Catégories
Justice:

La Chine publie un Projet de Lignes directrices sur la Certification des Activités de Transfert transfrontalier de Renseignements personnels

Le 29 avril 2022, le Comité Technique National de Normalisation de la Sécurité de l’Information de la Chine a publié un projet de version des Directives de Pratique Standard en matière de Cybersécurité – Spécification Technique sur la Certification des Activités de Transfert transfrontalier de Renseignements personnels (les “Lignes directrices”). La période de commentaires du public sur les Lignes directrices a pris fin le 13 mai 2022. Les Lignes directrices établissent les exigences de base pour les certifications de protection des informations personnelles, qui sont l’un des quatre mécanismes de transfert transfrontalier autorisés en vertu de l’article 38 de la Loi chinoise sur la protection des informations personnelles (“PIPL”).

Les certifications pour le traitement transfrontalier des informations personnelles sont volontaires, car il existe d’autres moyens par lesquels le traitement transfrontalier peut avoir lieu. Cependant, le gouvernement chinois ne recommande pas aux parties de demander la certification par des entités qualifiées, qui seront nommées à une date ultérieure. Les principales dispositions des Lignes directrices sont énumérées ci-dessous.

Application des Lignes directrices

Les Lignes directrices ne s’appliqueront qu’à deux types de transferts transfrontaliers: (1) les transferts transfrontaliers internes au sein d’une entreprise multinationale ou d’une entité économique/commerciale; et (2) les transferts transfrontaliers par des entités non chinoises qui analysent et évaluent le comportement des individus situés en Chine soumis à la juridiction extraterritoriale de la PIPL.

En cas de transferts internes, l’entité chinoise de la multinationale ou de l’entité économique/commerciale peut demander la certification et sera responsable des activités de transfert transfrontalières pertinentes. En cas de juridiction extraterritoriale de la PIPL, l’institution nationale ou le représentant de l’entité étrangère peut soumettre la demande de certification et sera responsable des activités de transfert transfrontalier pertinentes.

Exigences de Base pour la Certification

Les Lignes directrices énoncent plusieurs domaines qui doivent être abordés dans la certification, y compris, mais sans s’y limiter: (1) les accords juridiquement contraignants entre les parties concernées; (2) la gestion de la protection des renseignements personnels au sein des organisations des parties; (3) les évaluations d’impact sur la protection des renseignements personnels (“PIPIA”); et (4) les droits des personnes concernées.

1. Accords Juridiquement Contraignants Entre les Parties Concernées

Les parties impliquées dans le transfert transfrontalier doivent exécuter un contrat juridiquement contraignant et exécutoire qui, entre autres:

  • décrit les parties impliquées dans le transfert transfrontalier (les « Parties »).;
  • décrit les fins du transfert transfrontalier et les types et la portée des renseignements personnels à transférer;
  • décrit les garanties pour la protection des droits des personnes concernées;
  • les Parties doivent se conformer aux règles et spécifications uniformes de traitement des informations personnelles selon lesquelles le niveau de protection des informations personnelles ne doit pas être inférieur à celui établi par la loi chinoise en matière de protection des informations personnelles;
  • exige que les Parties acceptent la supervision de l’institution de certification;
  • exige que les Parties respectent les lois chinoises sur la protection des renseignements personnels; et
  • les Parties exigent de nommer explicitement une entité chinoise, qui sera responsable des activités de transfert transfrontalier.

2. Gestion de la Protection des Renseignements personnels Au sein des Organisations des Parties

Les Lignes directrices exigent que les Parties désignent un Agent de protection des renseignements personnels.

Les Parties doivent désigner un délégué à la protection des données qui doit avoir une connaissance suffisante des exigences en matière de protection des informations personnelles et une expérience de travail appropriée. Les Lignes directrices suggèrent, mais n’exigent pas, que cet agent soit un employé de la haute direction au sein de l’organisation.

Les Parties doivent également mettre en place un service de protection des renseignements personnels, qui sera responsable de:

  • promouvoir et mettre en œuvre le plan de transfert transfrontalier reconnu par les Parties;
  • organiser le PIPIA;
  • superviser le traitement des informations personnelles conformément aux règles de traitement des informations personnelles; et
  • réception et traitement des réclamations et demandes des personnes concernées.

Les Lignes directrices exigent également que les Parties mettent en œuvre et se conforment aux politiques de transfert et de traitement transfrontaliers des renseignements personnels. Ces politiques doivent contenir:

  • informations concernant le traitement, y compris les types d’informations personnelles transférées ou traitées, le degré de sensibilité et le volume d’informations personnelles transférées;
  • le but, les moyens et la portée du transfert transfrontalier;
  • l’heure de début et l’heure de fin du stockage des informations personnelles et la manière de traiter les informations personnelles après l’expiration de la période de stockage;
  • le pays / la région où les informations personnelles seront transférées;
  • les ressources nécessaires à la sauvegarde des droits des personnes concernées et les mesures pertinentes à prendre par la partie; et
  • les procédures de compensation et de traitement des incidents de données.

3. PIPIAs

Les Parties doivent mener une EIPF, qui doit au moins porter sur:

  • si le transfert transfrontalier est conforme aux lois et réglementations chinoises;
  • l’impact du transfert transfrontalier sur les intérêts des personnes concernées;
  • l’impact de l’environnement juridique du pays/région étranger et de l’environnement de cybersécurité sur les intérêts des personnes concernées; et
  • autres questions relatives à la protection des intérêts des informations personnelles.

4. Droits des Personnes Concernées

Les Lignes directrices exigent que les Parties obtiennent le consentement distinct éclairé de la personne au transfert transfrontalier de ses renseignements personnels, en plus d’obtenir l’attestation du transfert transfrontalier. Les personnes doivent être informées par courrier électronique, SMS, courrier ou fax de: (1) l’identité du responsable du traitement des renseignements personnels à l’étranger; (2) les catégories de renseignements personnels transférés; (3) le but du transfert des renseignements personnels; et (4) la période de conservation des renseignements personnels. Les parties doivent fournir à ces personnes concernées l’accès à leurs informations personnelles et s’assurer que les personnes concernées peuvent exercer leurs droits d’accès, de copie, de correction, de complément ou de suppression de leurs informations personnelles conformément à la PIPL.

Ce projet de lignes directrices fournit un mécanisme de certification relativement flexible pour la protection des renseignements personnels en Chine en ce qui concerne le transfert transfrontalier de renseignements personnels. On s’attend à voir une règle de mise en œuvre plus détaillée et pratique sur une procédure de certification spécifique ainsi que sur les institutions de certification qualifiées dans la version finale des Lignes directrices ou d’autres règles de mise en œuvre pertinentes.