Comprendre la loi chinoise sur la protection des informations personnelles

La loi chinoise sur la protection des informations personnelles (PIPL), entrée en vigueur le 1er novembre 2021, est l’un des règlements de protection des données les plus importants en dehors de l’Europe. Pour les sites web internationaux, en particulier ceux qui accueillent des visiteurs chinois ou qui ont des activités en Chine, la PIPL crée des obligations de consentement qui existent indépendamment — et parfois en conflit — des exigences du GDPR.

La PIPL régit le traitement des informations personnelles des individus se trouvant en Chine. Son champ d’application territorial est large : elle s’applique à toute organisation qui traite des informations personnelles de personnes situées en Chine, quel que soit l’emplacement de l’organisation elle-même. Si votre site web est accessible aux utilisateurs chinois et que vous collectez des données personnelles auprès d’eux, la PIPL vous concerne.

PIPL vs. GDPR : différences clés à prendre en compte

Bien que la PIPL soit souvent qualifiée de « GDPR chinois », cette comparaison masque des différences importantes qui influencent la manière dont vous mettez en œuvre le consentement :

• Le consentement comme base juridique principale : Le GDPR prévoit six bases juridiques pour le traitement, y compris l’intérêt légitime. La PIPL est plus centrée sur le consentement. Bien qu’elle reconnaisse d’autres bases juridiques (nécessité contractuelle, obligation légale, intérêt public), le champ de l’intérêt légitime est beaucoup plus restreint, et le consentement est la base attendue pour la plupart des traitements de données à des fins commerciales.
• Consentement distinct pour les données sensibles : La PIPL exige un consentement distinct et explicite pour le traitement des informations personnelles sensibles, ce qui inclut les données biométriques, les informations financières, la géolocalisation et les données des mineurs de moins de 14 ans. Le suivi comportemental basé sur les cookies peut entrer dans cette catégorie.
• Localisation obligatoire des données : Les opérateurs d’infrastructures d’information critiques et les organisations qui traitent des informations personnelles au-delà d’un seuil de volume fixé par la Cyberspace Administration of China (CAC) doivent stocker les données en Chine. Cela affecte l��endroit où vos données d’analytique et de cookies peuvent être traitées.
• Restrictions sur les transferts transfrontaliers : Le transfert d’informations personnelles en dehors de la Chine nécessite l’un des trois mécanismes suivants : réussir une évaluation de sécurité de la CAC, obtenir une certification d’un organisme reconnu, ou conclure des clauses contractuelles types publiées par la CAC. C’est plus restrictif que les mécanismes de transfert prévus par le GDPR.
• Droits individuels avec des caractéristiques chinoises : La PIPL accorde aux personnes concernées des droits similaires à ceux du GDPR (accès, rectification, suppression, portabilité), mais ajoute le droit de refuser la prise de décision automatisée et le droit de demander une explication des règles de traitement automatisé.

Ce que la PIPL implique pour les cookies et le tracking

La PIPL ne mentionne pas spécifiquement les « cookies » comme le fait la directive ePrivacy de l’UE. Toutefois, la définition large qu’elle donne des informations personnelles — toute information liée à une personne physique identifiée ou identifiable — englobe la plupart des formes de suivi basées sur les cookies :

• Cookies d’analytique qui suivent le comportement des utilisateurs sur plusieurs pages : ils collectent des informations personnelles au sens de la PIPL, même si l’utilisateur n’est pas connecté.
• Cookies publicitaires et pixels de suivi intersites : ils entrent clairement dans le champ d’application, car ils construisent des profils liés à des identifiants de dispositif.
• Cookies de session pour les fonctionnalités de base (paniers d’achat, état de connexion) : ils sont généralement autorisés sur la base de la nécessité contractuelle, de manière similaire au GDPR.
• Cookies tiers qui partagent des données avec des parties externes : ils déclenchent des exigences supplémentaires de la PIPL concernant la divulgation aux tiers et, potentiellement, les règles de transfert transfrontalier.

Application de la PIPL : des conséquences bien réelles

Contrairement à certaines lois sur la vie privée qui existent principalement sur le papier, l’application de la PIPL est active et en hausse. La Cyberspace Administration of China, ainsi que le ministère de la Sécurité publique et d’autres agences, ont pris des mesures concrètes :

• Les principaux app stores en Chine ont retiré des applications pour collecte excessive de données et absence de consentement approprié. Des centaines d’applications ont été déréférencées lors de campagnes de contrôle.
• Des entreprises ont été sanctionnées pour avoir collecté des informations personnelles au-delà de ce qui était nécessaire à la finalité déclarée.
• La CAC a émis des avertissements publics à l’encontre d’entreprises dont les politiques de confidentialité ne décrivaient pas de manière adéquate les activités de traitement des données.
• Dans les cas graves, la PIPL permet d’infliger des amendes allant jusqu’à 50 millions de RMB (environ 7 millions de dollars américains) ou 5 % du chiffre d’affaires de l’année précédente, ainsi qu’une possible suspension des activités.

Pour les entreprises internationales, le risque est à la fois réglementaire et commercial. Le non-respect peut entraîner le retrait des applications des app stores chinois, le blocage des services et des dommages réputationnels sur un marché de plus d’un milliard d’internautes.

