Noyb a déposé des plaintes RGPD contre TikTok, AliExpress, SHEIN, Temu, WeChat et Xiaomi pour transferts illégaux de données vers la Chine. Alors que quatre d'entre elles admettent ouvertement envoyer des données personnelles d'Européens en Chine, les deux autres affirment transférer des données vers des « pays tiers » non divulgués. Étant donné qu'aucune des entreprises n'a répondu de manière adéquate aux demandes d'accès des plaignants, Noyb a donc présumé qu'il s'agit de la Chine. La législation européenne est claire : les transferts de données en dehors de l'UE ne sont autorisés que si le pays de destination ne porte pas atteinte à la protection des données. Sachant que la Chine est un État de surveillance autoritaire, les entreprises ne peuvent donc pas, de manière réaliste, protéger les données des utilisateurs de l'UE contre l'accès du gouvernement chinois.
Après les problèmes liés à l'accès aux données par le gouvernement américain, l'essor des applications chinoises ouvre un nouveau front pour la législation européenne en matière de protection des données.
Contexte : les transferts de données hors de l'UE ne constituent qu'une exception
En principe, les entreprises ne sont pas autorisées à transférer les données des Européens en dehors de l'UE. Si, pour une raison quelconque, elles doivent néanmoins le faire, elles peuvent se prévaloir d'un certain nombre d'exceptions (« dérogations »). Toutefois, si les entreprises externalisent des données par simple commodité, elles doivent respecter des exigences strictes pour garantir la sécurité des données à caractère personnel.
Dans des pays comme la Chine, les entreprises s'appuient généralement sur des « clauses contractuelles types » (SCC). Il s'agit d'un contrat dans lequel le destinataire chinois s'engage à respecter les protections de l'UE, même en Chine.
Pour que cela soit autorisé, les entreprises doivent procéder à une analyse d'impact afin de vérifier que les données des Européens sont en sécurité dans le pays de destination et que les SCC n'entrent pas en conflit avec les lois nationales qui exigent l'accès aux données.
Puisque la Chine est un État de surveillance autoritaire, il n'existe pas de décision d'adéquation et aucune entreprise ne peut fournir une telle garantie. Les lois chinoises sur la protection des données ne limitent donc en rien l'accès des autorités.
Kleanthi Sardeli, avocate spécialisée dans la protection des données chez Noyb, a déclaré : « Étant donné que la Chine est un État autoritaire qui pratique la surveillance, il est évident qu'elle n'offre pas le même niveau de protection des données que l'UE. Le transfert de données personnelles d'Européens est clairement illégal et doit être interrompu immédiatement. »
Risque élevé d'accès aux données par les autorités
Les rapports de transparence de Xiaomi confirment le risque que les autorités chinoises demandent et obtiennent un accès (illimité) aux données personnelles dans la pratique. Selon ces documents, les autorités demandent l'accès aux données à caractère personnel à très grande échelle, alors qu'au cours de la même période, les autorités de l'UE/EEE n'ont reçu qu'une poignée de demandes.
En outre, Xiaomi se conforme (ou plutôt doit se conformer) presque toujours aux demandes des autorités chinoises. De plus, il est presque impossible pour les utilisateurs étrangers d'exercer leurs droits en vertu de la législation chinoise sur la protection des données.
Le pays ne dispose pas d'une autorité de protection des données dédiée et indépendante, ni d'un autre tribunal pour soulever les questions de surveillance gouvernementale, et la portée et l'application des lois ne sont pas claires.
La demande d'accès des utilisateurs reste sans réponse
Il est important de savoir ce que les entreprises technologiques chinoises font des données personnelles des Européens. Les plaignants ont donc déposé des demandes d'accès en vertu de l'article 15 du RGPD auprès des entreprises susmentionnées pour savoir si leurs données étaient envoyées en Chine ou dans d'autres pays en dehors de l'UE. Malheureusement, aucune des entreprises n'a fourni les informations requises par la loi sur les transferts de données.
Noyb a néanmoins affirmé que, selon leur politique de confidentialité, AliExpress, SHEIN, TikTok et Xiaomi transfèrent des données vers la Chine. Temu et WeChat mentionnent quant à elles des transferts vers des pays tiers. D'après la structure d'entreprise de Temu et de WeChat, il est fort probable que la Chine en fasse partie.
« Les entreprises chinoises n'ont d'autre choix que de se conformer aux demandes d'accès aux données émanant des gouvernements. Cela signifie que les données des utilisateurs européens sont en danger tant qu'elles sont envoyées à l'étranger. Les autorités compétentes doivent agir rapidement pour protéger les droits fondamentaux des personnes concernées », a déclaré Kleanthi Sardeli.
Noyb a déposé des plaintes dans cinq pays
Noyb a déposé 6 plaintes RGPD dans 5 pays européens et a demandé aux autorités de protection des données d'ordonner immédiatement la suspension des transferts de données vers la Chine en vertu de l'article 58 (2)(j), car le pays n'offre pas un niveau essentiellement équivalent de protection des données en vertu des articles 44 et 46 du RGPD.
Noyb a également demandé aux entreprises de mettre leur traitement en conformité avec le RGPD. Enfin, Noyb a demandé aux autorités de protection des données d'imposer une amende administrative afin de prévenir des violations similaires à l'avenir. Cette amende peut atteindre jusqu'à 4 % du chiffre d'affaires global, soit 147 millions d'euros (chiffre d'affaires annuel de 3,68 milliards d'euros) pour AliExpress ou 1,35 milliard d'euros (chiffre d'affaires annuel de 33,84 milliards d'euros) pour Temu.
Ce n'est pas la première fois que des entreprises chinoises sont confrontées à des problèmes de confidentialité des données. En 2023, TikTok a admis que certaines données de ses utilisateurs étaient stockées en Chine.
Dans une lettre adressée à deux sénateurs américains, la société a reconnu que des données spécifiques des créateurs, telles que des contrats et des documents connexes, étaient stockées sur des serveurs chinois. Ces données comprenaient des détails personnels sensibles comme des numéros de sécurité sociale, des informations d'identification fiscale et d'autres détails financiers.
Au-delà de TikTok, un rapport de l'Australian Strategic Policy Institute (ASPI) a révélé que les applications chinoises, les médias sociaux et les jeux en ligne espionnent également les utilisateurs du monde entier pour collecter leurs données personnelles.
Le rapport de l'ASPI affirme que les autorités chinoises collaborent avec des entreprises technologiques telles que DiDi (application de covoiturage), Genshin Impact (jeu d'action) et Temu (marché en ligne) pour collecter des informations sur les utilisateurs.
À propos de Noyb
Noyb - European Center for Digital Rights (stylisé en « noyb », de « none of your business ») est une organisation à but non lucratif basée à Vienne, en Autriche, établie en 2017 avec un objectif paneuropéen. Cofondée par l'avocat autrichien et activiste de la vie privée Max Schrems, Noyb vise à lancer des affaires judiciaires stratégiques et des initiatives médiatiques en faveur du règlement général sur la protection des données (RGPD), de la proposition de règlement sur la vie privée en ligne et de la confidentialité des informations en général. L'organisation a été créée après une période de financement au cours de laquelle elle a recueilli des dons annuels de 250 000 euros de la part des membres qui la soutiennent. Actuellement, Noyb est financée par plus de 4 400 membres bienfaiteurs.
Source : Noyb
Et vous ?
Quel est votre avis sur le sujet ? Trouvez-vous cette initiative de Noyb crédible ou pertinente ?Voir aussi :
Comment les applications mobiles partagent illégalement vos données personnelles, par le NOYB - Centre européen pour les droits numériques Une plainte RGPD a été déposée par NOYB contre X (Twitter), pour avoir illégalement utilisé les opinions politiques et les croyances religieuses de ses utilisateurs à des fins de publicité ciblée NOYB dépose une plainte RGPD contre Meta Facebook à propos de "Pay or Okay", la protection des données pourrait bientôt coûter 35 000 € par famille si tout le monde en fait autant 
Envoyé par Aiekick
