Voici l'article rédigé selon vos instructions, adoptant le ton de Maître Liu de Jiaxi Fiscal et Comptabilité.
---
### Conformité avec la loi sur la protection des informations personnelles pour l'enregistrement en Chine
Vous savez, en tant que vieux briscard de la fiscalité, j’ai vu défiler des dossiers d’enregistrement par centaines. Mais depuis la mise en œuvre de la Loi sur la Protection des Informations Personnelles (PIPL) en 2021, un vent de panique, ou plutôt de prudence, a soufflé sur nos clients étrangers. On ne rigole plus avec les données. Pour une société qui veut s’implanter en Chine, la question n’est plus seulement « quel est mon code d’activité ? », mais aussi « comment je collecte, stocke et protège les données de mes futurs employés et clients pendant l’enregistrement ? ». C’est un vrai casse-tête, surtout quand on vient de pays où la culture de la donnée est différente. Mon boulot, chez Jiaxi, c’est justement de les aider à ne pas se brûler les ailes dès le premier vol.
Aujourd’hui, je vais vous parler de ce respect scrupuleux de la PIPL dès la phase d’enregistrement. Ce n’est pas une option, c’est la clé pour ouvrir la porte du marché chinois sans se prendre un râteau de l’administration. Et croyez-moi, j’ai des anecdotes qui font froid dans le dos.
Définir le périmètre des données
Première chose, et c’est souvent là que le bât blesse : quelles données collectez-vous vraiment ? Beaucoup de mes clients arrivent avec un formulaire d’enregistrement copié sur leur maison-mère, avec des cases pour le numéro de sécurité sociale, le salaire exact du futur directeur, ou pire, ses antécédents médicaux. Stop ! En Chine, pour un simple enregistrement de société, l'Administration des Marchés (AMR) ne vous demande que l’essentiel : nom, prénom, numéro de passeport, fonction et parfois une adresse de domicile dans le pays d’origine. C’est tout.
J’ai eu le cas d’une belle start-up française, prête à signer le bail de son bureau à Shanghai. Leur DRH, très bien intentionné, avait préparé un dossier complet avec les copies de passeports, les diplômes et même les certificats de mariage des futurs employés. Je leur ai dit : « Stop ! Vous collectez des données sensibles sans base légale pour l’enregistrement. C’est interdit. » On a dû refaire tout le dossier, ce qui a retardé le projet de deux semaines. La leçon ? Définissez un périmètre strict et minimal. Posez-vous la question : « L’administration me demande-t-elle cette info ? » Si non, vous ne la collectez pas. Le principe de minimisation est votre meilleur ami.
Ensuite, il faut catégoriser. Les données d’identité de base (nom, passeport) sont une chose ; les données biométriques (photo d’identité, empreintes) en sont une autre. Pour un enregistrement standard, on évite les données sensibles. Mon conseil : faites un tableau, listez chaque donnée demandée, et justifiez-la par une obligation légale précise (code du travail, code de commerce, PIPL). Si vous ne trouvez pas la justification, vous la supprimez.
Obtenir le consentement éclairé
Le consentement, c’est le Graal de la PIPL, mais attention, un consentement donné à l’aveugle ne vaut rien. Lors de l’enregistrement, vous allez collecter les informations des représentants légaux, des superviseurs et des futurs directeurs. Il ne suffit pas de leur faire signer un document en chinois qu’ils ne comprennent pas. J’ai vu des entreprises envoyer un email avec un PDF de 20 pages en caractères complexes, et le type à l’autre bout clique « accepter » sans lire. Erreur fatale !
Un jour, un client américain, très pointilleux, me demande : « Maître Liu, j’ai le consentement signé, c’est bon, non ? » Je lui réponds : « Oui, mais est-ce qu’il comprend ce qu’il a signé ? Et si demain il porte plainte en disant qu’il n’a pas été informé que ses données seraient transmises au bureau de la sécurité sociale ? » Il a blêmi. On a donc mis en place une procédure : une notice d’information en anglais et en chinois, simple, qui explique pourquoi on collecte, qui va traiter les données, combien de temps on les garde, et quels sont ses droits. Et on a individualisé la signature, pas un consentement général fourre-tout.
