Sélection de la langue

Recherche

Est-il possible de transférer des données à l'extérieur de la Chine ?

Les entreprises canadiennes qui exercent des activités en Chine peuvent avoir besoin de transférer à l'extérieur du pays les données recueillies ou produites dans le cadre de leurs activités. Au cours des dernières années, la Chine a adopté des lois et des règlements relatifs à la cybersécurité et à la protection des données qui peuvent avoir des répercussions sur la capacité des entreprises étrangères à transférer des données hors de la Chine. Cet article explique les exigences réglementaires de la Chine en matière de transfert transfrontalier de données.

Évaluation de la sécurité

Lorsqu'une entreprise doit traiter ou transférer à l'étranger une certaine quantité d'informations personnelles ou transférer des données importantes, elle est tenue de demander de manière proactive une évaluation de la sécurité auprès de l'autorité chargée de la cybersécurité au niveau provincial, qui transmettra ensuite la demande à l'Administration du cyberespace de la Chine (CAC) pour examen.  

Dès réception de la demande, la CAC dispose de 7 jours ouvrables pour décider d'accepter ou non la demande. Bien que ce délai puisse être prolongé dans certains cas complexes, la CAC dispose de 45 jours ouvrables pour procéder à l'évaluation de la sécurité. Au cours de cette évaluation, le CAC examine les risques que le transfert transfrontalier de données peut présenter pour la sécurité nationale, l'intérêt public et les droits et intérêts légitimes des individus et des organisations. 

Lorsque la CAC se prononce sur cette évaluation de sécurité, la décision est valable pour une période de deux ans. Si le demandeur n'est pas d'accord avec la décision de l'évaluation de sécurité, il peut demander à la CAC de revoir la décision dans les 15 jours ouvrables suivant la réception de l'avis de décision. La décision résultant de la révision est finale. 

Lorsqu'une évaluation de la sécurité par le CAC n'est pas obligatoire, un processeur de données peut transférer des informations personnelles à l'extérieur de la Chine à condition de signer un contrat standard de la CAC avec son récipiendaire étranger ou d'obtenir une certification de sécurité auprès d'une institution désignée. Les entreprises ne peuvent pas éviter l'obligation de procéder à une évaluation de la sécurité en divisant les informations personnelles transférées en plus petites quantités de sorte que le volume d'informations personnelles ne dépasse pas les seuils fixés par la loi.

Contrat standard

Si les seuils de données pour une évaluation de sécurité ne s'appliquent pas, les entreprises transférant des informations personnelles peuvent choisir d'utiliser le contrat standard pour l'exportation de données. Les clauses du contrat standard illustrent :

Bien que les parties peuvent négocier des clauses supplémentaires et les joindre à l'annexe II du contrat standard, les ajouts ne peuvent pas s'écarter des obligations et des exigences du contrat standard.

Dans les 10 jours ouvrables suivant l'entrée en vigueur du contrat standard, les parties sont tenues de déposer auprès du bureau provincial de la CAC leur contrat standard ainsi qu'un rapport d'auto-évaluation de l'impact du transfert sur la protection des renseignements personnels. 

Pour une entreprise qui opère à la fois en Chine et en Europe, les clauses contractuelles types de l'UE (CCN) prévues par le règlement général sur la protection des données de l'UE (RGPD) ne peuvent pas se substituer au contrat standard chinois. Une différence fondamentale réside dans le fait que, contrairement à l'approche en quatre modules de l'UE (de traitant à traitant, de traitant à processeur, de processeur à processeur et de processeur à traitant) dans le cadre des CCN, le contrat standard de la Chine adopte une approche unique, sans aucune différenciation en ce qui concerne le rôle du destinataire étranger. Toutefois, malgré des systèmes juridiques différents, les deux systèmes présentent certaines similitudes, comme les principes de traitement licite, de transparence, de respect des droits des personnes concernées et de réponse aux demandes de renseignements des autorités de supervision.

Certification de sécurité

La certification de sécurité est une option alternative pour une entreprise qui a l'intention d'exporter des données hors de la Chine lorsqu'une évaluation de sécurité ne s'applique pas. La procédure de certification comprend les étapes suivantes:

Les règles de certification chinoises présentent certaines similitudes avec la certification GDPR de l'UE, mais un certificat GDPR de l'UE ne peut pas remplacer un certificat chinois.

Autres exigences réglementaires

Pour certains autres types de données devant être transférées à l'extérieur de la Chine, les autorités réglementaires industrielles chinoises pourraient imposer des exigences supplémentaires. Si vous souhaitez obtenir de plus amples informations, veuillez communiquer avec le  Service des délégués commerciaux du Canada en Chine et nous indiquer le type de données en question. 

Liens connexes

Date de modification: