2. Les Lignes directrices (février 2013)
Les Lignes directrices ne sont juridiquement pas contraignantes. Toutefois, elles ont vocation à être utilisées par les autorités et/ou juges comme référentiel/standard pour apprécier la politique de protection des données personnelles de l’entreprise. Etant plus complètes que la Décision et dans la mesure où elles représentent la future tendance en matière de protection des données personnelles en Chine, il est recommandé aux entreprises de s’y conformer.
Les Lignes Directrices apportent tout d’abord des précisions sur les termes clés. Elles définissent ainsi la donnée personnelle et distinguent la donnée personnelle générale de la donnée personnelle sensible. Elles définissent également la personne concernée par les données personnelles, le responsable de traitement, le destinataire des données personnelles et ce qu’est un traitement de données personnelles.
Au stade de la collecte, les Lignes Directrices précisent les informations qui doivent être portées à la connaissance de la personne concernée par les données (but du traitement, méthodes de collecte, liste des données collectées, durée de conservation, périmètre d’utilisation, identité et coordonnées du responsable de traitement, voies de recours et traitement des plaintes, transfert ou non des données à des tiers, etc.). Précisons à cet égard que la collecte indirecte de données ou toute collecte utilisant des moyens détournés est interdite.
Elles précisent, en outre, dans quel cas le consentement de la personne concernée par le traitement de données doit être explicite ou peut être tacite.
Au stade du traitement, les Lignes Directrices indiquent les obligations qui pèsent sur le responsable de traitement : traitement des données collectées conformément au but poursuivi et tel que notifié à la personne concernée, confidentialité des données pendant leur traitement et leur conservation, accès de la personne concernée à ses données, etc.
Par ailleurs, seules les Lignes Directrices évoquent (mais très brièvement) le transfert international de données personnelles. Ainsi un responsable de traitement ne peut transférer à des destinataires étrangers des données personnelles qu’avec le consentement explicite de la personne concernée par les données ou s’il y est autorisé en vertu de dispositions légales ou réglementaires et conformément aux modalités qu’elles précisent. En outre, les contrats de transfert de données (Data Tranfer Agreement) ne sont pas utilisés dans la pratique en Chine (pas de standard préétabli, ni de précédent). En conséquence, il n’est pas évident de déterminer avec certitude si un tel contrat serait suffisant pour légitimer un transfert de données personnelles ou si des conditions complémentaires seraient requises.
A la différence de la Décision, les Lignes Directrices abordent la question du traitement de données personnelles par des tiers (sous-traitance) et précisent les conditions que le responsable de traitement devrait respecter dans une telle hypothèse.
Enfin, en matière de sécurité, les Lignes Directrices recommandent au responsable de traitement de prendre les mesures techniques et organisationnelles appropriées pour empêcher que les données ne soient endommagées, perdues, altérées ou qu’elles fassent l’objet d’un traitement non autorisé ou illégal. Les mesures de sécurité doivent être proportionnées au risque encouru. En outre, il est conseillé au responsable de traitement :
- D’établir et mettre en œuvre une politique de gestion des données personnelles ;
- D’affecter un service spécifique ou désigner un membre de son personnel afin d’assurer en interne la gestion des données personnelles et le traitement des demandes et plaintes éventuelles ;
- De former ses employés à la protection des données personnelles ;
- De périodiquement évaluer le niveau de sécurité des données personnelles collectées et traitées.
