La pression sur les géants chinois du numérique s'accentue. Vendredi 20 août, Pékin a adopté une grande loi cadre sur l'utilisation des données personnelles. Inspirée par le RGPD européen, qui est la réglementation la plus sévère au monde en la matière, le texte chinois poursuit le même but : empêcher les collectes abusives de données personnelles en ligne. Visés depuis des mois par un tour de vis réglementaire de grande ampleur, les géants du numérique chinois -notamment Tencent et Alibaba, dont le modèle économique repose en partie sur l'exploitation des données personnelles- prennent donc un nouveau coup sur la tête.
Les entreprises privées sous pression, mais l'État a le champ libre pour continuer sa surveillance de la population
Jusqu'à présent, la Chine était réputée très permissive sur l'exploitation des données personnelles, ce qui compliquait d'ailleurs la tâche des entreprises chinoises à l'export. Mais cette loi, votée par le comité permanent du Parlement chinois et qui entrera en vigueur le 1er novembre, place de facto l'ex-Empire du Milieu parmi les pays les plus stricts au monde en la matière.
"Ce nouveau système chinois en matière de vie privée est l'un des plus stricts au monde. Avec ce texte, la Chine ne regarde pas à court terme, mais cherche à établir les bases de l'économie numérique pour les quarante à cinquante prochaines années", a expliqué à l'AFP l'analyste Kendra Schaefer, spécialiste des nouvelles technologies au cabinet Trivium China.
Comme pour le RGPD, les entreprises devront réduire leur collecte d'informations personnelles au strict nécessaire, justifier chaque collecte de données -c'est le principe de finalité- et obtenir le consentement préalable des internautes. La loi entend aussi lutter contre la "discrimination algorithmique", une pratique courante chez les entreprises de vente en ligne qui proposent, pour un même service, des prix différents aux utilisateurs en fonction de leur historique d'achats. Didi, le Uber chinois, et Alibaba, le Amazon chinois, sont particulièrement dans le viseur de cette mesure.
Parmi les autres dispositions, le texte indique que les données personnelles des citoyens chinois ne pourront pas être transférées vers des pays ayant des normes inférieures à la Chine dans le domaine. Ce que prévoit aussi l'UE, qui a invalidé l'an dernier le Privacy Shield, qui régissait les transferts transatlantiques de données vers les États-Unis, qui ont un niveau de protection des données inférieur. Cette mesure du RGPD chinois pourrait donc créer un imbroglio géopolitique, notamment avec les États-Unis.
En cas de non-respect des nouvelles règles, les sociétés s'exposent à des amendes pouvant atteindre 50 millions de yuans (6,6 millions d'euros) ou même 5% de leur chiffre d'affaires annuel, là où le RGPD prévoit de prendre jusqu'à 4% du chiffre d'affaires annuel mondial. Pour les infractions les plus graves, la loi chinoise va plus loin que le RGPD en autorisant les autorités à priver les entreprises de leur licence commerciale, voire les contraindre à fermer définitivement.
La surveillance de la population réservée à l'État
Le texte arrive en réaction à la recrudescence ces dernières années des escroqueries sur internet, mais surtout à l'inquiétude croissante des consommateurs face aux fuites de données. La loi estime également que les informations sensibles comme l'appartenance ethnique, la religion ou la localisation d'une personne peuvent conduire à des "discriminations" et "menacer la sécurité" des individus.
Mais, si les similitudes entre le RGPD et cette loi chinoise sont frappantes, et que ces textes entendent tous deux lutter, grâce à l'encadrement des pratiques commerciales autour des données, contre les abus des entreprises privées en la matière, ils sont toutefois très différents dans l'esprit.
L'État continuera sa surveillance de masse sans rendre de comptes
La différence notable entre le RGPD et son équivalent chinois est que ce dernier s'applique uniquement aux entreprises privées. Pour la Chine, il s'agit surtout de pouvoir contrôler ses géants du numérique.
Ainsi, l'État n'est pas concerné par ces mesures. Il pourra continuer à recueillir une grande quantité de données, notamment pour traquer toute dissidence politique et appliquer sa politique sécuritaire sur son immense territoire, sans devoir rendre de comptes. Concrètement, cette loi ne va rien changer aux pratiques de surveillance de masse comme la généralisation de caméras de surveillance équipées de logiciels de reconnaissance faciale dans les villes, par exemple.
(avec agences)
Sujets les + commentés