Le 30 mai 2023, la Cyberspace Administration of China (« CAC ») a publié la Guideline for Filing the Standard Contract for Cross-border Transfer of Personal Information (« SC »). Le 1er juin 2023, le CS est devenu un mécanisme efficace pour le transfert de données à caractère personnel en dehors de la Chine. Lorsque le CS est utilisé comme mécanisme de transfert, il doit être déposé auprès de la CAC et la nouvelle directive fournit des conseils à cet effet. Les éléments clés de la directive sont résumés ci-dessous.
Champ d’application de la SC
Selon la CAC, un gestionnaire de données personnelles peut utiliser la CS comme mécanisme de transfert transfrontalier de données personnelles s’il remplit l’une des conditions suivantes (sauf disposition contraire de la loi) :
Il n’est pas un opérateur d’informations sur les infrastructures critiques ;
Il traite les informations personnelles de moins d’un million de personnes ;
il a transféré des informations personnelles concernant moins de 100 000 personnes depuis le 1er janvier de l’année précédente ; ou
il a transféré des informations personnelles sensibles à moins de 10 000 personnes depuis le 1er janvier de l’année précédente.
La CAC explique en outre les circonstances dans lesquelles un transfert transfrontalier d’informations personnelles pourrait être considéré et la CS pourrait être utilisée, notamment (1) le responsable du traitement des données qui transfère des informations personnelles, collectées et générées dans le cadre d’opérations en Chine, en dehors de la Chine ou qui stocke ces informations en dehors de la Chine ; et (2) l’organisation, l’entité ou l’individu en dehors de la Chine qui accède, récupère, télécharge ou exporte des informations personnelles, collectées et générées dans le cadre d’opérations en Chine, à partir de la Chine.
Les lignes directrices n’indiquent pas clairement si un gestionnaire de données soumis à la loi sur la protection des informations personnelles (« PIPL ») en vertu d’une juridiction extraterritoriale peut exécuter la CS pour le transfert transfrontalier d’informations personnelles.
Exigences en matière de dépôt de la CS
Selon les lignes directrices, le responsable du traitement des données doit déposer la CS signée ainsi qu’un rapport d’évaluation de l’impact sur la protection des informations personnelles (« rapport ») auprès de la CAC compétente au niveau provincial (« CAC locale ») dans un délai de 10 jours ouvrables à compter de la prise d’effet de la CS. Le responsable du traitement des données doit fournir des documents écrits et électroniques pour ce dépôt.
La CAC locale achève l’examen des documents de la demande dans un délai de 15 jours ouvrables et notifie le résultat du dépôt, à savoir « réussite » ou « échec ». En cas d’échec, le responsable du traitement des données fournit des documents supplémentaires dans un délai de 10 jours ouvrables.
Conditions de dépôt complémentaire ou de nouveau dépôt
Pendant la durée d’application de la CS à un transfert spécifique, si l’une des circonstances suivantes se présente, le responsable du traitement des données doit préparer à nouveau le rapport et soumettre une déclaration complémentaire ou procéder à une nouvelle déclaration de CS :
Toute modification de la finalité, de la portée, du type, de la sensibilité, des moyens, du lieu de stockage en dehors de la Chine, de l’utilisation et des moyens de traitement, ou toute prolongation de la période de conservation ;
toute modification des politiques et des lois relatives à la protection des informations personnelles dans le pays ou la région où se trouve le destinataire des données ; ou
toute autre circonstance susceptible d’avoir un impact sur les intérêts des informations personnelles.
Si le responsable du traitement des données signe l’accord complémentaire au CS, il doit soumettre les documents complémentaires à l’autorité locale de certification. Si le responsable du traitement des données signe à nouveau la CS, il doit procéder à un nouveau dépôt de la CS signée à nouveau. La période d’examen pour le dépôt et le redépôt de documents supplémentaires est de 15 jours ouvrables.
