Citation
Les auteurs
Marc Bidan
(marc.bidan@univ-nantes.fr) - Université de NantesOmar BENCHAREF
- Cadi Ayyad UniversitySaad ELATTAR
- (Pas d'affiliation)
Copyright
Déclaration d'intérêts
Financements
Aperçu
La loi adoptée récemment par l'Assemblé Nationale Populaire de Chine s'apparente peu ou prou à un RGPD appliqué au cas chinois. Elle s'appliquera à compter du 1 novembre prochain et concernera les données personnelles d'un peu plus d'un milliard d'internautes. Certes, l'état central en sera exempté mais les organisations étatiques sont bien concernées par ces nouveaux dispositifs. Elle était attendue depuis que quatre ministères de l'Empire du Milieu avaient annoncé, le 12 mars dernier, une série de mesures sur la collecte, le traitement et le stockage des données visant à mettre fin à un laxisme devenu inquiétant et contre-productif. Cette loi fut annoncée il y a quelques jours, au cœur de l'été fin août, par l’agence d’État Xinhua et est dénommée Personal Information Protection Law (PIPL).
Contenu
De quoi s’agit il ?
Cette loi vise tout simplement à mettre fin à un laxisme qui était encouragé par un cadre réglementaire qui restait très peu contraignant sur les activités numériques. Certes, ce faible niveau d’encadrement explique – a contrario – une partie de la réussite et des performances des géants chinois de la Tech à l’image des Didi, Tencent, Alibaba, Baidu, Xiaomi, etc. Néanmoins, ces libertés opérationnelles données aux entreprises sont à l’origine de pratiques tout à fait déplorables en termes de protection des données personnelles comme la fuite – ou la revente – de données personnelles captées sans le consentement des internautes ou comme les discriminations algorithmiques qui différencient les réponses, les conseils ou les prix en fonction du profil de l’internaute. A titre d’illustration, des données biométriques issues de la reconnaissance faciale (mobilité, e-paiement, logement, etc.) sont largement disponibles suite à des fuites massives ou à des collectes illégales sachant que par exemple les données de reconnaissance faciale peuvent être revendues pour 0,05€ sur le marché noir. Toujours à titre d’illustration, les profils détaillés d’environ 202 millions de citoyens fréquentant un site de demandeurs d’emplois furent accessibles durant trois années et demeurent tout à fait disponibles sur le marché noir. Enfin, le réseau social Weibo est à l’origine de la fuite puis de la vente sur le marché noir des données personnelles d’environ 538 millions d’utilisateurs. Nous évoquerons enfin dans la logique de ces pratiques déviantes la revente de compte professionnels ou celle de bases de données ce qui peut expliquer la bonne santé du marché noir numérique. Pour reprendre la main et regagner en crédibilité, le gouvernement chinois avait donc tout intérêt à clarifier les règles du jeu concernant la protection des données personnelles des citoyens.
Qu’est ce qui va changer ?
D’une part cette loi va créer une nouvelle donne dans la gestion des données personnelles par les entreprises intervenant sur le territoire chinois. Le document mis en ligne aborde les processus qui régiront la collecte et le traitement des données et il instaure des règles sur les méga données. L’idée centrale est donc d’aller vers un peu moins de discrimination algorithmique et un peu plus de demande de consentement préalable. L’idée sous-jacente est aussi celle de la frugalité des collectes, c’est à dire que ne seraient collecter que des données qui serviraient effectivement à ‘faire tourner » l’application ainsi il ne serait pas nécessaire de renseigner sa plaque d’immatriculation pour jouer au basket ball en ligne ! Cet aspect est tout à fait intéressant et novateur car il induit clairement une certaine logique de sobriété numérique. L’agence Reuters est à ce propos très explicite « The law states that handling of personal information must have clear and reasonable purpose and shall be limited to the « minimum scope necessary to achieve the goals of handling » data. « De plus, à l’image du Délégué à la Protection des Données initié par le RGPD européen, les entreprises devront désigner une personne qui sera responsable du traitement des données et tester via des audits la robustesse et la confidentialité de leurs systèmes d’information.
Corolairement, l’adoption de cette loi continue de montrer la volonté du pouvoir central de reprendre la main sur la gouvernance, sur les modèles d’affaires et même sur les performances des géants du secteur à commencer par Alibaba, Didi Chuxing ou Tencent. En mars, c’était Alibaba qui était visé, car trop imposant, et il lui était demandé de céder ses actifs dans les média. En juillet, cet objectif de protection des données des utilisateurs a été avancé à la fois pour expliquer le retrait de l’application du loueur de véhicules avec chauffeurs Didi Chuxing – suite à une demande de l’Administration chinoise du cyberespace (CAC) – et l’abandon du projet de fusion de sites de jeux vidéo par l’opérateur Tencent.
D’autre part, pour les entreprises étrangères exploitant des données de citoyens chinois, cette loi crée une barrière à l’entrée non tarifaire redoutable. En effet, elle va contrarier les entreprises qui voudraient importer des données chinoises car ces données devront également être protégées par un dispositif juridique local « au moins similaire ». Malgré l’entrée en vigueur de la California Consumer Privacy Act (CCPA) depuis le 1er janvier 2020, cette loi PIPL constitue clairement une mauvaise nouvelle pour les GAFAM. Ses exigences nouvelles vont fragiliser les positions dominantes des géants américains qui ne disposent pas – ou peu – d’outils liés à la protection des données personnelles. Ceci s’explique aisément dès lors que les données et métadonnées constituent le carburant principal des business model des GAFAM – la gratuité d’usage contre l’exploitation des données – et il ne sera guère aisé de s’adapter au consentement et à la non profilation. Cette loi constitue, dans le même temps, un renforcement de la position commerciale de la tech européenne – même si son poids n’est pas comparable à la tech américaine – car elle dispose du « bouclier » RGPD et de ses mesures de protections appliquées depuis 2018.
Et après ?
Attendons désormais le texte définitif pour en savoir plus sur cette loi de protection des données qui – même si elle était attendue et annoncée depuis quelques mois – n’en reste pas moins tout à fait significative. Elle est même stratégique pour les années à venir tant le poids de la Chine, de ses géants et de son milliard d’internautes est devenu massif dans le numérique mondial