En pratique, je conseille toujours un consentement écrit et séparé. Pour le représentant légal, c’est quasi obligatoire. Et surtout, laissez une trace. Conservez les emails, les formulaires signés, les logs de consultation. Parce que si l’administration enquête, c’est à vous de prouver que vous avez obtenu un consentement valide. La charge de la preuve est inversée.
Sécuriser la transmission transfrontalière
Ah, le casse-tête des données qui traversent les frontières ! Pour une entreprise étrangère, le représentant légal est souvent basé à l’étranger. Ses données de passeport, son adresse, tout ça doit peut-être être transmis au siège pour valider le dossier. Mais la PIPL encadre très strictement le transfert de données hors de Chine. Vous ne pouvez pas simplement les envoyer par email non crypté. J’ai eu un cas où le PDG d’une PME allemande, pressé, a demandé à son assistante d’envoyer le scan de son passeport par WeChat à un consultant chinois. Je lui ai dit : « Arrêtez tout ! C’est une fuite potentielle et une violation flagrante. »
La solution, c’est de passer par une des voies légales : le test d’impact, les clauses contractuelles types (CCT) approuvées par le CAC, ou la certification. Pour un enregistrement, la voie la plus pratique est souvent de conclure un contrat avec le destinataire étranger incluant des clauses standardisées. On prévoit un niveau de protection équivalent à celui de la Chine. On précise la finalité du transfert, la durée, et on s’engage à notifier le sujet en cas de violation.
Attention aussi à l’hébergement des données. Les plateformes d’enregistrement en ligne utilisent souvent des serveurs en Chine. Mais si votre maison-mère veut avoir accès en direct aux données depuis son SI à l’étranger, il faut une solution de contrôle d’accès. On peut mettre en place un VPN d’entreprise sécurisé ou un portail web avec authentification forte. L’important est de garder la maîtrise de qui voit quoi. Et n’oubliez pas de documenter ce transfert dans votre registre des activités de traitement.
Nommer un responsable local
Beaucoup de petites structures me disent : « Maître Liu, on est trois en Chine, on n’a pas besoin de délégué à la protection des données (DPO) ! » Erreur ! La PIPL impose de désigner une personne responsable du traitement, même pour une petite équipe. Ce n’est pas toujours un poste à temps plein, mais il faut que quelqu’un soit identifié. Et pour les entreprises étrangères, c’est crucial : ce responsable doit être basé en Chine. C’est lui qui répondra devant les autorités.
Je me souviens d’une société de conseil japonaise qui s’installait à Beijing. Leur responsable légal était à Tokyo, et ils voulaient nommer leur comptable à Shanghai comme « responsable des données ». Problème : le comptable ne parlait pas chinois et ne connaissait absolument pas la loi. C’était un homme de paille. Je leur ai dit : « Vous mettez en danger votre licence. En cas de contrôle, qui va dialoguer avec le CAC ? Ce monsieur qui ne comprend rien ? » On a fini par former un jeune manager local, et on a formalisé sa mission dans un document officiel.
Mon conseil : choisissez une personne ayant une bonne compréhension des enjeux juridiques et techniques. Ce n’est pas un simple titre honorifique. Il doit pouvoir réaliser un test d’impact, rédiger une politique de confidentialité, et gérer une demande de droit à l’effacement. Si vous n’avez pas les ressources, externalisez ce rôle à un cabinet comme le nôtre, mais surtout, ne laissez pas ce poste vide. C’est un des points que les autorités vérifient en priorité.
Maîtriser la conservation et la destruction
On conserve les données d’enregistrement, mais pour combien de temps ? C’est une question que personne ne se pose, et pourtant, c’est une bombe à retardement. La loi dit : « pas plus longtemps que nécessaire à la finalité du traitement ». Pour un dossier d’enregistrement, une fois la société créée et le capital libéré, les données de l’ancien représentant légal deviennent-elles encore nécessaires ? Oui, pour des obligations comptables et fiscales, on garde les comptes pendant 10 ans. Mais le scan de son passeport, on n’en a plus besoin après 5 ans généralement.
