Conformité PIPL en Chine : Guide de transfert de données transfrontalier

La loi chinoise sur la protection des informations personnelles (PIPL — 个人信息保护法), entrée en vigueur le 1er novembre 2021, est la loi nationale complète sur la confidentialité des données de la Chine et l'un des cadres de protection des données les plus exigeants au monde. Aux côtés de la loi sur la sécurité des données (DSL, en vigueur en septembre 2021) et de la loi sur la cybersécurité (CSL, en vigueur en juin 2017), le PIPL forme une trilogie de réglementations qui remodèlent fondamentalement la manière dont les entreprises collectent, traitent, stockent et transfèrent des données à l'intérieur et à l'extérieur de la Chine.

Pour les sociétés multinationales opérant en Chine ou au service des consommateurs chinois, la conformité PIPL n'est pas facultative : les violations peuvent entraîner des amendes allant jusqu'à 5 % du chiffre d'affaires annuel, la suspension des opérations commerciales et la responsabilité pénale personnelle des dirigeants responsables. L'Administration chinoise du cyberespace (CAC) a fait preuve d'une application agressive, notamment en prenant des mesures très médiatisées contre Didi Global (amende de 1,19 milliard de dollars), Full Truck Alliance et Boss Zhipin.

Points clés à retenir

• PIPL s'applique au traitement des informations personnelles des individus en Chine — la portée extraterritoriale couvre les entités étrangères ciblant ou analysant les individus chinois.
• Un consentement distinct est requis pour chaque finalité de traitement — le consentement groupé n'est pas valide
• Les « informations personnelles sensibles » (biométrie, financières, santé, localisation précise, données de mineurs) nécessitent un consentement séparé et explicite
• Les transferts transfrontaliers nécessitent l'un des trois mécanismes suivants : évaluation de la sécurité CAC, contrats standard ou certification – tous sont importants sur le plan opérationnel.
• Les exigences en matière de localisation des données s'appliquent aux opérateurs d'infrastructures d'informations critiques (CIIO)
• L'évaluation de sécurité CAC est obligatoire pour les transferts transfrontaliers à grande échelle (plus de 100 000 données de particuliers par an)
• Les informations personnelles importantes des mineurs (moins de 14 ans) nécessitent une autorisation parentale distincte et une protection renforcée
• Les amendes peuvent atteindre jusqu'à 5 % du chiffre d'affaires annuel en cas d'infractions graves ; la suspension de l'activité est également disponible comme sanction

---

Cadre et portée du PIPL

Base législative

Le PIPL a été adopté par le Comité permanent de l'Assemblée populaire nationale le 20 août 2021. Il s'appuie sur les meilleures pratiques mondiales en matière de protection des données (en particulier le RGPD) tout en reflétant le contexte réglementaire unique de la Chine, y compris les considérations de sécurité nationale intégrées dans la législation.

Principes clés (articles 5 à 9) :

• Légalité, légitimité, nécessité et bonne foi
• Objectif clair et raisonnable
• Minimisation des données
• Assurance qualité (exactitude et exhaustivité)
• Sécurité et responsabilité
• Traitement limité à la portée minimale nécessaire

Portée territoriale

L'article 3 donne au PIPL une application extraterritoriale. Il s'applique à :

1. Traitement des informations personnelles des individus sur le territoire chinois par des entités en Chine
2. Traitement des informations personnelles de personnes se trouvant sur le territoire chinois par des entités en dehors de la Chine où :

• Le but est de fournir des produits ou services à des particuliers en Chine
• Le but est d'analyser ou d'évaluer le comportement des individus en Chine
• Autres circonstances spécifiées par CAC

Cela signifie qu'une entreprise étrangère exploitant un site Web en chinois, servant des consommateurs chinois ou utilisant des outils d'analyse qui profilent le comportement des utilisateurs chinois doit se conformer au PIPL.

