La loi sur la protection des informations personnelles (PIPL) est entrée en vigueur en Chine le lundi 1er novembre. Il impose un régime strict sur la protection des données dans un pays où les entreprises sont habituées à une grande, voire excessive liberté dans le domaine.

DPO, un métier qui rapporte en Chine

Le texte est réputé aussi dur que le Règlement sur la protection des données (RGPD), il est même, pour certains articles, très directement inspirés de ce dernier. Le South China Morning Post relate que 38 applications de Tencent, d’Alibaba et d'autres entreprises, ont déjà été rappelées à l’ordre par le ministère chinois de l'Industrie et des Technologies de l’Information pour non-respect de la loi.

Pour se mettre à niveau, les entreprises de toutes tailles recherchent tous azimuts des délégués à la protection des données (DPO). Les salaires de ces postes auparavant peu valorisés ont logiquement explosé.

Le Financial Times rapporte l’existence d’une offre d’emploi de ByteDance pour un DPO avec un salaire mensuel de 60 000 yuans, 8086 euros, cinq fois le salaire moyen à Pékin. Rentable pour une société exposée à une amende pouvant aller jusqu’à 5% de son chiffre d’affaires en cas de non-respect du PIPL.

Les autorités chinoises n’ont pas attendu l’arrivée du PIPL

Cette explosion ne date pas du 1er novembre, elle a commencé dès la fin juin. L’entreprise Didi Chuxing s’est attiré les foudres de Pékin en forçant son introduction en Bourse à New York. Les autorités y ont vu une menace pour les données des internautes chinois. Depuis un an la Chine réprime l’ensemble de son secteur Tech devenu trop puissant au goût du président Xi Jinping.

Pour les DPO la situation n’en est pas devenue plus confortable, ils se sont retrouvés en première ligne face à Pékin. Leur métier s’est complexifié, ils doivent désormais avoir de l’expérience dans la relation avec les autorités du pays : ce sont eux qui doivent déposer des rapports réguliers au Cyberspace Administration of China (CAC), l’autorité de contrôle d’internet.

La prison au bout du salaire ?

Une responsabilité qui s’accompagne d’un risque de sanction personnelle. En cas de défaillance de l’entreprise, son DPO est tenu comme responsable. Un employé d’une entreprise de messagerie a confié au Financial Times risquer de se « voir infliger une amende personnelle de 1 million de yuans [environ 135 000 euros] ou même une peine de prison si nous négligeons nos fonctions ». En prime, le fautif peut être placé sur liste noire.

Une pression immense aggravée par l’ambiguïté du PIPL. Selon Carolyn Bigg, avocate spécialisée dans le numérique à Hong Kong, « les entreprises reçoivent déjà des messages contradictoires de la part des régulateurs sur la façon dont ils vont le mettre en œuvre sur le terrain ».

Ironie de la situation, le CAC, mis en place par XI Jinping en 2014, est, aussi, dépassé par les nouvelles réglementations que les entreprises auxquelles il a à faire. Les entités régionales de l’administration cherchent à recruter en masse pour répondre aux demandes de transfert de données à l’étranger des entreprises. Une procédure appelée à se durcir selon un projet de réglementations prévues pour fin novembre. Une porte de sortie à moindre risque pour DPO chinois en devenir ?