Plusieurs plaintes ont été déposées par l’association None of Your Business (Noyb) contre des applications chinoises, telles que TikTok, Shein ou Temu, accusées de transférer illégalement des données personnelles d’utilisateurs européens vers la Chine. Ces pratiques, jugées contraires au Règlement général sur la protection des données (RGPD), soulèvent des questions en matière de concurrence entre entreprises européennes et étrangères opérant sur le marché européen.
Transferts de données personnelles : Les applications chinoises dans le collimateur des régulations européennes
Le traitement et le transfert de données personnelles de citoyens européens vers des pays tiers, notamment la Chine, suscitent une attention croissante dans l’Union européenne. À la suite de six plaintes déposées dans cinq pays européens (Grèce, Italie, Belgique, Pays-Bas et Autriche), des applications chinoises populaires, telles que TikTok, Shein, Temu, Xiaomi, AliExpress et WeChat, sont accusées de pratiques non conformes au Règlement général sur la protection des données (RGPD).
Ces plaintes, portées par l’ONG autrichienne Noyb ("None of Your Business"), mettent en avant des transferts de données jugés illégaux au regard des standards européens, notamment en raison des risques d’accès non autorisés par les autorités chinoises.
Le cadre juridique européen et les obligations des entreprises
Le RGPD, entré en vigueur en mai 2018, établit un cadre juridique strict pour les transferts de données personnelles hors de l’Union européenne. Selon ce règlement (articles 44 et suivants), de tels transferts ne sont autorisés que si le pays de destination garantit un niveau de protection équivalent à celui prévu dans l’Union. Si ce niveau de protection ne peut être assuré, des mécanismes complémentaires, comme des clauses contractuelles types (CCT) ou des règles d’entreprise contraignantes (BCR), doivent être mis en place pour sécuriser les données.
Cependant, lorsqu’un pays tiers, tel que la Chine, ne dispose pas d’une "décision d’adéquation" de la Commission européenne, les entreprises doivent démontrer que les droits fondamentaux des utilisateurs sont protégés malgré les lois locales qui pourraient en limiter l’application. Dans le cas de la Chine, les obligations légales pour les entreprises de coopérer avec les autorités publiques, y compris pour fournir un accès aux données, rendent cette garantie particulièrement difficile.
Les accusations portées contre les entreprises chinoises
Les plaintes déposées par Noyb concernent des transferts de données effectués sans les garanties nécessaires imposées par le RGPD. Parmi les entreprises visées, TikTok, Xiaomi, AliExpress et Shein reconnaissent explicitement, dans leurs politiques de confidentialité, transférer des données personnelles en Chine. D’autres, comme Temu et WeChat, mentionnent des transferts vers des "pays tiers" sans préciser lesquels, laissant entendre, au vu de leur structure et de leurs activités, que la Chine pourrait être l’une des destinations.
Ces pratiques sont jugées préoccupantes en raison des risques élevés associés à l’accès aux données par les autorités chinoises. Par exemple, des rapports de transparence de Xiaomi confirment que l’entreprise répond régulièrement aux demandes des autorités chinoises, y compris pour des accès à grande échelle. De plus, les lois chinoises ne prévoient pas de recours effectif pour les utilisateurs étrangers ni d’autorité indépendante dédiée à la protection des données.
Le rôle de Noyb et la portée des plaintes
Noyb, une ONG spécialisée dans la protection des données, est dirigée par Max Schrems, célèbre pour ses actions contre des géants technologiques comme Facebook et Google. L’organisation représente des particuliers dont les demandes d’accès à leurs données, déposées en vertu de l’article 15 du RGPD, sont restées sans réponse ou ont reçu des réponses jugées insuffisantes. Ces demandes visaient à déterminer si leurs données personnelles avaient été transférées hors de l’UE et sous quelles conditions.
Les plaintes, déposées en Grèce (contre TikTok et Xiaomi), en Italie (contre Shein), en Belgique (contre AliExpress), aux Pays-Bas (contre WeChat) et en Autriche (contre Temu), appellent les autorités de protection des données à prendre des mesures correctives immédiates. Ces mesures incluraient l’interdiction des transferts concernés, la mise en conformité des entreprises avec le RGPD et l’imposition de sanctions financières dissuasives.
Inscrivez-vous à la newsletter Livv
et recevez chaque semaine des informations exclusives en droit des affaires. En savoir plus
Les sanctions envisagées
En cas de non-conformité avec le RGPD, les autorités européennes de protection des données peuvent infliger des amendes allant jusqu’à 4 % du chiffre d’affaires mondial des entreprises. Pour Temu, par exemple, cette sanction pourrait s’élever à 1,35 milliard d’euros, tandis qu’AliExpress pourrait être sanctionné à hauteur de 147 millions d’euros. Ces montants illustrent l’importance économique des enjeux liés à la conformité réglementaire pour les entreprises opérant sur le marché européen.
Les implications pour la protection des données en Europe
Cette série de plaintes reflète un nouveau défi pour l’Union européenne dans sa lutte pour la protection des données personnelles. Après avoir concentré son attention sur les pratiques des entreprises américaines, notamment à travers des affaires marquantes contre Meta et Google, les régulateurs européens doivent désormais répondre aux problématiques posées par des entreprises basées dans des juridictions où les cadres législatifs diffèrent largement de ceux de l’UE.
L’essor rapide des applications chinoises et leur adoption massive par les consommateurs européens soulignent la nécessité d’un contrôle renforcé. A ce sujet, les régulateurs européens s’interrogent déjà sur le fonctionnement et le respect de la vie privée des utilisateurs de l’IA DeepSeek qui fait la une de l’actualité en ce moment.
La CNIL a notamment indiqué être en train “d’analyser” le traitement des données de l’application. Elle ajoute que :
«Afin de mieux comprendre le fonctionnement de ce système d’IA et les risques en termes de protection des données, la Cnil interrogera la société qui propose le chatbot DeepSeek»
Pour Noyb, ces actions visent à établir un précédent juridique, en rappelant aux entreprises étrangères leurs obligations légales lorsqu’elles opèrent sur le territoire européen.
A retenir:
- Six plaintes ont été déposées contre des applications chinoises (TikTok, Shein, Temu, Xiaomi, AliExpress et WeChat) pour transferts illégaux de données personnelles d’utilisateurs européens vers la Chine, en contradiction avec le RGPD.
- Ces transferts non conformes donnent un avantage compétitif aux entreprises chinoises par rapport à leurs concurrents européens, qui doivent respecter des normes strictes de protection des données.
- Les sanctions financières prévues par le RGPD peuvent atteindre jusqu'à 4 % du chiffre d'affaires mondial des entreprises.
- Les obligations de transparence et de respect des règles européennes créent une asymétrie entre les entreprises européennes soumises au RGPD et celles opérant depuis des pays tiers, comme la Chine, où les lois favorisent un accès étendu des autorités aux données.
- Après avoir ciblé des géants américains, les régulateurs européens doivent traiter l’impact des pratiques des entreprises chinoises sur la concurrence, dans un contexte où l’essor rapide de ces applications crée un déséquilibre sur le marché numérique européen.
