La nouvelle loi de protection des données en Chine est un « anti-RGPD »

Et si l’équivalent du RGPD (Règlement général sur la protection des données) que vient d’adopter la Chine au mois d’août dernier n’avait en réalité rien à voir avec la protection des données personnelles telle que nous la concevons ? Marie-Anne Frison-Roche, professeur de droit de la régulation et de la compliance, met en garde contre l’effet d’optique suscité par la similarité des règles en soulignant que les objectifs poursuivis par la Chine sont bien différents des nôtres. 

Actu-Juridique : La Chine a adopté fin août une grande loi de protection des données personnelles. Celle-ci est présentée dans les médias comme un équivalent de notre RGPD. Est-ce le cas ?

Marie-Anne Frison-Roche : C’est un contresens absolu que de considérer ce texte ainsi, du seul fait que la Chine imite dans son dispositif technique le règlement européen de 2016, dit « RGPD » dont l’objet est de bloquer la circulation des informations lorsque des individus sont concernés par celle-ci.  Ce n’est pas parce que les instruments juridiques, à savoir l’interdiction pour des entreprises d’atteindre ces informations à caractère personnel et/ou de les utiliser, sont les mêmes que le Droit véhiculé est le même, il peut même être l’inverse : c’est ici le cas.

En effet le Droit de la Compliance est un Droit qui ne peut pas se comprendre par sa seule technique, encore moins par la seule idée d’efficacité technique. En Europe, il s’agit de permettre aux individus de se défendre contre plus puissants qu’eux, principalement l’Etat et sa capacité à constituer des fichiers. C’est pourquoi la Compliance permet de bloquer la possibilité pour l’Etat de stocker et de croiser ces informations : l’individu, caché, peut ainsi demeurer libre, voire résister, peut-être désobéir. La Compliance est du côté de la liberté. En Chine, cette idée fondamentale est absente et les techniques de Compliance sont utilisées pour un autre but : l’obéissance spontanée, grâce par exemple à la surveillance ou à l’évaluation. L’on voit ici l’ambiguïté de la compliance : obtenir l’obéissance absolue sans contrainte apparente en Chine, permettre la désobéissance sans drame en Europe. Techniquement l’on comprend que les Chinois en soient adeptes et les Européens y soient attachés, alors même qu’ils en font un usage diamétralement opposé !

Le texte chinois prend d’ailleurs soin d’indiquer que l’impossibilité de capter et manier des données personnelles va s’imposer aux entreprises mais pas à l’Etat : cela va contraindre les grandes entreprises technologiques chinoises, qui commençaient à rivaliser en puissance avec le pouvoir politique. Plus encore, la loi va permettre d’entraver des investissements étrangers, voire des prises de contrôle en bloquer l’accès à des données personnelles contenues dans les entreprises chinoises.

Le droit de la compliance est un système et le droit de la compliance n’est pas limité à l’interdiction de laisser circuler l’information, au contraire il implique la circulation de l’information lorsque la protection de l’individu le requiert : c’est pourquoi le lanceur d’alerte, et sa protection, sont centraux. Or, rien de cela n’est prévu. Ainsi la connaissance d’informations personnelles sur des personnes appartenant à des groupes minoritaires en Chine, nécessaire à leur protection, va demeurer inaccessible, sauf à l’Etat. Celui-ci va plus que jamais gèrer discrétionnairement la circulation des informations qui concernent les personnes. Ce n’est donc pas une imitation du RGPD, c’est un anti-RGPD. L’ironie de la situation est que la similitude technique permet à l’Etat chinois d’apparaître « plus protecteur » des personnes que les pays occidentaux démocratiques, comme les Etats-Unis, et de refuser désormais à ce titre les transferts de données au nom de la protection des individus.   C’est là où l’absence d’un droit global se fait particulièrement sentir, mais qu’au moins l’on n’applaudisse pas.

Actu-Juridique : S’agit-il de simples effets indésirables potentiels ou bien du but poursuivi par le législateur ?

