu ou un contrôle limité sur ce que la Chine considère comme discriminatoire. Cela pourrait en fin de compte affecter le flux d'informations, qui est essentiel dans les affaires internationales.

En conclusion, voici quelques choses à faire et à ne pas faire pour une PIPL:

Faire effectuer une auto-évaluation de la conformité. Cela va être la clé en Chine. Vous devez absolument commencer à examiner votre propre situation, afin de savoir où vous en êtes et où vous avez des lacunes en termes de non-conformité.

  • Faire
  • connaître les risques associés à chaque décision que vous prenez concernant le PIPL.
  • Faire
  • continuer à effectuer des audits de conformité réguliers.

    Ne pas juste ignorer ce.

  • Ne pensez pas que vous allez voler sous le radar.

    N'essayez pas d'utiliser un VPN pour contourner la conformité.

    Le PIPL est depuis longtemps dans le faire et ne sera certainement pas la dernière réglementation numérique que nous verrons de la Chine. Il est extrêmement important que toutes les organisations s'alignent sur les règles de ces nouvelles réglementations.

    Isabelle Hajjar est Cybersécurité & Responsable de la conformité vie privée pour le cabinet de sécurité et risques numériques TekID.

    Mathieu Gorge est l'auteur du titre ForbesBooks The Cyber-Elephant in the Boardroom, ainsi en tant que PDG et fondateur de la société de cybersécurité VigiTrust.

    VentureBeat

    La mission de VentureBeat est d'être une place publique numérique pour les décideurs techniques afin d'acquérir des connaissances sur la technologie transformatrice et d'effectuer des transactions. Notre site fournit des informations essentielles sur les technologies et les stratégies de données pour vous guider dans la gestion de vos organisations. Nous vous invitons à devenir membre de notre communauté, pour accéder à :

  • des informations à jour sur les sujets qui vous intéressent

    nos newsletters

    contenu de leader d'opinion et accès à prix réduit à nos événements prisés, tels que Transform 2021: Apprendre encore plus Fonctionnalités de mise en réseau, et plus encore

    Devenir membre