RGPD vs PIPL : comparaison des lois de l'UE et de la Chine sur la protection des données (2026)
Le RGPD et la PIPL chinoise partagent une structure similaire, mais divergent sur plusieurs points d'une importance opérationnelle critique : l'article 13 de la PIPL omet les intérêts légitimes comme fondement juridique, exige un consentement distinct pour le partage à des tiers et les transferts transfrontaliers, impose la localisation des données pour les acteurs traitant de gros volumes, et fait peser une responsabilité personnelle sur les individus responsables.
Le règlement général sur la protection des données (RGPD) de l'UE et la loi chinoise sur la protection des informations personnelles (PIPL), effective depuis le 1er novembre 2021, incarnent deux philosophies fondamentalement différentes de la protection des données. Les deux lois accordent aux personnes des droits sur leurs informations personnelles, mais la PIPL reflète l'accent distinctif que met la Chine sur l'autorité de l'État et la souveraineté des données. Pour les organisations opérant dans les deux juridictions, les différences en matière de fondements juridiques, d'exigences de consentement, de règles de transfert transfrontalier et de structure de supervision créent une complexité de conformité substantielle.
Cet article présente les deux cadres côte à côte, y compris les développements réglementaires 2025-2026 sous les deux régimes.
Informations vérifiées pour la dernière fois le 19 mai 2026. Cet article n'a pas encore été relu par un avocat autorisé à exercer.
Portée juridictionnelle : cet article traite du règlement général sur la protection des données de l'UE (RGPD, applicable dans les 30 États membres de l'EEE) et de la loi chinoise sur la protection des informations personnelles (PIPL, effective depuis le 1er novembre 2021), ainsi que de la loi chinoise sur la cybersécurité (telle que modifiée, effective au 1er janvier 2026) et de la loi sur la sécurité des données (effective depuis le 1er septembre 2021). Il ne traite pas des lois étatiques américaines sur la vie privée (voir à ce sujet notre page sur les lois américaines de protection des données) ni d'autres régimes nationaux de protection de la vie privée. Pour le contexte complet de la PIPL au sein du cadre juridique chinois plus large, consultez notre guide sur les lois chinoises de protection des données.
RGPD vs PIPL : en un coup d'œil
Le tableau ci-dessous présente les points de comparaison les plus stratégiques. Une analyse détaillée suit dans chaque section.
| Caractéristique | RGPD | PIPL |
|---|---|---|
| Juridiction | 30 États membres de l'EEE | Chine (République populaire) |
| Date d'entrée en vigueur | 25 mai 2018 | 1er novembre 2021 |
| Portée extraterritoriale | Oui (art. 3) | Oui (art. 3) |
| Fondements juridiques | 6, dont les intérêts légitimes | 7, mais AUCUN intérêt légitime |
| Consentement distinct requis pour le partage à des tiers | Non | Oui (art. 23) |
| Localisation des données | Non requise | Requise pour les CIIO et les acteurs traitant de gros volumes |
| Mécanismes de transfert transfrontalier | Adéquation, CCT, REC, certification, dérogations | Évaluation de sécurité, contrat type (déposé auprès de la CAC), certification |
| Amende maximale (organisation) | 20 M€ ou 4 % du chiffre d'affaires mondial | 50 M de RMB ou 5 % du chiffre d'affaires de l'exercice précédent |
| Responsabilité personnelle (individus) | Généralement non imposée | Oui : jusqu'à 1 M de RMB ; interdiction d'exercer |
| Organe de supervision | Autorités de contrôle nationales + CEPD | CAC (chef de file) + MIIT, MPS, SAMR, régulateurs financiers |
| Délai de réponse aux demandes de droits | 1 mois (prorogeable) | « Rapide » (pas de délai fixe) |
| Droits pour la famille des personnes décédées | Non | Oui (art. 49) |
| Audits de conformité obligatoires | Non requis | Oui : tous les 2 ans pour les acteurs traitant 10 M+ d'individus (effectif au 1er mai 2025) |
Contexte et cadre législatif
Le RGPD est issu de la tradition européenne de la vie privée en tant que droit fondamental, codifiée à l'article 8 de la Charte des droits fondamentaux de l'UE. Il a remplacé la directive de 1995 sur la protection des données et harmonisé la protection des données dans 30 pays de l'EEE à compter du 25 mai 2018.
La PIPL chinoise constitue l'un des trois piliers d'un ensemble législatif régissant la cybersécurité, la sécurité des données et les informations personnelles en Chine. Les deux autres sont la loi sur la cybersécurité (CSL) et la loi sur la sécurité des données (DSL, effective depuis le 1er septembre 2021). Ensemble, ces trois lois forment un cadre exhaustif pour les flux d'informations entrant et sortant de Chine. La PIPL a été adoptée par le Comité permanent de l'Assemblée populaire nationale le 20 août 2021 et est entrée en vigueur le 1er novembre 2021.
La PIPL partage des similitudes structurelles avec le RGPD, les régulateurs chinois ayant étudié le modèle européen lors de sa rédaction. Toutefois, la PIPL a également été façonnée par les objectifs politiques distincts de la Chine en matière de souveraineté des données, de sécurité nationale et de régulation des grandes plateformes technologiques. Le résultat est une loi qui présente une structure familière tout en divergeant nettement sur certains des détails les plus critiques sur le plan opérationnel.
Champ d'application et portée territoriale
Les deux lois s'appliquent de manière extraterritoriale, mais par des mécanismes différents.
Le RGPD s'applique, en vertu de son article 3, aux organisations établies dans l'EEE ainsi qu'aux organisations situées hors de l'EEE qui proposent des biens ou services à des personnes de l'EEE ou surveillent leur comportement. Les organisations non européennes entrant dans ce champ d'application doivent désigner un représentant dans l'UE conformément à l'article 27.
La PIPL s'applique, en vertu de son article 3, à tout traitement d'informations personnelles réalisé en Chine, et s'applique également hors de Chine lorsque la finalité est de fournir des produits ou services à des personnes en Chine, d'analyser ou d'évaluer le comportement de personnes en Chine, ou dans d'autres circonstances prévues par la loi. Les organisations situées hors de Chine relevant de ce champ d'application doivent établir une entité dédiée ou désigner un représentant en Chine pour les questions de protection des informations personnelles (article 53 de la PIPL).
