1. La Décision (décembre 2012)
Le 28 décembre 2012, l’organe législatif chinois (Standing Committee of the National People’s Congress) a adopté une décision visant à assurer la sécurité des informations (terme employé par le texte) sur internet.
Même si elle n’en a pas le nom, la Décision a la même force obligatoire qu’une loi. Elle est le premier document de référence sur la protection des données personnelles en Chine même si elle ne contient que douze (12) articles et que les principes y sont énoncés en des termes assez généraux.
La Décision s’applique aux fournisseurs d’accès internet (« network service providers ») et aux autres entreprises et institutions publiques (« other entreprises and public institutions ») chinoises qui collectent et utilisent, dans le cadre de leurs activités, des données électroniques (« electronic information ») permettant d’identifier un individu et celles concernant sa vie privée.
Bien que la Décision emploie les termes de fournisseurs d’accès internet et autres entreprises et institutions publiques, elle s’applique bien à toute entreprise qui traite des données personnelles électroniques.
La Décision précise que les données personnelles électroniques ne doivent pas être collectées ni utilisées en violation d’une loi, d’un règlement ou de dispositions contractuelles.
Les entreprises doivent respecter les principes de légitimité et de nécessité, lors de la collecte et l’utilisation, de données personnelles électroniques.
Elles doivent préciser les moyens et la finalité de la collecte, et obtenir le consentement des personnes intéressées. La Décision ne précise pas à quel moment le consentement doit être recueilli mais l’on suppose que celui-ci doit être donné préalablement ou concomitamment à la collecte. Elle n’indique pas non plus quelle forme doit revêtir ce consentement mais des précisions sont apportées par les Lignes directrices.
La Décision dispose également que l’envoi de messages électroniques de nature commerciale sur des téléphones fixes ou mobiles ou sur des adresses email est interdit sauf à ce que la personne intéressée ait donné son consentement ou fait une demande en ce sens.
Par ailleurs, les entreprises doivent rendre publiques les règles qu’elles ont mises en œuvre pour collecter et utiliser les données personnelles électroniques.
Les entreprises doivent également assurer la confidentialité des données collectées. Elles ne peuvent divulguer, altérer, porter atteinte aux données, ni les vendre ou les fournir à des tiers, par tout moyen non permis par la loi. A cet égard, précisons que la notion de vente de données personnelles est sujette à interprétation. Quid, en effet, par exemple, en cas de concession d’une licence temporaire, à titre onéreux, sur une base de données comportant des données personnelles ? Il ne s’agit pas juridiquement d’une vente…
En cas d’altération, de divulgation ou d’atteinte aux données, les entreprises sont tenues de prendre rapidement les mesures de sécurité qui s’imposent pour y remédier.
Enfin, il est prévu que les personnes concernées peuvent adresser une plainte aux autorités en cas d’atteinte portée à leurs données personnelles électroniques (ex : vol ou « vente » de leurs données).
Quelques lacunes sont à mentionner : la Décision ne traite pas du transfert international de données ni de la sous-traitance dans le traitement des données personnelles.
La Décision est rédigée en des termes généraux et ne donne aucune précision quant à sa mise en œuvre. Les termes clés n’y sont pas définis et la Décision n’est pas davantage explicite quant aux sanctions en cas de violation. Celles-ci sont, en effet, énoncées de manière non exhaustive et sans indication de montant.
Des Lignes Directrices ont été adoptées parallèlement par le Ministère de l’Industrie et des Technologies de l’Information (MIIT) afin d’apporter des précisions.
