Comment effectuer un transfert de données à l'extérieur de la Chine

Les entreprises canadiennes qui exercent des activités en Chine peuvent avoir besoin de transférer à l'extérieur du pays les données recueillies ou produites dans le cadre de leurs activités. Au cours des dernières années, la Chine a adopté des lois et des règlements relatifs à la cybersécurité et à la protection des données qui peuvent avoir des répercussions sur la capacité des entreprises étrangères à transférer des données hors de la Chine. Cet article explique les exigences réglementaires de la Chine en matière de transfert transfrontalier de données.

Exemptions réglementaires

Des exemptions figurent actuellement au sein de la réglementation chinoise et facilitent l'exportation des données suivantes :

• les données qui sont générées dans le cadre du commerce international, du transport transfrontalier, de la coopération universitaire, des activités transfrontalières de fabrication et de commercialisation, et qui n'impliquent pas de données importantes^{Note de bas de page 1} ou d'informations personnelles
• les informations personnelles qui sont générées à l'étranger et transférées en Chine pour y être traitées, puis réexportées à l'étranger, et qui n'introduisent pas de données nationales importantes ou d'informations personnelles lors de leur traitement en Chine
• les informations personnelles nécessaires à l'exécution et à la réalisation d'un contrat lorsque les informations personnelles en question proviennent de l'une des parties contractantes; ces contrats peuvent concerner les achats transfrontaliers, les envois postaux, les remises de fonds, les paiements, l'ouverture de comptes, les réservations de billets d'avion et d'hôtels, les demandes de visas, les services de vérification, etc.
• les informations personnelles des employés à des fins de ressources humaines découlant de politiques d'emploi et de contrats collectifs de travail
• les informations personnelles destinées à protéger la vie, la santé ou les biens des individus dans des situations d'urgence
• les informations personnelles non sensibles^{Note de bas de page 2} concernant au maximum 100 000 personnes par année civile et exportées par des opérateurs d'infrastructures d'informations non critiques^{Note de bas de page 3}; et
• les données exportées par des entreprises situées dans les zones pilotes de libre-échange de la Chine et sujettes aux exemptions applicables au sein de ces zones.

Il se peut que les autorités chinoises procèdent à de nouvelles modifications des exemptions.

Dans le cadre de ces exemptions, certaines exigences supplémentaires peuvent également s'appliquer, notamment une évaluation de l'impact sur la protection des informations personnelles. Lorsque ces exemptions ne s'appliquent pas, une entreprise doit faire appel à l'évaluation de la sécurité, au contrat type ou au mécanisme de certification de la sécurité pour le transfert de données à l'étranger.

Évaluation de la sécurité

Lorsqu'une entreprise doit traiter ou transférer à l'étranger une certaine quantité d'informations personnelles ou transférer des données importantes, elle est tenue de demander de manière proactive une évaluation de la sécurité auprès de l'autorité chargée de la cybersécurité au niveau provincial, qui transmettra ensuite la demande à l'Administration du cyberespace de la Chine (CAC) pour examen.

Dès réception de la demande, la CAC dispose de sept jours ouvrables pour décider d'accepter ou non la demande. Bien que ce délai puisse être prolongé dans certains cas complexes, la CAC dispose de quarante-cinqjours ouvrables pour procéder à l'évaluation de la sécurité. Au cours de cette évaluation, le CAC examine les risques que le transfert transfrontalier de données peut présenter pour la sécurité nationale, l'intérêt public et les droits et intérêts légitimes des individus et des organisations.

Lorsque la CAC se prononce sur cette évaluation de sécurité, la décision est valable pour une période de trois ans. Si le demandeur n'est pas d'accord avec la décision de l'évaluation de sécurité, il peut demander à la CAC de revoir la décision dans les quinze jours ouvrables suivant la réception de l'avis de décision. La décision résultant de la révision est finale.

Lorsqu'une évaluation de la sécurité par le CAC n'est pas obligatoire, un processeur de données peut transférer des informations personnelles à l'extérieur de la Chine à condition de signer un contrat standard de la CAC avec son récipiendaire étranger ou d'obtenir une certification de sécurité auprès d'une institution désignée. Les entreprises ne peuvent pas éviter l'obligation de procéder à une évaluation de la sécurité en divisant les informations personnelles transférées en plus petites quantités de sorte que le volume d'informations personnelles ne dépasse pas les seuils fixés par la loi.