Le levier pratique d'application diffère. L'UE s'appuie sur des sanctions, des interdictions de traitement et, pour les transferts UE-pays tiers, sur le mécanisme d'adéquation. La Chine peut restreindre directement l'accès au marché pour les organisations étrangères non conformes, conférant à la PIPL une portée d'application que le RGPD n'a pas.
Le tribunal Internet de Guangzhou a rendu à l'automne 2024 le premier jugement publié sur l'extraterritorialité de la PIPL. Un client chinois d'un hôtel a poursuivi un groupe hôtelier français non identifié après que ce dernier a communiqué les informations personnelles du client à des tiers sans obtenir le consentement distinct exigé par l'article 23 de la PIPL. Le tribunal a jugé le groupe hôtelier responsable. Cette affaire confirme que les tribunaux chinois appliqueront les normes de la PIPL au traitement, par des organisations étrangères, des données de résidents chinois.
Définitions et données protégées
| Terme | RGPD | PIPL |
|---|---|---|
| Personne protégée | Personne concernée | Individu (sujet des informations personnelles) |
| Donnée protégée | Données personnelles | Informations personnelles |
| Donnée sensible | Catégories particulières (art. 9) | Informations personnelles sensibles (art. 28) |
| Collecteur de données | Responsable du traitement | Traitant d'informations personnelles |
| Agent de traitement | Sous-traitant | Partie mandatée |
| Responsable de la confidentialité | Délégué à la protection des données (DPD) | Personne responsable de la protection des informations personnelles |
La PIPL définit les informations personnelles comme toute information relative à une personne physique identifiée ou identifiable, enregistrée par des moyens électroniques ou autres, à l'exclusion des informations anonymisées. La définition des données personnelles du RGPD est substantiellement équivalente.
La catégorie des informations personnelles sensibles de la PIPL (art. 28) inclut les données biométriques, les convictions religieuses, les informations d'identité spécifiques, les informations médicales et de santé, les comptes financiers, la géolocalisation, et les informations personnelles des mineurs de moins de 14 ans. Les catégories particulières du RGPD (art. 9) couvrent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques, les données de santé, la vie sexuelle et les données relatives à l'orientation sexuelle. La PIPL ajoute les données des mineurs et les données de comptes financiers à la catégorie sensible ; le RGPD ajoute les opinions politiques, l'appartenance syndicale et l'orientation sexuelle.
Fondements juridiques du traitement
Le RGPD prévoit six fondements juridiques à l'article 6 : le consentement, l'exécution d'un contrat, une obligation légale, la sauvegarde des intérêts vitaux, l'exécution d'une mission d'intérêt public, et les intérêts légitimes.
L'article 13 de la PIPL prévoit sept circonstances dans lesquelles les traitants d'informations personnelles peuvent traiter des informations personnelles. L'omission critique concerne les intérêts légitimes.
| Fondement juridique | RGPD | PIPL |
|---|---|---|
| Consentement | Oui (art. 6(1)(a)) | Oui (art. 13(1)) |
| Exécution d'un contrat | Oui (art. 6(1)(b)) | Oui (art. 13(2)) |
| Obligation légale | Oui (art. 6(1)(c)) | Oui (art. 13(3) : obligations statutaires) |
| Intérêts vitaux | Oui (art. 6(1)(d)) | Partiellement, via les dispositions d'urgence |
| Intérêt public | Oui (art. 6(1)(e)) | Oui (art. 13(5) : information journalistique, contrôle public) |
| Intérêts légitimes | Oui (art. 6(1)(f)) | Non disponible |
| Urgence de santé publique | Couvert par les intérêts vitaux | Oui (art. 13(4)) |
| Données publiquement disponibles | Doit tout de même disposer d'un fondement juridique | Oui (art. 13(6) : dans une portée raisonnable) |
| Autres dispositions légales | Sans objet | Oui (art. 13(7)) |
L'absence d'un fondement fondé sur les intérêts légitimes dans la PIPL constitue l'une des différences pratiques les plus significatives pour les organisations multinationales. Sous le RGPD, les intérêts légitimes constituent le fondement juridique le plus couramment utilisé pour le marketing direct, la prévention de la fraude, la sécurité des réseaux et de l'information, le partage intragroupe de données et l'analytique. Sous la PIPL, les organisations doivent généralement obtenir le consentement pour ces activités ou les restructurer pour qu'elles relèvent d'un autre fondement énuméré.
Exigences de consentement : distinct et granulaire
Les exigences de consentement de la PIPL sont plus granulaires que celles du RGPD. Les deux lois exigent que le consentement soit libre, spécifique, éclairé et puisse être retiré aussi facilement qu'il a été donné.
La PIPL va plus loin en exigeant un consentement distinct (une norme plus élevée que le consentement standard) dans cinq situations spécifiques :
- La communication d'informations personnelles à des tiers (art. 23)
- La divulgation publique d'informations personnelles (art. 25)
- Le traitement d'informations personnelles sensibles (art. 29)
- Le transfert d'informations personnelles hors de Chine (art. 39)
- L'utilisation d'images ou d'informations d'identification personnelle collectées par des équipements de vidéosurveillance publique à des fins autres que la sécurité publique (art. 26)
Le RGPD exige un consentement explicite uniquement pour les catégories particulières de données personnelles au titre de l'article 9 et comme dérogation pour les transferts internationaux au titre de l'article 49. Les exigences de consentement distinct de la PIPL pour le partage à des tiers et la divulgation publique vont au-delà de ce qu'exige le RGPD.
| Caractéristique du consentement | RGPD | PIPL |
|---|---|---|
| Consentement standard | Libre, spécifique, éclairé, univoque (art. 7) | Volontaire, explicite, pleinement informé (art. 14) |
| Données sensibles/catégories particulières | Consentement explicite requis (art. 9) | Consentement distinct requis (art. 29) |
| Transfert transfrontalier | Non requis si d'autres mécanismes sont utilisés (art. 46) | Consentement distinct requis quel que soit le mécanisme (art. 39) |
| Partage à des tiers | Consentement standard suffisant | Consentement distinct requis (art. 23) |
| Divulgation publique | Consentement standard suffisant | Consentement distinct requis (art. 25) |
| Données des enfants | Consentement parental sous 16 ans (les États membres peuvent abaisser à 13 ans) | Consentement parental ou du tuteur sous 14 ans (art. 31) |
| Retrait | Doit être aussi simple que le don du consentement (art. 7(3)) | Même principe (art. 15) |
| Consentement groupé | Doit être spécifique ; le groupement pour des finalités non liées est invalide | Consentement groupé interdit (art. 17) |
Droits individuels : articles 44-50 de la PIPL contre chapitre 3 du RGPD
Les deux lois accordent aux personnes des droits substantiels sur leurs informations personnelles, la PIPL suivant largement la structure du chapitre 3 du RGPD tout en différant sur les délais et la portée.
