PIPL : Le casse-tête du transfert de données hors de Chine – Qui doit passer par l’évaluation du CAC ?

Table des Matières
Le transfert de données hors de Chine : un nouveau casse-tête réglementaire
Imaginez devoir remplir une déclaration d’impôts en mandarin, avec des formulaires qui changent chaque semaine. C’est un peu ce que vivent les entreprises qui transfèrent des données personnelles depuis la Chine depuis l’entrée en vigueur du PIPL (Personal Information Protection Law).
Le PIPL impose désormais une évaluation par le Cyberspace Administration of China (CAC) pour certains transferts de données hors du territoire chinois. Mais qui est concerné ? Et comment s’y prendre sans perdre son latin (ou son mandarin) ?
Featured Snippet Bait : Qui doit réaliser l’évaluation CAC pour le transfert de données hors de Chine ?
L’évaluation CAC est obligatoire pour les « importants processeurs de données personnelles » (CIIO) et pour toute entreprise qui transfère des données personnelles de plus de 1 million de personnes ou des données sensibles de plus de 10 000 personnes hors de Chine.
Les critères déclencheurs de l’évaluation CAC
Le PIPL distingue trois catégories d’acteurs : les processeurs ordinaires, les processeurs de données critiques (CIIO) et les processeurs de données importantes. Seuls les deux derniers sont soumis à l’évaluation CAC pour les transferts transfrontaliers.
Concrètement, si vous traitez les données de plus d’un million de personnes (cumul sur un an), ou si vous transférez des données sensibles (santé, biométrie, etc.) de plus de 10 000 personnes, vous devez passer par l’évaluation CAC. Sinon, vous pouvez utiliser les clauses contractuelles types (SCC) ou la certification.
Analogies pour mieux comprendre
C’est un peu comme si, pour envoyer un colis à l’étranger, vous deviez passer par un bureau de douane spécial si le colis contient des objets de valeur. Sinon, vous pouvez utiliser La Poste normalement. Sauf qu’ici, les « objets de valeur » sont les données personnelles, et le bureau de douane, c’est le CAC.
Comment se préparer à l’évaluation CAC ?
D’abord, faites un audit de vos flux de données : quelles données transférez-vous hors de Chine ? Combien de personnes sont concernées ? Ensuite, vérifiez si vous êtes un CIIO (opérateur d’infrastructures critiques) – si oui, l’évaluation est obligatoire quel que soit le volume.
Si vous êtes dans le scope, préparez un dossier complet : description du transfert, finalités, mesures de sécurité, analyse d’impact, etc. Le CAC a 45 jours pour répondre, mais le délai peut être prolongé.
Pour les autres, les SCC ou la certification sont des alternatives. Attention : les SCC chinoises ne sont pas identiques aux SCC européennes. Il faut les adapter.
Risques en cas de non-conformité
Les sanctions peuvent aller jusqu’à 50 millions de RMB (environ 6,5 millions d’euros) ou 5% du chiffre d’affaires annuel. Sans oublier les suspensions d’activité et les atteintes à la réputation. Mieux vaut prévenir que guérir.
Pour en savoir plus, consultez le texte officiel du PIPL sur le site du gouvernement chinois : PIPL - Version officielle.
FAQ
Qu'est-ce que l'évaluation CAC ?
L'évaluation CAC est une procédure obligatoire pour certains transferts de données personnelles hors de Chine, menée par le Cyberspace Administration of China. Elle vise à vérifier que le transfert respecte les exigences de protection des données.
Qui est exempté de l'évaluation CAC ?
Les processeurs ordinaires qui ne transfèrent pas de données de plus d'un million de personnes ou de données sensibles de plus de 10 000 personnes peuvent utiliser les clauses contractuelles types ou la certification au lieu de l'évaluation CAC.
Quelles sont les sanctions en cas de non-respect ?
Les sanctions peuvent inclure des amendes allant jusqu'à 50 millions de RMB ou 5% du chiffre d'affaires annuel, la suspension des activités de transfert de données, et des dommages à la réputation.
📊 Tableau comparatif : Évaluation CAC vs Alternatives
| Critère | Évaluation CAC | SCC / Certification |
|---|---|---|
| Volume de données | ≥ 1M personnes ou ≥ 10K sensibles | < 1M personnes et < 10K sensibles |
| Type de processeur | CIIO ou processeur important | Processeur ordinaire |
| Délai | 45 jours (prolongeable) | Variable |
| Coût | Élevé (préparation + frais) | Modéré |
| Obligation | Obligatoire | Alternative |
💡 Si vous êtes en dessous des seuils, vous êtes Exempté d'évaluation CAC.

Comité de Rédaction NakedPact
Article conçu par la rédaction de NakedPact. Notre mission est d'analyser, de simplifier et de révéler les clauses abusives et les risques cachés dans les contrats du quotidien pour protéger les citoyens et les consommateurs.
Sources et Références Juridiques

Êtes-vous propriétaire d'un site Web?
Vous souhaitez communiquer à vos utilisateurs votre transparence dans le traitement des données ? Utilisez dynamiquement notre badge et affichez la conformité de votre plateforme.
Lectures Recommandées

Votre vol annulé ? La compagnie ne peut pas exiger le paiement intégral pour le reprogrammer

Votre site vend-il vos données sans que vous le sachiez ? La checklist CCPA qui vous sauvera

L'AI Act UE ritarda, ma i questionari dei fornitori no: come prepararsi senza farsi prendere dal panico
🛡️ Protégez vos droits en un clic
Ne risquez pas de signer des clauses abusives. Installez l'extension gratuite NakedPact pour Chrome ou Firefox et analysez instantanément n'importe quel contrat sur le web.
Ne faites pas confiance, vérifiez.
Maintenant que vous connaissez les risques, ne signez pas aveuglément. Téléchargez votre contrat e laissez l'IA trouver les clauses cachées. C'est 100% gratuit.
Analysez votre contrat maintenant