La Chine serait sur le point d’ajouter une nouvelle entité à sa liste d’agences gouvernementales, pourtant déjà longue. En effet, Pékin cherche à désigner un seul et unique corps décisionnaire chargé d’administrer la gestion des données informatiques dans le pays.

Actuellement, l’encadrement des données est sous l’autorité de plusieurs organes. Certains sont bien connus, comme l’Administration Chinoise du Cyberespace, et le Ministère de l’Industrie et des Technologies de l’information (MIIT). D’autres sont plus discrets, ou insoupçonnés, comme la Commission nationale du développement et de la réforme. Les dernières années ont mis en exergue le besoin d’opter pour une meilleure organisation.

2020 a marqué le début d’une reprise en main du numérique par Pékin, le géant Ant Group en exemple. Sur fond d’autoritarisme, il a aussi été question d’aller vite et fort pour combler l’absence de réglementation sur le traitement des données personnelles. L’ancienne filiale d’Alibaba détenait de vastes quantités d’informations sur ses centaines de millions d’utilisateurs, qu’elle exploitait afin d’attribuer des microcrédits, dont la responsabilité allait ensuite à des banques locales qui ne pouvaient consulter lesdites informations.

L’année 2021 a sonné la fin du laisser-faire sur le traitement des données personnelles. Dès le mois de février, l’Administration d’État pour la régulation des marchés (SAMR) a dévoilé un ensemble de règles anticoncurrentielles. Les grandes plateformes n’ont plus le droit de s’échanger des informations sur leurs utilisateurs, ni d’user d’algorithmes pour fixer des prix. Quelques semaines plus tard, le MIIT a condamné près de 150 applications majeures (NetEase, ByteDance, Amazon) pour collecte illégale de données, certaines trompant même volontairement les utilisateurs.

Sont alors promulgués, coup sur coup au mois d’août, un encadrement de l’utilisation privée de la reconnaissance faciale, et la PIPL dont les contours avaient émergé plus tôt en mars. Les entreprises numériques doivent désormais demander l’autorisation pour traiter des informations personnelles biométriques, médicales, sanitaires, financières et la localisation des utilisateurs. Les internautes doivent avoir la possibilité de refuser la publicité ciblée. D’autres mesures sont mises en place comme la fin de la discrimination algorithmique. Une pratique répandue en Chine qui consistait à adapter le prix des produits vendus en ligne en fonction des données recueillies sur le consommateur. La PIPL interdit également le transfert de certaines informations vers d’autres pays.

L’entrée en vigueur des lois est arrivée aussi vite que les entreprises se sont laissées déborder. Les postes de DPO sont désormais prisés, et les salaires, face à la pénurie, ont explosé. Cependant, malgré la bonne volonté des entreprises, elles doivent parfois passer par plusieurs interlocuteurs, de plusieurs agences gouvernementales… D’où l’idée de créer une entité unique permettant de surveiller la bonne application de la PIPL et de penser d’autres règles sur le traitement des données personnelles, mais aussi d’accompagner les entreprises dans leur mise en conformité.

Si elle voit le jour, cette agence aura également pour mission de se prononcer sur la nature des données générées en Chine par des entreprises étrangères, pouvant être exportées. Même chose sur le partage d’informations de sociétés locales, avec des partenaires commerciaux étrangers. Une approche plus cohérente, qui permettrait d’avoir une seule voix pour dicter les règles de gouvernance de la donnée.

Au cours de ce rendez-vous annuel de l’Assemblée nationale populaire, qui se tiendra jusqu’au 13 mars, les échanges devraient également tourner autour d’un rapport publié par 16 départements gouvernementaux. Sous la direction du MIIT, il établit un programme en matière de sécurité des données pour les trois prochaines années. Un argument supplémentaire qui pèserait en faveur d’un nouvel organe officiel.