4 choses à savoir sur la nouvelle loi chinoise sur la sécurité des données

Les ambiguïtés abondent, mais la législation prévoit un cadre un peu plus clair concernant le stockage et le traitement des données personnelles.

Le Congrès national du peuple chinois a approuvé jeudi une nouvelle loi sur la sécurité des données, définissant pour la première fois la législation du pays pour le traitement des données des utilisateurs. La loi entrera en vigueur le 1er septembre et elle a été décrite par les médias étrangers comme un « nouveau jeu de pouvoir » pour freiner les entreprises technologiques ainsi qu’une « nécessité » par les médias d’État.

Voici quatre points clés de la législation qui montrent comment la loi changera la gestion des données personnelles en Chine.

#1 : Les « données importantes » doivent être définies par le gouvernement central

Le sens de « important » n’était pas tout à fait clair auparavant, donc l’APN confie la responsabilité de définir le terme sur les épaules du gouvernement central chinois. Toute entreprise qui envoie des « données importantes » à l’étranger sera passible d’amendes de 100 000 à 10 millions de RMB, ou de 15 600 à 1,56 million de dollars. Les autorités peuvent également révoquer sa licence commerciale.

#2 : Les gouvernements central et locaux superviseront les « données de base de l’État »

Voici un autre terme qui doit être défini : les « données d’état de base » font référence à toutes les données ou informations collectées à des fins publiques. Mais cela ne signifie pas que tout réside sur des serveurs appartenant à l’État ; certaines des données pourraient en fait être détenues par des entreprises privées. Les codes QR de santé développés par Ant Group et Tencent au plus fort de la pandémie en Chine en sont un exemple.

Les amendes pour mauvaise gestion des « données d’État essentielles » sont plus lourdes, allant de 2 à 10 millions de RMB, soit 312 600 à 1,56 million de dollars. Et, encore une fois, les autorités peuvent également révoquer les informations d’identification commerciales des transgresseurs.

#3 : Il existe un mécanisme pour les sorties de données, mais la voie n’est pas claire

L’article 11 laisse ouverte la possibilité de transférer des données vers des entités étrangères, bien qu’il n’indique pas si cela s’applique au secteur privé ou aux gouvernements étrangers. Le processus d’évaluation n’est pas défini et il n’est pas clair comment cela pourrait se dérouler. Ce qui est clair, c’est que les entités du secteur privé ne sont pas autorisées à fournir des données stockées en Chine à des organes judiciaires étrangers ou à des organismes chargés de l’application des lois sans l’approbation explicite de l’État.

#4 : C’est la première étape de la définition des données « sensibles » et « non sensibles » aux yeux de l’État chinois

The state will conduct “data security reviews” and “national security reviews of data handling activities,” although the law does not indicate which government agency will oversee the processes.

There are still many vague points regarding the exact execution of this new legislation. The matter of consumers’ control over the data they generate has been a recent topic of contention. When the owner of a Tesla vehicle that crashed staged her protest at Shanghai Auto in April, one worry stated by her spouse was that Tesla may modify the data stored in its system and skew the conclusions in an investigation into the reason of the collision.

The Chinese government has also restricted the types of data that automotive companies can collect, reshaping how car-related R&D takes place within China overnight.

Author: Brady Ng, KrAsia

You might also like