Comment l'Asie protège les données personnelles

Le RGPD constitue la plus importante évolution juridique sur la protection des données personnelles depuis une directive de 1995, dernier texte européen sur le sujet. Comme elle, il devrait rester en vigueur pour une génération. Cette évolution juridique est la conséquence d’une autre évolution, technologique et sociale. Le développement d’Internet, des réseaux sociaux et du stockage en ligne des données personnelles, couplé aux progrès du Big data, avait accru la menace sur la protection des données.

Ces changements ont lieu partout dans le monde. Si les mêmes causes produisent les mêmes effets, un renforcement de la protection des données – et même une diffusion du droit européen – devraient être observables ailleurs. On connaît cependant l’approche minimaliste des États-Unis, où les timides progrès adoptés à la fin du second mandat Obama ont été presqu’aussitôt annulés par l’administration Trump. Depuis, les scandales Uber, Equifax ou Facebook n’ont pas encore provoqué de réponse législative. La situation n’est cependant pas la même en Asie.

La protection des données personnelles confiées par les individus aux entreprises en Chine s’est développée très rapidement, surtout avec la Loi Cybersécurité de 2016 dont 11 articles sont consacrés à la protection des données. Elle établit des principes généraux, précisés par des lignes directrices publiées en décembre 2017. Celles-ci sont applicables depuis le 1er mai 2018 et les experts soulignent les similitudes avec l’approche européenne. Comme le RGPD, ces lignes directrices sont applicables à toutes les entreprises de tous les secteurs. C’est une différence fondamentale avec l’approche sectorielle américaine. Des droits qui caractérisent le RGPD y sont présents, comme le droit à la portabilité des données, permettant de les récupérer pour les transférer chez un concurrent.

Le but de la Chine n’est cependant pas d’aller aussi loin que l’Europe sur la protection des données personnelles. Les responsables de la conception des lignes directrices de 2017 ont publiquement exprimé leur objectif de trouver une position plus stricte que celle des États-Unis, mais moins que celle de l’Europe. Il existe par ailleurs un débat dans le pays entre les tenants d’une moindre régulation au profit du développement d’industries comme l’intelligence artificielle et les partisans d’une meilleure protection des citoyens contre les fraudes et abus répétés. À ce titre, la dernière ébauche des lignes directrices contenait plus de protections que la version finale, dont les dispositions ont été amoindries par les négociations. La situation continuera d’évoluer rapidement puisque d’autres précisions sont attendues, ainsi qu’une loi spécialement dédiée à la protection des données personnelles.

Le gouvernement conserve cependant un large accès aux données pour diverses raisons, comme les questions de sécurité ou pour la notation des citoyens, dont les contours flous du « système de crédit social » sont encore mal connus et débattus par la recherche. Force est de constater que les évolutions technologiques rendent plus efficace la surveillance par le gouvernement, à l’exact opposé de ce qu’espéraient ceux qui voyaient en l’arrivée d’Internet en Chine une obligation d’évolution libérale pour le régime. Pour les individus qui confient leurs données personnelles aux entreprises, leurs droits sont renforcés et les risques de fuite et autres mauvaises pratiques atténués, à condition que l’application des règles soit effective. En revanche, ils n’ont aucun moyen de recours en cas d’atteinte à leurs droits par l’État.

La situation est meilleure dans les deux sociétés hyperconnectées que sont la Corée du Sud et le Japon. Les progrès sont là aussi très rapides et dans le sens du droit européen. La convergence y est si marquée que la Commission Européenne a ouvert des discussions avec les deux pays, afin de reconnaître leur niveau de protection comme « essentiellement équivalent » à celui de l’Union européenne. Une telle décision, prévue par le RGPD, permettrait l’export de données depuis l’Europe vers ces pays sans restriction.

Cependant, quelques problèmes sont susceptibles de faire douter la Commission Européenne. D’abord, au Japon comme en Corée du Sud, la notion de données personnelles reçoit une définition plus étroite qu’en Europe, ce qui pourrait exclure du champ d’application certaines informations. Ensuite, plusieurs experts craignent que les données importées depuis l’Europe puissent être ensuite réexportées vers des pays moins protecteurs, Tokyo et Séoul ayant en effet des engagements avec leurs voisins du Pacifique. Une difficulté supplémentaire pour la Corée est l’absence de « CNIL » locale indépendante, le rôle de contrôleur étant assumé par le ministère de l’Intérieur. Les négociations sont en cours et la décision de la Commission Européenne devrait être connue cette année.

La situation évolue vite aussi dans les autres États asiatiques, dont beaucoup préfèrent une loi globale sur les données plutôt que divers textes sectoriels. Autrement dit, l’approche européenne plutôt que l’américaine. Hong Kong, Taïwan, les Philippines ou Singapour font partie de ceux qui ont réformé leur droit en y incluant plus de caractéristiques européennes. L’Inde étudie actuellement les possibilités. Sans atteindre les niveaux coréens et japonais, chacun de ces pays regarde vers le droit européen et en importe progressivement plus d’éléments.

Il reste néanmoins beaucoup de progrès à réaliser et l’application effective de ces nouveaux droits reste à vérifier. Cela passera par des autorités de contrôle avec des moyens importants, correspondant au renforcement de leurs missions. L’enjeu est d’ailleurs le même pour l’Europe, sans qu’on soit encore certain qu’elle puisse tenir son rôle de modèle sur ce point.

Soutenez-nous !

Asialyst est conçu par une équipe composée à 100 % de bénévoles et grâce à un réseau de contributeurs en Asie ou ailleurs, journalistes, experts, universitaires, consultants ou anciens diplomates... Notre seul but : partager la connaissance de l'Asie au plus large public.

Faire un don