Français English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_fr/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Qu'est-ce que la loi chinoise sur la protection des données personnelles ? Explication des mesures à prendre par les entreprises japonaises, du contexte de son établissement

Qu'est-ce que la loi chinoise sur la protection des données personnelles ? Explication des mesures à prendre par les entreprises japonaises, du contexte de son établissement

General Corporate

Qu'est-ce que la loi chinoise sur la protection des données personnelles ? Explication des mesures à prendre par les entreprises japonaises, du contexte de son établissement

Il est fréquent que les responsables juridiques des entreprises qui prévoient de se développer en Chine ou qui y ont déjà une présence, se trouvent confrontés à des difficultés concernant la protection des données personnelles en Chine.

Cet article présente de manière exhaustive les réglementations à connaître lors de l’expansion de vos activités en Chine. Nous expliquerons également clairement les méthodes de réponse et les points sur lesquels les entreprises japonaises devraient se concentrer. Utilisez-le comme référence pour comprendre la loi chinoise sur la protection des données personnelles et commencer à élaborer vos stratégies.

Contexte et objectifs de la promulgation de la loi chinoise sur la protection des données personnelles

Drapeau chinois

Jusqu’à présent, la Chine n’avait pas de loi qui définissait de manière globale la protection des données personnelles, comme c’est le cas avec la loi japonaise sur la protection des données personnelles. Cependant, il y avait des mouvements visant à élaborer une telle loi depuis un certain temps, et le 1er novembre 2021, la “Loi chinoise sur la protection des données personnelles” a été promulguée, devenant ainsi la première loi chinoise à réglementer de manière globale la protection des données personnelles.

Bien que des lois telles que la “Loi sur la cybersécurité” et la “Loi sur la sécurité des données” aient un fort accent sur la sécurité nationale, la loi chinoise sur la protection des données personnelles se concentre davantage sur la protection des droits individuels.

Il semble que le cadre de la loi chinoise sur la protection des données personnelles ait été fortement influencé par les réglementations récentes d’autres pays, telles que le Règlement général sur la protection des données (RGPD) de l’UE. Cependant, les points reconnus comme bases de légalité et les détails des droits des personnes concernées sont uniques, ce qui nécessite des mesures spécifiques.

Les cibles de la réglementation de la loi chinoise sur la protection des données personnelles

Cible

Dans ce chapitre, nous expliquerons les cibles de la réglementation de la loi chinoise sur la protection des données personnelles.
Les entités suivantes seront soumises à cette réglementation, il est donc important de rester vigilant.

  • Les cas visant à fournir des biens ou des services aux individus se trouvant en Chine
  • Les cas où l’objectif est d’analyser ou d’évaluer les comportements des individus en Chine
  • Les autres cas définis par la législation

La loi chinoise sur la protection des données personnelles peut s’appliquer non seulement en Chine mais aussi à l’étranger dans certains cas. De plus, même à l’extérieur de la Chine, si vous menez des activités de vente ou d’analyse comportementale ciblant des « individus » se trouvant en Chine, cette loi sera applicable. Il est donc essentiel de faire preuve de prudence.

Comprendre la loi chinoise sur la protection des données personnelles : points clés

Dans ce chapitre, nous allons expliquer huit points clés pour comprendre la protection des données personnelles en Chine.

Fondements de la légalité

Les entreprises ne peuvent traiter des données personnelles en Chine que si elles se conforment à l’un des fondements de légalité établis par la loi chinoise sur la protection des données personnelles.

Les sept fondements légaux sont les suivants :

  • Consentement de la personne concernée
  • Exécution d’un contrat
  • Respect d’une obligation légale
  • Santé publique
  • Intérêt public
  • Traitement des données personnelles publiées
  • Autres circonstances définies par les lois et règlements

Comme vous pouvez le constater, le « intérêt légitime » présent dans le RGPD (Règlement Général sur la Protection des Données) n’est pas inclus. Par conséquent, il est prévisible que les situations nécessitant le consentement de la personne concernée pour traiter les données personnelles seront plus fréquentes par rapport au RGPD.

De plus, le consentement doit être défini comme quelque chose que la personne concernée peut retirer facilement à tout moment. Il est nécessaire de prendre des mesures telles que la création d’une interface utilisateur permettant de retirer facilement le consentement ou la rédaction d’une méthode de retrait claire et compréhensible.

Information à fournir

Avant de traiter des données personnelles, les entreprises doivent informer clairement et dans un langage compréhensible la personne concernée des éléments requis par la loi chinoise sur la protection des données personnelles (Chinese Personal Information Protection Law).

En outre, elles doivent fournir des informations détaillées non seulement sur l’objectif du traitement, mais aussi sur la méthode de traitement, les types de données personnelles concernées, la durée de conservation, ainsi que sur la manière et la procédure d’exercice des droits de la personne.

Accord avec le sous-traitant

Lorsque vous confiez le traitement des données personnelles à un sous-traitant, il est nécessaire de convenir au préalable, dans le cadre d’un contrat de sous-traitance, des objectifs de traitement, des délais, des méthodes de traitement et des mesures de protection.

