Transferts transfrontaliers au titre de la PIPL chinoise

Éliminez les lacunes de conformité aux CCT chinoises dans chaque entité

Mis à jour le 2026-06-23
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui unifie la conformité aux CCT de la PIPL chinoise — PIIA, dépôts auprès de la CAC et registres de transferts — en parallèle des processus relevant du RGPD et de la nLPD.

Gérez les évaluations PIIA, les dépôts auprès de la CAC et la documentation des transferts transfrontaliers pour l'ensemble de vos filiales, sur la même plateforme que celle que vous utilisez pour le RGPD.

Réservez votre démo de conformité aux CCT chinoises Découvrez les fonctionnalités de la plateforme

Plébiscitée par les équipes en charge de la protection de la vie privée chez AXA, Pilatus Aircraft, Zurzach Care et plus de 200 organisations -- Notée 4.8/5 sur G2 pour la gestion de la protection de la vie privée

Les clauses contractuelles types de la PIPL chinoise créent des obligations continues de dépôt, d'évaluation et de documentation pour chaque entité qui transfère des informations personnelles hors de Chine continentale. Si vous gérez cela à travers plusieurs filiales, vous savez déjà que les tableurs et les notes juridiques ne suffisent pas.

Priverion offre aux équipes en charge de la protection de la vie privée une plateforme unique pour gérer les exigences des CCT chinoises en parallèle des analyses d'impact des transferts au titre du RGPD, des processus d'AIPD et des obligations de registre des traitements, dans chaque entité de votre groupe. Aucun doublon. Aucune lacune de conformité d'un territoire à l'autre.

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Gérez les exigences des CCT pour les transferts transfrontaliers de données vers la Chine sur la même plateforme que celle que vous utilisez pour le RGPD

Chaque fonctionnalité est directement alignée sur ce qu'exige le régime des CCT chinoises , sans contournement, sans tableurs parallèles, sans seconde plateforme.

Rédaction de PIIA assistée par l'IA

L'évaluation d'impact sur les informations personnelles chinoise repose sur des critères différents de ceux d'une AIPD au sens du RGPD , facteurs de risque différents, règles de conservation différentes, étape de dépôt obligatoire. La rédaction d'évaluations assistée par l'IA de Priverion génère des modèles spécifiques aux PIIA qui reflètent les exigences de la CAC, en préremplissant les détails des transferts à partir de vos cartographies de données existantes. Votre équipe examine et approuve chaque résultat avant qu'il ne devienne un enregistrement de conformité.

Résultat : une entreprise de technologie médicale a économisé plus de 200 heures lors de la préparation de la documentation d'évaluation pour la norme ISO 27001 , la même efficacité de processus s'applique aux PIIA chinoises.

Étude de cas d'une entreprise de technologie médicale, 12 premiers mois d'utilisation de la plateforme

Suivi des dépôts inter-entités

Chaque filiale en Chine continentale dépose ses CCT chinoises de manière indépendante auprès de son bureau provincial local de la CAC , dans un délai de 10 jours ouvrables suivant la prise d'effet du contrat. Priverion suit l'état des dépôts, les échéances et les responsables désignés pour chaque entité de votre groupe depuis un tableau de bord unique. Fini de relancer les équipes locales par courriel pour confirmer si un dépôt a bien été soumis dans les délais.

Déclencheurs de recertification automatisés

La conformité aux CCT chinoises n'est pas un dépôt ponctuel. Lorsque la finalité du transfert change, que de nouvelles catégories de données sont ajoutées ou qu'un destinataire change de sous-traitants ultérieurs, la PIIA doit être réalisée à nouveau et le dépôt mis à jour. Priverion surveille les enregistrements de transferts et déclenche automatiquement les processus de recertification dès qu'un changement est détecté , afin que rien ne passe entre les mailles du filet parce que quelqu'un a oublié de mettre à jour un tableur.

Résultat : un assureur suisse a atteint un taux de recertification de 100% de son registre des traitements grâce à des processus entièrement automatisés , le même mécanisme assure la conformité de la réévaluation des CCT chinoises.

