Depuis les révélations d’espionnage par la NSA et ses partenaires internationaux, par le journal The Guardian le 6 juin 2013, suite au témoignage d’Edward Snowden ex-agent de la CIA et ex-analyste contractant de la NSA, le mot-d’ordre est la protection de la vie privée numérique. Sans surprise, une telle annonce a provoqué une vague d’indignation dans le monde entier et a poussé de nombreux États à durcir leur législation sur la protection de la vie privée et plus particulièrement sur la protection des données à caractère personnel.
D’abord, à titre d’exemple, l’Union européenne a pris la décision d’adopter le Règlement général sur la protection des données (RGPD) en 2016. Ce texte entré en vigueur a été une source d’espoir pour les fervents défenseurs de la liberté et de la confidentialité sur internet. Depuis mai 2018, le texte est entré en application et le constat est sans appel. Les géants du numérique se montrent désormais plus prudents dans leur collecte des données personnelles. Il faut dire que les CNIL au sein des États membres ont désormais de réels moyens de contraindre, notamment en condamnant ces derniers à des amendes de dizaine, voire de centaine, de millions d’euros. Au-delà des amendes, les CNIL ont oeuvré pour éclaircir les champs techniques des possibles et des impossibles, comme récemment en matière de « cookie » pour Google et Facebook.
Puis à la surprise générale, l’un des États du célèbre pays « big brother is watching you » a adopté en 2020 un texte relatif à la protection de la vie privée : le Californie Consumer Privacy Act (CCPA). Encore plus surprenant lorsque cet État héberge la Silicon Valley. Mais la Californie a toujours su se montrer être dans l’ère du temps, du moins visionnaire. Néanmoins, juridiquement, il s’agit d’un texte pauvre, en ce qu’il est peu visionnaire et utile.
Enfin, après avoir amorcé le projet en 2020, le gouvernement chinois a concrétisé son ambition de protection des données en août 2021. Le 1er novembre est entrée en vigueur la loi sur la protection des informations personnelles (PIPL). Si une telle loi venant de l’empire du milieu peut également surprendre, elle s’inscrit dans un processus de longue date. Depuis 2017, le gouvernement chinois tente par une politique accrue de contrôler les géants du numérique. Par exemple, la Chine avait déjà imposé à certaines entreprises de stocker les données des utilisateurs chinois sur le territoire national. Le ton est sans équivoque, la Chine compte rappeler qu’elle est présente dans la partie. Si parfois, il est possible de déplorer l’autorité de la Chine vis-à-vis des géants d’internet, notamment en matière de liberté, il semblerait pour une fois que ce tour de vis soit louable.
Alors au regard de la volonté de la Chine de durcir le ton contre les géants américains, il est possible de s’interroger sur le niveau de protection de la PIPL en comparaison au RGPD. Un sujet fort intéressant lorsqu’à l’ère du big data, de l’open data et de l’IA, les données — et qui plus est personnelles — sont l’équivalent d’une mine d’or ou d’un gisement de pétrole.
Quel champ d’application ?
Le champ d’application d’un texte est sûrement l’un des points les plus essentiels pour ce dernier. Sans une réelle portée juridique dans l’espace texte visant un tel objectif — protéger les données personnelles des citoyens — perdrait tout intérêt dans un contexte de mondialisation.
En ce qui concerne leur champ d’application, le RGPD et la PIPL se rejoignent, car ces deux textes ont une portée territoriale et extra-territoriale. Autrement dit, les textes s’appliquent d’une part aux responsables de traitement et aux éventuels sous-traitants établis sur le territoire, et d’autre part à ces mêmes acteurs dont les activités ciblent directement des résidents sur le territoire. Finalement, peu importe que le traitement des données soit réalisé sur place ou à 6 000 km dès qu’ils concernent un ressortissant concerné par l’une de ces mesures, le traitement doit être réalisé conformément aux dispositions prévues.
Qu’est-ce qu’une donnée personnelle ?
Dans l’UE, la notion de « données personnelles » est entendue de manière large. En effet, l’article 4 du RGPD prévoit qu’une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ». Sachant qu’une personne peut être identifiée directement, tel que par son nom ou prénom, ou indirectement, tel que par un identifiant, un numéro de téléphone, une donnée biométrique, une image, une voix, ou encore plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. À ce titre, l’identification d’une personne physique peut être réalisée à partir d’une seule donnée ou à partir du croisement d’un ensemble de données.
