Cinq ans après la promulgation de la loi sur la cybersécurité de la Chine, en octobre 2020, la proposition de loi sur la protection des informations personnelles a été soumise à la délibération du Comité permanent de l’Assemblée nationale populaire (ANP). Elle est aussi publiée sur le site de l’ANP pour pouvoir la consulter.
La proposition de la nouvelle loi chinoise contient 8 chapitres : dispositions générales, règles de traitement des informations personnelles, règles de la fourniture transfrontalière des informations personnelles, droits de la personne concernée pendant le traitement, responsabilité du responsable du traitement, autorité de la protection des informations personnelles, sanctions et dispositions finales.
Il est facile de voir que la loi chinoise sur la protection des informations personnelles présente de nombreuses similitudes avec le RGPD de l’UE en termes de cadre, de contenu et de techniques législatives. Par exemple, dans les chapitres 1 et 2, le régime de protection est construit sur le mécanisme du « consentement éclair », et sur les mêmes concepts clés du RGPD tels que la donnée personnelle, le traitement des données…
Il y a encore des différences très intéressantes entre la nouvelle loi chinoise et le RGPD. Tout d’abord, la loi chinoise ne distingue pas le responsable du sous-traitant. Elle ne s’intéresse qu’au responsable.
Ensuite, dans la section de « Règles de traitement des informations personnelles sensibles », la donnée personnelle sensible est définie comme un type de donnée dont la divulgation ou l’usage illégal entraînera une discrimination à l’encontre d’un individu ou une atteinte grave à la sécurité de la personne ou des biens. Suivant la définition, le législateur énumère 7 genres des données personnelles sensibles : l’origine raciale ou ethnique, les convictions religieuses, des données biométriques, des données concernant la santé, comptes financiers et localisation personnelle.
Évidemment, la vie sexuelle ou l’orientation sexuelle d’une personne physique, et l’opinion politique ou philosophique ne sont pas évoquées dans l’article à cause de la culture chinoise. En Chine, l’orientation sexuelle ou une réforme politique comme celle de 1978 n’est pas encore ouverte à la discussion, ni par le public, ni par le législateur.
Certains articles reflètent l’ambition du gouvernement ou la critique envers des réalités de la société (comme par exemple, le système de recommandation et la reconnaissance faciale présente partout en Chine).
- L’article 38 prévoit que le responsable de traitement ne peut pas fournir des informations personnelles à l’étranger, sauf si le bénéficiaire est évalué par l’autorité de la cyberspace et l’information chinoise selon une série d’examens sur sa qualification, ses actionnaires… Cet arrangement indique très bien la souveraineté chinoise du cyberespace devant la scène internationale. Toutes les coopérations internationales, comme la lutte contre la cybercriminalité, devraient la respecter.
- L’article 25 dispose que les individus ont le droit de refuser les décisions individuelles automatisées en lien avec le marketing et la recommandation système.
- Enfin, l’article 27 prévoit que l’installation d’équipements d’acquisition d’images et d’identification personnelle dans les lieux publics doivent être accompagnés d’une signalisation bien visible. La nécessité de sécuriser et maintenir l’ordre public doit justifier l’utilisation de la reconnaissance faciale.
En Chine, l’abus de la reconnaissance faciale est devenu un grand problème. Dans les universités, les étudiants doivent passer la reconnaissance faciale pour entrer en classe ou dans les dortoirs. Les habitants non autorisés de certains micro-districts ne peuvent pas y entrer à cause du système de reconnaissance. De même, dans le cadre d’une vente immobilière, les agents immobiliers utilisent la caméra afin d’analyser la condition sociale et financière de l’acheteur, pour réaliser une discrimination automatique par les prix (augmenter le prix de l’appartement lorsque l’acheteur est perçu comme un riche). La nouvelle loi va réglementer et interdire efficacement ces violations de la vie privée des citoyens.
En résumé, la nouvelle loi chinoise a pris exemple sur le RGPD, étant rédigée sous l’influence de l’Europe. Il découle donc une gouvernance prometteuse de la mondialisation par le Droit mentionnée par Mireille Delmas-Marty : un état de droit mondial sans État mondial. Cependant, c’est aussi un RGPD made in China, relatif à l’espérance, la prévoyance, les risques et le courage vers une nouvelle époque informatique.
Liwei ZHANG
Master 2 Cyberjustice – Promotion 2020/2021
Sources :
http://www.npc.gov.cn/npc/c30834/202006/e16f8d15c9194d799fa50faa2dc97683.shtml
https://www.thepaper.cn/newsDetail_forward_10134166
http://gxt.fujian.gov.cn/xw/gjdt/202005/t20200527_5277849.html