Les droits prévus aux articles 44 à 50 de la PIPL sont :
- Droit de savoir et de décider (art. 44) : les personnes peuvent restreindre ou refuser le traitement de leurs informations personnelles. Cela correspond au droit d'opposition du RGPD (art. 21) et au droit à la limitation du traitement (art. 18).
- Droit d'accès (art. 45) : les personnes peuvent accéder à une copie de leurs informations personnelles détenues par une organisation. L'équivalent RGPD est l'article 15.
- Droit de rectification (art. 46) : les personnes peuvent demander la correction d'informations personnelles inexactes. L'équivalent RGPD est l'article 16.
- Droit à l'effacement (art. 47) : les organisations doivent supprimer les informations personnelles lorsque la finalité du traitement a été atteinte, que la durée de conservation a expiré, que le consentement a été retiré, que le traitement était illicite, ou pour d'autres motifs. L'équivalent RGPD est l'article 17.
- Droit à la portabilité des données (art. 45) : les personnes peuvent demander le transfert de leurs informations personnelles vers un autre traitant, mais uniquement lorsque les conditions fixées par la CAC sont réunies. Le droit à la portabilité de l'article 20 du RGPD s'applique plus largement aux traitements fondés sur le consentement et sur le contrat.
- Droit relatif aux décisions automatisées (art. 24) : lorsqu'une décision automatisée produit un effet significatif sur les droits et intérêts d'une personne, celle-ci peut demander une explication et peut refuser d'accepter des décisions prises uniquement par des moyens automatisés. L'article 22 du RGPD couvre la prise de décision individuelle automatisée avec une portée similaire.
- Droits pour la famille des personnes décédées (art. 49) : les membres de la famille d'une personne décédée peuvent exercer les droits d'accès, de correction et de suppression dans leur intérêt légitime. Le RGPD ne comporte pas de disposition équivalente.
| Droit | RGPD | PIPL |
|---|---|---|
| Être informé | Art. 13-14 (au moment de la collecte) | Art. 17 (notification requise au moment de la collecte) |
| Accès | Art. 15 (1 mois pour répondre) | Art. 45 (réponse « rapide ») |
| Rectification | Art. 16 | Art. 46 |
| Effacement | Art. 17 | Art. 47 |
| Limitation du traitement | Art. 18 | Art. 44 (restreindre ou refuser) |
| Portabilité des données | Art. 20 (large) | Art. 45 (conditions de la CAC applicables) |
| Opposition au traitement | Art. 21 | Art. 44 |
| Décisions automatisées | Art. 22 | Art. 24 |
| Délai de réponse | 1 mois, prorogeable à 3 (art. 12) | « Rapide », pas de délai légal |
| Famille des personnes décédées | Non prévu | Art. 49 |
L'absence de délai de réponse fixe dans la PIPL crée une asymétrie d'application. Les organisations en Chine ne peuvent pas planifier leur infrastructure de traitement des demandes autour d'un délai légal précis, et les personnes exerçant leurs droits disposent de moins de certitude quant au moment où attendre une réponse.
Structure de supervision : CEPD/autorités de contrôle contre CAC et modèle multi-régulateurs
Les deux cadres utilisent des architectures de supervision fondamentalement différentes.
Sous le RGPD, chaque État membre de l'UE désigne une ou plusieurs autorités de contrôle nationales. Ces autorités doivent être pleinement indépendantes et exercer leurs pouvoirs de manière impartiale (art. 52). Pour les organisations opérant dans plusieurs États membres de l'UE, le mécanisme de guichet unique (art. 56) permet à l'autorité de contrôle de l'État membre où se trouve l'établissement principal de l'organisation d'agir en tant qu'autorité de contrôle chef de file pour le traitement transfrontalier. Le Comité européen de la protection des données (CEPD) coordonne la cohérence entre autorités de contrôle nationales, émet des décisions contraignantes dans les litiges transfrontaliers, et publie des lignes directrices, recommandations et avis qui façonnent la manière dont les autorités de contrôle appliquent le RGPD dans l'EEE.
La PIPL chinoise utilise un modèle multi-régulateurs défini à l'article 60. Aucune autorité unique ne dispose d'une compétence équivalente à celle d'une autorité de contrôle nationale. La Cyberspace Administration of China (CAC) assume le rôle principal et coordinateur. D'autres régulateurs exercent leur autorité au sein de leurs secteurs désignés :
- MIIT (ministère de l'Industrie et des Technologies de l'information) : applications, télécommunications, services Internet, logiciels
- Ministère de la Sécurité publique : traitement d'informations personnelles liées à la sécurité, surveillance, reconnaissance faciale
- SAMR (Administration d'État pour la régulation du marché) : produits et services destinés aux consommateurs, commerce électronique
- Régulateurs du secteur financier (Banque populaire de Chine, CBIRC, CSRC) : données financières traitées par les établissements relevant de leur supervision
- Régulateurs de la santé : données de santé et médicales
- Homologues locaux de chaque ministère : application aux niveaux provincial et municipal
En 2025, la CAC a mené des actions d'application interministérielles aux côtés du MIIT et des services de sécurité publique, ciblant six domaines à forte incidence : applications et mini-programmes, kits de développement logiciel (SDK), terminaux intelligents, reconnaissance faciale dans les lieux publics, scénarios de consommation hors ligne, et criminalité liée aux données.
Pour les organisations soumises aux deux cadres, la différence pratique est significative. Sous le RGPD, une entreprise peut identifier son autorité de contrôle chef de file en fonction de son établissement principal dans l'UE et traiter principalement avec cette autorité. Sous la PIPL, la responsabilité est répartie entre régulateurs sectoriels, et plusieurs agences peuvent avoir une compétence concurrente sur les activités d'une même organisation.
Accès des autorités publiques aux données personnelles
C'est le domaine de divergence philosophique la plus marquée entre les deux cadres.
