La plupart des entreprises étrangères sont convaincues que les lois chinoises sur la protection des données ne s’appliquent qu’aux sociétés disposant d’un bureau à Pékin ou Shanghai. C’est faux. Le PIPL - l’équivalent chinois du RGPD - vise toute entité qui traite des informations personnelles de résidents chinois, quel que soit le pays où cette entité est établie. Si votre site utilise des cookies, collecte des adresses courriel ou suit le comportement de visiteurs situés en Chine, vous êtes dans le champ d’application. En cas d’infraction grave, les sanctions peuvent atteindre 50 millions de RMB ou 5 % du chiffre d’affaires du dernier exercice. Les audits de conformité sont obligatoires depuis mai 2025. Il ne s’agit pas d’un risque à venir. C’est déjà une réalité.
Trois lois, un panorama
| PIPL | Loi sur la sécurité des données | Loi sur la cybersécurité | |
|---|---|---|---|
| En vigueur depuis | Novembre 2021 | Septembre 2021 | Juin 2017 |
| Périmètre | Données personnelles des résidents chinois | Ensemble des données traitées en Chine | Opérations réseau en Chine |
| S’applique aux entreprises étrangères hors de Chine ? | Oui | Uniquement en cas d’activités en Chine | Uniquement en cas d’activités en Chine |
| Transferts transfrontaliers | Évaluation de sécurité, contrats types ou certification | Restrictions sur les données sensibles | Évaluation de sécurité requise |
| Sanction principale | Jusqu’à 50 M RMB ou 5 % du CA | Amendes + fermeture possible | Amendes + révocation de licence |
| Audits obligatoires | Oui (depuis mai 2025) | Classification requise | Évaluations de sécurité |
PIPL : la loi qui vous suit partout
La loi sur la protection des informations personnelles est entrée en vigueur en novembre 2021. C’est celle que les entreprises étrangères doivent appréhender en priorité. À la différence des deux autres textes du cadre chinois, le PIPL dispose d’une portée extraterritoriale : il s’applique à toute entité, n’importe où dans le monde, dès lors qu’elle traite des informations personnelles de personnes résidant en Chine.
En pratique : si votre site s’adresse à des utilisateurs chinois et collecte quoi que ce soit - noms, adresses courriel, numéros de téléphone, données de navigation, identifiants d’appareils - le PIPL vous concerne. Peu importe que votre siège soit à Shanghai, San Francisco ou Stockholm. Peu importe que vous n’ayez jamais mis les pieds en Chine. Dès lors que les données appartiennent à des résidents chinois, la loi s’applique.
Le PIPL a une portée extraterritoriale. Toute entreprise qui traite des données personnelles de résidents chinois y est soumise, quel que soit son lieu d’implantation.
Les audits de conformité sont obligatoires depuis mai 2025. Au-delà d’un million de personnes dont les données sont traitées, la nomination d’un délégué à la protection des données s’impose. Les transferts transfrontaliers - dès lors que des données d’utilisateurs chinois quittent le territoire - exigent soit une évaluation de sécurité gouvernementale, soit des clauses contractuelles types, soit une certification par un organisme agréé. Il n’est plus possible de rapatrier les données vers des serveurs à Francfort en considérant la question réglée.
Côté sanctions : jusqu’à 50 millions de RMB ou 5 % du chiffre d’affaires de l’exercice précédent, le montant le plus élevé étant retenu. Les dirigeants peuvent aussi être tenus personnellement responsables. Pour ceux qui ont déjà vécu une mise en conformité au RGPD, l’architecture sera familière et l’ordre de grandeur des sanctions comparable.
Infractions graves au PIPL : jusqu’à 50 millions de RMB ou 5 % du chiffre d’affaires de l’exercice précédent. Les dirigeants peuvent également engager leur responsabilité personnelle.
DSL et loi sur la cybersécurité : les deux autres piliers
La loi sur la sécurité des données (septembre 2021) et la loi sur la cybersécurité (juin 2017) complètent l’édifice réglementaire. Elles concernent avant tout les entreprises dont les opérations ou le traitement des données se situent physiquement en Chine.
