Le Règlement européen général sur la protection des données (REGPD) entrera en vigueur le 25 mai 2018 et remplacera la Directive 95/46/CE. Il a pour objet l’unification des différentes législations européennes en matière de protection des données personnelles et le renforcement de cette protection afin de répondre aux défis liés au développement des nouvelles technologies. Le Règlement aura un impact significatif sur les entreprises chinoises qui ciblent le marché européen. A titre d’exemple, prenons le groupe Alibaba qui collecte de nombreuses données personnelles issues du marché européen via AliExpress. Par la suite, il transfère ces données à d’autres entreprises, liées au groupe dans l’écosystème du commerce électronique, afin qu’elles puissent compléter des transactions ou prospecter. Si de telles pratiques venaient à franchir les limites que fixe le REGPD, Alibaba risquerait d’être confronté à des enjeux de taille, tant juridiques, qu’économiques et commerciaux.
Le REGPD établit des normes strictes pour la protection des personnes au sein de l’Union européenne :
Applicabilité extraterritoriale du REGPD
D’après l’article 3 (1) du REGPD, si le responsable du traitement ou le sous-traitant est établi au sein de l’Union européenne, et si le traitement des données à caractère personnel relève de son champ d’activité, il doit se soumettre au REGP, et ce quel que soit le lieu de traitement effectif des données.
La notion d’établissement au sein de l’Union européenne doit être entendue au sens large. En effet, un bureau chinois qui ne compte qu’un employé sur le marché européen et qui traite des données à caractère personnel dans le cadre de son activité commerciale, sera considéré comme possédant un établissement sur le territoire de l’Union.
De plus, l’article 3 (2) du REGPD dispose que le responsable du traitement ou sous-traitant non établi dans l’Union mais traitant des données à caractère personnel, relatives aux personnes concernées qui se trouvent sur le territoire de l’Union, est soumis aux dispositions du REGPD dans deux cas : 1) Le traitement est lié à l’offre de biens ou de services aux personnes concernées dans l’Union, et ce qu’un paiement soit exigé ou non desdites personnes ; 2) Le traitement est lié au suivi du comportement de ces personnes, et ce dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union. Cette dernière clause est l’une des plus remarquables du REGPD car elle impacte fortement les entreprises chinoises, spécialement les entreprises Internet qui essayent de percer sur le marché européen. Si l’on reprend l’exemple du groupe Alibaba, cela signifie que le REGPD s’appliquera au groupe, que ce dernier cible le marché européen ou surveille les activités de navigation des utilisateurs de l’Union européenne.
Interprétation large de la notion de données à caractère personnel
L’article 4 du REGPD définit la donnée à caractère personnel comme toute information se rapportant à un personne physique identifiée ou identifiable. A nouveau, le Règlement définit largement cette notion de données à caractère personnel. Si l’on reprend l’exemple d’AliExpress, seront considérées comme données à caractère personnel non seulement les informations de transaction fournies par les utilisateurs telles que le compte bancaire, les adresses et les informations de contact, mais également les adresses IP et identificateurs de périphérique. Pour déterminer si une donnée permet d’identifier une personne, elle doit être considérée dans l’ensemble qu’elle forme avec les autres données, et non isolément.
Enfin, le Règlement offre une protection plus stricte à certaines catégories de données à caractère personnel telles que les données génétiques ou encore les données biométriques.
Obligations lourdes pesant sur le responsable de traitement ou le sous-traitant
Le REGPD pose non seulement des obligations, à la charge du responsable de traitement ou sous-traitant, mais aussi des droits aux personnes concernées par le traitement. A titre d’exemple, le responsable du traitement ou le sous-traitant est soumis à une obligation de transparence dans le traitement ou encore de confidentialité des données traitées. Il doit également limiter son traitement aux données pertinentes et limiter dans le temps le stockage des données traitées. Quant aux personnes concernées par le traitement, elles jouissent notamment d’un droit à l’oubli, d’un droit d’opposition ou encore d’un droit de rectification des données traitées. En outre, le responsable du traitement ou sous-traitant doit respecter la protection de la vie privée de la personne concernée et mener des études d’impact de son traitement de données sur la vie privée des personnes concernées. Il doit également désigner des agents de la protection des données, tels que le Contrôleur informatique et libertés, qui ont pour mission de veiller au respect, par lui, de la réglementation.
Sanctions lourdes
L’autorité de surveillance peut décider de poursuivre le responsable du traitement ou sous-traitant, de plein droit ou suite à la plainte d’une personne concernée. Si nécessaire, elle condamnera le responsable du traitement ou le sous-traitant au paiement d’une amende dont le montant sera déterminé au cas par cas. L’article 83 du REGPD établit des règles différentes en fonction de l’acte répréhensible. A titre d’exemple, le responsable du traitement ou sous-traitant qui n’adopte pas les mesures techniques appropriées pour éviter ou réduire les risques liés une atteinte à la protection de la vie privée sera condamné à payer une amende de 10 000 000, soit d’un montant égal à 2% du chiffre d’affaire mondial ; le responsable du traitement ou sous-traitant qui viole les principes de base relatifs au traitement des données à caractère personnel ou qui ne protège pas correctement les droits des personnes concernées est condamné à une amende de 20 000 000 euros, soit 4% du chiffre d’affaire mondial. En parallèle des ces sanctions administratives, les personnes concernées ont la possibilité de former un recours juridictionnel contre le responsable de traitement ou le sous-traitant et de percevoir une indemnisation.
Pour se développer sur le marché européen, et gagner la confiance des utilisateurs européens, les entreprises chinoises, telles que le groupe Alibaba, devraient étudier rapidement leurs pratiques actuelles et leur plan d’affaire afin de déterminer s’ils sont soumis à l’application du REGPD et si les données qu’ils traitent sont considérées comme données à caractère personnel. La conformité aux principes de traitement, la sauvegarde des droits des personnes concernées et le respect des obligations permettraient de prouver le respect de la vie privée par les entreprises chinoises et ainsi éviter toute perte économique qui serait causée par des actes illégaux.