Aujourd’hui, les géants numériques chinois comme TikTok, AliExpress et Shein suscitent un vif débat en Europe. Ces plateformes, largement plébiscitées pour leurs fonctionnalités innovantes ou leurs produits abordables, sont néanmoins au cœur de polémiques liées à la protection des données personnelles.
L’organisation européenne noyb (None of Your Business) s’est particulièrement emparée de cette question en dénonçant le transfert des données d’utilisateurs européens vers la Chine – un pays perçu comme « autoritaire » au regard de ses lois sur la sécurité nationale et ses politiques de surveillance de masse. Face à cette situation, on constate une préoccupation croissante des citoyens, des associations de défense des droits numériques et des régulateurs. Quels sont donc les risques encourus ? Comment l’Union européenne entend-elle protéger ses résidents ? Quelles évolutions pourraient survenir dans les années à venir ?
Contexte : la prise de conscience progressive de l’importance des données
Depuis l’avènement du numérique et des plateformes en ligne, les données personnelles constituent le « nouveau pétrole » de l’économie mondiale. Elles alimentent des algorithmes de recommandation, guident les campagnes de marketing et façonnent, dans une certaine mesure, nos comportements d’achat et de navigation. Plus ces plateformes engrangent des données, plus elles affinent leurs outils d’analyse et renforcent leur position dominante.
C’est dans ce contexte que l’Union européenne a adopté le Règlement général sur la protection des données (RGPD) en 2016, entré en application en mai 2018. Ce texte ambitieux vise à garantir la protection des droits et libertés fondamentales des personnes au regard du traitement de leurs données. Mais la portée du RGPD ne se limite pas aux frontières européennes : toute entreprise qui traite des données de résidents de l’UE, même située hors de l’Union, est théoriquement soumise à cette réglementation.
Or, la question des transferts internationaux de données s’est très vite invitée au cœur des débats. Lorsque des entreprises comme TikTok (propriété de ByteDance), AliExpress (filiale du groupe Alibaba) ou Shein (lancée par la société Nanjing Lingtian Information Technology Co., Ltd) collectent les informations de millions d’utilisateurs en Europe, se pose la question suivante : qu’advient-il de ces données et où sont-elles envoyées ? Selon noyb et divers observateurs, une partie de ces données serait transférée en Chine, ou du moins rendue accessible à des entités situées sur le territoire chinois.
Les acteurs : TikTok, AliExpress, Shein et consorts
TikTok est l’application phare du moment, particulièrement populaire auprès d’un public jeune. Elle repose sur un algorithme de recommandation ultra-personnalisé, nourri par des quantités astronomiques de données comportementales (temps de visionnage, likes, commentaires, partages, etc.). Si la société Bytedance a déployé des centres de données en Europe (par exemple en Irlande et en Norvège) et clame régulièrement son indépendance vis-à-vis du gouvernement chinois, des doutes subsistent quant à la capacité réelle de TikTok à protéger intégralement les données de ses utilisateurs. Le gouvernement chinois peut, en théorie, obliger les entreprises basées dans le pays à fournir certaines informations jugées nécessaires pour la « sécurité nationale ».
AliExpress est un géant du commerce en ligne, vitrine internationale du groupe Alibaba. Son succès repose sur des prix très attractifs et une offre pléthorique de produits. Le modèle économique d’AliExpress l’amène à collecter d’importantes quantités de données, notamment pour cibler la publicité, lutter contre la fraude ou simplifier l’expérience client. En revanche, le traitement de ces données et leurs possibles transferts hors UE soulèvent des inquiétudes, d’autant plus que la Chine ne dispose pas d’un cadre juridique équivalent au RGPD.
L’enseigne Shein s’est imposée dans le secteur de la fast fashion en ligne, avec une popularité grandissante auprès des adolescents et des jeunes adultes, attirés par des catalogues renouvelés en permanence à des prix très bas. Ce modèle repose aussi sur une collecte massive d’informations permettant d’identifier rapidement les tendances et d’adapter l’offre en temps réel. Là encore, l’entreprise d’origine chinoise est pointée du doigt pour la supposée exportation des données d’utilisateurs européens vers la Chine, sans garanties solides sur les mesures de protection déployées.
Les risques encourus ? la surveillance et l’usage détourné des données
Lorsque les données personnelles de résidents européens sont transférées dans des pays où la législation sur la protection de la vie privée est moins stricte, plusieurs risques majeurs apparaissent :
Accès potentiel des autorités chinoises : La Chine dispose de lois comme la « Loi sur la sécurité nationale » ou la « Loi sur le renseignement », qui donnent à l’état un pouvoir large pour exiger l’accès à des informations détenues par des entités privées, sans transparence ni contrôle judiciaire indépendant. Cela signifie que, dans le pire des cas, des données européennes pourraient être communiquées aux autorités chinoises.
Perte de contrôle sur les données : Une fois que les données sortent du territoire européen et échappent au champ d’application direct du RGPD, il devient difficile de vérifier si les mesures de sécurité et de confidentialité sont correctement appliquées. Les utilisateurs ignorent souvent où, comment et par qui leurs informations sont réellement traitées.
Atteinte aux droits fondamentaux : Le droit à la vie privée et à la protection des données est un droit fondamental en Europe. Le non-respect de ce droit peut ouvrir la voie à des abus ou à des discriminations, surtout si des gouvernements étrangers ont la capacité de recouper ces informations avec d’autres bases de données.
Exploitation commerciale : Au-delà des questions de surveillance étatique, les données peuvent aussi être utilisées à des fins purement commerciales (profilage publicitaire, fixation de prix dynamiques, etc.), sans que l’utilisateur en ait conscience.
Le cadre juridique, ou comment l’Europe tente de se protéger
Pour protéger les données de ses résidents, l’UE exige que tout transfert de données vers un pays tiers réponde à des critères garantissant un niveau de protection « essentiellement équivalent » à celui offert au sein de l’Union. Différents mécanismes sont prévus :
Décisions d’adéquation : la Commission européenne peut reconnaître qu’un pays tiers offre un niveau de protection suffisant (c’est le cas, par exemple, du Japon ou du Canada, sous certaines conditions). La Chine ne bénéficie pas d’une telle décision d’adéquation.
Clauses contractuelles types (CCT) : en l’absence de décision d’adéquation, les entreprises peuvent recourir à ces contrats standardisés rédigés par la Commission. Elles doivent y inclure des garanties supplémentaires pour que la protection reste conforme au RGPD. Dans le cas de la Chine, où les autorités peuvent exiger l’accès aux données, l’efficacité de ces clauses est toutefois remise en question.
Règles d’entreprise contraignantes (BCR) : un mécanisme interne aux groupes multinationaux, validé par les autorités de protection des données, garantissant un certain niveau de protection. Il est toutefois rare de voir de telles règles intégralement respectées dans des groupes chinois, ou tout du moins validées en Europe.
Suite à l’arrêt « Schrems II » de la Cour de justice de l’UE en 2020, l’attention s’est davantage portée sur les transferts hors UE. Cet arrêt concernait initialement le cadre juridique entre l’UE et les états-Unis (le « Privacy Shield »), mais ses implications valent pour tout pays tiers : il impose aux entreprises d’évaluer le niveau de protection offert localement et, si nécessaire, de mettre en place des mesures supplémentaires (chiffrement, pseudonymisation, etc.). Concernant la Chine, les inquiétudes sur la surveillance étatique rendent cette tâche extrêmement complexe.
Les conséquences pour les citoyens européens et les entreprises
Pour le citoyen européen moyen, ces transferts de données peuvent paraître abstraits : après tout, si aucune conséquence concrète ne se manifeste immédiatement (comme une usurpation d’identité ou une utilisation frauduleuse de sa carte bancaire), on peut facilement négliger la question. Pourtant, la divulgation potentielle de ses habitudes de consommation, de ses préférences politiques, de son orientation sexuelle ou de sa localisation géographique à des autorités étrangères soulève de réels enjeux de libertés individuelles.
Du côté des entreprises chinoises, l’UE représente un marché gigantesque ; elles ne peuvent donc pas se permettre d’ignorer ses règles. Cependant, satisfaire aux exigences du RGPD peut impliquer des investissements considérables : mise en place de serveurs localisés en Europe, chiffrement des données end-to-end, contrôle strict des accès, audits réguliers, formation du personnel, etc. Dans certains cas, le modèle économique même de ces entreprises, basé sur la collecte et l’analyse intensive de données, risque d’être fragilisé si les limitations européennes se font plus strictes.
Quelles perspectives d’avenir ?
Plusieurs pistes se dessinent quant à l’avenir de la protection des données européennes face aux transferts vers la Chine :
Renforcement des contrôles et des sanctions : La Commission européenne et les autorités nationales de protection des données pourraient intensifier leurs contrôles et imposer des amendes plus lourdes aux entreprises qui ne respectent pas les règles du RGPD, afin d’envoyer un message clair sur la nécessité de protéger efficacement les informations des résidents.
Nouvelles lois européennes : L’UE discute régulièrement de projets de règlements additionnels ou de révisions législatives pour prendre en compte l’évolution rapide des technologies. On peut imaginer un cadre encore plus strict pour les transferts vers des pays à haut risque en matière de surveillance étatique, obligeant par exemple à des mesures de chiffrement avancées et à des audits externes approfondis.
Pression diplomatique : Au-delà des outils purement juridiques, l’UE pourrait faire pression diplomatiquement sur la Chine pour qu’elle négocie un accord garantissant un meilleur niveau de protection des données. Toutefois, la Chine ayant ses propres considérations de souveraineté et de sécurité nationale, il est difficile de prévoir un tel accord à court terme.
Sensibilisation et adoption de services alternatifs : Face aux craintes entourant TikTok, AliExpress ou Shein, on pourrait observer une montée en puissance d’applications et de boutiques en ligne européennes ou nord-américaines, qui mettent en avant le respect de la vie privée. Toutefois, la compétitivité prix et l’innovation technologique de certains acteurs chinois restent des arguments de poids pour les consommateurs.
Obligation de localiser les données : Certains régulateurs envisagent d’imposer la localisation des données sur le sol européen, interdisant purement et simplement tout transfert des informations sensibles. Une telle mesure peut s’avérer radicale, mais répondrait aux problématiques liées à l’accès arbitraire par des gouvernements étrangers.
Vers une prise de conscience et une régulation accrues
La question de la protection des données personnelles vis-à-vis des entreprises chinoises – TikTok, AliExpress, Shein, etc. – s’inscrit dans un contexte plus large de redéfinition de la souveraineté numérique européenne. D’un côté, l’UE entend garantir la confidentialité et la sécurité des informations de ses résidents, selon les principes du RGPD. De l’autre, les entreprises chinoises, soutenues parfois par leur gouvernement, cherchent à maintenir leur expansion internationale et à capitaliser sur la manne économique que représente le marché européen.
Les risques soulevés – accès potentiellement illimité aux données par les autorités chinoises, usage détourné ou non autorisé, impossibilité de vérifier le respect effectif des règles – soulignent la fragilité d’un système mondialisé où la donnée circule à une vitesse fulgurante. La réglementation européenne tente d’endiguer cette déferlante en imposant des mécanismes de transfert exigeants, mais l’efficacité pratique de ces garde-fous peut être contournée si le pays de destination n’offre aucune garantie équivalente.
Pour l’utilisateur, le défi est d’abord de prendre conscience de la valeur de ses données et des risques encourus. Téléverser son identité numérique sur une application ou un site de commerce en ligne n’est pas anodin. Les associations jouent un rôle capital d’alerte et de pédagogie, rappelant que la protection de la vie privée n’est pas négociable. Parallèlement, la balle est dans le camp des autorités de contrôle et de la Commission européenne, qui devront faire preuve d’ambition pour contraindre les géants du numérique au respect strict du RGPD.
À long terme, on peut espérer que cette vigilance accrue envers les transferts de données – qu’ils soient dirigés vers la Chine, les états-Unis ou tout autre pays – participera à la consolidation de la « souveraineté numérique » de l’UE. Reste à savoir si les consommateurs européens, parfois motivés avant tout par le prix et la facilité d’utilisation, accepteront de privilégier des plateformes plus transparentes mais potentiellement plus coûteuses ou moins fournies. Au-delà du cadre légal, se joue donc aussi une bataille culturelle et économique, dans laquelle la protection des données doit devenir un critère de choix tout aussi important que la qualité du service ou le prix des biens proposés.
En somme, l’affaire TikTok – AliExpress – Shein illustre une tendance de fond : la mondialisation des échanges numériques confronte directement les législations protectrices comme le RGPD à la réalité d’états dont les lois sont bien différentes. Il s’agit là d’un enjeu de société majeur, qui ne se résoudra pas seulement par des ajustements réglementaires, mais nécessitera une véritable volonté politique, une coopération internationale et une évolution des pratiques de consommation. L’Union européenne a clairement démontré son ambition de protéger ses citoyens, mais l’ampleur du défi – techniquement et diplomatiquement – reste considérable. Les prochains mois et années verront sans doute de nouvelles décisions judiciaires, des enquêtes approfondies et, espérons-le, un éveil plus large des citoyens sur la valeur de leurs données personnelles.
Source : NOYB, TikTok, AliExpress, SHEIN & Co livrent les données des Européens à la Chine autoritaire