Le RGPD limite l'accès des autorités publiques aux données personnelles au moyen des principes de nécessité et de proportionnalité (art. 23). Le droit de l'UE exige que la surveillance gouvernementale soit soumise à un contrôle juridictionnel ou indépendant. La Cour de justice de l'Union européenne (CJUE) a invalidé des mécanismes de transfert international au motif que l'accès des gouvernements étrangers était insuffisamment limité, notamment le Privacy Shield UE-États-Unis en 2020 (Schrems II).
Le cadre chinois exige une coopération étendue avec les autorités publiques. La loi sur le renseignement national (2017), en son article 7, exige que toutes les organisations et tous les citoyens « soutiennent, assistent et coopèrent avec le travail de renseignement national ». La loi anti-espionnage, substantiellement modifiée en 2023, a élargi les catégories d'informations qui ne peuvent être transmises à l'étranger. L'article 35 de la PIPL prévoit que les organismes publics traitant des informations personnelles pour des tâches statutaires doivent respecter les exigences de la PIPL, mais la loi sur le renseignement national, la loi sur la sécurité des données (qui régit les « données importantes » d'intérêt national) et la CSL modifiée créent ensemble de vastes obligations d'accès étatique.
Le CEPD a identifié les régimes d'accès gouvernemental des pays tiers comme un facteur que les organisations doivent prendre en compte dans les analyses d'impact relatives au transfert. L'absence de décision d'adéquation de l'UE pour la Chine reflète, en partie, des préoccupations relatives à ces dispositions. En mai 2026, aucune négociation d'adéquation entre l'UE et la Chine n'était en cours.
Transferts transfrontaliers de données
Les règles de transfert transfrontalier représentent l'une des différences opérationnelles les plus marquées entre les deux cadres.
Le RGPD autorise les transferts par le biais de : décisions d'adéquation (art. 45), clauses contractuelles types (CCT, art. 46), règles d'entreprise contraignantes (REC, art. 47), codes de conduite et certification (art. 40-42), ou dérogations pour des situations spécifiques (art. 49). Les organisations disposent de multiples voies avec une flexibilité significative, et aucun mécanisme de transfert n'exige de dépôt préalable auprès d'un régulateur gouvernemental.
L'article 38 de la PIPL établit trois mécanismes de transfert, avec une implication gouvernementale obligatoire pour deux d'entre eux :
| Mécanisme de transfert | RGPD | PIPL |
|---|---|---|
| Décision d'adéquation | Oui (art. 45) | Non disponible |
| Clauses contractuelles types | Oui (art. 46) ; pas de dépôt gouvernemental | Oui (art. 38(3)) ; doit être déposé auprès de la CAC |
| Évaluation de sécurité par la CAC | Non requise | Requise pour les CIIO et les acteurs traitant de gros volumes |
| Certification par un organisme | Oui (art. 42) | Oui (art. 38(2)) ; organisme désigné par la CAC ; mesures conjointes CAC/SAMR effectives en 2026 |
| Règles d'entreprise contraignantes | Oui (art. 47) | Non explicitement disponible |
| Consentement de la personne concernée | Dérogation uniquement (art. 49) | Requis séparément pour TOUS les transferts (art. 39) |
L'évaluation de sécurité par la CAC est obligatoire pour les opérateurs d'infrastructures d'information critiques (CIIO) et pour les organisations non-CIIO qui, l'année précédente, ont traité les informations personnelles de 100 000 individus ou plus, traité les informations personnelles sensibles de 10 000 individus ou plus, ou transféré cumulativement à l'étranger les informations personnelles d'1 million d'individus ou plus. Les organisations en deçà de ces seuils peuvent utiliser la voie du contrat type (avec dépôt auprès de la CAC) ou la voie de la certification.
La voie de la certification a été formalisée lorsque la CAC et la SAMR ont conjointement publié les mesures de certification des transferts transfrontaliers d'informations personnelles en 2025-2026. Les organismes de certification doivent s'enregistrer auprès de la CAC dans les 10 jours ouvrables suivant l'approbation de la SAMR. Cela a complété le cadre de transfert à trois voies que la PIPL envisageait depuis son adoption.
Quel que soit le mécanisme utilisé, l'article 39 de la PIPL exige que l'organisation informe séparément la personne concernée et obtienne son consentement distinct avant chaque transfert transfrontalier. Cette exigence n'a pas d'équivalent dans le RGPD.
Localisation des données
La PIPL, conjointement avec la CSL et la DSL, impose des exigences de localisation des données qui n'ont pas d'équivalent dans le RGPD.
Les CIIO doivent stocker en Chine les informations personnelles collectées et générées sur le territoire chinois (art. 40 de la PIPL ; art. 37 de la CSL). Les traitants d'informations personnelles non-CIIO qui dépassent les seuils d'évaluation de sécurité doivent également stocker les données localement et ne peuvent les transférer à l'étranger qu'après avoir réussi l'évaluation de sécurité de la CAC. La CSL modifiée (effective au 1er janvier 2026) a élargi le champ des opérateurs de réseau soumis à des obligations connexes à la localisation et a aligné la structure des sanctions sur les amendes échelonnées de la PIPL.
Le RGPD ne comporte aucune exigence de localisation des données. Les données circulent librement au sein de l'EEE, et les transferts transfrontaliers hors de l'EEE sont autorisés par les mécanismes décrits ci-dessus. Aucune obligation n'exige de conserver une copie des données personnelles sur le territoire de l'UE.
Cette divergence crée un problème structurel de conformité pour les organisations exploitant des systèmes de données intégrés UE-Chine. Le maintien de silos de données distincts pour les opérations chinoises et européennes constitue la solution la plus courante, mais elle entraîne un coût d'infrastructure continu et limite les avantages opérationnels de la centralisation des données.
