LEBIGDATA.FR I.A, Cloud & Cybersécurité
La PIPL (Personal Information Protection Law) est une loi de protection des données adoptées par la Chine, similaire au RGPD de l'Union européenne. Découvrez tout ce que vous devez savoir sur cette réglementation, et comment mettre votre entreprise en conformité si vous traitez des données personnelles de citoyens chinois.
En mai 2018, l'Union européenne adoptait le Règlement Général pour la Protection des Données (RGPD). Ce règlement fixe des contraintes aux entreprises, afin de protéger la confidentialité des données des citoyens européens.
A présent, c'est au tour de la Chine d'adopter sa loi de protection des données : la Personal Information Protection Law (PIPL). Cette loi a été adoptée au début du mois de novembre 2021.
L'objectif affiché est d'avancer vers un standard mondial pour les droits à la confidentialité. Toutefois, certains y voient un outil visant à mieux contrôler et dissimuler les données…
Avec la loi PIPL, 1,4 milliard d'individus profiteront d'une transparence accrue et d'un meilleur contrôle de leurs données personnelles. Le nombre de personnes disposant de ces droits à la confidentialité va donc doubler pour atteindre trois milliards. D'ici 2023, ceci devrait concerner 5 milliards de personnes totalisant 70% du PIB mondial.
Quelles sont les règles du PIPL ?
Les entreprises traitant des données collectées en Chine devront se plier à de nouvelles contraintes. Le but étant de soutenir le droit à la confidentialité des citoyens. Les organisations devront réaligner leur stratégie concernant le stockage, le traitement, et le partage des données personnelles.
Le PIPL est très similaire au RGPD. Les règles sont divisées en trois catégories : informelle, correctives et restrictives. Les citoyens ont désormais le droit de réclamer une copie de leurs données, de demander leur correction en cas d'erreur, d'exiger leur suppression et de contrôler la façon dont elles sont utilisées. Il sera par exemple possible de refuser que les données soient utilisées pour la prise de décision basée sur l'IA.
Les règles de résidence des données s'appliquent sur toutes les données collectées en Chine et pouvant être transférées vers d'autres pays. Différents niveaux de précaution sont exigés en fonction de la sensibilité et du volume de données.
Il est obligatoire de maintenir un certain niveau de contrôle sur les données et de recueillir le consentement du consommateur. Seules certaines données font exception, lorsque le transfert est indispensable.
L'obligation de contrôle sur les données n'est pas vraiment une nouveauté pour les entreprises implantées en Chine. Pour cause, les transferts d'informations vers l'étranger étaient déjà soumis à un processus de certification requis par le Multi-Level Protection Scheme (MLPS) adopté par la Chine fin 2019.
En revanche, la demande de consentement représente un véritable casse-tête pour les entreprises. Même si une minorité d'individus s'opposent au transfert de leurs données, il sera nécessaire d'établir des infrastructures locales de stockage et de calcul.
Malgré les difficultés liées à la compréhension de la PIPL, les entreprises devraient être guidées par les organes régulateurs. La transition devrait donc être similaire à celle induite par le RGPD en 2018.
Néanmoins, cette loi comporte plusieurs différences avec le RGPD. Même si cette loi autorise le traitement de données dans un cadre contractuel ou d'obligation légale, le concept d'intérêt légitime est absent et il sera généralement nécessaire de recueillir le consentement du consommateur.
Comment conformer votre entreprise à la PIPL ?
Pour vous conformer à la PIPL, vous devez vous focaliser sur la confidentialité de l'expérience utilisateur et sur la résidence des données. Une UX confidentielle sera nécessaire pour répondre aux exigences légales et pour améliorer la confiance du consommateur et recueillir plus facilement son consentement.
L'expérience devra donc offrir une transparence totale quant à la collecte des données, et permettre l'accès à toutes les options d'exercice des droits et de gestion du consentement.
Concernant la résidence des données, les organisations devront allouer un budget à la gouvernance locale et au déploiement de technologies en Chine. Cette condition va devenir impérative pour entrer sur le marché ou s'y étendre.
- Partager l'article :
merci pour l’article.
En complément : il est à noté que certains hyperscalers fournissent déjà des infra permettant d’échanger des données entre la chine et l’Europe (alibaba cloud par exemple le fait pour nous chez Scal-e). Permettant ainsi aux marques d’héberger leurs outils en chine et en Europe et de ne partager que les données « consenties ». Permettant ainsi à de nombreuses marques de luxe d’identifier un client chinois dans une boutique sur Paris grâce à sa carte de fidélité chinoise ou bien de gérer des campagnes mobile-to-store grace à des mini programmes WeChat.