Référence client d'un assureur suisse, recertification automatisée

Registre unifié des mécanismes de transfert

Des CCT relevant de l'article 46 du RGPD à destination des États-Unis. Des CCT de la PIPL chinoise à destination de votre siège européen. Des transferts vers la Suisse fondés sur la décision d'adéquation au titre de la nLPD. La plupart des organisations suivent ces éléments dans des systèmes totalement distincts , ou pire, ne les suivent pas du tout. Priverion offre à votre DPD groupe un registre unique de l'ensemble des mécanismes de transfert transfrontalier pour chaque entité et chaque territoire, avec l'état, les dates d'expiration et les évaluations associées visibles dans une seule vue.

Résultat : un constructeur aéronautique a réduit de 60% le temps consacré à l'administration de la conformité au cours des 6 premiers mois , éliminant précisément le type de fragmentation multi-systèmes que les CCT chinoises créeraient sinon.

Constructeur aéronautique, 6 premiers mois après la mise en œuvre

Dossiers de preuves prêts pour l'audit

La CAC peut demander à tout moment votre documentation de PIIA, vos confirmations de dépôt et les annexes de vos CCT. Les règles relatives aux CCT chinoises imposent de conserver les dossiers de PIIA pendant au moins 3 ans. Priverion tient à jour une piste d'audit complète et horodatée , chaque version d'évaluation, chaque enregistrement de dépôt, chaque annexe contractuelle , exportable en quelques minutes pour n'importe quelle autorité de contrôle, sur n'importe quel territoire.

Résultat : un établissement de santé a atteint une couverture de 100% de l'évaluation des risques liés aux fournisseurs , la même rigueur documentaire s'étend aux enregistrements de conformité des transferts transfrontaliers.

Référence client d'un établissement de santé

Souveraineté des données suisse , même pour la conformité chinoise

Vos données de conformité aux CCT chinoises . PIIA, enregistrements de dépôts, évaluations de transferts , sont par nature sensibles. Priverion traite et stocke l'ensemble des données de la plateforme exclusivement au sein d'une infrastructure suisse. Dans un monde post-Schrems II où même la localisation des données de vos outils de conformité a son importance, un hébergement en Suisse n'est pas une simple case marketing à cocher. C'est une décision d'architecture de confiance qui simplifie votre propre récit en matière de transfert de données.

L'intégralité du traitement des données au sein d'une infrastructure suisse. Aucune donnée client utilisée pour l'entraînement de modèles d'IA. Résidence des données en Europe garantie.

Engagement de Priverion en matière d'infrastructure

200+

Heures économisées sur la préparation à la norme ISO 27001

Une entreprise de technologie médicale a réduit la préparation de la documentation, passant de plusieurs mois de travail manuel à des dossiers de preuves automatisés , libérant ainsi son équipe pour se concentrer sur les améliorations de sécurité plutôt que sur la paperasse d'audit.

60%

De temps d'administration de la conformité en moins par rapport aux plateformes héritées

Un constructeur aéronautique a réduit de 60% les frais généraux de gestion de son registre des traitements au cours de ses 6 premiers mois , avec une tarification prévisible qui ne pénalise pas la croissance des filiales.

3 mois

D'avance sur le calendrier de certification ISO 27001

L'équipe de conformité d'une entreprise de technologie médicale a atteint la maturité d'audit un trimestre complet à l'avance en s'appuyant sur la génération automatisée de preuves de Priverion et sur les mesures de la norme ISO 27701 déjà cartographiées.

Conçu pour le mid-market. Pas dégradé depuis l'enterprise.

OneTrust s'adresse aux organisations du Fortune 500 avec un périmètre GRC plus large et des équipes dédiées à la protection de la vie privée. Priverion offre ce dont les organisations multi-entités ont réellement besoin , sans les modules que vous n'utiliserez jamais, les intégrations que vous ne configurerez jamais ni les mauvaises surprises sur facture que vous n'oublierez jamais.