Le DSL couvre l’ensemble des données traitées en Chine, au-delà des seules données personnelles. Il établit trois niveaux de classification : données fondamentales de l’État, données sensibles et données générales. Les entreprises doivent mettre en place des systèmes de classification et appliquer des mesures de protection adaptées à chaque catégorie. Le transfert transfrontalier de données sensibles est soumis à des restrictions supplémentaires et peut nécessiter un accord gouvernemental.
La loi sur la cybersécurité, la plus ancienne des trois, impose aux opérateurs de réseaux de stocker sur des serveurs chinois les données générées en Chine. Les opérateurs d’infrastructures d’information critiques sont assujettis à des obligations plus strictes : évaluations de sécurité obligatoires, protocoles renforcés, exigences déclaratives plus sévères.
Pour la majorité des entreprises étrangères qui exploitent un site à destination des utilisateurs chinois, c’est le PIPL qui doit être traité en premier. Le DSL et la loi sur la cybersécurité prennent toute leur importance dès lors qu’on dispose de serveurs, de personnel ou d’opérations de traitement de données en Chine continentale.
Ce que les entreprises étrangères doivent concrètement mettre en place
Si votre entreprise collecte ou traite, sous quelque forme que ce soit, des données provenant d’utilisateurs chinois, les points ci-dessous ne relèvent pas du conseil mais de l’obligation.
| Exigence | Détails |
|---|---|
| Délégué à la protection des données | Obligatoire au-delà d’1 million de personnes concernées |
| Classification des données | Cartographier les données collectées selon les catégories du DSL |
| Stockage des données | Données des utilisateurs chinois sur des serveurs en Chine continentale |
| Consentement explicite | Accord actif et éclairé de l’utilisateur avant toute collecte |
| Évaluation transfrontalière | Évaluation gouvernementale, contrats types ou certification |
| Audits de conformité | Obligatoires au titre du PIPL depuis mai 2025 |
| Procédure de notification en cas de violation | À établir avant qu’un incident ne survienne |
Nommer un DPD. Au-delà d’un million de personnes dont les données sont traitées, la désignation d’un délégué à la protection des données est impérative. Exigence du PIPL, pas une recommandation.
Classifier ses données : identifier ce qui est collecté, évaluer son niveau de sensibilité, établir la correspondance avec les catégories du DSL. Les données fondamentales de l’État et les données sensibles entraînent des obligations renforcées.
Stocker les données des utilisateurs chinois en Chine. Les données personnelles des résidents chinois doivent résider sur des serveurs physiquement situés en Chine continentale. Exigence de la loi sur la cybersécurité, renforcée par le PIPL.
Obtenir un consentement réel. Avant toute collecte d’informations personnelles, un consentement explicite et éclairé est requis. Pas une case pré-cochée. Pas des conditions générales enfouies dans un pied de page que personne ne lit. Un accord que l’utilisateur donne activement.
Consentement explicite signifie que l’utilisateur accepte de manière active. Les cases pré-cochées et le consentement implicite par poursuite de la navigation ne satisfont pas aux exigences du PIPL.
Ce point déstabilise nombre d’entreprises habituées à l’approche « en poursuivant votre navigation, vous acceptez ».
Encadrer les transferts transfrontaliers. Si des données d’utilisateurs chinois doivent quitter le territoire - vers des serveurs en Europe ou aux États-Unis, par exemple - il faut passer par une évaluation de sécurité gouvernementale, des contrats types ou une certification. Ni raccourci ni exemption pour les faibles volumes.
Mener des audits de conformité. Obligatoires au titre du PIPL depuis mai 2025. Ce n’est pas un exercice ponctuel mais un processus récurrent, sous le regard des auditeurs.
Préparer les procédures de notification avant d’en avoir besoin. En cas de violation de données, l’obligation de notification des autorités et des personnes concernées dans des délais imposés s’applique. Les entreprises qui établissent leur processus après la survenance d’un incident se trouvent dans une position nettement plus défavorable.
Besoin d'accompagnement ?
ChinaWebFoundry prend en charge vos projets WordPress en Chine de bout en bout. Si le sujet vous semble complexe, contactez-nous.
Parlons-en