En même temps, vous assumerez également la responsabilité de la supervision du traitement délégué. Lorsque vous traitez des données personnelles en collaboration avec une autre entreprise, il est important de convenir à l’avance des objectifs et des méthodes de traitement des données personnelles, ainsi que des droits et obligations de chaque partie, de la même manière que pour une délégation.

Réglementation des transferts transfrontaliers

Lorsque des informations personnelles collectées en Chine sont fournies à des tiers à l’étranger, deux mesures principales sont requises.

La première consiste à informer sur le nom et les coordonnées du destinataire des informations personnelles, l’objectif et la méthode de traitement, les types d’informations personnelles, ainsi que sur la manière et la procédure par lesquelles les individus peuvent exercer leurs droits vis-à-vis du destinataire. De plus, il est impératif d’obtenir le consentement individuel de la personne concernée.

La seconde mesure exige la mise en œuvre de l’une des quatre actions suivantes :

  • Réussir l’évaluation de sécurité nationale
  • Obtenir la certification de protection des informations personnelles par une institution spécialisée
  • Conclure un contrat avec le destinataire hors région sur la base de contrats standards
  • Satisfaire aux autres conditions définies par le département national de l’information sur Internet

En fonction du contenu des informations personnelles transférées, une évaluation de sécurité nationale peut être obligatoire. Par conséquent, conformément à la “Méthodologie d’évaluation de la sécurité des transferts de données à l’étranger” (Japanese Data Overseas Transfer Security Assessment Methodology), il est essentiel de vérifier si une évaluation de sécurité nationale est nécessaire avant de choisir la mesure appropriée à prendre.

Droits relatifs à la protection des données personnelles

La loi chinoise sur la protection des données personnelles accorde à l’individu divers droits, tels que le droit à l’information, le droit d’accès, le droit de copie, le droit de rétractation, la portabilité des données, le droit de rectification et le droit à l’effacement.

De plus, elle reconnaît un droit non prévu par le RGPD (Règlement Général sur la Protection des Données) : le “droit des défunts”. Ce droit permet aux proches d’exercer les droits de la personne décédée en son nom. Il est donc important de prendre en compte la protection des informations des personnes décédées.

Obligation de rapporter les incidents

Afin de prévenir la fuite d’informations personnelles, les entreprises sont tenues de mettre en place des mesures similaires à celles requises par le système de gestion de la sécurité de l’information (ISMS).

Voici des exemples de mesures requises :

  • Élaboration de procédures internes
  • Gestion classifiée en fonction du degré de confidentialité
  • Cryptage selon les besoins
  • Mise en œuvre de l’anonymisation, entre autres
  • Formation des employés
  • Établissement d’un processus de réponse aux incidents, etc.

Les mesures de gestion de la sécurité sont également définies dans la loi japonaise sur la cybersécurité et la loi japonaise sur la sécurité des données. Il est donc recommandé d’organiser soigneusement les exigences des trois lois et de vérifier les mesures à prendre.

Article connexe : Qu’est-ce que la loi chinoise sur la cybersécurité ? Explication des points clés à respecter[ja]

Article connexe : Qu’est-ce que la loi chinoise sur la sécurité des données ? Explication des mesures que les entreprises japonaises devraient prendre[ja]

Obligation de désigner un DPO et un représentant

Les entreprises doivent nommer un DPO (Délégué à la Protection des Données) lorsque le volume de données personnelles traitées atteint un certain seuil.

De plus, les entreprises soumises à l’application extraterritoriale doivent établir un représentant en Chine, et déclarer son nom et ses coordonnées à l’autorité de contrôle compétente.

Obligation de réaliser une évaluation d’impact sur la protection des données personnelles

Les entreprises doivent procéder à une évaluation des risques au préalable et contrôler adéquatement ces risques lorsqu’elles se trouvent dans l’une des cinq situations suivantes :

Les cas nécessitant une obligation de mise en œuvre sont les suivants :

  • Lors du traitement d’informations sensibles
  • Lors de la prise de décisions automatisées
  • Lors de la sous-traitance du traitement des données personnelles ou de leur fourniture à des tiers
  • Lors du transfert de données personnelles à l’étranger
  • Lorsque les activités ont un impact significatif sur les droits et intérêts des individus

Les sanctions de la loi sur la protection des données personnelles en Chine

Attention

En cas de violation, les entreprises risquent de lourdes sanctions financières, pouvant atteindre jusqu’à 50 millions de yuans (environ 7,5 millions d’euros) ou 5 % du chiffre d’affaires de l’année précédente. Comme cette loi s’applique également en dehors de ses frontières, les entreprises japonaises opérant en Chine doivent prendre des mesures urgentes.

Mesures que les entreprises japonaises devraient prendre concernant la loi sur la protection des données personnelles

Vérification

Dans ce chapitre, nous présentons quatre mesures de protection des données personnelles que les entreprises japonaises devraient mettre en œuvre.