Traiteurs d'informations personnelles à l'étranger (OPIP) : Les entités étrangères relevant de la portée extraterritoriale de PIPL doivent (article 53) :

• Créer une entité dédiée ou nommer un représentant en Chine
• Soumettre le nom et les coordonnées du représentant en Chine au service compétent concerné

---

Bases juridiques du traitement

L’article 13 du PIPL établit six bases juridiques pour le traitement des informations personnelles. Contrairement au RGPD où plusieurs bases ont le même poids, PIPL traite le consentement individuel comme base principale, les autres bases étant des exceptions :

Exigences critiques en matière de consentement (articles 14 à 17) :

• Le consentement doit être donné volontairement et explicitement
• Le consentement doit être éclairé — les individus doivent comprendre à quoi ils consentent avant de décider
• Le consentement ne peut pas être regroupé : vous devez obtenir un consentement distinct pour chaque finalité de traitement.
• Retirer le consentement doit être aussi simple que de le donner
• Le retrait n'affecte pas le traitement licite antérieur
• Le refus de fournir des informations personnelles ou le retrait du consentement ne doit pas affecter la fourniture du produit/service principal (sauf lorsque les données sont nécessaires au service)

---

Informations personnelles sensibles

L'article 28 définit les informations personnelles sensibles (敏感个人信息) comme des informations personnelles qui, une fois divulguées ou utilisées illégalement, peuvent porter atteinte à la dignité des personnes physiques ou nuire gravement à leur sécurité personnelle ou matérielle. Les catégories spécifiques incluent :

• Informations biométriques (empreintes digitales, empreintes vocales, reconnaissance faciale, iris des yeux, données génétiques)
• Croyance religieuse
• Identités spécifiques (parti politique, appartenance ethnique)
• Informations médicales sur la santé
• Comptes financiers
• Informations de localisation précises (GPS en temps réel, suivi précis des mouvements)
• Informations personnelles des mineurs de moins de 14 ans

Exigences renforcées pour les IP sensibles :

• Consentement séparé et explicite (en complément de tout consentement pour un traitement non sensible)
• Justification de nécessité – doit avoir des objectifs spécifiques et une nécessité adéquate
• Mesures de sécurité renforcées
• Notification aux personnes physiques des impacts spécifiques du traitement

Informations personnelles des enfants (mineurs de moins de 14 ans) : doivent obtenir le consentement des parents ou des tuteurs. Le CAC a publié des règles spécifiques sur la protection des informations personnelles des enfants en ligne (2019, modifiées en 2022) avec des exigences supplémentaires pour les fournisseurs de services en ligne.

---

Droits des personnes concernées

PIPL accorde aux individus (chapitre IV, articles 44 à 50) les droits suivants :

Droit de savoir et droit de décider : Les individus ont le droit de connaître et de décider du traitement de leurs informations personnelles, ainsi que de restreindre ou de refuser le traitement par d'autres.

Droit d'accès et de copie : Les individus peuvent demander des copies de leurs informations personnelles. Les sous-traitants doivent le fournir dans un délai raisonnable.

Droit de transfert : Lorsque cela est techniquement possible, les individus peuvent demander le transfert de leurs informations personnelles à un autre processeur désigné.

Droit de rectification : Les individus peuvent corriger des informations personnelles inexactes ou incomplètes.

Droit de suppression : La suppression est requise lorsque : (1) la finalité du traitement a été atteinte ou est impossible ; (2) le processeur décide de cesser de fournir des produits/services ; (3) la période de conservation a expiré ; (4) consentement retiré ; (5) le traitement viole les lois/règlements ou accords.

Droit de retirer son consentement : pour le traitement basé sur le consentement, les individus peuvent se retirer à tout moment. Le retrait n’affecte pas le traitement licite antérieur.

Droit à l'explication : Les individus peuvent demander des explications sur les règles de traitement des informations personnelles.

Droit de refuser la prise de décision automatisée : lorsque l'IP est utilisé pour des recommandations personnalisées ou des décisions automatisées, les individus ont le droit de refuser et de demander un examen humain des décisions ayant des effets significatifs.

---

Transfert de données transfrontalier : le défi critique

Le chapitre III (articles 38 à 43) du PIPL impose le cadre de transfert transfrontalier le plus strict de toutes les principales lois sur la protection de la vie privée, ce qui en fait le domaine de conformité le plus difficile sur le plan opérationnel pour les entreprises multinationales.