Application et sanctions
Les deux cadres prévoient des sanctions significatives, mais les dispositions de la PIPL relatives à la responsabilité personnelle la rendent particulièrement sévère pour les dirigeants individuels.
| Aspect de l'application | RGPD | PIPL |
|---|---|---|
| Autorité d'application principale | Autorités de contrôle nationales (30+) coordonnées par le CEPD | CAC (chef de file) + MIIT, MPS, SAMR, régulateurs financiers |
| Amende administrative standard | Jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial annuel (art. 83(4)) | Jusqu'à 1 million de RMB pour l'organisation |
| Amende administrative sévère | Jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial annuel (art. 83(5)) | Jusqu'à 50 millions de RMB ou 5 % du chiffre d'affaires de l'exercice précédent |
| Responsabilité personnelle des individus | Généralement non imposée | Amendes de 100 000 à 1 000 000 de RMB sur les individus responsables |
| Interdiction professionnelle | Généralement non imposée | Interdiction d'exercer des fonctions de directeur, de superviseur ou de cadre dirigeant |
| Suspension de service | Interdictions de traitement possibles | Les autorités peuvent ordonner la cessation de services ou révoquer des licences |
| Inscription au crédit social | Sans objet | Violations inscrites aux dossiers de crédit de l'organisation et des individus responsables (art. 67) |
| Notification de violation | 72 heures au régulateur (art. 33) | « Immédiatement » au régulateur (art. 57) |
L'application du RGPD s'est accélérée : le total des amendes émises depuis mai 2018 dépassait 5,65 milliards d'euros début 2025. Parmi les actions d'application notables de 2024 figurent LinkedIn Ireland (310 millions d'euros, DPC irlandaise, publicité comportementale), Uber (290 millions d'euros, autorité néerlandaise, garanties de transfert UE-États-Unis inadéquates), et Meta (251 millions d'euros, DPC irlandaise, violation de données de 2018). La DPC irlandaise a infligé plus de 3,5 milliards d'euros d'amendes depuis 2018, principalement à de grandes entreprises technologiques américaines ayant leur établissement principal dans l'UE en Irlande.
L'application de la PIPL s'est développée de manière similaire. En 2024, la CAC a interrogé 11 159 plateformes, sanctionné ou averti 4 046 d'entre elles, et fermé 10 946 sites Internet. Parmi les affaires notables figurent la filiale shanghaïenne de Dior (septembre 2025, sanctionnée pour transferts transfrontaliers non autorisés, consentement inadéquat et mesures de sécurité insuffisantes) et le premier jugement du tribunal Internet de Guangzhou sur l'extraterritorialité de la PIPL (automne 2024, jugeant un groupe hôtelier français responsable pour avoir transféré des données de clients sans consentement distinct).
Le cadre législatif chinois élargi sur les données : CSL, DSL et PIPL
Les organisations opérant en Chine sont confrontées à trois lois interdépendantes qui interagissent avec la PIPL.
Loi sur la cybersécurité (CSL, modifiée, effective au 1er janvier 2026). Adoptée initialement en 2017, la CSL régit les opérateurs de réseau et les opérateurs d'infrastructures d'information critiques. Le Comité permanent de l'Assemblée populaire nationale a adopté des modifications le 28 octobre 2025, et la CSL révisée est entrée en vigueur le 1er janvier 2026. Les principaux changements de la CSL modifiée incluent :
- Une structure de sanctions échelonnée : amendes pouvant atteindre 10 millions de RMB pour les entreprises et 1 million de RMB pour les individus en cas de violations particulièrement graves (contre des plafonds antérieurs plus faibles)
- De premières dispositions statutaires de gouvernance de l'IA : l'article 20 promeut la recherche et le développement de l'IA ainsi que le développement de données d'entraînement, tout en imposant des normes éthiques, une surveillance des risques et des mesures de sécurité contre les menaces facilitées par l'IA
- Une portée extraterritoriale élargie : la loi modifiée couvre désormais toute organisation ou tout individu étranger dont les activités « mettent en danger la cybersécurité de la Chine », une portée plus large que l'ancienne loi, centrée sur les activités nuisant aux infrastructures d'information critiques
- Des obligations relatives à la chaîne d'approvisionnement : les opérateurs d'infrastructures critiques s'exposent à des amendes de 1 à 10 fois la valeur d'achat en cas d'utilisation de produits réseau non autorisés ; acheteurs et fournisseurs supportent désormais tous deux des obligations juridiques directes
- Des circonstances atténuantes : le nouvel article 73 permet des sanctions réduites en cas de violations rapidement corrigées, divulguées de manière proactive, ou de conséquence mineure avec une coopération totale
Loi sur la sécurité des données (DSL, effective depuis le 1er septembre 2021). La DSL régit des données autres que les informations personnelles, en particulier les « données importantes » et les « données essentielles » d'intérêt national. Elle exige des organisations qu'elles classent les données par niveau d'importance, mettent en œuvre des mesures de sécurité proportionnées à cette classification, et obtiennent l'approbation gouvernementale avant de transférer à l'étranger des données importantes ou essentielles. La DSL s'applique aux activités de traitement de données en Chine et, en vertu de son article 2, aux activités hors de Chine qui portent atteinte à la sécurité nationale, aux intérêts publics ou aux droits et intérêts légitimes des citoyens ou organisations chinois.
PIPL. Régit spécifiquement les informations personnelles, se superposant aux exigences de sécurité des données de la DSL. Une même donnée (par exemple, une base de données de consommateurs chinois) peut déclencher simultanément des obligations au titre des trois lois.
Pour les organisations situées hors de Chine, la portée extraterritoriale élargie de la CSL modifiée signifie que les activités liées à la cybersécurité affectant les réseaux chinois, et non uniquement le traitement d'informations personnelles, peuvent désormais exposer directement les organisations étrangères à la compétence des régulateurs chinois.
Développements récents (2025-2026)
Mesures de gestion des audits de conformité PIPL (effectives au 1er mai 2025). La CAC a promulgué ces mesures le 14 février 2025. Les organisations traitant les informations personnelles de plus de 10 millions d'individus doivent réaliser des audits de conformité auto-initiés au moins tous les deux ans. Les régulateurs peuvent également ordonner des audits obligatoires pour toute organisation lorsque les activités de traitement présentent un risque significatif, un impact généralisé sur les droits des individus, ou un incident de sécurité majeur affectant 1 million d'individus ou plus. Les éléments d'audit incluent : les fondements juridiques, la notification et le consentement, la conformité des transferts transfrontaliers, la prise de décision automatisée, le traitement des données sensibles, la conservation et la suppression, les procédures de demande des personnes concernées, et la réponse aux incidents. Les auditeurs tiers ne peuvent pas auditer la même organisation plus de trois fois.
