La nouvelle de l'adoption de la loi a été rapportée pour la première fois par le média chinois Xinhua. La PIPL est une réglementation sur l'utilisation par les entreprises technologiques des données à caractère personnel qui a été proposée l'année dernière, marquant l'intention des dirigeants communistes chinois de réprimer la collecte de données sans scrupules dans la sphère commerciale en imposant des restrictions légales à la collecte de données sur les utilisateurs. Elle intervient un peu plus de trois ans après l'entrée en vigueur du RGPD de l'UE et environ un an après le vote de la CCPA (California Privacy Rights Act) en Californie.
Principalement, la PIPL impose aux responsables du traitement des données d'obtenir le consentement des personnes concernées afin de pouvoir traiter des types de données sensibles, telles que les données biométriques, médicales et sanitaires, les informations financières et les données de localisation. Les applications qui traitent illégalement les données des utilisateurs risquent de voir leur service suspendu ou résilié. Les entreprises occidentales qui font des affaires en Chine et traitent des données personnelles de citoyens doivent faire face à la juridiction extraterritoriale de la loi, comme cela a été le cas dans l'UE avec le RGPD.
Cela signifie que les entreprises étrangères seront confrontées à des exigences réglementaires telles que la nécessité de désigner des représentants locaux et de faire rapport aux agences de surveillance en Chine. En effet, selon les spécialistes, en apparence, les éléments fondamentaux de la PIPL reflètent des exigences intégrées depuis longtemps au RGPD et confèrent aux citoyens un ensemble complet de droits sur leurs données à caractère personnel, y compris une exigence aussi élevée en matière de consentement au traitement de ce que la législation européenne appelle les "données de catégorie spéciale".
Cela comprend notamment les données relatives à la santé (bien qu'il existe ailleurs des différences quant aux informations personnelles considérées comme les plus sensibles par les lois respectives sur les données). Mais ces derniers estiment que le contexte dans lequel la loi chinoise sur la protection des données s'appliquera est très différent, notamment en raison de la manière dont l'État chinois utilise une vaste opération de collecte de données pour surveiller et contrôler le comportement de ses propres citoyens. Une grande majorité des services publics chinois s'adonnent actuellement à une collecte massive des données personnelles.
Ainsi, d'après les analystes, toute limite que la PIPL pourrait imposer à la capacité des services gouvernementaux chinois à collecter des données sur les citoyens - les organes de l'État étaient couverts dans les versions préliminaires de la loi - pourrait n'être qu'une façade destinée à fournir une feuille de route pour la poursuite de la collecte de données par l'appareil de sécurité de l'État du PCC tout en consolidant davantage son contrôle centralisé sur le gouvernement. En outre, ils disent également qu'il reste à voir la façon dont le PCC pourrait utiliser la PIPL pour mieux réguler - certains diront apprivoiser - le pouvoir du secteur technologique national.
L'on estime que le PCC s'est attaqué à ce secteur de plusieurs manières, en utilisant les modifications réglementaires comme moyen de pression sur des géants de la Tech comme Tencent. À titre d'exemple, au début du mois, Pékin a intenté une action civile contre le géant de la technologie, au motif que le mode jeunesse de son application de messagerie WeChat n'est pas conforme aux lois protégeant les mineurs. Selon les critiques de la nouvelle réglementation chinoise, la PIPL offre au régime chinois une surface d'attaque supplémentaire pour imposer des restrictions aux entreprises technologiques locales.
Par ailleurs, ils estiment que la PIPL s'attaque aussi aux pratiques d'exploration des données qui sont courantes chez les géants occidentaux de la technologie, mais qui semblent désormais devoir faire face à des frictions croissantes si elles sont déployées par des entreprises en Chine. Selon un rapport Reuters, l'Assemblée nationale populaire a marqué l'adoption de la loi en publiant un éditorial du People's Court Daily, un média d'État, qui salue la législation et demande aux entités qui utilisent des algorithmes pour la "prise de décision personnalisée" - comme les moteurs de recommandation - d'obtenir d'abord le consentement de l'utilisateur.
« La personnalisation est le résultat du choix de l'utilisateur, et les véritables recommandations personnalisées doivent garantir la liberté de choix de l'utilisateur, sans contrainte. Par conséquent, les utilisateurs doivent avoir le droit de ne pas faire usage des fonctions de recommandation personnalisée », indique l'éditorial. Bien sûr, le ciblage algorithmique suscite de plus en plus d'inquiétudes en dehors de la Chine également. En Europe, les législateurs et les régulateurs ont demandé des restrictions plus strictes sur la publicité comportementale.
Dans le même temps, l'UE est en train de négocier une série de nouvelles réglementations numériques qui étendront son pouvoir de régulation du secteur, dont les propositions de loi sur les marchés numériques et sur les services numériques. Selon les analystes, qu'il s'agisse du RGPD, de la CCPA ou de la PIPL, tout ceci montre que la réglementation de l'Internet est clairement le nouveau champ de bataille géopolitique, les régions se disputant pour façonner l'avenir des flux de données en fonction de leurs objectifs économiques, politiques et sociaux respectifs.
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la loi chinoise sur la protection des données personnelles ?
Pensez-vous que la PIPL est une façon pour Pékin d'encadrer sa collecte massive des données personnelles ?
Pensez-vous que Pékin pourrait utiliser la PIPL pour sévir contre les entreprises étrangères en représailles aux traitements subis par les sociétés chinoises, surtout aux États-Unis ?
Voir aussi
L'Assemblée nationale adopte en nouvelle lecture le projet de loi RGPD, après un échec de la commission mixte paritaire la semaine passée
La Californie adopte une loi sur la protection de la vie privée qui rendra plus difficile pour Facebook et Google de suivre les utilisateurs et de recueillir leurs données personnelles
La Silicon Valley terrifiée par la loi californienne sur la vie privée estime que les consommateurs sont trop simples d'esprit pour comprendre des lois qui changeraient suivant le lieu de résidence
Trois ans après son lancement le RGPD est-il le nouveau modèle économique de la conformité ? Par Jean-Pierre Boushira, VP South, Benelux and Nordics chez Veritas Technologies