Trois mécanismes autorisés

1. Évaluation de sécurité du CAC (article 38, paragraphe 1)

Obligatoire pour :

• Opérateurs d'infrastructures d'information critiques (CIIO) — tout transfert transfrontalier
• Processeurs non-CIIO : si les transferts cumulés à l'étranger atteignent 100 000 données individuelles dans l'année en cours (ou 10 000 individus de PI sensibles)
• Informations personnelles générées par des données importantes (données critiques sous DSL)

L'évaluation de sécurité du CAC implique la soumission d'une demande accompagnée d'une documentation détaillée du transfert, des pratiques de protection des données du destinataire et des dispositions contractuelles. Les délais d'évaluation sont de 60 jours ouvrables (extensibles à 90).

2. Contrat type (article 38, paragraphe 2)

Pour les processeurs non-CIIO n'atteignant pas le seuil de 100 000, les transferts à l'étranger peuvent être effectués en utilisant les clauses contractuelles types approuvées par le CAC et publiées en février 2023. Exigences clés :

• Utiliser le modèle CAC SCC sans modification
• Déposer le CSC auprès du CAC provincial dans les 10 jours ouvrables suivant l'entrée en vigueur du contrat.
• Réaliser une évaluation d'impact sur la protection des informations personnelles (PIPIA) avant le transfert
• Tenir à jour les registres PIPIA et contractuels pendant 3 ans

3. Attestation (article 38, paragraphe 3)

Les transferts intragroupe entre entités affiliées peuvent bénéficier d’une certification par un organisme professionnel de protection des informations personnelles accrédité par le CAC. Le programme de certification PIPIA a été développé conjointement par le Comité technique national de normalisation de la sécurité de l'information (TC260) et le CAC.

Guide de sélection du mécanisme de transfert

Localisation des données pour les CIIO

Les opérateurs d'infrastructures d'informations critiques doivent stocker les informations personnelles et les « données importantes » collectées et générées en Chine en Chine (article 40). Le transfert transfrontalier de données collectées en Chine par les CIIO nécessite l'évaluation de sécurité CAC. Les CIIO sont définis au sens large par la CSL et les réglementations d'identification des CIIO spécifiques au secteur, couvrant l'énergie, les transports, l'eau, la finance, les services publics, l'administration électronique, la défense nationale et les opérateurs d'infrastructures Internet.

---

Obligations pour les processeurs à grande échelle

L'article 58 impose des obligations supplémentaires aux processeurs d'informations personnelles dont les services atteignent un grand nombre d'utilisateurs (seuil à déterminer par le CAC, mais communément compris comme étant de plus de 10 millions d'utilisateurs sur la base des directives du CAC) :

• Formuler des programmes et procédures de protection des informations personnelles **
• Mettre en place un mécanisme de contrôle externe avec supervision sociale
• Mener des audits de conformité réguliers de la protection des informations personnelles
• Effectuer des évaluations d'impact sur la protection des informations personnelles (PIPIA) avant de traiter des activités présentant des risques importants
• Accepter la supervision des autorités nationales compétentes
• Désigner un Délégué à la protection des informations personnelles (PIPO) responsable de la surveillance

---

Évaluations d'impact sur la protection des informations personnelles (PIPIA)

L’article 55 exige des PIPIA avant :

• Traitement des informations personnelles sensibles
• Utiliser PI pour la prise de décision automatisée
• Confier le traitement à des tiers, partager ou transférer des PI
• Divulguer publiquement les informations personnelles
• Virements transfrontaliers (obligatoires pour le mécanisme SCC)
• Autres activités de traitement ayant un impact significatif sur les personnes physiques

La documentation PIPIA doit être conservée pendant au moins 3 ans. Un PIPIA doit analyser :

• Si la finalité, la méthode et la portée du traitement sont conformes aux lois/réglementations
• Impact sur les droits individuels et degré de risque sécuritaire
• Si les mesures de protection sont légales, efficaces et proportionnées au risque

---

Notification de violation

L'article 57 exige que dès la découverte d'un incident de sécurité des informations personnelles (violation), les sous-traitants doivent immédiatement prendre des mesures correctives et en informer les autorités et les individus compétents. La notification doit inclure :

• Type d'informations personnelles divulguées, falsifiées ou perdues
• Causes et préjudice potentiel de l'incident
• Mesures correctives prises par le sous-traitant
• Mesures que les individus peuvent prendre pour atténuer les dommages
• Coordonnées du processeur

Chronologie : La loi dit « immédiatement » – Les directives du CAC indiquent que cela signifie dès que la violation est découverte pour notification interne et réglementaire. La notification individuelle devrait avoir lieu sans retard injustifié une fois la portée évaluée.