Ce que vous obtenez avec OneTrust

Infrastructure hébergée aux États-Unis

Données traitées sous juridiction américaine. Dans un contexte post-Schrems II, cela crée une exposition juridique permanente pour les organisations européennes transférant des données à caractère personnel vers une plateforme hébergée sous le régime de la FISA 702 et de l'EO 12333.

Tarification par module et par utilisateur

Les coûts augmentent de manière imprévisible à mesure que votre équipe s'agrandit. Ajouter des entités, des utilisateurs ou des modules entraîne de nouvelles lignes de facturation , transformant le budget annuel en jeu de devinettes pour les directeurs financiers.

Complexité enterprise par défaut

Conçu pour les organisations du Fortune 500 dotées d'équipes de déploiement dédiées. Les entreprises du mid-market font état de plusieurs mois de mise en route avant d'en tirer de la valeur , et d'un recours permanent à des consultants externes pour configurer les processus.

Plus de 200 intégrations superficielles

Un nombre impressionnant de connecteurs, mais la plupart exigent une configuration sur mesure et une maintenance continue. Privilégier l'étendue à la profondeur signifie plus de charge informatique, pas moins.

Plateforme étendue, attention dispersée

Couvre l'ESG, les lignes d'alerte éthique, le consentement aux cookies, la GRC , et la protection de la vie privée. Lorsque celle-ci n'est qu'un module parmi douze, elle bénéficie rarement de l'investissement en R&D que proposent les plateformes spécialisées.

Ce que vous obtenez avec Priverion

Conçu et hébergé en Suisse

L'ensemble des données traitées au sein d'une infrastructure suisse , l'un des trois seuls pays bénéficiant d'une décision d'adéquation de l'UE. La résidence des données en Europe n'est pas une option à activer. C'est notre architecture.

Tarification prévisible, basée sur les entités

Tarification fondée sur le nombre d'entreprises et la taille de l'organisation , et non par utilisateur ou par module. Aucun piège lié à l'expansion. Votre directeur financier peut planifier le budget de l'année prochaine dès aujourd'hui.

Opérationnel en quelques semaines, pas en plusieurs mois

Une expérience utilisateur conçue spécifiquement pour les praticiens de la protection de la vie privée , et non adaptée d'une mégaplateforme GRC. Un constructeur aéronautique a obtenu une réduction de 60% du temps d'administration de la conformité au cours de ses 6 premiers mois.

Constructeur aéronautique, 6 premiers mois de déploiement

Des intégrations approfondies là où elles comptent

Des connecteurs approfondis et maintenus avec les systèmes RH, achats et gestion des actifs informatiques , les systèmes qui alimentent réellement les processus de protection de la vie privée. Pas 200 connecteurs qui créent 200 casse-têtes de maintenance.

La protection de la vie privée est le produit tout entier

Registre des traitements, AIPD/TIA, risques fournisseurs, demandes des personnes concernées, gestion des violations, registre IA, cartographie des données inter-entités , le tout sur une seule plateforme. Nous ne couvrons ni l'ESG ni le consentement aux cookies, car nous avons choisi la profondeur plutôt que l'étendue.

Checklist de conformité aux CCT pour les transferts transfrontaliers de données vers la Chine

Cessez d'assembler des bribes de recommandations à partir de notes gouvernementales éparses et d'articles de blog contradictoires. Cette checklist regroupe les exigences opérationnelles dont votre équipe a réellement besoin pour gérer les transferts de données de la Chine vers l'étranger au moyen de clauses contractuelles types , alignées sur les dernières réglementations de la CAC.

Ce que vous y trouverez :

  • Un guide pas à pas du processus de dépôt du contrat type auprès de la CAC , de l'évaluation d'impact sur les informations personnelles jusqu'à la soumission à l'autorité provinciale
  • Une matrice de seuils indiquant quand les CCT s'appliquent et quand vous avez besoin d'une évaluation de sécurité ou d'une certification de la CAC , selon le volume, la sensibilité des données et le type d'opérateur
  • Une liste de modèles de documentation couvrant la PIPIA obligatoire, les obligations du destinataire des données et les clauses contractuelles que la CAC s'attend à trouver dans votre dossier de dépôt
  • Un tableau de correspondance reliant les exigences des CCT chinoises à celles des CCT de l'UE , afin que votre équipe juridique puisse identifier les écarts dans les accords de transfert existants sans repartir de zéro

Obtenez la checklist , gratuitement

Indiquez votre adresse e-mail professionnelle et nous vous enverrons le PDF directement dans votre boîte de réception. Aucun appel de démo, aucune séquence commerciale.

PDF gratuit. Aucune démo requise. Nous l'envoyons dans votre boîte de réception.

Arrêtez de gérer la conformité en matière de protection de la vie privée dans des tableurs. Gérez-la pour de bon.

Un constructeur aéronautique a réduit de 60% le temps d'administration de la conformité en six mois. Un assureur suisse a atteint un taux de recertification de 100% de son registre des traitements , entièrement automatisé. Une entreprise de technologie médicale a économisé plus de 200 heures de préparation à la norme ISO 27001. Découvrez Priverion avec vos données, vos entités, vos processus.

Des semaines, pas des mois

Délai moyen de mise en service , d'après les données de mise en route des clients

50+ entités

Échelle de groupe , gérée depuis une seule plateforme

100% hébergé en Suisse

L'intégralité du traitement des données au sein d'une infrastructure suisse

Aucun argumentaire commercial , une démonstration en direct adaptée à votre cas d'usage. Une tarification prévisible, sans pièges par utilisateur.

Découvrez Priverion avec votre cas d'usage

30 minutes. Vos entités, vos scénarios de transfert, vos questions. Pas de diapositives, pas d'argumentaire commercial , une démonstration en direct adaptée à la manière dont votre organisation gère réellement la conformité transfrontalière.

Nous vous répondrons sous un jour ouvrable. Vos données restent en Suisse , même la demande de démo.

Réservez votre démo de conformité aux CCT chinoises
À propos de cette page — références, définitions et FAQ

Points clés

La loi chinoise sur la protection des informations personnelles (PIPL) impose aux organisations qui transfèrent des informations personnelles hors de Chine continentale de conclure des clauses contractuelles types (CCT) avec les destinataires à l'étranger et de les déposer auprès de l'administration du cyberespace de Chine (CAC). Chaque filiale en Chine continentale doit procéder à un dépôt de manière indépendante dans un délai de 10 jours ouvrables. Une évaluation d'impact sur les informations personnelles (PIIA) est obligatoire avant tout transfert. Priverion unifie la conformité aux CCT chinoises avec les processus relevant du RGPD, de la nLPD et de la norme ISO 27001, le tout sur une plateforme unique hébergée en Suisse.

Définitions

Qu'est-ce que la loi sur la protection des informations personnelles (PIPL) ?

PIPL est la loi chinoise complète sur la protection des données, entrée en vigueur le 1er novembre 2021. Elle régit la collecte, le stockage, l'utilisation, le traitement, la transmission, la fourniture, la divulgation et la suppression des informations personnelles au sein de la République populaire de Chine. La PIPL établit une compétence extraterritoriale sur les entités étrangères qui traitent les informations personnelles de personnes situées en Chine. IAPP — Aperçu de la PIPL chinoise

Que sont les clauses contractuelles types (CCT) au titre de la PIPL ?

Les clauses contractuelles types (CCT) au titre de la PIPL chinoise sont des clauses contractuelles prescrites par le gouvernement qu'un gestionnaire d'informations personnelles doit conclure avec un destinataire à l'étranger avant de transférer des informations personnelles hors de Chine continentale. Les Mesures relatives au contrat type pour le transfert sortant d'informations personnelles ont été publiées par la CAC le 24 février 2023 et sont entrées en vigueur le 1er juin 2023.

Qu'est-ce qu'une évaluation d'impact sur les informations personnelles (PIIA) ?

Une évaluation d'impact sur les informations personnelles (PIIA) est une évaluation préalable au transfert obligatoire exigée par l'article 55 de la PIPL. Elle évalue la licéité et la nécessité du traitement des données, les risques pour les droits des personnes, l'adéquation des mesures de protection et l'environnement de protection des données du pays destinataire. Les dossiers de PIIA doivent être conservés pendant au moins 3 ans après la cessation du transfert.

