La loi sur la protection des informations personnelles ne met pas en place un organe de surveillance distinct et indépendant pour superviser la protection des informations personnelles, mais établit un modèle réglementaire de « supervision collaborative sous supervision globale (1+X) », incluant l’Administration du cyberespace de Chine, le ministère de l’Industrie et des Technologies de l’information, le ministère de la Sécurité publique et l’Administration d’État pour la réglementation des marchés, ainsi que les départements concernés du Conseil des Affaires d’État et les gouvernements locaux. À en juger par les mesures réglementaires antérieures, la surveillance administrative de la protection des renseignements personnels a montré une tendance à l’application spéciale, à l’application conjointe, à la fréquence élevée, à la notification publique et à des mesures plus scientifiques et techniques, mais il existe également des problèmes tels que la surveillance décentralisée, les responsabilités réglementaires peu claires, les procédures peu claires, le manque de professionnalisme et d’indépendance, etc., qui doivent être résolus de toute urgence.

[Mots-clés]protection des informations personnelles ; la supervision administrative ; l’exécution de la liaison ; Régulation décentralisée

À l’ère de l’économie numérique, les renseignements personnels, en tant que nouveau facteur de production, jouent un rôle de plus en plus important, ce qui a une incidence non seulement sur les droits et les intérêts des individus et des activités commerciales, mais aussi sur l’intérêt public et la sécurité nationale. Avec le développement de la technologie de l’information, la collecte et l’utilisation de renseignements personnels en violation des lois et des règlements sont devenues de plus en plus graves, et les activités illégales et criminelles de renseignements personnels augmentent également. La supervision administrative est le principal moyen et la force de la protection des renseignements personnels, entre le civil et le criminel, qui peuvent généralement être supervisés plus rapidement et plus efficacement, mieux prévenir et arrêter les risques, et punir ou corriger rapidement le traitement inapproprié des renseignements personnels. Au cours des dernières années, les organismes de réglementation n’ont cessé de punir et de superviser les actes illégaux et criminels commis à l’égard des renseignements personnels au moyen de diverses mesures d’application de la loi, et ils ont obtenu de bons résultats. Cependant, il existe de nombreux organismes de réglementation administrative pour la protection des renseignements personnels, et il existe des problèmes tels que des normes incohérentes et des domaines réglementaires peu clairs, ce qui peut mener à des recours peu clairs pour les personnes visées par la violation des renseignements personnels, et peut empêcher les entreprises de protéger véritablement les renseignements personnels en raison de la fatigue liée à la surveillance. Par conséquent, la clarification de la situation actuelle et des problèmes de surveillance administrative de la protection des renseignements personnels est propice au rôle de la surveillance administrative dans l’ensemble du processus de protection des renseignements personnels^[]pour mieux protéger les droits et les intérêts des renseignements personnels.

I. L’état actuel du contrôle administratif de la protection des renseignements personnels

La surveillance administrative de la protection des renseignements personnels a toujours existé dans le phénomène des « neuf dragons régissant l’eau », et l’administration du cyberespace, les autorités des télécommunications, les services de sécurité publique, les services de surveillance des marchés et les ministères compétents dans les domaines des finances, de l’éducation, des transports, des soins médicaux, de la santé et d’autres domaines connexes assument tous des responsabilités réglementaires. Dans le processus de promulgation de la loi sur la protection des informations personnelles, de nombreux experts et universitaires ont appelé à une législation visant à établir un organisme de réglementation unifié et spécialisé.^[]Le professeur Zhou Hanhua, un expert juridique qui a été profondément impliqué dans la législation sur la protection des informations personnelles et en a fait la promotion, a également regretté qu’il n’y ait pas d’organisme distinct pour superviser la protection des informations personnelles^[]。 Le modèle de surveillance administrative pour la protection des renseignements personnels établi dans la LPIP n’est pas très différent du modèle de surveillance existant, mais il y a quelques changements. Il n’y a pas beaucoup de différence, il fait référence au fait que la PIPL ne met pas en place un organisme de réglementation unifié et dédié, et continue toujours le modèle précédent de surveillance multipartite, tandis que le changement fait référence au fait que, bien que la PIPL continue le modèle de surveillance multipartite, elle clarifie le statut et le rôle globaux et coordonnateurs de l’administration nationale du cyberespace dans la supervision de la protection des informations personnelles, et n’est plus un simple modèle de « chacun remplissant ses propres devoirs », et cette disposition est sans aucun doute d’une importance pratique pour résoudre les problèmes de surveillance dispersée et de tergiversations mutuelles dans la surveillance de la protection des informations personnelles.