Lorsqu’il est peu probable que la violation nuise aux individus, le processeur peut enregistrer l’incident en interne au lieu d’en informer les individus (sous réserve d’un examen réglementaire).

---

Application et sanctions du CAC

L'Administration chinoise du cyberespace est la principale autorité chargée de l'application des PIPL, travaillant aux côtés des régulateurs du secteur (PBOC pour les données financières, NHSA pour les données de santé, etc.).

Sanctions administratives (article 66) :

• Avertissement et ordre de corriger
• Confiscation des gains illégaux
• Des amendes allant jusqu'à 1 million de RMB (140 000 USD) pour des violations moindres
• Des amendes pouvant aller jusqu'à 5 % du chiffre d'affaires annuel de l'année précédente en cas d'infractions graves
• Suspension ou cessation des activités (option nucléaire)
• Responsabilité personnelle des dirigeants : amendes pouvant aller jusqu'à 1 million de RMB, interdiction d'être administrateur/dirigeant de la société

Saisine pénale : Les violations mettant en cause la sécurité nationale ou constitutives d'infractions pénales sont déférées aux autorités de sécurité publique.

Mesures d'application notables :

• Didi Global (2022) : amende de 1,19 milliard de dollars pour violations graves de la sécurité des données réseau – la plus grande mesure coercitive liée au PIPL à ce jour
• BOSS Zhipin et Full Truck Alliance (2021) : Suspensions et enquêtes pour violations d'examen de cybersécurité liées aux inscriptions à l'étranger
• Enquêtes en cours du CAC sur des entreprises des secteurs de la fintech, de la santé et de l'Internet

---

Liste de contrôle de conformité PIPL

• Analyse d'applicabilité réalisée (opérations en Chine, utilisateurs chinois, portée extraterritoriale)
• Représentant/entité chinois désigné s'il s'agit d'une entité étrangère relevant du champ d'application du PIPL -[ ] Inventaire des informations personnelles terminé, y compris l'identification des informations confidentielles sensibles
• Base juridique documentée pour chaque activité de traitement (consentement pour la plupart)
• Mécanismes de consentement distincts mis en œuvre pour chaque finalité de traitement
• Consentement PI sensible obtenu séparément et explicitement
• Informations personnelles sur les enfants (de moins de 14 ans) identifiées — mécanisme de consentement parental mis en œuvre
• Avis de confidentialité préparé en chinois mandarin avec toutes les informations requises
• Procédures de droits des personnes concernées documentées (accès, rectification, suppression, portabilité, retrait)
• Évaluation du transfert transfrontalier terminée — mécanisme déterminé (évaluation CAC, SCC ou certification)
• PIPIA réalisée pour tous les transferts transfrontaliers (obligatoire pour le mécanisme SCC)
• CAC SCC déposé auprès du CAC provincial dans les 10 jours (si le mécanisme SCC est utilisé)
• Détermination CIIO terminée — localisation des données mise en œuvre le cas échéant
• Évaluation des obligations des processeurs à grande échelle (seuil de plus de 10 millions d'utilisateurs)
• PIPO désigné le cas échéant (transformateur à grande échelle)
• Les accords de sous-traitants tiers sont conformes au chapitre II du PIPL
• Mesures de sécurité mises en œuvre : cryptage, contrôle d'accès, surveillance
• Procédure de notification de violation documentée (réponse immédiate)
• Transparence décisionnelle automatisée et mécanismes de désinscription mis en œuvre

---

Questions fréquemment posées

Qu'est-ce qui rend les exigences chinoises en matière de transfert transfrontalier PIPL si difficiles ?

Trois facteurs : (1) Évaluation de sécurité obligatoire du CAC pour les transferts à grande échelle — le processus d'évaluation est long (plus de 60 jours ouvrables) et nécessite une documentation approfondie, y compris des évaluations des risques ; (2) Même pour les petits transferts utilisant des contrats standards, un PIPIA doit être complété et le contrat déposé auprès du CAC dans les 10 jours suivant la signature ; (3) Les volumes de données déclenchant l'évaluation obligatoire (100 000 individus/an) sont facilement dépassés par les entreprises de taille moyenne. Les multinationales ayant des activités en Chine doivent effectivement disposer de programmes de conformité PIPL dédiés aux flux de données transfrontaliers.

