Cet article a été publié pour la première fois dans le numéro 97 du Journal du Management Juridique et Réglementaire d’Entreprises du Village de la Justice, édition de Décembre 2023 / Janvier 2024, page 37, disponible sur ce lien en lecture ou en téléchargement : https://www.calameo.com/read/0000001782ce590545a06.
ace à la globalisation et digitalisation des échanges, les systèmes juridiques se sont adaptés avec l’introduction de normes complexes, notamment en termes de protection des informations personnelles.
Ces normes ont créé de nouvelles professions comme le DPO ou Data Protection Officer, qui a fait une entrée remarquée dans nos entreprises avec la section 4 du Règlement Général sur la Protection des Données (RGPD) [1], entré en vigueur le 25 mai 2018.
Près de 3 ans après, la Loi chinoise de Protection des Informations Personnelles (LPIP) [2], entrée en vigueur le 1er novembre 2021, en fait également mention en tant que « personne en charge de la protection des informations personnelles », ou DPOC dans cet article (Data Protection Officer Chinois).
Nombreux sont les groupes français implantés en Chine qui se contentent de se conformer aux normes du RGPD, sans prêter attention au DPOC dans leur filiale chinoise. Si la présence d’un DPOC n’y est pas systématiquement obligatoire (1), son rôle est cependant étendu (2), sanctionné par des responsabilités précises en cas de manquement à ses fonctions (3).
1. Présence du DPOC : seuils de désignation
L’art. 52 de la LPIP soumet la désignation d’un DPOC à la quantité d’informations personnelles traitées, tout en renvoyant à l’Administration Cybersécurité de Chine (ACC) le soin de préciser ces seuils.
Cette dernière ne s’étant pas encore prononcée, des spécifications sectorielles (les Spécifications)[3] font aujourd’hui office de référence. Ainsi, toute organisation remplissant au moins l’une des conditions suivantes doit mettre en place un DPOC expérimenté à temps plein :
– La filiale chinoise compte plus de 200 employés et son activité principale consiste à traiter des informations personnelles.
– Le traitement des informations porte sur plus d’1M de personnes (chiffre réel ou prévisionnel à 12 mois).
– Le traitement porte sur des informations dites sensibles de plus de 100 000 personnes (données médicales, etc.).
En dehors de ces seuils, les Spécifications recommandent également la désignation d’un DPOC. Une nomination en interne et à temps partiel est possible.
À noter que la Loi de Cybersécurité chinoise (LCS) [4], dont l’objectif est aussi la protection de la sécurité nationale, prévoit quant à elle une « personne en charge de la cybersécurité » (art. 21.1), différente du DPOC, mais qui pourrait en théorie cumuler les deux fonctions.
Une fois le DPOC identifié, il convient de préciser son rôle.
2. Le DPOC en tant que "personne en charge"
Comme son nom l’indique, le DPOC est la « personne en charge de la protection des informations personnelles » et son contact doit être rendu public.
Cette notion de « personne en charge » laisse entendre un rôle lourd en responsabilités, dont les contours sont peu définis dans la LPIP (art. 52 et 66), portant sur « la supervision des activités de traitement des informations personnelles et les mesures de protection adoptées ».
Ce sont les Spécifications qui viennent à nouveau détailler ce rôle : coordination et implémentation de la sécurité, analyses d’impacts, audits sécurité et rectification des risques, organisation de plans de travail, formulation, mise à jour et implémentation de procédures et protocoles, maintien des listes d’informations personnelles à jour (type, quantité, source, destinataire, etc.), autorisation d’accès, organisation de formation en interne, organisation de tests préalables avant la mise en ligne de produits ou services, publication d’informations sur les réclamations effectuées, notification au management de toute réclamation ou contravention, etc.
Cette liste non exhaustive confirme l’étendue du rôle du DPOC, en particulier par rapport au DPO en France, dont les missions consistent plutôt en de l’information et du conseil auprès du responsable du traitement quant au respect du RGPD, et de la coopération avec les autorités de contrôle (art. 39).
Cette étendue du rôle du DPOC va en réalité de pair avec ses responsabilités.
3. Sanctions en cas de manquement aux obligations du DPOC
L’art. 66 de la LPIP envisage les responsabilités en cas de manquement aux obligations qui y sont prescrites ; la sanction ultime en cas de « circonstances sérieuses » consistant en une amende allant jusqu’à près de 6M d’euros pour l’organisation contrevenante, et entre près de 13K et 128K euros pour «la personne directement en charge ou toute autre personne directement responsable». Cette définition inclut donc le DPOC, qui peut également faire l’objet d’une interdiction d’exercice.
Outre la responsabilité civile avec des sanctions financières substantielles, l’art. 71 précise par ailleurs que les responsabilités administrative et/ou pénale peuvent également être engagées envers tout contrevenant,
y compris donc le DPOC qui a tout intérêt à effectuer ses missions avec le plus grand soin pour éviter toute dérive et sanctions possibles à divers titres.
En conclusion, l’étendue du rôle du DPOC et les responsabilités légales encourues en font une fonction à la fois riche et contraignante, que les groupes français implantés en Chine ne devraient pas négliger au prétexte qu’ils se conforment au RGPD.
Si en France, le DPO peut tout à fait voir sa responsabilité engagée comme tout autre employé, la Chine va plus loin dans son raisonnement, en sanctionnant ses fonctions de manière bien spécifique.
Nicolas COSTER, Avocat au Barreau de Paris, Arbitre, Fondateur
Fatéma ADAMJEE, Juriste
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[2] Version traduite en Anglais de la LPIP chinoise : http://en.npc.gov.cn.cdurl.cn/2021-12/29/c_694559.htm
[3] Les technologies de la securité de l’information – Specifications sur la sécurité des informations personnelles GB/T 35273-2020. Version disponible en Mandarin uniquement : http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=4568F276E0F8346EB0FBA097AA0CE05E
[4] Version traduite en anglaise de la Loi de Cybersécurité chinoise : http://www.lawinfochina.com/Display.aspx?LookType=3&Lib=law&Id=22826&SearchKeyword=&SearchC Keyword=&paycode=