Conformément à l’article 60 de la loi sur la protection des informations personnelles, l’Administration du cyberespace de Chine, les départements compétents du Conseil des Affaires d’État et les départements concernés des gouvernements populaires locaux au niveau ou au-dessus du niveau du comté constituent conjointement les départements de réglementation de la protection des informations personnelles en Chine, qui sont légalement appelés « départements exerçant des fonctions de protection des informations personnelles ». Le modèle réglementaire défini dans la PIPL peut être résumé comme un « modèle de surveillance collaborative (1+X) sous surveillance globale ».^[]« 1 » fait référence au Département d’information Internet de l’État, qui est responsable de la planification et de la coordination globales des efforts de protection des informations personnelles et des efforts de surveillance et de gestion connexes, et « X » fait référence aux départements concernés du Conseil des affaires d’État et aux départements pertinents des gouvernements populaires au niveau des comtés ou au-dessus, qui sont responsables de la protection, de la supervision et de la gestion des informations personnelles dans le cadre de leurs fonctions respectives, conformément aux dispositions des lois et règlements administratifs pertinents^[]。

En passant au peigne fin les lois et règlements en vigueur, on peut déterminer que « X » comprend non seulement les départements concernés du Conseil des Affaires d’État tels que le ministère de la Sécurité publique, le ministère de l’Industrie et des Technologies de l’information et l’Administration d’État pour la réglementation des marchés au niveau horizontal, mais aussi les départements pertinents des gouvernements locaux tels que l’Administration du cyberespace de Chine, l’Administration des communications et les départements de supervision du marché au niveau vertical, ainsi que les départements de sécurité nationale de domaines et d’industries spécifiques, la Banque populaire de Chine, la Commission chinoise de réglementation des banques et des assurances et les départements compétents des transports , les autorités sanitaires, les autorités éducatives, etc. (Voir tableau 1)

table1 Protection des informations personnelles en ChinepartieOrganismes de réglementation administrative

II. Organismes administratifs communs de réglementation en matière de protection des renseignements personnels

(1) L’Administration chinoise du cyberespace

L’Administration chinoise du cyberespace (CAC) a été créée en mai 2011 et est un bureau relevant du Conseil des Affaires d’État. Selon l’autorisation du Conseil des Affaires d’État, l’Administration du cyberespace de Chine est principalement responsable de la gestion du contenu de l’information sur Internet en Chine, et est responsable de la supervision, de la gestion et de l’application de la loi^[]。 Avant la promulgation de la PIPL, l’Administration du cyberespace de Chine, en collaboration avec le ministère de la Sécurité publique et le ministère de l’Industrie et des Technologies de l’information, était connue sous le nom de « troïka » de la réglementation d’Internet et jouait un rôle très important dans la supervision de la protection des informations personnelles. Selon les statistiques des actions des forces de l’ordre et des affaires pertinentes liées à la surveillance de la protection des informations personnelles au cours des deux dernières années, l’Administration du cyberespace de la Chine peut être considérée comme l’un des organismes de réglementation de la protection des informations personnels les plus actifs. Après la promulgation de la loi sur la protection des informations personnelles, l’Administration chinoise du cyberespace, en tant que département de coordination globale de la protection des informations personnelles, a établi une position dominante relativement claire et s’est vu accorder plus de pouvoirs, et la supervision de la protection des informations personnelles est appelée à augmenter à l’avenir^[]。

En tant que principal organisme de réglementation de la protection des informations personnelles, l’Administration du cyberespace de Chine (CAC) a également publié un certain nombre de règles ministérielles et de documents normatifs sur la protection des informations personnelles au cours des dernières années, notamment les dispositions sur la protection en ligne des informations personnelles des enfants, plusieurs dispositions sur la sécurité des données automobiles (pour la mise en œuvre à titre d’essai), les mesures d’examen de la cybersécurité et les dispositions sur la gestion des services d’information pour les applications Internet mobiles. De plus, les administrations locales du cyberespace (« CAC »), en tant que ministères locaux, assument les responsabilités réglementaires des CAC dans leurs juridictions respectives et sont les principaux organismes de réglementation de la protection des informations personnelles, tout comme les CAC.

Il convient de mentionner que l’Administration du cyberespace de Chine et l’Administration du cyberespace de Chine sont deux marques de la même institution, qui sont énumérées dans la séquence des institutions relevant directement du Comité central du Parti communiste chinois. L’Administration du cyberespace de Chine, dont le nom complet est le « Bureau de la Commission de la cybersécurité et de l’information du Comité central du PCC », est le bureau de la « Commission centrale de cybersécurité et d’informatisation », et la Commission centrale de cybersécurité et d’informatisation est l’ancien « Groupe directeur central de cybersécurité et d’informatisation » réorganisé selon le « Plan pour l’approfondissement de la réforme des institutions du Parti et de l’État » de 2018, qui est principalement responsable de la conception de haut niveau, de la mise en page globale, de la coordination globale, de la promotion globale, de la supervision et de la mise en œuvre des principaux travaux dans le domaine de la cybersécurité et de l’informatisation en Chine. La création des institutions susmentionnées a en fait renforcé la position de coordination globale de l’Administration du cyberespace de la Chine et est plus propice à l’Administration du cyberespace de la Chine pour superviser la protection des informations personnelles.

(2) Ministère de l’Industrie et des Technologies de l’information

Le ministère de l’Industrie et des Technologies de l’information, également connu sous le nom de ministère de l’Industrie et des Technologies de l’information de la République populaire de Chine, a été créé en 2008 par l’ancien ministère de l’Industrie de l’information, la Commission de la science, de la technologie et de l’industrie pour la défense nationale et le Bureau de l’information du Conseil des Affaires d’État dans le cadre de la réforme institutionnelle du Conseil des Affaires d’État. Selon les dernières réglementations du Bureau du Comité central d’établissement de l’organisation, les principales responsabilités du ministère de l’Industrie et des Technologies de l’information comprennent la gestion de l’industrie de l’Internet, la gestion de l’information et de la communication, la gestion du réseau et de la sécurité de l’information, etc^[]。 En 2013, le ministère de l’Industrie et des Technologies de l’information (MIIT), en tant qu’autorité compétente en charge des industries de l’Internet et des télécommunications, se préoccupe depuis longtemps de la protection des informations personnelles et a publié en 2013 les dispositions sur la protection des informations personnelles des utilisateurs des télécommunications et d’Internet, qui mettent en avant de nombreux principes et exigences pour les opérateurs de télécommunications et les fournisseurs de services d’information sur Internet en matière de collecte d’informations sur les utilisateurs, et prévoient des mesures de sanction administrative^[]。

Le ministère de l’Industrie et des Technologies de l’information (MIIT) est également l’une des « troïkas » et a mené plusieurs actions réglementaires et policières sur la protection des informations personnelles, seul ou conjointement avec d’autres départements, y compris l’action spéciale de gouvernance sur la collecte et l’utilisation illégales d’informations personnelles par des applications conjointement avec d’autres départements en janvier 2019^[]En juillet 2020, elle a mené séparément une action spéciale de rectification pour promouvoir la violation des droits et intérêts des utilisateurs par des applications^[]。 Parmi les différentes lois et réglementations, le ministère de l’Industrie et des Technologies de l’information (MIIT) s’est vu confier la supervision de la protection des informations personnelles et est l’un des organismes de réglementation les plus importants pour la protection des informations personnelles en Chine. De même, le ministère de l’Industrie et des Technologies de l’information (MIIT) a édicté un certain nombre de règles ministérielles et de documents normatifs pour protéger et encadrer les informations personnelles liées aux télécommunications et à Internet. Outre le Ministère de l’industrie et des technologies de l’information, l’Administration des communications et le Ministère de l’industrie et des technologies de l’information de toutes les provinces, régions autonomes et municipalités relevant directement du gouvernement central sont collectivement dénommés « l’Autorité de régulation des télécommunications » et assument les responsabilités réglementaires du Ministère de l’industrie et des technologies de l’information dans leurs juridictions locales.

3) Ministère de la Sécurité publique

Le ministère de la Sécurité publique, dont le nom complet est « Ministère de la Sécurité publique de la République populaire de Chine », est un département constitutif du Conseil des Affaires d’État et le plus haut organe dirigeant et dominant le travail de sécurité publique dans tout le pays. Le ministère de la Sécurité publique est un autre organisme de réglementation d’Internet en plus de l’Administration du cyberespace de Chine et du ministère de l’Industrie et des Technologies de l’information, et est principalement responsable de la prévention et de la répression des activités illégales et criminelles sur Internet dans la perspective d’assurer la sécurité du réseau^[]。 Le Ministère de la sécurité publique a créé le Bureau de la cybersécurité (MOSPR) en tant qu’organe principal et organe de commandement des efforts de sécurité publique du pays, responsable de la supervision et de la gestion de la sécurité Internet du pays, du maintien de l’ordre public et de la sécurité publique sur Internet, ainsi que de la prévention et de la répression des activités illégales et criminelles sur Internet.

En plus de déposer et d’enquêter sur les actes criminels portant atteinte aux informations personnelles des citoyens conformément au Code pénal et à d’autres dispositions, le ministère de la Sécurité publique peut également exercer une surveillance administrative des actes illégaux liés aux informations personnelles et employer des mesures telles que des sanctions de sécurité publique conformément aux dispositions des lois et règlements tels que la loi sur la cybersécurité, la loi sur la sécurité des données, la loi sur la protection des mineurs, la loi sur la carte d’identité de résident, le règlement sur la protection de la sécurité des systèmes d’information informatiques et le règlement sur la protection de la sécurité des infrastructures d’information critiques. La participation du ministère de la Sécurité publique et des organes locaux de sécurité publique à la supervision de la protection des renseignements personnels peut non seulement renforcer le rôle de la supervision, mais aussi jouer un rôle dissuasif.

4) L’Administration d’État pour la régulation des marchés

L’Administration d’État pour la réglementation des marchés, également connue sous le nom d'« Administration d’État pour la réglementation des marchés de la République populaire de Chine », est un organisme relevant directement du Conseil des Affaires d’État, qui est principalement chargé d’organiser et de mettre en œuvre la surveillance des marchés et l’application de la loi. Conformément aux dispositions des lois et règlements tels que la loi sur la cybersécurité, la loi sur le commerce électronique, la loi sur la protection des droits et des intérêts des consommateurs et les mesures de répression des violations des droits et intérêts des consommateurs, l’Administration nationale pour la réglementation des marchés a le droit de superviser et d’enquêter sur les violations des lois et règlements relatifs aux informations personnelles, et a la responsabilité réglementaire de la protection des informations personnelles. En mars 2019, l’Administration d’État pour la régulation des marchés a lancé une action spéciale d’application de la loi intitulée « Protéger la consommation et réprimer les actes illégaux portant atteinte aux informations personnelles des consommateurs »^[]。 Étant donné que la collecte et l’utilisation illégales de renseignements personnels soulèvent généralement des questions de protection des droits des consommateurs et de gestion des marchés, le service de surveillance et d’administration des marchés est également une autorité réglementaire importante en matière de protection des renseignements personnels et a largement participé à un certain nombre de mesures d’application de la loi liées à la surveillance de la protection des renseignements personnels. En plus de l’Administration d’État pour la réglementation des marchés, les services locaux de réglementation des marchés ont également des responsabilités réglementaires en matière de protection des informations personnelles dans leurs juridictions respectives.

(5) Autres institutions concernées

À en juger par les actions passées des forces de l’ordre et les affaires d’application de la loi, l’Administration du cyberespace de Chine, le ministère de l’Industrie et des Technologies de l’information, le ministère de la Sécurité publique, l’Administration d’État pour la réglementation des marchés et leurs branches locales sont des régulateurs communs de la protection des informations personnelles et ont joué un rôle irremplaçable dans la protection des informations personnelles. En plus de cela, il existe des organismes de réglementation communs dans des domaines et des industries spécifiques, tels que « une banque, deux commissions » qui réglementent les informations financières personnelles^[], la Commission nationale de la santé, qui réglemente les renseignements personnels sur la santé et les renseignements médicaux, le ministère des Transports, qui réglemente les renseignements personnels sur les transports, et le ministère de l’Éducation, qui réglemente les renseignements personnels sur l’éducation, ainsi que les directions ou les organismes dépêchés de ces établissements. Les autorités réglementaires compétentes ont également assuré à maintes reprises la protection et la surveillance des renseignements personnels en formulant des règles ministérielles et des documents normatifs, et en prenant des mesures spéciales d’application de la loi.

III. Pratiques des organismes d’application de la loi en matière de surveillance administrative de la protection des renseignements personnels

(1) Principales méthodes et caractéristiques de l’application de la loi

En fait, la protection des informations personnelles en Chine est d’abord criminelle, à travers les interprétations judiciaires de l’amendement du droit pénal (VII) en 2009, de l’amendement du droit pénal (IX) en 2015 et de l’interprétation judiciaire de la violation des informations personnelles des citoyens par les « deux tribunaux populaires suprêmes » en 2017^[]et d’autres dispositions ont permis d’établir et d’améliorer le système de responsabilisation pénale pour le crime d'« atteinte aux renseignements personnels des citoyens ». En 2016, Xu Yuyu a été trompé et mort^[]Après l’apparition et la mise en œuvre de la loi sur la cybersécurité en 2017, la question de la protection des informations personnelles a attiré l’attention de l’ensemble de la société, et les autorités réglementaires ont progressivement prêté attention à la question de la protection des informations personnelles. Une analyse des diverses mesures d’application de la loi et des cas d’application de la loi par les autorités réglementaires compétentes au cours des dernières années montre que les principales méthodes et caractéristiques de la surveillance de la protection des renseignements personnels sont les suivantes :

1.Application spéciale de la loi, conjointe（Liaison)Les forces de l’ordre sont majoritaires.

Depuis 2019, les administrations nationales et locales du cyberespace, les organismes de réglementation des télécommunications, les organismes de sécurité publique, les départements de régulation des marchés, les autorités éducatives et d’autres organismes de réglementation ont mené plus de 10 actions spéciales d’application de la loi ou des actions de rectification pour effectuer des actions réglementaires spécialisées et centralisées ou la rectification de problèmes tels que la collecte et l’utilisation illégales d’informations personnelles. La durée de l’action spéciale d’application de la loi est longue, la portée est large et il y a une tendance à l’application conjointe de la loi multiministérielle (liaison) et à la gouvernance globale, et plusieurs ministères ont mis sur pied des groupes de travail pour former un mécanisme de coordination de la surveillance de la protection des renseignements personnels et prendre conjointement des mesures d’application de la loi et des mesures réglementaires. (Voir le tableau 2)

Tableau 2 Quelques mesures prises par les forces de l’ordre en matière de protection des renseignements personnels en 2019-2021

2. Rapports publics et à haute fréquence sur les violations des lois et règlements.

Selon le « Rapport spécial sur la gouvernance concernant la collecte et l’utilisation d’informations personnelles par des applications en violation des lois et règlements (2019) ».^[]Rien qu’en 2019, l’Administration chinoise du cyberespace (CAC) et quatre autres départements ont lancé conjointement une campagne spéciale de gouvernance des applications afin d’évaluer plus de 1 000 applications couramment utilisées par les utilisateurs, d’informer les opérateurs de 256 applications, de les exhorter à corriger 1 267 problèmes clés et de recommander aux autorités réglementaires compétentes de supprimer un total de 11 applications qui n’ont pas mis en œuvre les exigences de rectification ; Le ministère de l’Industrie et des Technologies de l’information (MIIT) a lancé une campagne spéciale pour améliorer la capacité à protéger la sécurité des données réseau dans les secteurs des télécommunications et de l’Internet, ainsi qu’une action spéciale en rectification pour les applications qui enfreignent les droits et intérêts des utilisateurs, en envoyant des avis de rectification à 236 opérateurs d’applications, en notifiant publiquement 56 applications et en retirant 3 applications des étagères ; Le ministère de la Sécurité publique a lancé l’action spéciale « Clean Net 2019 », qui a permis de détecter et d’évaluer plus de 31 000 applications, d’enquêter et de vérifier 3 129 indices sur des applications qui enfreignaient les lois et règlements, de rectifier 2 090 applications, d’enquêter et de traiter 1 121 applications et de se concentrer sur la dénonciation de 100 applications qui avaient recueilli et utilisé illégalement des informations personnelles. Plus de 3,69 millions d’informations impliquées dans l’affaire ont été saisies, et plus de 19,46 millions de yuans d’amendes et de confiscations ont été imposés ; 4 225 liens avec les organismes d’application de la loi ont été organisés, et 3 536 entrevues administratives ont été menées. En septembre 2021, le ministère de l’Industrie et des Technologies de l’information (MIIT) a émis à lui seul un total de 18 lots d’avis d’application pour violation des droits et intérêts des utilisateurs, exigeant que les applications concernées y remédient dans un délai imparti^[]。 La surveillance fréquente par les forces de l’ordre des violations des lois et règlements sur les informations personnelles, et la notification publique de l’ensemble du réseau ont suscité des inquiétudes généralisées dans l’ensemble de la société et ont joué un rôle important dans la surveillance.

3. Les institutions professionnelles y participent, et la supervision est plus scientifique et technique.

Dans la supervision de la protection des informations personnelles, il s’agit non seulement de questions juridiques, mais aussi de questions commerciales et techniques complexes, telles que les robots d’indexation, les SDK, les API, l’intelligence artificielle, le big data, les algorithmes, etc. Par conséquent, dans le cadre des mesures réglementaires et d’application de la loi en matière de protection des renseignements personnels, l’organisme de réglementation confie souvent aux institutions professionnelles ou aux organisations techniques concernées le mandat de participer à l’évaluation et à l’analyse des violations et des violations des renseignements personnels. Dans le cadre de l’action spéciale de gouvernance menée conjointement par l’Administration du cyberespace de Chine et quatre autres départements, le Comité technique national de normalisation de la sécurité de l’information, l’Association des consommateurs de Chine, la Société Internet de Chine et l’Association chinoise de sécurité du cyberespace ont été chargés de participer aux actions d’application de la loi en tant qu’organismes professionnels, de participer à la préparation des points d’évaluation conformément aux lois et réglementations nationales pertinentes et d’organiser des évaluations de la collecte et de l’utilisation des informations personnelles. Certaines institutions professionnelles participent non seulement à l’évaluation, mais communiquent également les résultats de la surveillance au monde extérieur^[]。 L’intervention des institutions professionnelles rend la supervision plus stricte et plus complète, et en même temps rend la surveillance plus scientifique et technique, et l’entreprise doit non seulement fournir des documents écrits, mais peut également devoir accepter certains tests techniques lors de l’acceptation de la supervision, afin de réduire considérablement la situation de « route de planches lumineuses, entrepôt sombre ».^[]。

(2) Principales mesures réglementaires et conséquences des violations

Avant la promulgation de la loi sur la protection des informations personnelles, les lois et règlements tels que la loi sur la sécurité des données, la loi sur la cybersécurité, la loi sur le commerce électronique, la loi sur la protection des droits et des intérêts des consommateurs et la réglementation des télécommunications ont tous pris des dispositions correspondantes sur les mesures réglementaires et les conséquences des activités illégales en matière d’informations personnelles. Combinées aux pratiques d’application de la loi des organismes de réglementation, les mesures réglementaires couramment adoptées par les organismes de réglementation lorsqu’ils traitent d’activités illégales liées aux renseignements personnels comprennent des entrevues informelles, des avis publics ou des exposés publics, ainsi que la rectification ou la correction officielle dans un délai prescrit, des amendes, la confiscation des gains illégaux, la suspension des activités pertinentes ou le retrait des produits pertinents, la suspension des activités pour rectification, la suspension de l’accès aux services, la révocation des permis d’exploitation ou la révocation des licences commerciales, etc. Dans le même temps, le régulateur peut également enregistrer les violations des lois et règlements dans le dossier de crédit et les publier. En cas d’infraction aux lois et règlements par les organes et le personnel de l’État, les autorités de réglementation peuvent ordonner des corrections dans un délai et imposer des sanctions administratives. Différentes mesures réglementaires signifient que les parties peuvent faire face à différentes conséquences de la violation de la loi, allant d’une notification publique ou d’une exposition publique, d’un préjudice au crédit, à des amendes, des suspensions d’entreprises, des retraits de produits, des suspensions d’activités pour rectification, entraînant une interruption d’activité ou de service, et dans des cas plus graves, elles peuvent faire face à des sanctions telles que la révocation des permis d’exploitation ou des licences commerciales, et finalement elles ne peuvent plus continuer à fournir des services ou des opérations. Ce fut le cas lors du récent « incident Didi », où l’Administration du cyberespace de Chine et d’autres régulateurs ont mené un examen de la cybersécurité de Didi Chuxing en raison de graves violations des lois et règlements dans la collecte et l’utilisation des informations personnelles, et ont pris des mesures réglementaires telles que l’arrêt de l’enregistrement de nouveaux utilisateurs et la notification de la suppression de l’application « Didi Chuxing »^[][]。

La PIPL fournit des dispositions plus détaillées et explicites sur les mesures réglementaires et les conséquences de la violation des activités de protection des renseignements personnels, y compris des mesures réglementaires telles que l’acceptation de plaintes, de rapports, l’organisation d’évaluations et la publication des résultats d’évaluation, ainsi que des mesures spécifiques que les organismes de réglementation peuvent prendre, telles que des enquêtes sur la situation, l’examen et la reproduction de documents, des inspections sur place, des saisies d’articles, des entrevues et des vérifications de conformité. Selon l’article 66 de la loi sur la protection des informations personnelles, si une partie traite illégalement des informations personnelles ou ne remplit pas ses obligations en matière de protection des informations personnelles, en plus des sanctions mentionnées ci-dessus, la personne responsable concernée ou la personne directement responsable sera également soumise à la sanction de l’interdiction commerciale, c’est-à-dire que la personne concernée ne peut pas exercer les fonctions d’administrateur, de superviseur, de cadre supérieur ou de personne chargée de la protection des informations personnelles de l’entreprise concernée pendant une certaine période de temps^[]。 En plus des mesures de sanction administrative, la PIPL établit un système de contentieux d’intérêt public pour la protection des informations personnelles, en vertu duquel le parquet populaire, les organisations de consommateurs prescrites par les lois et règlements et les organisations désignées par l’administration nationale du cyberespace peuvent intenter une action en justice devant le tribunal populaire conformément à la loi contre le traitement illégal des informations personnelles et la violation des droits et intérêts de nombreuses personnes. Ce système augmente sans aucun doute l’autorité réglementaire de l’autorité de régulation, élargit la voie réglementaire et relie efficacement le contrôle administratif et le contrôle judiciaire.

IV. Enjeux et suggestions pour améliorer le contrôle administratif de la protection des renseignements personnels

(1) Il existe de nombreux organismes de réglementation, la supervision est dispersée et les responsabilités réglementaires doivent être clarifiées davantage

Il existe de nombreux organismes de réglementation pour la protection des renseignements personnels, et le type de surveillance à plusieurs têtes de la « gouvernance de Kowloon » peut non seulement conduire au problème de la supervision décentralisée, le problème des organismes de réglementation qui se renvoient la balle les uns aux autres et se soustraient à leurs responsabilités, mais peut également conduire au problème de la supervision concurrente et de la surveillance en double. Tout d’abord, bien que la PIPL établisse un modèle réglementaire « 1+X », stipule que le CAC doit être l’organe de coordination global de la protection des informations personnelles et stipule les mesures de coordination globales que le CAC peut prendre, le CAC n’est pas un organisme de réglementation unifié et indépendant de la protection des informations personnelles après tout, et il s’agit d’un département constitutif du Conseil d’État avec le ministère de l’Industrie et des Technologies de l’information, le ministère de la Sécurité publique et l’Administration d’État pour la réglementation des marchés. Il reste à voir s’il pourra coordonner la protection des renseignements personnels à l’avenir. Deuxièmement, il existe près de 20 lois administratives sur la protection des renseignements personnels, plus de 50 règles départementales et plus de 100 réglementations locales et documents normatifs^[]Il est encore difficile de déterminer comment chaque organisme de réglementation détermine l’étendue de la surveillance, le contenu de ses responsabilités et la méthode d’application de la loi, afin d’éviter des pouvoirs et des responsabilités peu clairs. Enfin, la PIPL stipule que les régulateurs et les mesures réglementaires ne précisent pas l’objet de l’application des sanctions, mais seulement les départements concernés au niveau provincial ou supérieur, mais quel département est progressivement clarifié dans la pratique à l’avenir^[]。

(2) Il n’existe pas d’organisme de réglementation indépendant, et la supervision peut manquer de professionnalisme et d’indépendance

La protection des renseignements personnels n’est pas seulement une question juridique, mais aussi une question commerciale et technique complexe, et la collecte et l’utilisation illégales de renseignements personnels peuvent se produire dans divers secteurs et domaines. Un certain nombre d’experts ont demandé et suggéré à maintes reprises que la Chine s’inspire des modèles législatifs de pays ou de régions d’outre-mer, comme l’Union européenne, le Japon, la Corée du Sud, Hong Kong et Macao, en Chine, et qu’elle établisse un organisme de réglementation indépendant et spécialisé en matière de protection des renseignements personnels, qui puisse non seulement éviter les conflits réglementaires lors de la supervision des institutions de l’État et de leur personnel, mais aussi souligner l'« indépendance » et le « professionnalisme » dont devraient jouir les organismes de réglementation de la protection des renseignements personnels. Malheureusement, en raison des directives politiques du pays concernant un contrôle strict de la création d’agences gouvernementales, la PIPL n’a finalement pas adopté les recommandations pertinentes.