MAFR : Effectivement l’on pourrait considérer que c’est une loi vertueuse, dont l’on ne pourrait craindre qu’un phénomène de dérive. C’est bien le cas de la législation chinoise concurrentielle, qui a eu pour but de libéraliser l’économie, en imitant la législation américaine et qui, à l’occasion, et qui a été utilisée pour remettre à sa place une entreprise qui voudrait contester l’autorité politique, alors frappée par une condamnation pour abus de position dominante. L’on remarquera qu’ici ce sont les mêmes entreprises chinoises numériques qui sont rappelées à l’ordre.  Beaucoup de commentaires soulignent que la loi chinoise nouvelle opérerait une conversion de la Chine à la protection des individus. Pourquoi pas. Mais, pour ma part, si sa conversion à l’économie concurrentielle me paraissait plus crédible, un marché certes régulé par l’Etat lequel demeure maître des informations, j’ai beaucoup plus de mal à suivre l’hypothèse d’un Législateur chinois converti à la protection des individus. Peut-être l’intention première est-elle de protéger les individus et c’est moi qui n’ai pas la clairvoyance de le percevoir, mais c’est bien en terme de « conversion » qu’il faut alors présenter le texte car cela ne correspond pas à la tradition chinoise, qui fait peu de place à l’individu par rapport au groupe. Quand on souligne pour s’en réjouir que le souci de protection est si fort qu’il n’y aura pas de transfert de données vers des pays offrant une « protection moindre », je constate que cela concerne justement les Etats-Unis, l’ennemi économique et politique de la Chine, les Etats-Unis étant un pays dont l’absence comparée de protection des individus ne m’était pas apparue non plus.  Mais nous savons que les lois apparaissent par l’usage qui en est fait et peut-être les chinois seront-ils plus libres grâce à cette loi nouvelle, j’en accepte l’augure, mais en relisant la loi chinoise de 2017 sur la cybersécurité donnant plein contrôle à l’Etat ainsi que l’absence d’entrave juridique aux techniques de reconnaissances faciales et émotionnelles, je ne retrouve rien de l’idée de  protection des droits et libertés qui irrigue le RGPD.

Actu-juridique : Si la compliance peut servir les intérêts d’États non démocratiques, c’est donc qu’elle est potentiellement dangereuse ?

MAFR : Tout dépend de la conception que l’on a de la compliance, tout tient dans la définition de cette nouvelle branche du droit. Dans une approche procédurale et mécanique, la compliance est un système assurant l’efficacité maximale des réglementations, visant à obtenir des individus qu’ils se plient au respect des règles de leur propre chef sans que l’autorité extérieure, notamment l’Etat, n’ait à intervenir. Il en résulte que si en substance la règle est bonne, tant mieux, mais dans le cas contraire, le droit de la compliance est le pire qui puisse se mettre en place. Pour ma part je récuse cette définition faible et dangereuse qui réduit la compliance à n’être que des voies d’exécution en ex ante, pour la définir  par les buts, des buts ambitieux, des buts monumentaux, des buts nécessairement humanistes car les règles sont faites pour les hommes et non les hommes pour les règles (Portalis doit toujours rester d’actualité).  Dans un tel système qui place la normativité dans les buts, l’information est révélée ou bloquée selon ce que requiert la protection de l’individu. Ainsi la même règle va contraindre l’information à circuler, par le droit d’alerte qui vise à protéger une personne par exemple harcelée, comme elle va contraindre l’information à ne pas circuler, par l’interdiction du transfert des données à caractère personnel. La même idée produit ainsi sans contradiction deux règles techniques opposées.   Si l’on ne se réfère pas d’une façon essentielle au but en armant l’individu contre ce qui le menace (les fichiers, l’Etat, etc.), alors on permet sans y voir à redire que les mêmes techniques désarment les individus et on se félicite de l’adoption de ce texte au lieu de s’en inquiéter.

Note : Un colloque intitulé  « Les buts monumentaux de la compliance : radioscopie d’une notion » se tiendra le 16 septembre prochain à la Maison du Barreau à Paris. Plus d’informations ici.