La Chine pourrait bientôt durcir l’encadrement du transfert de données personnelles à l’étranger

cyberspace-administration-china.png

L’Administration chinoise du cyberespace (Cyberspace Administration of China, CAC) a rendu public, le 13 juin 2019, un projet de mesures administratives sur l’évaluation de la sécurité des transmissions d’informations personnelles à l’étranger.

Un nouveau processus d’approbation en perspective

Ce projet, s’il venait à être inscrit dans la loi, modifierait profondement le processus d’approbation des transferts de données personnelles de la Chine vers l’étranger. Son article 2 prévoit en effet que :

[P]our l’opérateur prévoyant de fournir des informations personnelles qu’il a collectées dans le cadre de son activité sur le territoire de la République populaire de Chine vers l’étranger, une évaluation de sécurité devra être conduite en conformité avec les Mesures.

En outre, si ladite évaluation devait révéler que le transfert risque de porter atteinte “à la sécurité nationale ou à l’intérêt public, ou s’il est difficile de garantir effectivement la sécurité des informations personnelles, ledit transfert à l’étranger sera prohibé”.

Un véritable parcours du combattant

D’après Galaad Delval, expert auprès de l’IAPP, les entreprises basées en Chine qui transfèrent des informations personnelles à l’étranger, en intragroupe ou à des tiers, devront suivre un processus d’approbation composé de trois phases principales :

1. La revue ou la rédaction de contrats entre l’exportateur de données et le (ou les) importateur(s), qui devront inclure toutes les clauses prévues aux articles 13 et 16 des “Mesures” ;

2. La revue interne par l’exportateur de données en conformité avec l’article 19 des Mesures, et une déclaration à l’émanation locale de la CAC, incluant les éléments suivants, prévus par l’article 4 des Mesures :

• Un formulaire déclaratif ;

• Le contrat signé entre l’opérateur et le récipendiaire ;

• Un rapport d’analyse des risques de sécurité et des mesures prévues ;

• Tous autres documents requis par l’autorité locale ;

3. Une évaluation de cybersécurité de l’exportateur de données et une revue de sa déclaration par l’autorité locale, conformément aux articles 6 et 7 des Mesures.

Voilà qui ressemble à un parcours du combattant…

(Source : Cyberspace Administration of China)