Mesures de certification transfrontalière (effectives en 2026). La CAC et la SAMR ont conjointement publié les mesures de certification des transferts transfrontaliers d'informations personnelles, complétant le cadre de transfert à trois voies envisagé par l'article 38 de la PIPL. La voie de la certification est ouverte aux organisations non-CIIO transférant entre 100 000 et 1 million d'enregistrements d'informations personnelles (ou moins de 10 000 enregistrements sensibles) par an. Les organismes de certification doivent s'enregistrer auprès de la CAC dans les 10 jours ouvrables suivant l'approbation de la SAMR.
Loi sur la cybersécurité modifiée (effective au 1er janvier 2026). Comme décrit ci-dessus, la CSL modifiée a introduit des sanctions échelonnées, une gouvernance de l'IA, une portée extraterritoriale élargie et de nouvelles obligations relatives à la chaîne d'approvisionnement. Pour les organisations déjà soumises à la PIPL, la CSL modifiée ajoute une couche de conformité supplémentaire pour les obligations en matière de réseau et de cybersécurité.
Trajectoire d'application du RGPD (2024-2025). Les amendes RGPD ont dépassé 1,2 milliard d'euros pour la seule année 2024, l'application s'étendant au-delà des grandes entreprises technologiques vers les secteurs des services financiers et de l'énergie. L'usage élargi par le CEPD des procédures d'urgence de l'article 65 a accéléré le règlement des affaires transfrontalières.
Recommandations pour la double conformité
Les organisations soumises à la fois au RGPD et à la PIPL sont confrontées à des conflits dans plusieurs domaines clés. La liste de contrôle suivante recense les divergences les plus susceptibles d'exiger des choix structurels de conformité.
| Enjeu | Exigence RGPD | Exigence PIPL | Stratégie de conformité |
|---|---|---|---|
| Fondement juridique pour le marketing | Intérêts légitimes ou consentement | Consentement (pas d'intérêts légitimes) | Obtenir le consentement pour la Chine ; les intérêts légitimes restent acceptables pour l'UE si le test de mise en balance est satisfait |
| Partage de données à des tiers | Consentement standard ou autre fondement juridique | Consentement distinct | Mettre en œuvre une expérience de consentement granulaire captant un consentement distinct pour le partage |
| Transfert transfrontalier depuis la Chine | Sans objet (les données entrant dans l'UE ne nécessitent qu'un fondement RGPD) | Évaluation de sécurité, contrat type, ou certification ; consentement distinct | Utiliser des CCT + dépôt CAC en dessous du seuil ; évaluation de sécurité pour les CIIO et les gros volumes ; toujours obtenir un consentement distinct |
| Localisation des données (Chine) | Non requise | Requise pour les CIIO et les acteurs dépassant le seuil | Maintenir une infrastructure de données chinoise distincte ; minimiser les transferts transfrontaliers |
| Réponse à l'accès gouvernemental | Doit évaluer la nécessité et la proportionnalité ; les représentants dans l'UE doivent faire remonter | Doit coopérer avec les agences de renseignement et de sécurité | Les entités juridiques en Chine ont une obligation directe ; les entités de l'UE recevant des demandes d'accès en provenance de Chine devraient consulter le droit de l'UE |
| DPD / responsable de la confidentialité | DPD requis pour les organismes publics, le suivi à grande échelle, les données sensibles | Personne responsable de la protection des IP requise au-delà du seuil de la CAC (actuellement 1 M+ d'individus traités) | Désigner un DPD dans l'UE ; désigner une personne responsable en Chine ; les rôles peuvent se chevaucher mais les responsabilités sont distinctes |
| Délai de réponse aux demandes de droits | Répondre sous 1 mois | Répondre « rapidement » | Viser une réponse à 30 jours pour toutes les demandes afin de satisfaire le RGPD ; documenter le délai de réponse pour la PIPL |
| Notification de violation | 72 heures à l'autorité de contrôle ; sans retard indu aux personnes en cas de risque élevé | « Immédiatement » au régulateur ; rapidement aux personnes | Le plan de réponse aux incidents devrait viser une notification au régulateur le jour même pour satisfaire la PIPL ; 72 heures couvre le RGPD |
| Audit de conformité | Non exigé par le RGPD ; recommandé comme mesure de responsabilisation | Obligatoire tous les 2 ans pour les acteurs traitant 10 M+ d'individus | Intégrer un cycle d'audit dans le calendrier de conformité ; aligner avec la documentation de responsabilisation RGPD |
De nombreuses organisations multinationales gèrent les conflits RGPD-PIPL en exploitant des environnements de traitement de données distincts pour les opérations chinoises et européennes, en minimisant le besoin de transferts transfrontaliers entre les deux juridictions, et en maintenant des registres de consentement indépendants pour chaque régime.
Pour plus de détails sur le cadre du RGPD, consultez notre guide complet des lois européennes de protection des données. Pour le cadre complet de la protection de la vie privée en Chine, consultez notre guide sur les lois chinoises de protection des données.
Avertissement
Cet article présente des informations juridiques générales sur le règlement général de l'UE sur la protection des données et la loi chinoise sur la protection des informations personnelles. Il ne constitue pas un conseil juridique. Les informations reflètent l'état du droit au 19 mai 2026. Les deux cadres continuent d'évoluer par le biais de règlements d'application, d'orientations réglementaires et de décisions d'application. Les organisations soumises au RGPD ou à la PIPL devraient consulter un avocat autorisé à exercer dans la juridiction concernée pour des conseils adaptés à leur situation.
