Lois chinoises sur la protection des données et la vie privée : Mise à jour 2025 : Ce que les entreprises internationales doivent savoir

Le paysage de la protection des données en Chine évolue plus rapidement que dans presque tous les autres pays. Depuis notre dernière analyse approfondie en 2023, Pékin a renforcé les contrôles sur les transferts transfrontaliers, élargi la définition des « données importantes » et intensifié les contrôles, notamment par des amendes de plusieurs millions de yuans. Nous détaillons ci-dessous tous les changements que les organisations internationales doivent connaître en 2025, en nous appuyant sur les textes réglementaires les plus récents, les statistiques de contrôle et les analyses de Shufti.

1. Le cadre de protection des données en Chine en 2025 : un bref rappel

Avant d'aborder les nouveautés, rappelons brièvement les piliers du régime de gouvernance des données en constante évolution de la Chine et expliquons pourquoi chaque loi et ses améliorations prévues pour 2025 sont importantes pour les multinationales qui collectent, stockent ou simplement… -nous Informations personnelles chinoises aujourd'hui.

• Loi sur la cybersécurité (LCS) – les tâches de base en matière de sécurité et d’exploitation du réseau.
• Loi sur la sécurité des données (DSL) – classification des données « essentielles » par rapport aux données « importantes » ; obligations de sécurité fondées sur les risques.
• Loi sur la protection des renseignements personnels (PIPL) – La loi chinoise sur la protection de la vie privée, similaire au RGPD.
• Loi révisée sur les secrets d'État (en vigueur le 1er mai 2024) – un champ d’application élargi et de nouveaux « secrets de travail », renforçant les obligations de divulgation. https://www.reuters.com/legal/legalindustry/chinas-revised-more-stringent-state-secrets-law-takes-effect-2024-05-07/
• Règles sectorielles – par exemple, les lignes directrices sur les données financières (PBOC, 17 avril 2025) comportant une liste blanche explicite pour les flux transfrontaliers. https://www.reuters.com/world/china/china-releases-guidelines-facilitate-cross-border-flows-financial-data-2025-04-17/

2. Principaux développements réglementaires depuis 2023

Depuis notre article de 2023, Pékin a publié à un rythme soutenu des questions-réponses, des directives sectorielles et des mises en demeure. La chronologie ci-dessous récapitule les principaux changements et met en lumière les acteurs les plus touchés et les raisons de ces changements.

2.1 Ce que ces changements signifient pour vous

• Seuils plus bas, mais examen plus rigoureux. Même les entreprises dont le nombre d'enregistrements est inférieur à 1 million doivent déposer des contrats standard ou obtenir des certifications.
• Les délocalisations sectorielles sont bien réelles. Les entreprises de services financiers peuvent tirer parti de la liste blanche d'avril 2025, mais seulement si des contrôles de chiffrement et de localisation sont en place.
• Les délais de grâce se raccourcissent. Les autorités réglementaires exigent désormais une intervention corrective dans un délai de deux mois, contre six auparavant.

3. Application de la loi et tendances du secteur

Les chiffres bruts ne révèlent qu'une partie de la réalité. Le croisement des données relatives aux amendes réglementaires avec les analyses d'intégration de Shufti met en lumière comment les priorités politiques remodèlent les comportements du marché, les typologies de fraude et les délais de mise en conformité.

Les prévisions de Shufti concernant les risques à l'horizon 2025 montrent :

• augmentation de 43 % dans les demandes de modules de dépistage PIPL des clients entre le troisième trimestre 2024 et le deuxième trimestre 2025.
• Il est temps d'approuver L’intégration numérique en Chine continentale est tombé à 7.4 secondes (‑12 % en glissement annuel) grâce au moteur hybride OCR et biométrique de Shufti.
• taux de tentatives de fraude sur les plateformes d'échange de cryptomonnaies chinoises baisse de 28 % après l'adoption du système de détection de présence Shufti, révélant l'intérêt des régulateurs pour KYC cryptographique.

Source : Shufti Global Identity Verification Benchmark H1 2025.

4. Liste de contrôle de conformité 2025

Considérez la liste de contrôle ci-dessous comme une feuille de route concrète : si chaque case est cochée, votre organisation devrait être parfaitement alignée sur les attentes de la CAC pour 2025 et prête à prouver sa conformité sur demande.

1. Cartographier les flux de données identifier important vs core données par DSL.
2. Réaliser une analyse des écarts par rapport aux questions-réponses du CAC d'avril et juin 2025.
3. Exécuter des contrats standard (ou certification) pour tout PI sortant.
4. Localiser les ensembles de données sensibles sur le territoire de la RPC ; utiliser des « nœuds approuvés » pour la reprise après sinistre.
5. Mise à jour des avis de confidentialité pour refléter l’exigence de consentement explicite (mai 2025).
6. Tester les plans d'intervention en cas d'incident signaler les infractions au sein 8 heures à la CAC et à l'organisme de réglementation du secteur.
7. Tirez parti des fournisseurs de confiance comme Shufti pour les contrôles d'identité et de disponibilité en temps réel qui sont déjà conformes aux principes de minimisation des données de l'article 40 de la PIPL.

5. Foire aux questions (FAQ)

Q1 : Le seuil d’un million d’enregistrements inclut-il les données des employés ?
A: Oui. La FAQ du CAC d'avril 2025 confirme que les PI des employés sont comptabilisées dans le plafond. https://www.china-briefing.com/news/china-clarifies-cross-border-data-transfer-rules-official-qa/

Q2 : Les SCC restent-elles valides si elles sont signées avant 2025 ?
A: Uniquement si les documents déposés sont conformes aux directives de juin 2025 ; sinon, une nouvelle soumission est requise. https://natlawreview.com/article/china-releases-updated-guidance-application-security-assessment-cross-border-data

Q3 : Le consentement est-il toujours requis pour les transferts transfrontaliers ?
A: La loi PIPL prévoit certaines exceptions légales (par exemple, les intérêts vitaux), mais la plupart des transferts d'entreprises nécessitent un consentement explicite après mai 2025.

Q4 : Comment les PME doivent-elles aborder les évaluations de sécurité ?
A: Les PME dont le chiffre d'affaires est inférieur aux seuils CAC peuvent opter pour la « certification » afin de simplifier les démarches de conformité ; Shufti s'associe à des organismes de certification tiers pour accélérer l'approbation.

Q5 : Quelles sanctions seront appliquées en cas de non-respect en 2025 ?
A: Amendes pouvant atteindre 50 millions de yens ou 5 % du chiffre d'affaires annuel, plus d'éventuelles suspensions d'activité et une responsabilité personnelle pour les DPO.

Conclusion

Les mises à jour réglementaires rapides de la Chine soulignent un thème central : Les données transfrontalières sont désormais un privilège, et non un droit.Les organisations qui ont considéré la loi PIPL comme une mesure ponctuelle en 2021 doivent renforcer leurs contrôles pour se conformer au cycle d'application plus strict de 2025. En intégrant la protection des données dès la conception et en s'associant à des fournisseurs reconnus pour leur conformité, comme ShuftiEn restant attentives aux directives de la CAC, les entreprises peuvent transformer les frictions réglementaires en avantage concurrentiel.

Besoin d'aide pour décrypter les dernières directives de la CAC ? Contactez l'équipe conformité de Shufti pour une évaluation des risques personnalisée.