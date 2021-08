La Chine a dégainé au fil de l’été une batterie de nouvelles règlementations pour encadrer les géants de la tech et gérer les données personnelles des utilisateurs. Les sanctions pleuvent pour les contrevenants.

Ce 1er septembre, la tech chinoise entrera dans une nouvelle ère: toutes les données relatives aux utilisateurs devront être classées en plusieurs catégories et traitées par des entreprises extérieures. Parmi les principales catégories figurent les "données nationales essentielles" et celles qualifiées "d’importantes" qui seront sous-traitées par des entreprises proches de l’État.

"C’est un acte de souveraineté", explique Grégory Louvel, avocat et associé gérant du cabinet Leaf à Pékin. "La Chine a pris conscience du caractère clef des données pour le pays et visiblement elle a décidé d’évincer les acteurs privés et de nationaliser le traitement des données."

D’autres mesures ont été annoncées comme celle visant à encadrer plus strictement le recours aux algorithmes par les géants du numérique. Interdiction, par exemple, de recourir au "profilage algorithmique" qui consiste à adapter les prix d’un bien ou d’un service en fonction de l’historique d’achat du client.

"La Chine a décidé d’évincer les acteurs privés et de nationaliser le traitement des données." Grégory Louvel Avocat et associé gérant du cabinet Leaf à Pékin

Plus largement, ces nouvelles réglementations s’inscrivent dans le cadre de la loi chinoise sur la protection des informations personnelles (PIPL), s’inspirant du Règlement général sur la protection des données (RGPD) de l'Union européenne en termes de protection des données privées. Mais elle va encore plus loin en obligeant les entreprises à les conserver à l'intérieur des frontières.

Une seule erreur et la sanction tombe: les amendes peuvent atteindre 5% du chiffre d’affaires annuel, des peines au pénal et l’annulation des licences en cas de récidives.

Audits

"Chaque jour il y a une nouvelle loi", explique un entrepreneur européen installé à Shanghai. "C’est très compliqué pour nous de nous projeter, on a l’impression de naviguer à vue." Beaucoup d’entreprises ont ainsi lancé des audits pour catégoriser leurs données, elles concernent aussi bien les informations relatives aux clients, qu’aux employés et les données propres à l’entreprise.

"C’est une vraie problématique pour les entreprises étrangères qui vont devoir héberger leurs données personnelles en Chine et faire attention de ne pas être pris dans les phares du gouvernement", explique Grégory Louvel.

En Chine, les GAFA ne sont pas présents: Facebook, Twitter et Google sont bloqués par la Grande Muraille électronique qui censure la plupart des sites étrangers, il ne reste qu’Apple qui doit être irréprochable en matière de traitement des données. L’entreprise américaine a d’ailleurs consenti pour la première fois à les héberger dans un "data center" gigantesque construit dans la province centrale du Guizhou. Investissement total: 1 milliard de dollars, le prix de son accès au marché chinois stratégique pour l’avenir d’Apple.

Comme l’exigent les nouvelles lois locales, toutes les photos, documents et messages des utilisateurs y sont stockés et gérés par un partenaire local le "Guizhou-Cloud Big Data Industry Co. Ltd", une entreprise qui appartient au gouvernement provincial.

"L’État chinois protège les citoyens des entreprises et nationalise les données collectées par celles-ci." Grégory Louvel

"Si l’on devait résumer, l’État chinois protège les citoyens des entreprises et nationalise les données collectées par celles-ci", conclut Grégory Louvel. "Le problème est que nous sommes souvent dans le flou, le gouvernement chinois avance de manière empirique, rien n’est jamais noir ou blanc en Chine, il y a une infinité de nuances de gris et il faut en permanence dialoguer avec le gouvernement pour avancer."

Attaques du gouvernement chinois

Les géants chinois du secteur ont tous plié face aux attaques du gouvernement: premier visé cet été, Didi, la plateforme de VTC numéro un en Chine, sur lequel le puissant régulateur chinois du cyberespace a commencé à enquêter deux jours seulement après les débuts de sa cotation à New York. Désormais aucune information client ne pourra être divulguée lors d’une introduction en bourse à l’étranger.

D’autres géants de la tech ont senti le vent tourner: Douyin, la maison mère de TikTok pour la gestion de ses algorithmes, Alibaba la plateforme de vente en ligne pour abus de position dominante qui a dû payer une amende record de 2,3 milliards d’euros ou encore Tencent dans les jeux vidéo pour non-respect des réglementations concernant les mineurs et dans la musique en ligne pour violation des règles antitrust.

