Le 28 septembre 2023, l’Administration chinoise du cyberespace (« CAC ») a publié les « Dispositions sur la réglementation et la facilitation des flux de données transfrontaliers » pour commentaires publics (la « Proposition »). La date limite pour les commentaires du public sur la proposition était le 15 octobre 2023.
La proposition : (1) exempte certaines activités de traitement des restrictions chinoises en matière de transfert de données, (2) révise les seuils déclenchant une évaluation formelle de la sécurité du transfert de données et (3) permet plus de flexibilité pour les transferts de données à partir des zones pilotes de libre-échange chinoises.
Activités de traitement de données exonérées
En vertu de la proposition, les activités de traitement suivantes ne seraient pas soumises aux règles de transfert actuelles de la Chine :
- Transferts découlant du commerce international, de la coopération universitaire, de la fabrication transnationale, du marketing et d’autres activités qui n’impliquent pas d’informations personnelles ou de « données importantes ».
- Transferts nécessaires à l’exécution et à la conclusion d’un contrat dans lequel une personne physique est partie concernée, tels que les achats transfrontaliers, les réservations de vols et d’hôtels, les envois de fonds transfrontaliers et le traitement des visas.
- Transferts nécessaires à la gestion des ressources humaines pour se conformer aux politiques du personnel formulées conformément à la loi.
- Transferts de données non collectées sur le territoire de la Chine.
- Transferts de données en cas d’urgence (par exemplepour protéger la vie, la santé et la sécurité des biens d’une personne).
En outre, à moins qu’un gestionnaire de données n’ait été informé par une autorité chinoise que les données qu’il traite constituent des « données importantes » ou que l’autorité chinoise classe publiquement les données comme « données importantes », le gestionnaire de données n’est pas tenu de se soumettre à un contrôle de données. transférer l’évaluation de la sécurité sur la base du fait qu’il traite des « données importantes ».
Seuils de volume révisés déclenchant des évaluations de la sécurité du transfert de données
La proposition modifierait les seuils de volume déclenchant une évaluation formelle de la sécurité du transfert de données. En particulier, s’il est estimé que les informations personnelles de moins de 10 000 personnes seront transférées hors de Chine d’ici un an, alors un gestionnaire de données ne serait pas soumis aux restrictions chinoises sur les transferts de données.
De plus, s’il est estimé que les informations personnelles de plus de 10 000 personnes mais de moins d’un million de personnes seront transférées en dehors de la Chine, l’organisation peut s’appuyer sur le contrat standard émis par le CAC pour le transfert et il n’est pas nécessaire de mener une enquête. évaluation de la sécurité des transferts.
Flexibilité pour les transferts depuis les zones pilotes de libre-échange
La proposition donnerait à des zones pilotes de libre-échange (par exemplela zone de libre-échange de Shanghai), le pouvoir de formuler une liste de données qui seraient soumises aux règles de transfert (c’est à dire, une liste négative). Les données ne relevant pas du champ d’application de la liste négative pourraient être transférées à l’étranger sans qu’il soit nécessaire de respecter les règles de transfert.
Impact possible de la proposition sur les transferts de données en dehors de la Chine
Bien que la proposition soit encore à l’état de projet, elle aurait, si elle était adoptée, un effet positif significatif sur les transferts de données en dehors de la Chine par les entreprises internationales.
Dans le même temps, même si la proposition réviserait considérablement les exigences réglementaires relatives au transfert de données en dehors de la Chine, certains aspects du régime de transfert actuel resteraient inchangés. Sur la base de la proposition, un consentement distinct devrait toujours être obtenu pour les transferts lorsque le consentement constitue la base juridique du transfert. En outre, même si certains gestionnaires de données ne sont plus soumis à l’évaluation de la sécurité du transfert de données du CAC ou ne sont plus tenus de déposer le contrat standard du CAC, ils seraient toujours tenus de remplir les exigences de conformité de base en vertu de la loi chinoise sur la protection des informations personnelles (la loi chinoise sur la protection des informations personnelles). « PIPL ») en ce qui concerne les transferts de données en dehors de la Chine. Par exemple, le gestionnaire de données devra toujours préparer une évaluation d’impact sur la sécurité des informations personnelles (« PIPIA ») en relation avec le transfert et conserver le rapport dans ses fichiers internes pendant une période de trois ans. Le gestionnaire de données doit également s’assurer que le destinataire des données offre un niveau de protection des données équivalent à celui requis par le PIPL.
En outre, certains aspects de la proposition nécessiteraient des éclaircissements supplémentaires de la part du CAC. Par exemple, les gestionnaires de données qui ont déjà transféré les informations personnelles de plus d’un million de personnes mais qui prévoient de transférer seulement une quantité limitée d’informations personnelles au cours des 12 prochains mois devront-ils se soumettre à une évaluation de sécurité ? Les transferts de renseignements personnels sensibles impliquant plus de 10 000 personnes déclencheront-ils toujours l’obligation de se soumettre à une évaluation de sécurité ? Comment les gestionnaires de données devraient-ils calculer la période d’un an référencée par la proposition lors de l’estimation du volume de données à transférer en dehors de la Chine ?
Bien qu’il ne soit pas certain quand exactement la proposition pourra être adoptée, il est possible que la proposition soit finalisée avant le 30 novembre 2023, date limite pour les entreprises de déposer le contrat standard CAC pour les transferts s’appuyant sur ce mécanisme de transfert de données dans le cadre du PIPL. .