Géociblage des visiteurs chinois

Si votre site web s’adresse à un public mondial incluant des utilisateurs chinois, vous avez besoin d’une stratégie de consentement géociblée. Cela signifie détecter quand un visiteur se trouve en Chine et lui présenter des mécanismes de consentement conformes à la PIPL :

• Détection basée sur l’adresse IP : Utilisez la géolocalisation par IP pour identifier les visiteurs provenant de Chine continentale. C’est la même approche que celle utilisée pour le géociblage GDPR des visiteurs de l’EEE.
• Signaux basés sur la langue : Si la langue du navigateur d’un utilisateur est réglée sur le chinois (zh-CN ou zh-TW), cela peut servir de signal secondaire, même si cela ne devrait pas être le seul critère.
• Contenu de la bannière de consentement : L’avis de consentement présenté aux utilisateurs chinois doit être en chinois simplifié, indiquer clairement les finalités de la collecte de données, identifier le responsable du traitement et offrir un véritable mécanisme pour refuser les traitements non essentiels.
• Consentement distinct pour les traitements sensibles : Si vous utilisez des cookies pour le profilage comportemental ou la géolocalisation, les utilisateurs chinois doivent voir une demande de consentement distincte et plus granulaire pour ces catégories.

Gérer le GDPR et la PIPL avec une seule CMP

La plupart des sites web internationaux doivent se conformer simultanément à plusieurs régimes de protection des données. Le défi consiste à présenter la bonne expérience de consentement au bon utilisateur sans maintenir des systèmes distincts. Voici comment fonctionne une approche unifiée :

La détection de la région comme fondation

La CMP doit d’abord déterminer la localisation du visiteur. En fonction de celle-ci, elle applique les règles de consentement appropriées :

• Visiteurs de l’EEE/Royaume-Uni : bannière de consentement TCF 2.3 avec Consent Mode V2, modèle d’opt-in, toutes les exigences du GDPR.
• Visiteurs chinois : avis de consentement conforme à la PIPL en chinois simplifié, opt-in pour les traitements non essentiels, divulgation claire des transferts transfrontaliers si les données quittent la Chine.
• Visiteurs américains : règles spécifiques à chaque État (CCPA/CPRA pour la Californie, lois des États pour le Colorado, le Connecticut, la Virginie, etc.), généralement des modèles d’opt-out.
• Autres régions : comportement par défaut fondé sur l’appétence au risque de l’éditeur et les lois locales applicables.

Considérations relatives au stockage du consentement

Les exigences de localisation des données de la PIPL signifient que les enregistrements de consentement des utilisateurs chinois peuvent devoir être stockés sur des serveurs situés en Chine si vos volumes de traitement de données dépassent les seuils fixés par la CAC. Pour la plupart des sites internationaux avec un trafic chinois incident, ce seuil est peu susceptible d’être atteint, mais les sites à fort trafic ciblant la Chine devraient consulter des conseillers juridiques locaux.

Documentation des transferts transfrontaliers

Lorsqu’un utilisateur chinois consent à des cookies qui envoient des données vers des serveurs situés en dehors de la Chine (ce qui est le cas pour pratiquement toutes les plateformes occidentales d’analytique et de publicité), la CMP doit documenter ce consentement dans le cadre de la justification du transfert transfrontalier. L’avis de consentement doit mentionner explicitement que les données seront transférées à l’international.

Étapes pratiques pour une conformité mondiale

Voici un plan d’action priorisé pour les sites web qui doivent traiter la PIPL en parallèle avec le GDPR :

• Auditez votre trafic chinois : Vérifiez vos outils d’analytique pour comprendre quel pourcentage de vos visiteurs vient de Chine. S’il est négligeable, votre risque est plus faible mais pas nul.
• Faites correspondre vos cookies aux catégories de la PIPL : Déterminez quels cookies traitent des informations personnelles au sens de la PIPL et si certains impliquent des informations personnelles sensibles.
• Mettez en œuvre un consentement géociblé : Utilisez une CMP capable de présenter différentes expériences de consentement selon la localisation du visiteur, avec la langue et la base juridique appropriées pour chaque région.
• Mettez à jour votre politique de confidentialité : Ajoutez une section traitant spécifiquement des droits prévus par la PIPL et de vos pratiques de traitement des données pour les utilisateurs chinois.
• Examinez les transferts transfrontaliers : Documentez la manière dont les informations personnelles des utilisateurs chinois sont transférées et traitées à l’international, et assurez-vous de disposer d’un mécanisme de transfert valide.

Note importante : La conformité à la PIPL pour les sites ciblant la Chine peut être complexe, et les lignes directrices réglementaires continuent d’évoluer. Cet article fournit une vue d’ensemble générale, mais les organisations ayant des opérations ou des bases d’utilisateurs importantes en Chine devraient solliciter un avis juridique adapté à leur situation.

FlexyConsent prend en charge des expériences de consentement géociblées avec des règles spécifiques par région, ce qui vous permet de gérer le GDPR, la PIPL, le CCPA et d’autres lois sur la confidentialité depuis une plateforme unique. Le plan gratuit inclut la géodétection et la configuration du consentement multi-régions.