L'administration chinoise du cyberespace enquête également sur la plateforme de recrutement en ligne Boss Zhipin, qui appartient à Kanzhun et sur deux plateformes de fret commercial gérées par Full Truck Alliance en invoquant des risques pour la sécurité des données au niveau national.

Pékin a par ailleurs étendu cette "campagne de rectification" à d'autres secteurs dont les très lucratifs cours de soutien privés pour les élèves ou la livraison de repas. Plus personne n’échappe désormais à la vigilance de l’État.

Lire aussi La Chine s’attaque aux cours privés pour relancer la natalité

Si l’État reprend la main, c’est aussi parce que ses géants technologiques qui emploient des millions de personnes et couvrent l’équivalent d’un milliard d’internautes en Chine étaient devenus un peu trop puissants.

"De nombreux exemples de réussite commerciale en Chine ont en fait été structurés sur la base de graves violations de la vie privée et des droits relatifs aux données personnelles des utilisateurs", explique Michael Tan, associé du cabinet d'avocats Taylor Wessing à Shanghai. Des entreprises comme Didi ont plus d’un demi-milliard d’utilisateurs et opèrent dans 400 villes en Chine. En juin dernier, l’entreprise comptait lever à Wall Street plus de 10 milliards de dollars, mais l’État a sonné la fin de la récréation.

Cadre juridique

"L'une des principales dispositions de la loi chinoise, à l'instar du RGPD, consiste à donner aux individus le pouvoir de décider s'ils souhaitent ou non transmettre leurs informations personnelles aux entreprises de traitement des données. Les données d'informations personnelles doivent être collectées et traitées selon un protocole transparent et rigide", détaille l’avocat.

Mais cette pression de la Chine en faveur de la confidentialité des données s’inscrit aussi dans sa volonté de dominer le secteur des nouvelles technologies, pilier de son programme "China 2025".

Cet effort national vise à créer un cadre juridique cohérent pour aider Pékin à alimenter son économie numérique, mais aussi à préserver sa sécurité nationale.

"Si la souveraineté numérique européenne vise plutôt à promouvoir des technologies qui reflètent les valeurs et les principes européens, la souveraineté du cyberespace chinois comporte comme élément primordial la sécurité nationale", explique Xiaomeng Lu, du cabinet de conseil Eurasia Group.

Lire aussi Sans indépendance, pas de protection de nos données

La nouvelle règlementation comprend également des clauses qui permettent à la Chine d'adopter des contre-mesures à l'encontre des pays dont elle estime qu'ils ont agi de manière discriminatoire à son égard ou qu'ils ont porté atteinte aux droits et aux intérêts des citoyens chinois ainsi qu'à la sécurité nationale.

"L'application extraterritoriale de la loi est censée répondre au type d'interdiction d'applications utilisé par les États-Unis l'année dernière pour cibler TikTok et WeChat", assure Xiaomeng Lu. "Il peut activer cette clause au cas où Washington prendrait de nouvelles mesures contre des entités chinoises, faisant de cet arsenal juridique une arme dans la guerre commerciale sino-américaine."

Les données personnelles, un enjeu international Partout dans le monde, les gouvernements s'interrogent sur la manière d'encadrer les grandes entreprises technologiques, car les données deviennent une ressource économique de plus en plus importante. L'Union européenne a poursuivi sa propre vision de la souveraineté numérique en essayant de créer un marché unique des données au sein du bloc. Dans une affaire récente, le chien de garde des données du Luxembourg a imposé le mois dernier une amende record de 887 millions de dollars au géant américain du commerce électronique Amazon pour des violations présumées du RGPD. De nombreux gouvernements asiatiques sont également en train d'écrire ou de réécrire des lois sur la protection des données. Le Vietnam, l'Inde, le Pakistan et le Sri Lanka ont tous inséré des dispositions relatives à la localisation dans leurs lois respectives sur la protection des données s’inspirant ainsi du PIPL chinois et du RGPD européen. Ce nouveau type de loi sur la protection des données pourrait conduire à une fragmentation du paysage mondial de la protection de la vie privée. Les exigences de localisation peuvent être un casse-tête pour les entreprises technologiques transnationales, notamment les fournisseurs de services Cloud, estiment les spécialistes. Seuls les États-Unis ne disposent pas d'une loi fédérale sur la protection de la vie privée.