J’ai hérité d’un dossier d’une société qui avait 8 ans d’existence. Ils stockaient encore les passeports des trois premiers directeurs, partis depuis longtemps. C’était un risque inutile. Je leur ai fait signer un ordre de destruction. On a détruit physiquement les documents papier, et on a vidé les serveurs. Il faut établir une politique de conservation des données dès le départ. Définissez des durées par catégorie : données d’identité (5 ans après la fin de la relation), données financières (10 ans), données de contact (3 ans après le dernier contact).
Et la destruction doit être sécurisée. On ne jette pas les dossiers à la poubelle. On les déchiquette, on les broie. Pour les données numériques, on efface de manière irréversible. Je dis toujours à mes clients : « Si vous ne pouvez pas prouver que vous avez détruit les données, considérez que vous les avez toujours. » Et dans un audit, c’est un point faible. Alors, tenez un registre des destructions : date, responsable, méthode.
Se préparer aux contrôles inopinés
On pense que l’administration ne vérifie jamais. C’est faux. Depuis la PIPL, le CAC ( Cyberspace Administration of China ) a multiplié les contrôles, surtout dans les zones franches et les parcs technologiques. Être en conformité sur le papier ne suffit pas, il faut pouvoir le démontrer. J’ai eu un client dont le dossier semblait parfait. Mais lors d’un contrôle, l’inspecteur a demandé à voir le registre des consentements. Le client a paniqué, il avait tout dans un vieux classeur mal rangé. Il a fallu deux jours pour tout retrouver. L’inspecteur a noté un défaut d’organisation.
Alors, comment se préparer ? D’abord, constituez un dossier de conformité complet : la politique de confidentialité, le contrat avec les clauses transfrontalières, le registre des traitements, les preuves de consentement, les accords de sous-traitance. Gardez tout ça dans un dossier numérique accessible en 30 minutes. Ensuite, faites un audit interne annuel. Simulez une inspection. Posez les questions que le CAC poserait : « Qui a accès aux données ? Où sont-elles stockées ? Comment gérez-vous une demande d’accès ? » Si vous n’avez pas de réponse claire, vous avez un problème.
Mon expérience m’a appris qu’il vaut mieux prévenir que guérir. Investir un peu dans la mise en conformité initiale vous évitera des amendes qui peuvent aller jusqu’à 5% du chiffre d’affaires annuel. Et croyez-moi, pour une entreprise en phase de démarrage, c’est un coup fatal. La PIPL n’est pas une ennemie, c’est un cadre. Si vous le respectez, vous bâtissez une relation de confiance avec vos parties prenantes.
---
En résumé, la conformité à la PIPL pour l’enregistrement n’est pas une contrainte bureaucratique, mais un investissement stratégique. Elle vous protège contre les risques juridiques, renforce la confiance de vos partenaires et vous permet d’opérer sereinement en Chine. J’ai vu trop d’entreprises négliger ces aspects et se retrouver coincées. Aujourd’hui, avec la digitalisation croissante des démarches, les enjeux ne font que croître. Mon conseil pour l’avenir ? Anticipez. Intégrez la protection des données dès la conception de votre projet d’implantation. Et surtout, formez vos équipes locales. Une culture de la conformité se construit chaque jour.
Chez Compliance/1005.html">Jiaxi Fiscal et Comptabilité, nous observons que la conformité PIPL devient un véritable avantage concurrentiel pour les entreprises étrangères en Chine. Nos clients qui ont investi tôt dans des processus robustes – comme la nomination d’un DPO local ou la mise en place de contrats types transfrontaliers – rapportent non seulement une sérénité administrative, mais aussi une fluidité accrue dans leurs relations avec les autorités et les employés. Nous pensons que l’avenir de l’enregistrement en Chine passera par une intégration poussée des systèmes de gestion des données. Les plateformes gouvernementales elles-mêmes évoluent vers plus de transparence. Notre rôle, chez Jiaxi, est d’accompagner nos clients dans cette transition, en leur offrant une veille réglementaire active et des solutions pratiques, taillées sur mesure. Nous ne nous contentons pas de remplir des formulaires ; nous construisons des fondations solides pour leur croissance en Chine.