Autorités citées
- Loi sur la protection des informations personnelles de la République populaire de Chine (PIPL), adoptée le 20 août 2021, effective au 1er novembre 2021. http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml
- Règlement (UE) 2016/679 (règlement général sur la protection des données), art. 3, 6, 7, 9, 12-22, 27, 33-34, 37-39, 45-49, 52, 56, 83. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
- Loi sur la cybersécurité de la République populaire de Chine (CSL), effective à l'origine le 1er juin 2017 ; version modifiée effective au 1er janvier 2026. http://www.npc.gov.cn/npc/c12435/201611/9b4396b62c9e4b16b3b42d109e41c02e.shtml
- Loi sur la sécurité des données de la République populaire de Chine (DSL), effective depuis le 1er septembre 2021. http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
- Loi sur le renseignement national de la République populaire de Chine, art. 7 (2017). Disponible via China Law Translate : https://www.chinalawtranslate.com/en/national-intelligence-law-of-the-peoples-republic-of-china-2017/
- Cyberspace Administration of China (CAC). Mesures administratives pour les audits de conformité en matière de protection des informations personnelles, promulguées le 14 février 2025, effectives au 1er mai 2025. https://www.cac.gov.cn/
- Comité européen de la protection des données (CEPD). Lignes directrices, recommandations et avis. https://edpb.europa.eu/edpb_en
- Commission européenne. Décisions d'adéquation. https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
- DLA Piper Privacy Matters. Chine : audits obligatoires de conformité en matière de protection des données à compter du 1er mai 2025 (février 2025). https://privacymatters.dlapiper.com/2025/02/china-mandatory-data-protection-compliance-audits-from-1-may-2025/
- DLA Piper Privacy Matters. Chine : publication du projet de règlement sur la certification des transferts transfrontaliers de données (janvier 2025). https://privacymatters.dlapiper.com/2025/01/7523/
- Linklaters Tech Insights. Les modifications 2025 de la loi chinoise sur la cybersécurité : sanctions renforcées, application extraterritoriale élargie et gouvernance de l'IA. https://techinsights.linklaters.com/post/102lrz5/chinas-2025-cybersecurity-law-amendments-enhanced-penalties-expanded-extraterr
- IAPP. Analyse de la PIPL chinoise et de sa comparaison avec le RGPD de l'UE. https://iapp.org/news/a/analyzing-chinas-pipl-and-how-it-compares-to-the-eus-gdpr
- IAPP. La première affaire sur la portée extraterritoriale de la PIPL met en lumière des priorités de conformité clés. https://iapp.org/news/a/first-case-on-pipl-s-extraterritorial-scope-highlights-key-compliance-priorities
- IAPP. Une étude de cas sur les opérations de confidentialité en Chine : l'avertissement Dior. https://iapp.org/news/a/a-case-study-in-china-privacy-operations-the-dior-wake-up-call
- Baker McKenzie Resource Hub. Régulateurs, priorités d'application et sanctions : Chine. https://resourcehub.bakermckenzie.com/en/resources/global-data-and-cyber-handbook/asia-pacific/china/topics/regulators-enforcement-priorities-and-penalties
- DLA Piper GDPR Fines and Data Breach Survey : janvier 2025. https://www.dlapiper.com/en-us/insights/publications/2025/01/dla-piper-gdpr-fines-and-data-breach-survey-january-2025
Dernière mise à jour : 19 mai 2026. Les lois citées reflètent leur version en vigueur au 19 mai 2026.
Frequently Asked Questions
La PIPL est-elle plus stricte que le RGPD ?
Sur plusieurs points, oui. La PIPL impose des amendes maximales plus élevées (5 % du chiffre d'affaires contre 4 %), une responsabilité personnelle pour les individus responsables (jusqu'à 1 million de RMB plus des interdictions d'exercer), une localisation des données obligatoire pour les CIIO et les acteurs traitant de gros volumes, des évaluations de sécurité gouvernementales pour les transferts transfrontaliers, et des exigences de consentement distinct pour le partage à des tiers et la divulgation publique. Le RGPD est plus strict sur d'autres aspects : il fournit des exigences d'indépendance du DPD plus détaillées, exige des réponses aux demandes de droits dans un délai fixe d'un mois (contre la norme « rapide » de la PIPL), et limite l'accès gouvernemental aux données personnelles par des exigences de contrôle juridictionnel plus fortes.
La PIPL s'applique-t-elle aux entreprises situées hors de Chine ?
Oui. L'article 3 de la PIPL s'applique de manière extraterritoriale aux organisations situées hors de Chine qui traitent des informations personnelles pour fournir des produits ou services à des personnes en Chine, ou pour analyser et évaluer le comportement de personnes en Chine. Ces organisations doivent établir une entité dédiée ou désigner un représentant en Chine en vertu de l'article 53. Le jugement du tribunal Internet de Guangzhou à l'automne 2024 a confirmé que les tribunaux chinois appliqueront les normes de la PIPL au traitement, par des organisations étrangères, des données de résidents chinois, le premier jugement publié sur l'extraterritorialité de la PIPL.
Quelles sont les trois voies de transfert transfrontalier au titre de la PIPL chinoise ?
L'article 38 de la PIPL prévoit trois voies : (1) une évaluation de sécurité par la CAC, obligatoire pour les opérateurs d'infrastructures d'information critiques et les organisations ayant, l'année précédente, traité les informations personnelles de 100 000 individus ou plus, traité les informations personnelles sensibles de 10 000 individus ou plus, ou transféré cumulativement les données d'1 million d'individus ou plus ; (2) un contrat type déposé auprès de la CAC ; et (3) la certification par un organisme désigné par la CAC, une voie formalisée par les mesures conjointes de certification CAC/SAMR effectives en 2026. Le consentement distinct de la personne concernée est requis pour tous les transferts transfrontaliers, quelle que soit la voie utilisée (art. 39).
Pourquoi la PIPL n'inclut-elle pas les intérêts légitimes comme fondement juridique ?
L'omission des intérêts légitimes par la PIPL reflète un choix politique visant à limiter la marge de manœuvre des organisations pour déterminer quand un traitement est licite sans consentement. Sous le RGPD, les intérêts légitimes permettent aux organisations de traiter des données sur la base de leur propre évaluation de mise en balance entre leurs intérêts et les droits des personnes. L'approche chinoise, reflétée à l'article 13 de la PIPL, exige que le traitement relève de l'un des sept fondements énumérés, conférant aux régulateurs une autorité plus prévisible sur ce qui est permis. Les organisations qui utilisent les intérêts légitimes au titre du RGPD pour le marketing, l'analytique ou la prévention de la fraude doivent obtenir le consentement ou trouver un autre fondement de l'article 13 pour les mêmes activités en Chine.
La Chine dispose-t-elle d'une décision d'adéquation de l'UE ?
Non. En mai 2026, la Commission européenne n'a accordé aucune décision d'adéquation à la Chine, et aucune négociation d'adéquation n'est en cours. Les préoccupations portent sur le régime d'accès gouvernemental chinois, en particulier l'exigence de l'article 7 de la loi sur le renseignement national imposant aux organisations de coopérer avec le travail de renseignement, et les restrictions de la loi anti-espionnage sur les données quittant la Chine. Ces dispositions rendent difficile pour la Commission européenne de conclure que la Chine offre un niveau de protection « essentiellement équivalent » à celui du RGPD. Les transferts de l'UE vers la Chine doivent utiliser des clauses contractuelles types ou un autre mécanisme de l'article 46, complété par une analyse d'impact relative au transfert.
