La version définitive du PIPL (Personal Information Protection Law), nouvelle loi chinoise sur la protection des données personnelles sur Internet, a été adoptée aujourd’hui 20 août par le comité permanent de l’Assemblée populaire, le parlement chinois. Elle dote la Chine, pour la première fois, d’un corps de règles unifié dans ce domaine qui intéresse tout autant les acteurs chinois que les acteurs étrangers.
Réputée inspirée du RGPD européen, le PIPL complète l’arsenal de régulation du marché florissant du e-commerce et resserre le contrôle sur les pratiques de ses acteurs. Et elle dote l’Internet mondial d’un troisième grand bloc de régulation, comme l’avait signalé dans nos colonnes Michel Beaugier, président du comité Asie des Conseiller du commerce extérieur (CCE), dans un article publié fin juillet*.
Le PIPL instaure notamment l’obligation de consentement volontaire de l’Internaute à la collecte de ses données personnelles par les sites Internet qu’ils utilisent, oblige les acteurs de l’Internet à réduire les renseignements qu’ils collectent et restreint leur utilisation à des fins commerciales ou marketing.
Selon Reuter, qui cite des sources officielles, la loi stipule ainsi que le traitement des données personnelles doit avoir une finalité claire et raisonnable et doit être limité à la « portée minimale nécessaire pour atteindre les objectifs du traitement » des données.
Elle exige également que des responsables de la protection des données soient nommés dans toutes les entreprises de l’Internet et que celles-ci mènent des audits réguliers de leur de leur degré de conformité à la nouvelle législation.
Mettre de l’ordre dans le marché
D’après de nombreux observateurs de la presse économique, la nouvelle loi vise d’abord à mettre de l’ordre dans le marché, véritable eldorado du marketing et du e-commerce** peu régulé jusqu’à présent sur cet aspect, marqué par une explosion des pratiques abusives et escroqueries ces dernières années. Il répond ainsi aux attentes de régulation des consommateurs chinois. Il vise aussi à doter la Chine, à l’échelle mondiale, de législations répondant aux arsenaux américains et européens.
Seront ainsi désormais interdite « l’utilisation de données personnelles à des fins de profilage des utilisateurs », selon les termes d’un porte-parole du Parlement rapportés par l’agence de presse Chine nouvelle. De même, selon la même source, sera proscrite la « discrimination algorithmique ».
Cette dernière est une pratique courante chez les e-commerçants chinois et consiste à proposer, pour le même produit ou service, des prix différents aux consommateurs en fonction de leur historique d’achat. Notre confrère Les Echos cite l’exemple de la société de livraison à domicile Meituan, qui a été accusée de moduler ses tarifs en fonction des profils des clients.
Restriction aux transferts de données à l’étranger
Sur le plan international, le PIPL restreint fortement les possibilités de circulation internationale des données au-delà des frontières, et donc dans le Cloud, en interdisant le transfert des informations personnelles des citoyens chinois vers des pays dont les normes dans ce domaine sont inférieures à celle la Chine.
De quoi laisser aux autorités chinoises une large marge de manoeuvre pour réguler et freiner les activités des plateformes étrangères sur le marché chinois, notamment américaines.
Car si l’Union européenne s’est dotée des RGPD, les États-Unis, pour leur part, ne sont pas encore dotés d’une législation fédérale sur la protection des données personnelles et ont eu une approche plutôt sécuritaire dans ce domaine*.
Le PIPL complète un arsenal chinois déjà doté une loi sur le sécurité des données dont l’entrée en vigueur est prévue le 1er septembre et qui règlemente la manière dont les opérateurs doivent classer les données qu’ils collectent au regard de la sécurité nationale du pays. De là à considérer que cet arsenal est aussi une réponse chinoise à l’offensive américaine, engagée ces dernières années, contre les géants chinois des nouvelles technologies (Huawaï…) dans le contexte de l’arrivée de la 5G, il n’y a qu’un pas qu’il est difficile de ne pas franchir…
Le PIPL doit entrer en vigueur le 1er novembre prochain. Une chose est certaine : les acteurs de l’eldorado chinois du e-commerce vont devoir se mettre en règle.
C.G
*Relire : Le Cloud, nouveau terrain d’une guerre internationale sans merci.
**Nous recommandons la lecture de notre numéro spécial paru en avril 2021 E-commerce, les nouvelles routes de l’export.