Pékin annonce la régulation de la protection des données via une nouvelle loi, la Personal Information Protection Law (PIPL). De nombreux acteurs de la tech dans la région, y compris domestiques, risquent de voir leur business model impacté.
Qu’est-ce que la PIPL et que contient-elle ?
PIPL est l’abréviation anglo-saxonne pour Personal Information Protection Law (“Loi de Protection des Informations Personnelles” en français). Cette loi, d’abord proposée l’année dernière puis modifiée plusieurs fois depuis, dote la Chine d’un cadre légal concernant la collecte et le traitement des données. Elle devrait être mise en application dès le 1er Novembre.
Voici un résumé exhaustif des principales régulations apportées par cette nouvelle législation.
| Régulation | Contenu |
|---|---|
| Devoir d’information | ・Un contenu publié devra stipuler comment les données collectées ou qui seront collectées à l’avenir vont être utilisées et à quelles fins. ・Si transfert de données personnelles à l’étranger il y a, il doit être notifié à l’utilisateur et faire l’objet d’un consentement additionnel. |
| Consentement | ・L’utilisateur se verra doté d’une option pour refuser le tracking à des fins marketing. Les développeurs de contenus publiés devront par conséquent travailler sur un système d’opt-in et d’opt-out pour proposer ce consentement. ・En dehors du tracking, le consentement sera également obligatoire pour la collecte de données biométriques, médicales, financières et pour les données de géolocalisation. |
| Collecte et traitement des données | ・Une entreprise ayant collecté ou traité des données sans le consentement préalable de ses utilisateurs subira le risque d’être suspendue ou dissoute. Il n’est pas précisé à ce jour si le stockage des données en soi soit régulé. ・Le droit individuel à la modification des données personnelles collectées et le droit à la suppression des données personnelles entre en vigueur. |
Quel impact pour les acteurs de la tech ?
PIPL (Personal Information Protection Law) dote la Chine d’un arsenal de régulations.
Bien qu’il affectera les firmes domestiques et étrangères basées en Chine, il n’est pas certain que cela affecte actuellement les entreprises étrangères opérant en dehors de Chine.
La notion d’extraterritorialité est en effet un point un surveillé de près par ces même acteurs.
Dans le passé, des lois comme la RGPD ou la CCPA, a priori limitées pour l’une à l’Union Européenne et pour l’autre à la Californie se sont vues imposées tels des standards dans la plupart des pays du monde.
Néanmoins, il est bon de rappeler que la plupart des acteurs ayant été les plus touchés par ces regulations dans le passé (par exemple l’adtech, le market research ou encore la healthtech) ont deja réagi vis-à-vis de celles-ci. Par conséquent, même dans le cas où la PIPL intégrait une notion d’exterritorialité, le temps d’adaptation pour les acteurs étrangers ne devrait pas être aussi long que lors de la publication de lois similaires ailleurs. Pour les acteurs domestiques n’ayant pas déjà adapté leur technologies aux standards européens ou californiens, en revanche, cette nouvelle loi va probablement provoquer de forts changements dans la manière dont les sites webs, les applications et objets connectés vont collecter et traiter les données utilisateurs.
Commentaires