Qu'est-ce que l'administration du cyberespace de Chine (CAC) ?

L'administration du cyberespace de Chine (CAC) est le régulateur et censeur central d'internet chargé d'administrer les réglementations chinoises en matière de protection des données et de cybersécurité, y compris le processus de dépôt des CCT au titre de la PIPL et les évaluations de sécurité pour les transferts transfrontaliers de données.

Foire aux questions

Que sont les clauses contractuelles types de la Chine pour les transferts transfrontaliers de données ?

Les clauses contractuelles types (CCT) de la Chine constituent un mécanisme de transfert légalement obligatoire en vertu de la loi sur la protection des informations personnelles (PIPL). Les organisations qui transfèrent des informations personnelles hors de Chine continentale doivent conclure un contrat type avec le destinataire à l'étranger et le déposer auprès du bureau provincial de la CAC dans un délai de 10 jours ouvrables suivant la prise d'effet du contrat. Une évaluation d'impact sur les informations personnelles (PIIA) doit être réalisée avant le transfert. Le modèle de CCT a été publié par la CAC le 24 février 2023 et est entré en vigueur le 1er juin 2023.

En quoi une PIIA chinoise diffère-t-elle d'une AIPD au sens du RGPD ?

Une évaluation d'impact sur les informations personnelles (PIIA) chinoise au titre de la PIPL repose sur des facteurs de risque, des règles de conservation et une étape de dépôt obligatoire auprès de la CAC qui lui sont propres — contrairement à une analyse d'impact relative à la protection des données (AIPD) au sens du RGPD, qui n'est transmise qu'à la demande d'une autorité de contrôle. La PIIA doit évaluer la licéité et la nécessité du transfert, les risques pour les personnes ainsi que les capacités de protection des données du destinataire à l'étranger. Selon l'analyse comparative de l'IAPP, les exigences d'évaluation de la PIPL sont plus prescriptives concernant l'environnement juridique du pays destinataire.

Quand un dépôt de CCT chinoises doit-il être mis à jour ou recertifié ?

Les dépôts de CCT chinoises doivent être mis à jour lorsque la finalité du transfert change, que de nouvelles catégories d'informations personnelles sont ajoutées, que la durée de conservation est prolongée, que le destinataire à l'étranger change de sous-traitants ultérieurs ou que les lois sur la protection des données du pays destinataire évoluent de manière significative. La PIIA doit être réalisée à nouveau et le dépôt mis à jour transmis à la CAC. Tout manquement à cette mise à jour peut entraîner des mesures d'exécution, y compris des ordres de cessation du transfert.

Quelle est l'exigence de conservation des dossiers de PIIA au titre des règles relatives aux CCT chinoises ?

Au titre des règles relatives aux CCT chinoises, les dossiers d'évaluation d'impact sur les informations personnelles (PIIA) doivent être conservés pendant au moins 3 ans à compter de la date à laquelle le transfert prend fin. La CAC peut demander ces dossiers, ainsi que les confirmations de dépôt et les annexes des CCT, à tout moment durant cette période.

La conformité aux CCT de la PIPL chinoise peut-elle être gérée en parallèle du RGPD sur une seule plateforme ?

Oui. Les plateformes GRC multi-cadres comme Priverion permettent aux équipes en charge de la protection de la vie privée de gérer les exigences des CCT de la PIPL chinoise — y compris les PIIA, les dépôts auprès de la CAC et les registres de transferts — en parallèle des CCT relevant de l'article 46 du RGPD, des transferts vers la Suisse fondés sur la décision d'adéquation au titre de la nLPD et des obligations de registre des traitements, le tout dans un système unifié unique. Cela élimine les doublons d'un territoire à l'autre et réduit le risque de lacunes en matière de conformité.

Quels sont les trois mécanismes licites de transfert transfrontalier prévus par la PIPL chinoise ?

