Aujourd'hui, noyb a déposé des plaintes GDPR contre AliExpress, TikTok et WeChat. Ces trois entreprises technologiques n'ont pas répondu aux demandes d'accès en vertu de l'article 15 du GDPR. Il est donc impossible pour les utilisateurs européens d'exercer leur droit fondamental à la vie privée, de savoir comment leurs données personnelles sont traitées - et si les entreprises respectent effectivement d'autres dispositions du GDPR, par exemple en ce qui concerne les transferts de données. La législation européenne permet généralement aux utilisateurs d'obtenir une copie complète de leurs données.
- Plainte contre TikTok (EN)
- Plainte contre TikTok (EL)
- Plainte contre AliExpress (EN)
- Plainte contre AliExpress (FR)
- Plainte contre WeChat (EN)
- Plainte contre WeChat (NL)
Les applications chinoises sont encore pires que les fournisseurs américains. La plupart des grandes entreprises technologiques ont désormais mis en place une sorte d'outil d'automatisation qui leur permet de répondre aux demandes d'accès au GDPR à grande échelle, généralement par le biais d'un outil de "téléchargement de vos informations". En théorie, cela devrait leur permettre de se conformer très facilement à la législation de l'UE. En réalité, TikTok et AliExpress n'ont pas pris la peine de donner aux personnes concernées l'accès à toutes leurs données, comme l'exige l'article 15 du GDPR. TikTok n'a fourni qu'une partie des données du plaignant sous une forme non structurée impossible à comprendre. AliExpress a fourni un fichier fragmenté qui ne pouvait être ouvert qu'une seule fois. WeChat, quant à lui, a tout simplement ignoré la demande du plaignant.
Kleanthi Sardeli, avocate spécialisée dans la protection des données chez noyb: "Les entreprises technologiques adorent collecter autant de données que possible à votre sujet, mais refusent catégoriquement de vous donner un accès total, comme l'exige la législation européenne."
Impossibilité de vérifier la légalité du traitement. Étant donné que TikTok et AliExpress ont fourni aux plaignants des données incomplètes, les utilisateurs ont envoyé une série de questions complémentaires pour donner une nouvelle chance à ces entreprises. Au lieu de fournir les données manquantes, les deux entreprises ont choisi de se contenter de répéter le contenu de leur politique de confidentialité sans aucune information individuelle. Les plaignants n'ont donc pas pu vérifier si leurs données avaient été traitées conformément au GDPR.
Suivi des plaintes relatives au transfert de données en Chine. Les demandes d'accès en question ont été initialement déposées en préparation d'une série de noyb à partir de janvier 2025. À l'époque, le noyb avait intenté une action en justice contre TikTok, AliExpress, SHEIN, Temu, WeChat et Xiaomi pour transferts illégaux de données vers la Chine. Selon la législation européenne, les transferts de données en dehors de l'UE ne sont autorisés que si le pays de destination ne porte pas atteinte à la protection des données. Étant donné que les lois chinoises ne limitent pas l'accès aux données personnelles par les autorités, les entreprises ne peuvent pas vraiment protéger les données des utilisateurs de l'UE contre l'accès du gouvernement. Au cours de la procédure, SHEIN, Temu et Xiaomi ont fourni des informations supplémentaires aux plaignants. Pendant ce temps, TikTok, AliExpress et WeChat ont continué à violer le GDPR.
Kleanthi Sardeli, avocate spécialisée dans la protection des données chez noyb: "Le GDPR indique clairement que les entreprises doivent donner à leurs utilisateurs des informations spécifiques sur les données qu'elles traitent à leur sujet. Ce n'est pas parce qu'elles reçoivent un grand nombre de demandes qu'elles peuvent ne pas divulguer certaines informations."
Plaintes déposées dans trois pays de l'UE. noyb a donc déposé trois plaintes auprès des autorités chargées de la protection des données (DPA) en Belgique, en Grèce et aux Pays-Bas. Nous demandons que les autorités de protection des données respectives prennent une décision déclarant que TikTok, AliExpress et WeChat ont violé les articles 12 et 15 du GDPR. En outre, nous demandons qu'il soit ordonné aux entreprises de répondre aux demandes d'accès des plaignants. Enfin, nous suggérons que les autorités de protection des données imposent une amende administrative afin d'éviter que des violations similaires ne se reproduisent à l'avenir. Une telle amende peut atteindre jusqu'à 4 % du chiffre d'affaires global, ce qui peut par exemple représenter 147 millions d'euros (chiffre d'affaires annuel de 3,68 milliards d'euros) pour AliExpress.