Qu'est-ce que l'exigence des mesures d'audit de conformité PIPL ?
Les mesures administratives de la CAC pour les audits de conformité en matière de protection des informations personnelles, effectives au 1er mai 2025, exigent que les organisations traitant les informations personnelles de plus de 10 millions d'individus en Chine réalisent des audits de conformité auto-initiés au moins tous les deux ans. Les audits doivent couvrir les fondements juridiques de traitement, les procédures de consentement, la conformité des transferts transfrontaliers, la prise de décision automatisée, le traitement des données sensibles, la conservation et la suppression, le traitement des demandes des personnes concernées, et la réponse aux incidents. Les régulateurs peuvent également ordonner des audits obligatoires pour toute organisation présentant des risques significatifs ou à la suite d'un incident majeur. Les auditeurs tiers ne peuvent pas auditer la même organisation plus de trois fois.
Qu'est-ce qui a changé avec la loi chinoise sur la cybersécurité en 2026 ?
Le Comité permanent de l'Assemblée populaire nationale a adopté des modifications à la loi sur la cybersécurité le 28 octobre 2025, effectives au 1er janvier 2026. Les principaux changements incluent : des sanctions échelonnées (jusqu'à 10 millions de RMB pour les entreprises et 1 million de RMB pour les individus en cas de violations particulièrement graves) ; de premières dispositions statutaires de gouvernance de l'IA (soutenant le développement de l'IA tout en imposant des normes éthiques et une surveillance des risques) ; une portée extraterritoriale élargie (couvrant désormais toute organisation étrangère dont les activités mettent en danger la sécurité des réseaux chinois, et non uniquement les activités liées aux infrastructures critiques) ; des obligations renforcées de sécurité de la chaîne d'approvisionnement ; et de nouvelles circonstances atténuantes pour la correction rapide. La CSL modifiée s'intègre à la DSL et à la PIPL dans le cadre législatif chinois à trois lois sur la gouvernance des données.
Quels droits individuels la PIPL accorde-t-elle par rapport au RGPD ?
Les articles 44 à 50 de la PIPL accordent des droits globalement parallèles au chapitre 3 du RGPD : droit de savoir et de décider (proche du droit d'opposition et de limitation du RGPD), droit d'accès, droit de rectification, droit à l'effacement, droit à la portabilité des données (avec conditions de la CAC), et droit à l'explication des décisions automatisées. Une disposition propre à la PIPL est l'article 49, qui permet aux membres de la famille d'une personne décédée d'exercer les droits d'accès, de correction et de suppression dans leur intérêt légitime, un équivalent absent du RGPD. Une différence clé concerne les délais de réponse : le RGPD exige une réponse dans un délai d'un mois (art. 12) ; la PIPL exige uniquement une réponse « rapide », sans délai légal fixe.
En quoi le modèle multi-régulateurs de la Chine diffère-t-il du système des autorités de contrôle de l'UE ?
Sous le RGPD, chaque État membre de l'UE dispose d'une ou plusieurs autorités de contrôle indépendantes, coordonnées par le Comité européen de la protection des données (CEPD) au moyen du mécanisme de guichet unique. Une entreprise dont l'établissement principal dans l'UE se trouve en Irlande traite principalement avec la DPC irlandaise pour les affaires transfrontalières. La PIPL chinoise utilise un modèle multi-régulateurs au titre de l'article 60 : la CAC assume le rôle principal, mais le MIIT, le ministère de la Sécurité publique, la SAMR et les régulateurs du secteur financier appliquent chacun la PIPL au sein de leurs secteurs respectifs. Les homologues locaux disposent également d'un pouvoir d'application. Plusieurs agences peuvent avoir une compétence concurrente sur les activités d'une même organisation, sans équivalent du guichet unique.
Qu'est-ce que le « consentement distinct » au titre de la PIPL chinoise ?
La PIPL exige un « consentement distinct » pour cinq activités spécifiques : la communication d'informations personnelles à des tiers (art. 23), la divulgation publique d'informations personnelles (art. 25), le traitement d'informations personnelles sensibles (art. 29), le transfert d'informations personnelles hors de Chine (art. 39), et l'utilisation d'images collectées par des équipements de vidéosurveillance publique à des fins autres que la sécurité (art. 26). Le consentement distinct constitue une norme plus élevée que le consentement standard : il ne peut pas être groupé avec des conditions générales ou avec le consentement pour d'autres activités de traitement. Une organisation doit obtenir un consentement distinct et spécifique pour chacune de ces activités, même si la personne a déjà donné un consentement général au traitement de l'organisation.
Sources and References
- Texte intégral de la PIPL (loi sur la protection des informations personnelles de la RPC)(npc.gov.cn).gov
- RGPD, texte intégral (règlement (UE) 2016/679)(eur-lex.europa.eu).gov
- Loi chinoise sur la cybersécurité (2017, modifiée, effective au 1er janvier 2026)(npc.gov.cn).gov
- Loi chinoise sur la sécurité des données (DSL, effective depuis le 1er septembre 2021)(npc.gov.cn).gov
- Loi sur le renseignement national de la RPC, art. 7 (China Law Translate)(chinalawtranslate.com)
- Cyberspace Administration of China (CAC)(cac.gov.cn).gov
- Comité européen de la protection des données (CEPD)(edpb.europa.eu).gov
- Décisions d'adéquation de la Commission européenne(commission.europa.eu).gov
- DLA Piper : audits obligatoires de conformité en Chine à compter du 1er mai 2025(privacymatters.dlapiper.com)
- DLA Piper : projet de règlement chinois sur la certification des transferts transfrontaliers (janvier 2025)(privacymatters.dlapiper.com)
- Linklaters : les modifications 2025 de la loi chinoise sur la cybersécurité(techinsights.linklaters.com)
- IAPP : analyse de la PIPL chinoise et comparaison avec le RGPD de l'UE(iapp.org)
- IAPP : première affaire sur la portée extraterritoriale de la PIPL(iapp.org)
- IAPP : opérations de confidentialité en Chine, l'avertissement Dior(iapp.org)
- Baker McKenzie : régulateurs, priorités d'application et sanctions en Chine(resourcehub.bakermckenzie.com)
- DLA Piper GDPR Fines and Data Breach Survey : janvier 2025(dlapiper.com)