En Chine, la notion de « données personnelles » est prévue par l’article 4 de la PIPL. Cet article prévoit qu’il s’agit de « toute sorte d’informations, enregistrées par voie électronique ou par d’autres moyens, relatives à des personnes physiques identifiées ou identifiables, à l’exclusion des informations après traitement de l’anonymisation ».
En somme, l’approche chinoise ne semble pas très éloignée de l’approche européenne. Celle-ci semble offrir et garantir une réelle protection des données à caractère personnel des chinois.
Quelles sanctions ?
Si le champ d’application a son importance, le caractère répressif d’un texte l’est tout autant. Dès lors, en matière de vie privée, il faut que celles-ci soient suffisamment conséquentes pour dissuader de violer délibérément les dispositions devant garantir la protection des données personnelles ; in fine la vie privée des individus.
Une fois de plus, le RGPD et la PIPL s’entendent en matière de montant de l’amende, de quoi probablement calmer les ardeurs des acteurs du numérique, notamment les GAMAM.
Dans un premier temps, le RGPD prévoit que le montant des sanctions pécuniaires peut atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel. Dans un second temps, pour la PIPL, le montant peut aller jusqu’à 50 millions de yuans — soit 6 millions d’euros — ou 5% du chiffre d’affaires annuel.
De tels montants ont le mérite de dissuader les acteurs ordinaires. Cependant, il faut rester prudent et ne pas sous-estimer les acteurs particuliers du numérique — GAMAM — qui disposent (très) largement des ressources financières pour s’acquitter des amendes. Fort heureusement, de tels montants s’éloignent considérablement des amendements en milliers d’euros auparavant prononcés. Et c’est sans compter l’importance de l’image de marque de ces derniers qui ne doit pas être entachée par de trop nombreuses affaires judiciaires pour éviter de trop se mettre les consommateurs à dos.
En revanche, la PIPL prévoit une particularité en matière de sanction, puisque celle-ci peut également tendre vers la suspension ou la résiliation des services de l’entreprise sur le territoire chinois. De quoi largement dissuader certains acteurs de tenter le diable, tant le marché chinois est indispensable.
L’État chinois, grand absent !
La Chine semble avoir manqué un paragraphe du RGPD lors des travaux préparatoires de son texte. L’État n’est pas concerné par les dispositions… Cette absence est déplorable, mais conforme au système politique chinois ; en effet, il n’est pas possible de concilier la protection des données et la surveillance de masse d’une population.
Quel dommage de ne pas pouvoir lire dans la PIPL que TOUT organisme quel que soit sa taille, son pays d’implantation et son activité, peut être concerné. L’UE a au moins ce grand mérite d’avoir prévu que le RGPD s’applique à toute organisation, PUBLIQUE et privée, qui traite des données personnelles pour son compte ou non.
C’était une très longue partie qui s’annonçait afin de savoir lequel de ces deux textes allaient l’emporter. Mais c’est en un coup fatal que le RGPD a réussi à mettre en échec et math son disciple la PILP. L’UE fêtera cette belle victoire le vendredi 28 janvier lors de la journée européenne de la protection des données.
Anthony THOREL
Sources :
https://www.droit-technologie.org/actualites/entree-en-vigueur-de-la-pipl-le-rgpd-made-in-china/
https://www.lebigdata.fr/pipl-chine
https://www.journaldunet.com/management/direction-generale/1507827-repenser-la-protection-des-donnees-sous-un-angle-global/
https://www.journaldunet.com/ebusiness/publicite/1507467-privacy-un-tour-du-monde-des-actualites-de-novembre/
https://www.zdnet.fr/actualites/le-rgpd-a-la-chinoise-entre-en-vigueur-dans-l-empire-du-milieu-39931727.ht
https://www.linkedin.com/feed/update/urn:li:ugcPost:6871143410535821314?updateEntityUrn=urn%3Ali%3Afs_updateV2%3A%28urn%3Ali%3AugcPost%3A6871143410535821314%2CFEED_DETAIL%2CEMPTY%2CDEFAULT%2Cfalse%29
https://www.lefigaro.fr/flash-eco/numerique-la-chine-se-dote-d-une-loi-pour-proteger-les-donnees-sensibles-20210901
https://www.lemonde.fr/pixels/article/2017/06/01/en-chine-une-loi-controversee-sur-les-donnees-personnelles-et-la-cybersecurite_5136999_4408996.html
https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on
https://info.haas-avocats.com/droit-digital/que-vaut-le-rgpd-made-in-china