La PIPL chinoise prévoit trois mécanismes licites pour les transferts transfrontaliers d'informations personnelles : (1) réussir une évaluation de sécurité administrée par la CAC, requise pour les opérateurs d'infrastructures d'information critiques et les gestionnaires traitant des informations personnelles au-delà de certains seuils de volume ; (2) obtenir une certification de protection des informations personnelles auprès d'un organisme reconnu ; et (3) conclure des clauses contractuelles types avec le destinataire à l'étranger et procéder à un dépôt auprès de la CAC. Selon l'IAPP, la voie des CCT est le mécanisme le plus couramment utilisé par les organisations qui n'atteignent pas les seuils imposant une évaluation de sécurité.

Quelles sanctions s'appliquent en cas de non-respect des règles chinoises relatives aux transferts transfrontaliers de données ?

En vertu des articles 66 à 69 de la PIPL, les violations des règles relatives aux transferts transfrontaliers de données peuvent entraîner des amendes pouvant atteindre 50 millions de RMB (environ 7 millions de USD) ou 5% du chiffre d'affaires annuel de l'exercice précédent, la suspension des activités commerciales et la révocation des autorisations d'exploitation. Les personnes responsables peuvent être soumises à des amendes individuelles pouvant atteindre 1 million de RMB.

Pourquoi l'hébergement des données en Suisse est-il important pour les outils de conformité ?

La Suisse bénéficie d'une décision d'adéquation de l'UE au titre du RGPD, ce qui signifie que les données à caractère personnel peuvent circuler librement de l'UE vers la Suisse sans garanties supplémentaires. Héberger les données de conformité — y compris les PIIA, les enregistrements de dépôts et les évaluations de transferts — au sein d'une infrastructure suisse évite les complexités juridiques des plateformes hébergées aux États-Unis et soumises à la Section 702 de la FISA et au décret présidentiel 12333, qui étaient au cœur de l'arrêt Schrems II.

Statistiques et contexte sectoriel

Selon le rapport annuel 2023 sur la gouvernance de la protection de la vie privée de l'IAPP-EY, 60% des organisations ont déclaré que la gestion des transferts transfrontaliers de données figure parmi leurs trois principaux défis en matière de protection de la vie privée. Le rapport a également révélé que la taille moyenne d'une équipe en charge de la protection de la vie privée est de 5,4 équivalents temps plein, soulignant le besoin d'automatisation dans la conformité multi-juridictionnelle. Une prévision de Gartner estimait que, d'ici 2025, 75% de la population mondiale verrait ses données à caractère personnel couvertes par des réglementations modernes en matière de protection de la vie privée, stimulant la demande de plateformes de conformité unifiées capables de gérer simultanément plusieurs cadres.

Comparaison : CCT de la PIPL chinoise vs. CCT de l'article 46 du RGPD

AspectCCT de la PIPL chinoiseCCT de l'article 46 du RGPD
Base juridiqueArticle 38(3) de la PIPL ; Mesures de la CAC (2023)Article 46(2)(c) du RGPD ; décision 2021/914 de la Commission européenne
Obligation de dépôtDépôt obligatoire auprès de la CAC provinciale dans un délai de 10 jours ouvrablesAucun dépôt requis ; disponible à la demande de l'autorité de protection des données
Évaluation préalable au transfertPIIA obligatoire (article 55 de la PIPL)Analyse d'impact du transfert (TIA) recommandée par le CEPD
Conservation des dossiersAu moins 3 ans après la cessation du transfertDurée du traitement + délai de prescription
Sanctions (max)50 millions de RMB ou 5% du chiffre d'affaires annuel20 millions d'euros ou 4% du chiffre d'affaires annuel mondial
Seuil de champ d'applicationS'applique en cas de traitement des données de moins d'1 million de personnes (au-delà du seuil, une évaluation de sécurité est requise)Aucun seuil de volume ; s'applique à tous les transferts vers des pays non adéquats
Modèle de contratPrescrit par la CAC ; aucune modification des clauses essentiellesPrescrit par la Commission européenne ; modifications limitées autorisées