En Asie, l’industrie du luxe se porte bien et la protection des données aussi

Un article de Julia Collinet, manager, TNP, paru dans le livre blanc « Les défis de la transformation de l’industrie du luxe »

 

La pandémie a changé la géographie du luxe. En Asie-Pacifique, les parts de marché région sont passées de 32% du marché mondial du luxe en 2019 à 37% en 2020. La Chine présente la plus grande opportunité de croissance : selon les estimations du bureau de recherche de la banque d’affaires américaine, JPMorgan, les dépenses en biens personnels de luxe réalisées au sein de l’Empire du Milieu sont passées de 38-39% du marché mondial en 2019 à 80-85% en 2020.

Bien que les lois en Asie partagent les mêmes éléments fondamentaux de protection des données que celles que l’on retrouve dans le monde, elles ont chacune leurs propres spécificités. Contrairement à l’UE, la région est caractérisée par des systèmes juridiques variés et des différences historiques qui rendent impossible toute généralisation des lois en Asie et dans le Pacifique. Il est important de tenir compte de ces différences lors de l’élaboration de plans de conformité.

Cet article présente des exemples choisis de ces différences dont les Maisons doivent tenir compte dans leurs plans de conformité.

 

L’application extra territoriale des législations

La plupart des lois en Asie ne s’appliquent qu’aux traitements de données personnelles effectuées dans leur pays. Toutefois, certaines d’entre elles ont des dispositions extraterritoriales similaires à celles du règlement général sur la protection des données (RGPD). On pourra donner les exemples de l’Australie, la Nouvelle-Zélande, les Philippines, le Japon. La Personal Information Protection Law («PIPL»), similairement au RGPD, s’applique aux organisations situées en dehors de la Chine qui traitent des informations personnelles dans le but de fournir des produits ou des services à des personnes situées en Chine; ou qui traitent des informations personnelles dans le but d’analyser ou d’évaluer des personnes situées en Chine.

 

Les obligations de localisation des données

Au moment de la rédaction de cet article, seules deux juridictions imposent des obligations de localisation des données. La loi kazakhe sur la protection de la vie privée exige que les entreprises stockent leurs données localement. La loi chinoise sur la cybersécurité impose aux opérateurs d’infrastructures d’informations critiques de ne pas transmettre les « données importantes » ou les « informations personnelles » hors de Chine. Avec la PIPL, à partir d’un certain volume qui reste à préciser, les données devront être stockées en Chine ou passer une évaluation de sécurité.

 

Les obligations de déclaration préalable

La tendance mondiale est de minimiser les formalités préalables à la mise en place d’un traitement, dans une logique de responsabilisation des entreprises. En Asie Pacifique toutefois, certaines lois exigent que les organisations enregistrent leurs traitements auprès de l’autorité de protection des données compétentes : c’est le cas de Macao, de la Malaisie et des Philippines.

 

Les droits des personnes

Tous les individus n’ont pas les mêmes droits concernant la protection de leurs données. Si les droits d’accès et de rectification sont prévus dans toutes les juridictions d’Asie, ce n’est pas le cas pour le droit à l’effacement. En effet, les législations du Népal, d’Australie, et de Hong Kong, par exemple, ne prévoient pas un tel droit. Peu de pays prévoient un droit à la portabilité, comme la Chine, les Philippines, Singapour et la Thaïlande. Il est important de noter que les délais de réponse aux de[1]mandes de droits individuels varient également beaucoup, pouvant aller d’une semaine à 30 jours ou plus.

 

La notification des violations de données personnelles

Un peu plus de la moitié des lois de la région imposent une notification en cas de violation des données. Ici encore, ces obligations diffèrent. Certaines lois exigent que la notification soit fournie aux individus et/ou à l’autorité de protection des données « rapidement » ou « sans délai ». D’autres imposent un délai de 72 heures (Singapour et Thaïlande) ou encore de 14 jours (Philippines).

 

Actions des autorités en charge de la protection des données

L’autorité japonaise a été particulièrement active en 2020 avec 361 investigations, mais n’a pas le pouvoir d’imposer des sanctions financières. L’autorité sud-coréenne a été plus sévère, avec un montant total d’amendes administratives de plus de 3 millions d’euros. Par contraste, l’autorité hongkongaise a mené plus de 300 investigations mais n’a prononcé que deux sanctions, dont la plus élevée était d’environ 10000 euros.

 

À quoi s’attendre dans un futur proche

En Inde – Le projet de loi sur la protection des données personnelles (PDP) est en cours de revue par le Parlement. Il comprend notamment des exigences de notification et de consentement préalable pour l’utilisation des données personnelles des exigences en matière de localisation des données et la nomination d’un DPO. En raison de la pandémie et des controverses concernant certaines prévisions du projet de loi (notamment son extraterritorialité et l’encadrement des transferts), il est difficile d’estimer quand la loi sera promulguée.

 En Indonésie – Le Parlement indonésien délibère actuellement sur un projet de loi sur la protection des données personnelles. La promulgation du projet de loi donnerait lieu à la première loi globale régulant la protection des données personnelles, en particulier des données sous le contrôle d’un responsable de traitement.

En Australie – En 2019, le gouvernement a annoncé une augmentation des amendes prévues par la loi sur la protection de la vie privée. L’amende maximale pour une atteinte grave ou des atteintes répétées à la vie privée sera portée à 10 millions de dollars australiens (environ 6,1 millions d’euros), à trois fois tout bénéfice obtenu grâce à l’atteinte à la vie privée ou à 10% du chiffre d’affaires annuel australien (le montant le plus élevé étant retenu). Un projet de loi de 2021 propose également la mise en place d’une notification obligatoire des violations de données.

À Hong-Kong – La législation actuelle n’inclut pas d’obligation pour les sous-traitants de données, de notifications en cas de violation. Les provisions sur l’encadrement des transferts de données ne sont pas encore entrées en vigueur. Face à ces lacunes, l’autorité de protection des données a publié en 2020 un document de travail examinant plusieurs propositions d’amendements.

En Malaisie – Plusieurs documents ont été publiés à des fins de consultation publique et proposent des modifications de la loi en matière de protection des données personnelles. Ces amendements pourraient introduire la notification obligatoire des violations, compléter les droits des personnes concernées, et élargir l’application de la loi aux sous-traitants de données.

Au Vietnam – En février 2021, le ministère de la Sécurité Publique a publié un projet de décret sur la protection des données personnelles. Le projet énonce des principes de protection des données, comme la limitation des finalités, la sécurité des données, les droits des personnes concernées et l’encadrement des transferts transfrontaliers.