3. Les Dispositions Telecom (septembre 2013)
Le 1er septembre 2013, sur initiative du Ministère de l’Industrie et des Technologies de l’Information (MIIT), et en application de la Décision, sont entrées en vigueur les dispositions relatives à la protection des données personnelles des utilisateurs d’internet et des services de télécommunication.
Les Dispositions Telecom gouvernent la collecte et l’utilisation des données personnelles des utilisateurs par les fournisseurs de services internet et de télécommunication sur le territoire chinois.
Les données personnelles des utilisateurs sont définies comme étant les données collectées par les operateurs de télécommunication et les fournisseurs de services internet lors de la fourniture des services, qui peuvent être utilisées pour identifier les utilisateurs, les lieux, le temps, etc. et qui peuvent être le nom, la date de naissance, le numéro d’identité, l’adresse, le numéro de téléphone, le mot de passe, etc. de l’utilisateur (la liste n’est pas limitative). Les Dispositions précisent également que ces données peuvent être utilisées seules ou en combinaison avec d’autres. A ce titre, les informations collectées via des cookies peuvent être considérées comme des « données personnelles de l’utilisateur » au sens de ces Dispositions.
Les Dispositions Telecom réitèrent les principes de légitimité, nécessité et proportionnalité applicables en matière de protection des données, et en particulier, l’information préalable et le recueil du consentement de l’utilisateur des services.
S’agissant de l’information préalable, les Dispositions requièrent du fournisseur de services qu’il informe l’utilisateur de la finalité, des méthodes et du périmètre de collecte et d’utilisation des données, ainsi que des moyens mis à sa disposition pour adresser toute demande, faire des corrections et les conséquences qu’un éventuel refus de sa part de communiquer les données requises peut avoir. L’utilisation des données personnelles par le fournisseur doit être limité à ce qui est nécessaire pour la fourniture du service. En outre, les Dispositions imposent au fournisseur de services d’arrêter toute collecte et utilisation des données personnelles une fois le service fourni et de garantir à l’utilisateur un « droit à l’oubli ».
Les fournisseurs de services doivent aussi assurer la confidentialité des données et éviter leur altération, destruction ou divulgation. Ils ne doivent pas non plus vendre ou fournir de façon illégale les données à des tiers.
Les Dispositions Telecom précisent également de façon détaillée les exigences requises en matière de sécurité des données et prévoient les sanctions applicables en cas de non-respect du texte.
Il convient enfin de noter que le terme de « Internet information services » employé dans le texte est très large en droit chinois. En effet, selon le Telecommunication Business Classification Catalogue édité par le MIIT en mai 2013, ce terme couvre les activités réalisées par internet qui conduisent à la publication et diffusion de données (ex : sites de presse, app stores, systèmes de bulletins électroniques), les logiciels de recherche, les plateformes de réseaux sociaux, les systèmes d’échange spontané d’informations (VoIP), les solutions anti-virus basées sur le cloud, etc. En d’autres termes, cette définition est susceptible de faire tomber sous le coup de ces Dispositions la plupart des business modèles basés sur internet.
