La Chine prépare le premier projet de loi sur la protection des informations personnelles

  • FrançaisFrançais


  • Au cours des dernières années, la Chine est notoirement connue pour trouver des moyens de violer la confidentialité des données des utilisateurs. Cependant, dans un pas vers le renforcement de sa position à l’égard des données individuelles, la Chine a annoncé le premier projet de loi sur la protection des informations personnelles (PIPL). Cette loi fait partie des trois lois fondamentales sur la cybersécurité et la protection des données que détient la Chine, les deux autres êtres: la loi sur la cybersécurité et la loi sur la sécurité des données (qui est également dans la version provisoire).

    Disséquer la loi sur la protection des informations personnelles

    Le projet de version du PIPL se compose de huit chapitres et de 70 articles, couvrant des sujets tels que le traitement des informations personnelles, le transfert de données transfrontalier, les droits des individus à traiter des données, etc.

    Différents types d’informations enregistrées dans des formats électriques ou autres liés à des personnes identifiées et identifiables sont appelées informations personnelles dans PIPL. Certaines des principales dispositions du projet de PIPL sont mentionnées ci-dessous:

    Départements exerçant la protection des renseignements personnels

    Conformément au projet de PIPL, l’Administration du cyberespace de Chine (CAC), le Département du Conseil d’État et le département compétent du gouvernement local au niveau du comté ou au-dessus sont tous responsables de la protection des informations personnelles.

    Champ d’application

    Les dispositions du projet de PIPL indiquent que cette loi peut être applicable en dehors de la Chine dans la mesure nécessaire pour protéger les intérêts des citoyens chinois. Le projet de PIPL entre également en vigueur lorsque le but du traitement des données en dehors de la Chine est de fournir des produits ou des services à des personnes en Chine ou d’analyser leur comportement en Chine.

    Les sept piliers du traitement des données

    Le projet de PIPL est basé sur sept principes de protection des données, y compris la légalité, l’objectif explicite, la nécessité minimale, la transparence, l’exactitude, la responsabilité et la sécurité des données. Regardons-les de plus près.

    1. Consentement et exceptions au consentement

    En vertu de la PIPL, un sous-traitant peut traiter des données à caractère personnel sur la base:

    1. Consentement de l’individu.
    2. La nécessité d’exécuter ou d’exécuter un contrat.
    3. La nécessité d’exécuter une obligation légale ou une obligation légale.
    4. Une réponse à un événement de santé publique d’urgence ou la nécessité de protéger la sécurité de la vie et des biens d’une personne.
    5. La publication de nouvelles et le contrôle par l’opinion publique dans l’intérêt public dans un cadre raisonnable.
    2. Traitement conjoint des données et traitement des données par mandat

    Dans le cas où les sous-traitants traitent ensemble des informations personnelles, les coprocesseurs assumeront également la responsabilité conjointe en cas de violation des intérêts personnels.

    Lorsqu’un sous-traitant confie à un tiers le traitement des informations personnelles, les deux parties doivent signer un accord qui inclut la finalité du traitement des données, le mode de traitement, les types d’informations personnelles traitées, les mesures de protection et les droits et responsabilités des deux parties.

    3. Fourniture d’informations personnelles à un tiers

    Lorsqu’il fournit des informations personnelles à un tiers, un sous-traitant est tenu d’informer la personne concernée de l’identité et des coordonnées du tiers, de la finalité du traitement des données, du mode de traitement et du type d’informations personnelles couvertes, comme ainsi que d’obtenir le consentement séparé de la personne concernée.

    4. Informations personnelles sensibles

    Le projet de PIPL prévoit davantage de restrictions sur le traitement des informations personnelles sensibles. Les informations personnelles sensibles sont définies comme des informations qui, une fois divulguées ou utilisées de manière abusive, peuvent nuire à la réputation personnelle ou mettre gravement en danger la sécurité des personnes et des biens, et comprennent la race, la nationalité, la religion, les informations biométriques, la santé, le compte financier, la localisation personnelle et d’autres informations. Le traitement des informations personnelles sensibles n’est autorisé que si le responsable du traitement des données à caractère personnel a une finalité spécifique et une nécessité suffisante, et obtient un consentement séparé ou un consentement écrit des personnes concernées.

    Le responsable du traitement des données informe également la personne concernée de la nécessité de traiter des informations personnelles sensibles et de leur impact sur la personne concernée.

    5. Image personnelle collectée par l’équipement installé en public

    Une image personnelle et des informations personnellement identifiables collectées par acquisition d’images et un dispositif d’identification personnelle installé en public ne peuvent être utilisées que dans le but de maintenir la sécurité publique et ne peuvent être divulguées ou fournies à des tiers, sauf si le consentement est obtenu de l’individu ou autrement fourni par les autorités compétentes. lois et règlements.

    6. Transfert transfrontalier d’informations personnelles

    Le projet de PIPL prévoit trois méthodes pour les transferts transfrontières de renseignements personnels. En général, les transferts transfrontaliers d’informations personnelles sont certifiés par des institutions reconnues, ou le responsable du traitement des données signe un accord de transfert transfrontalier avec le destinataire situé en dehors de la Chine et s’assure que le traitement répond à la norme de protection prévue dans le projet de PIPL. . Lorsque le processeur de données est classé comme opérateur d’infrastructure d’information critique («CII») ou que le volume de données traitées par le sous-traitant dépasse le niveau stipulé par le CAC, le transfert transfrontalier d’informations personnelles doit passer une évaluation de sécurité menée par le CAC.

    En cas de transfert transfrontalier d’informations personnelles, le sous-traitant informe les personnes concernées de l’identité et des coordonnées de la partie destinataire à l’étranger, de la finalité du traitement des données, du mode de traitement, du type d’informations personnelles à traiter, et la manière dont les personnes concernées peuvent exercer leurs droits prévus dans le projet de PIPL, ainsi que pour obtenir le consentement séparé des personnes concernées.

    sept. Droits des individus concernant le traitement des données

    Les individus ont le droit de savoir, le droit de décider et le droit de limiter ou de s’opposer au traitement de leurs informations personnelles par des tiers. Ils ont également le droit d’accéder et de copier leurs informations personnelles auprès des sous-traitants et le droit de demander aux sous-traitants de corriger ou de compléter leurs informations personnelles. Dans certaines circonstances, les individus ont le droit de demander la suppression de leurs informations personnelles, le droit de retirer leur consentement et le droit de demander que le sous-traitant explique les règles de traitement.

    Le sous-traitant établit le mécanisme permettant à la personne concernée d’exercer ses droits.

    Responsabilités légales

    Le projet de PIPL élargit la gamme des sanctions au-delà de celles prévues dans la loi chinoise sur la cybersécurité. En plus de la rectification, de la confiscation des gains illégaux, des avertissements, des pénalités inférieures à 1 million de RMB, des suspensions d’activité, des arrêts d’activité pour rectification et de la révocation des permis ou des licences commerciales pertinents en vertu de la loi sur la cybersécurité, le projet de la PIPL stipule également que dans les cas graves cas, les processeurs de données sont également passibles d’amendes inférieures à 50 millions de RMB ou inférieures à 5% des revenus de l’année précédente.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *