Si vous développez des applications mobiles pour le marché chinois, la conformité aux lois chinoises sur la confidentialité des données est non négociable. Les réglementations clés - Cybersecurity Law (CSL), Data Security Law (DSL), et Personal Information Protection Law (PIPL) - exigent des mesures strictes de data storage, de consentement des utilisateurs et de sécurité.
Points Clés :
- Localisation des Données : Les applications doivent stocker les données des utilisateurs chinois sur des serveurs en Chine (CSL)
- Règles de Consentement : Le consentement explicite de l’utilisateur est obligatoire pour la collecte de données (PIPL)
- Transferts Transfrontaliers : Les données sensibles ne peuvent souvent pas quitter la Chine sans approbation (DSL)
- Sanctions : La non-conformité peut entraîner des amendes jusqu’à 50M¥ (~77M$) ou 5% du chiffre d’affaires annuel
Aperçu Rapide :
| Réglementation | Focus | Exigences Principales |
|---|---|---|
| CSL | Sécurité du Réseau | Stockage local des données, examens de sécurité, signalement des incidents |
| DSL | Classification des Données | Évaluations des risques, registres, restrictions transfrontalières |
| PIPL | Données Personnelles | Consentement utilisateur, minimisation des données, droits des utilisateurs |
La conformité nécessite un investissement important dans des solutions techniques comme le chiffrement, des audits réguliers et des processus de mise à jour robustes. Le non-respect risque d’entraîner des sanctions financières et le retrait de l’application des stores chinois.
Principales Lois sur la Confidentialité en Chine
Exigences de la Cybersecurity Law (CSL)
La CSL, en vigueur depuis le 1er juin 2017, établit des règles strictes pour les opérateurs de réseaux et d’infrastructures. Pour les applications mobiles, les exigences clés incluent :
- Localisation des Données : Les données personnelles doivent être stockées sur des serveurs situés en Chine continentale
- Examens de Sécurité : Les applications traitant des données sensibles doivent subir des évaluations de sécurité obligatoires
- Protection du Réseau : Les opérateurs doivent adopter des mesures de sécurité réseau à plusieurs niveaux
- Signalement des Incidents : Les incidents de sécurité doivent être signalés dans des délais spécifiés
Normes de la Data Security Law (DSL)
La DSL complète la CSL en introduisant une approche structurée de la gestion des données, axée sur la classification. Voici comment les données sont catégorisées selon cette loi :
| Classification des Données | Exigences de Sécurité | Transfert Transfrontalier |
|---|---|---|
| Données d’État Essentielles | Protection la plus stricte | Non autorisé |
| Données Importantes | Protection de haut niveau | Nécessite une évaluation de sécurité |
| Données Générales | Protection de base | Doit suivre les règles standard |
Les applications mobiles doivent suivre ces pratiques :
- Utiliser des systèmes de classification hiérarchique des données
- Effectuer des évaluations régulières des risques
- Tenir des registres détaillés des activités de traitement des données
- Établir un mécanisme de réponse d’urgence
Règles de la Personal Information Protection Law (PIPL)
La PIPL fournit des réglementations détaillées sur le traitement des données personnelles. Les applications mobiles doivent se conformer à ces règles principales :
- Consentement Utilisateur : Obtenir un consentement clair et explicite pour chaque type de données collectées
- Minimisation des Données : Ne collecter que les informations absolument nécessaires
- Droits des Utilisateurs : Offrir des outils permettant aux utilisateurs d’accéder, corriger ou supprimer leurs données
- Portabilité des Données : Permettre aux utilisateurs de transférer leurs données vers d’autres plateformes
Le non-respect peut entraîner des sanctions sévères, y compris des amendes allant jusqu’à 50 millions de yuans (environ 77 millions de dollars) ou 5% du chiffre d’affaires de l’année précédente. Cela pousse les développeurs à prioriser la conformité et à adopter des mesures robustes de protection des données.
