La Chine Populaire serait-elle brusquement devenue un grand État protecteur des individus ? A la première lecture de la grande loi sur la protection de la vie privée en ligne, la Personal Information Protection Law (ou PIPL, adoptée le 20 août 2021), qui entrera en vigueur le 1er novembre 2021, on pourrait le penser.
On retrouve dans la PIPL la plupart des principes du RGPD, à commencer par les conditions de licéité, de loyauté et de transparence dans la collecte et le traitement des données à caractère personnel ou encore les droits d'accès, de copie, de rectification, d'effacement... des données. Les données sensibles (biométriques, religieuses, médicales, de santé ou encore concernant les mineurs de moins de 14 ans...) bénéficient d'une protection renforcée. L'objectif est ici de mettre fin à certaines pratiques courantes en Chine, à l'exemple de la discrimination algorithmique qui permet d'adapter le prix des produits ou services vendus en ligne à certaines données concernant le consommateur, par exemple son historique internet ou sa localisation géographique.
La PIPL est également, comme le RGPD, d'application extraterritoriale. Elle vise tous les traitements de données à caractère personnel sur le territoire de la République populaire de Chine mais aussi tous ceux qui, à partir de l'étranger, permettent de « fournir des produits ou des services à des personnes physiques » en Chine ou « d'analyser et d'évaluer le comportement des citoyens chinois. Le texte prévoit l'obligation d'avoir une représentation en Chine, soit un bureau dédié, soit un représentant désigné, pour veiller à l'application de la loi. C'est ici l'équivalent du représentant de l'UE prévu par le RGPD.
Commentaire