Comment le PIPL s'applique-t-il aux entreprises sans présence physique en Chine ?

L’article 3(2) applique la PIPL aux transformateurs étrangers fournissant des produits ou des services à des particuliers en Chine, ou analysant le comportement de particuliers en Chine. L'article 53 exige que ces sous-traitants désignent une entité ou une personne représentative en Chine et communiquent leurs coordonnées aux autorités compétentes. En pratique, tout site Web étranger avec un trafic chinois important, toute application avec des utilisateurs chinois ou toute plateforme d'analyse traitant les données des consommateurs chinois doivent se conformer au PIPL, y compris à l'exigence de représentation en Chine.

À quoi ressemble le processus d'évaluation de sécurité du CAC dans la pratique ?

L'évaluation de sécurité du CAC consiste à soumettre une demande détaillée par l'intermédiaire du CAC provincial (pour la plupart des entreprises) ou du CAC national (pour les CIIO). Les documents requis comprennent : le rapport d'auto-évaluation de l'évaluation de la sécurité de l'exportation des données, le contrat d'exportation PI, le rapport PIPIA et d'autres documents justificatifs. L'évaluation couvre : si l'objectif et la méthode d'exportation des données sont conformes à la loi ; si le pays du destinataire à l'étranger bénéficie d'une protection adéquate ; les risques pour les droits individuels dus au transfert ; et l'adéquation des protections contractuelles. L'évaluation prend 60 jours ouvrables (extensible à 90 pour les cas complexes). De nombreuses entreprises multinationales ont constaté que ce processus prenait en pratique de 6 à 12 mois.

Comment PIPL interagit-il avec la loi chinoise sur la sécurité des données (DSL) ?

PIPL et DSL fonctionnent en tandem. PIPL se concentre sur la protection des informations personnelles. Le DSL régit toutes les données (y compris les données non personnelles) en fonction de leur importance en matière de sécurité nationale et économique, avec un système de classification à plusieurs niveaux allant des « données générales » aux « données de base de l'État ». La DSL exige que tout traitement de données soit conforme aux exigences de classification des données, aux restrictions de traitement des données critiques et aux règles de transfert transfrontalier pour les « données importantes ». Les données critiques (重要数据) ont leurs propres exigences d'évaluation des transferts transfrontaliers dans le cadre de la DSL. Les entreprises multinationales en Chine doivent évaluer leur conformité à la fois au PIPL (pour les données personnelles) et au DSL (pour toutes les données, y compris les données commerciales classées comme critiques).

Existe-t-il des exigences PIPL spécifiques au secteur ?

Oui. Plusieurs régulateurs sectoriels ont publié des réglementations alignées sur le PIPL ou complémentaires : la Banque populaire de Chine (PBOC) a des exigences en matière de protection et de transmission des données financières ; la National Health Security Administration (NHSA) réglemente les données de santé ; le ministère de l'Industrie et des Technologies de l'information (MIIT) réglemente la collecte de données sur les applications mobiles avec des listes spécifiques de pratiques de collecte de données interdites. Le TC260 (Comité technique national de normalisation de la sécurité de l'information) a publié le GB/T 35273 (Spécifications de sécurité des informations personnelles) en tant que norme technique volontaire mais largement référencée. Les entités réglementées par secteur doivent se conformer à la fois au PIPL et à leurs exigences spécifiques au secteur.

---

Prochaines étapes

Le PIPL chinois fait partie des cadres de protection des données les plus exigeants au monde, en particulier pour les opérations de données transfrontalières. La combinaison d'un traitement axé sur le consentement, de mécanismes de transfert transfrontaliers stricts, de la localisation des données pour les CIIO et de l'application active du CAC fait de la conformité PIPL un risque au niveau du conseil d'administration pour toute organisation ayant une exposition significative à la Chine.

L'équipe d'ECOSIRE peut vous aider à concevoir des architectures de données conformes au PIPL, à mettre en œuvre la gestion du consentement pour les utilisateurs chinois, à mener des PIPIA et à naviguer dans le processus de sélection du mécanisme de transfert transfrontalier.

Commencez : Services ECOSIRE

Avertissement : ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Le paysage réglementaire chinois en matière de protection des données évolue rapidement. Consultez un conseiller juridique qualifié agréé en Chine pour obtenir des conseils spécifiques à votre organisation et à vos activités.