Réviser l’organisation interne

Tout d’abord, envisagez de réviser l’organisation interne. Il est nécessaire de revoir votre structure organisationnelle en raison de l’obligation de désigner un représentant ou un DPO (Délégué à la Protection des Données).

À titre d’exemple, cela peut inclure la mise en place de départements spécialisés en droit et en technologie chargés de la conformité des données contenant des informations personnelles, l’organisation des flux de travail, et la réalisation d’une cartographie détaillée des données.

Mettre à jour les règlements et politiques

Il est également crucial de mettre à jour les règlements et politiques. Vous devez actualiser vos règlements et politiques pour vous conformer aux trois lois chinoises sur les données.

De plus, il ne suffit pas de créer des règlements qui reflètent simplement les exigences légales, mais il est également nécessaire de mettre en place des opérations que tous les employés peuvent exécuter.

Comprendre la réalité opérationnelle

La loi sur la protection des données personnelles a été promulguée le 1er novembre 2021 (Reiwa 3) et est encore récente, il est donc nécessaire de comprendre la réalité opérationnelle et de prendre des mesures constantes. De plus, les employés des entreprises sont également tenus de manipuler correctement les données et de respecter strictement les lois et règlements.

Par conséquent, les entreprises doivent régulièrement former leurs employés pour approfondir leur compréhension des lois et procédures les plus récentes.

Établir un système de collaboration avec des experts

Il est essentiel de construire ou de renforcer un système de collaboration avec des experts. En établissant une collaboration avec des experts familiers avec la réglementation chinoise, vous pourrez répondre rapidement. De plus, les entreprises doivent surveiller et évaluer régulièrement leur conformité à la protection des données personnelles. Ainsi, la mise en place d’un système de collaboration avec des experts externes est indispensable.

Résumé : Comprendre plusieurs réglementations et agir avec précision

Description du document

Le 1er novembre 2021, la Chine a mis en œuvre pour la première fois une loi globale sur la protection des informations personnelles, la « Loi chinoise sur la protection des informations personnelles ». Pour les entreprises qui opèrent à l’échelle mondiale, les réglementations chinoises liées aux données (Loi sur la cybersécurité, Loi sur la sécurité des données, Loi sur la protection des informations personnelles) sont des législations incontournables en raison de l’importance du marché et de la rigueur des réglementations. Selon les circonstances, il est essentiel de mettre en place une structure solide qui permette de mener à bien les pratiques nécessaires, parfois avec l’aide de spécialistes.

Présentation des mesures proposées par notre cabinet

Le cabinet d’avocats Monolith est spécialisé en IT, et plus particulièrement dans l’intersection entre Internet et le droit, fort d’une riche expérience dans ces deux domaines. Avec l’expansion croissante des affaires mondiales ces dernières années, la nécessité de contrôles juridiques par des experts devient de plus en plus impérative. Notre cabinet offre des solutions en matière de droit international.

Domaines d’intervention du cabinet d’avocats Monolith : Affaires internationales et opérations à l’étranger[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Qu'est-ce que la feuille de termes lors de la réception d'un investissement via J-KISS?

Qu'est-ce que la feuille de termes lors de la réception d'un investissement via J-KISS?

General Corporate

Qu'est-ce que la 'Loi japonaise sur la protection des informations personnelles' et les informations personnelles ? Explication par un avocat

Qu'est-ce que la 'Loi japonaise sur la protection des informations personnelles' et les informat.

General Corporate

Les services en tant qu'agent d'escrow par un cabinet d'avocats et un avocat

Les services en tant qu'agent d'escrow par un cabinet d'avocats et un avocat

General Corporate

La loi japonaise sur les appareils pharmaceutiques interdit-elle les photos avant et après dans les publicités de beauté et de régime ?

La loi japonaise sur les appareils pharmaceutiques interdit-elle les photos avant et après dans .

General Corporate

Quels sont les cas où un avocat refuse une affaire et pourquoi ? Explication d'un avocat

Quels sont les cas où un avocat refuse une affaire et pourquoi ? Explication d'un avocat

General Corporate

Qu'est-ce que les précédents et exemples de jugements concernant la validité des clauses d'interdiction de transfert à une entreprise concurrente?

Qu'est-ce que les précédents et exemples de jugements concernant la validité des clauses d'inter.

General Corporate

Quel est l'impact des procès judiciaires sur l'examen de l'introduction en bourse ?

Quel est l'impact des procès judiciaires sur l'examen de l'introduction en bourse ?

General Corporate

Explication des droits à la vie privée des 'semi-publics' tels que les dirigeants d'entreprise, les médecins, les professeurs, etc.

Explication des droits à la vie privée des 'semi-publics' tels que les dirigeants d'entreprise, .

General Corporate

Quelles sont les méthodes de financement d'une société par actions ? Explication exhaustive incluant des méthodes autres que l'augmentation de capital par attribution à des tiers

Quelles sont les méthodes de financement d'une société par actions ? Explication exhaustive incl.

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Retourner En Haut