Contrat standard

Si les seuils de données pour une évaluation de sécurité ne sont pas atteints, les entreprises transférant des informations personnelles peuvent choisir d'utiliser le contrat standard pour l'exportation de données. Les clauses du contrat standard illustrent :

• les obligations du processeur de renseignements personnels et du récipiendaire à l'étranger
• l'impact des lois et des politiques du pays où se situe le récipiendaire étranger
• les droits de la personne qui fournit des renseignements personnels
• les recours disponibles pour l'individu qui fournit des informations personnelles
• l'annulation du contrat standard; et
• les responsabilités en cas de violation du contrat, entre autres

Bien que les parties peuvent négocier des clauses supplémentaires et les joindre à l'annexe II du contrat standard, les ajouts ne peuvent pas s'écarter des obligations et des exigences du contrat standard.

Dans les dix jours ouvrables suivant l'entrée en vigueur du contrat standard, les parties sont tenues de déposer auprès du bureau provincial de la CAC dans leurs juridictions leur contrat standard ainsi qu'un rapport d'auto-évaluation de l'impact du transfert sur la protection des renseignements personnels.

Pour une entreprise qui opère à la fois en Chine et en Europe, les clauses contractuelles types de l'UE (CCN) prévues par le règlement général sur la protection des données de l'UE (RGPD) ne peuvent pas se substituer au contrat standard chinois. Une différence fondamentale réside dans le fait que, contrairement à l'approche en quatre modules de l'UE qui s'applique dans le cadre des CCN (de traitant à traitant, de traitant à processeur, de processeur à processeur et de processeur à traitant), le contrat standard de la Chine adopte une approche unique, sans aucune différenciation en ce qui concerne le rôle du destinataire étranger. Toutefois, malgré des systèmes juridiques différents, les deux systèmes présentent certaines similitudes, comme les principes de traitement licite, de transparence, de respect des droits des personnes concernées et de réponse aux demandes de renseignements des autorités de supervision.

Certification de sécurité

La certification de sécurité est une option alternative au contrat standard pour une entreprise qui a l'intention d'exporter des données hors de la Chine lorsqu'une évaluation de sécurité ne s'applique pas. La procédure de certification comprend les étapes suivantes :

• Le responsable du traitement des données personnelles soumet une demande au Centre chinois de technologie et de certification pour l'examen de la cybersécurité (en chinois simplifié seulement) (China Cybersecurity Review Technology and Certification Center - CCRC). La demande doit préciser les éléments à certifier, tels que le type et le volume d'informations personnelles, l'étendue des activités de traitement des informations personnelles et les informations relatives à une agence de vérification technique.
• L'agence de vérification technique effectue la vérification technique demandée et remet un rapport au CCRC et au demandeur.
• Le CCRC effectue une vérification sur place et remet un rapport au demandeur.
• Le CCRC prend une décision sur la base des documents soumis par le demandeur, et du rapport de vérification technique et du rapport de vérification sur place. Si le demandeur répond aux exigences, un certificat de trois ans lui est délivré.
• Au cours de la période de validité de trois ans du certificat, le CCRC exerce une surveillance continue sur le demandeur. Ce dernier a le pouvoir de suspendre ou de révoquer le certificat si le candidat ne satisfait plus aux exigences.

Les règles de certification chinoises présentent certaines similitudes avec la certification GDPR de l'UE, mais un certificat GDPR de l'UE ne peut pas remplacer un certificat chinois.

Autres exigences réglementaires

Pour certains types de données devant être transférées à l'extérieur de la Chine, les autorités réglementaires industrielles chinoises pourraient imposer des exigences supplémentaires. Si vous souhaitez obtenir de plus amples informations, veuillez communiquer avec le Service des délégués commerciaux du Canada en Chine au infocentrechina@international.gc.ca et nous indiquer le type de données en question.

Liens connexes

Le régime chinois de cybersécurité