L’absence d’un organisme de réglementation indépendant peut entraîner un manque de professionnalisme et d’indépendance dans la surveillance pour les raisons suivantes : premièrement, en raison de leurs propres responsabilités et de leur orientation biaisée du travail, les organismes de réglementation ne peuvent pas accorder une attention à long terme et ciblée à diverses questions commerciales et techniques complexes en matière de protection des renseignements personnels, et même manquer de professionnalisme dans la surveillance ; Deuxièmement, les institutions effectivement responsables de la protection des renseignements personnels doivent toujours exister dans les ministères concernés, et il est difficile d’assurer l’indépendance organisationnelle, humaine et financière de ces ministères, ce qui aura une incidence particulière sur l’équité et l’efficacité de l’application de la loi dans les cas où les organes de l’État agissent à titre de sous-traitants individuels^[]。

(3) Les procédures réglementaires et d’application de la loi ne sont pas claires, les méthodes d’application de la loi ne sont pas claires et les systèmes d’allègement administratif font défaut

Si les droits d’une personne sont violés et qu’il n’y a pas de recours adéquat, non seulement ses droits seront lésés, mais cela réduira également l’autorité de la loi et la crédibilité du gouvernement^[]。 La PIPL fournit en détail les mesures réglementaires que l’organisme de réglementation peut prendre et les conséquences de la violation auxquelles les parties peuvent être confrontées, mais elle ne précise pas les procédures et méthodes d’application spécifiques des organismes de réglementation dans la surveillance de la protection des renseignements personnels, ainsi que les recours administratifs et les méthodes d’exercice des droits dont jouissent les parties. Dans le domaine de la protection des consommateurs, l’Administration nationale chargée de la réglementation des marchés a promulgué les Mesures de répression des violations des droits et intérêts des consommateurs, qui définissent les procédures d’imposition de sanctions administratives en cas de violation des droits et intérêts des consommateurs. Dans le domaine de la sécurité de la chaîne d’approvisionnement des infrastructures d’information critiques et du contenu d’information en ligne, l’Administration chinoise du cyberespace (CAC) a promulgué les Mesures d’examen de la cybersécurité et les Dispositions sur les procédures d’application de la loi administrative pour la gestion du contenu de l’information sur Internet, qui prévoient des dispositions claires sur l’achat de produits et de services de réseau par les opérateurs d’infrastructures d’information critiques, la mise en œuvre d’examens de la sécurité du réseau par les processeurs de données lors de l’exécution d’activités de traitement de données et la gestion du contenu de l’information sur Internet. Cependant, à ce jour, la Chine n’a pas encore mis en place de procédures réglementaires et d’application de la loi, de méthodes d’application de la loi et de procédures de réparation pour les parties soumises à des sanctions administratives en matière de protection des informations personnelles. Dans le cas d’une surveillance multicéphale, s’il n’y a pas de système d’application de la loi unifié et normalisé, cela augmentera le risque d’abus des pouvoirs d’application de la loi, d’application erronée de la loi ou d’application arbitraire de la loi par les organismes de réglementation ; Toutefois, l’absence d’un système de recours clair peut également conduire les parties à se retrouver désemparées face aux risques d’application susmentionnés, et leurs droits ne peuvent pas être efficacement corrigés.

Les problèmes mentionnés ci-dessus dans la supervision administrative de la protection des informations personnelles sont liés à la mise en œuvre et à l’efficacité de la loi chinoise sur la protection des informations personnelles et peuvent affecter la promotion et l’évaluation globale du travail de protection des informations personnelles de la Chine, qui doit être résolu de toute urgence. Étant donné que la PIPL est sur le point d’entrer en vigueur et que les principaux modes et mécanismes de surveillance de la protection des renseignements personnels ont été essentiellement déterminés, le CAC doit jouer pleinement son rôle dans la planification et la coordination globales, et clarifier la portée réglementaire, les responsabilités, les procédures d’application de la loi et les méthodes de chaque autorité de réglementation, ainsi que les procédures de dispense pour les parties, en formulant des règles ou des règlements d’application. Dans le même temps, le département de l’information sur Internet de l’État, en collaboration avec d’autres départements de réglementation, doit établir un mécanisme unifié de liaison et de coordination au niveau national dès que possible, et formuler des mesures pour une réglementation coordonnée et la résolution des conflits par les organismes de réglementation, afin de garantir que les organismes de réglementation puissent résoudre rapidement les problèmes réglementaires lorsqu’ils les rencontrent. Enfin, la Chine peut continuer d’explorer la création d’organismes de réglementation indépendants ou d’autres mécanismes efficaces de surveillance de la protection des renseignements personnels, et améliorer continuellement le système de surveillance administrative pour la protection des renseignements personnels.

Auteur : Wu Jinxi, cabinet d’avocats Sichuan Ruiliheng

Source : Réseau de l’Association des avocats de Chengdu et Comité professionnel du droit de haute technologie

Cet article est l’opinion personnelle de l’auteur et ne représente pas la position de l’Association des avocats de Chengdu

Les avocats de la ville sont invités à contribuer activement, et la boîte aux lettres de soumission est la suivante :[email protected]