Le RGPD chinois entre en vigueur : les données personnelles, c'est chacun sa sauce !

En 2016, le règlement général sur la protection des données personnelles (RGPD) est entré en vigueur. En 2020, c’est au tour du Californie Consumer Privacy Act (CCPA) de montrer le bout de son nez. En 2021, place au gouvernement Chinois qui s’inscrit dans cette logique en adoptant la loi sur la protection des informations personnelles (PIPL) - entrée en vigueur au début du mois. Retour sur ce mouvement impulsé par l’Europe : le PIPL et le CCPA sont-ils des équivalents au RGPD ?

Avant même de parler d’équivalence, rappelons que le modèle économique des géants de l’Internet américain et chinois repose sur l’exploitation des données personnelles des consommateurs. D’ailleurs, le PDG du principal moteur de rechercher chinois a déclaré que les chinois étaient prêts à « échanger leur vie privée contre du confort, de la sécurité et de l’efficacité ». Dans un schéma sémantique, ces visions ne se concilient donc pas avec la philosophie même du RGPD.

En matière de définition des données personnelles, l’article 4 du PIPL se rapproche de la vision du RGPD : « toutes sortes d’informations, enregistrées par voie électronique ou par d’autres moyens, relatives à des personnes physiques identifiées ou identifiables, à l’exclusion des informations après traitement de l’anonymisation ». Du côté Californien, dans un premier temps, la définition ne s’éloigne pas de celle du PIPL et du RGPD. Dans un second temps, elle mentionne les personnes visées à savoir « un consommateur et un ménage en particulier ». Le champ de protection du CCPA est donc plus restreint.

En ce qui concerne le champ d’application, le RGPD et le PIPL se rejoignent à nouveau. Ils ont tous les deux une portée extraterritoriale c’est à dire qu’ils s’appliquent aux responsables de traitement ou aux sous-traitants établis dans leur zone d’application mais aussi à ceux dont les activités concernent des personnes dans leur zone d’application. Le CCPA, quant à lui, fait marche seul. Il n’est applicable qu’aux entreprises opérant en Californie.

Certains grands principes se retrouvent dans les trois textes comme par exemple le droit de demander la communication des données déjà collectées et le droit de demander la suppression de données collectées. En revanche, le CCPA s’éloigne à nouveau de ses homologues Européens et Chinois puisqu’il ne mentionne ni les données sensibles ni la création d’un délégué à la protection des données personnelles.

En terme de sanctions, le RGPD, le PIPL et le CCPA s’entendent : la facture peut-être lourde ! D’abord, pour le RGPD, le montant des sanctions pécuniaires peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel. Ensuite, pour le PIPL, le montant peut aller jusqu’à 6 millions d’Euros (50 millions de yuans) ou 5% du chiffre d’affaires annuel. Enfin, pour le CCPA, les montants varient en fonction du nombre d’infractions. Ils s’élèvent jusqu’à 2 500$ par infraction et 7 500 $ par infraction intentionnelle. Attention, il ne faut pas sous-estimer ces montants qui peuvent être salés. Le PIPL ajoute une petite spécificité, et non des moindres puisque la sanction pécuniaire peut se transformer en suspension ou en résiliation des services de l’entreprise. Ça ne plaisante pas !

Ah que la vie est belle, le RGPD et le PIPL semblaient si proches - s’éloignant du CCPA, et pourtant ce n’est qu’un leurre puisque l’Etat chinois n’est pas soumis aux dispositions de la PIPL …

Si le CCPA est à l’ouest, le PIPL est bien à l’est et le RGPD reste une référence !

Lorène Gérard