Aujourd'hui, noyb a déposé des plaintes GDPR contre TikTok, AliExpress, SHEIN, Temu, WeChat et Xiaomi pour transferts illégaux de données vers la Chine. Alors que quatre d'entre elles admettent ouvertement envoyer des données personnelles d'Européens en Chine, les deux autres disent transférer des données vers des "pays tiers" non divulgués. Étant donné qu'aucune des entreprises n'a répondu de manière adéquate aux demandes d'accès des plaignants, nous devons supposer que la Chine fait partie de ces pays. Mais la législation européenne est claire : les transferts de données en dehors de l'UE ne sont autorisés que si le pays de destination ne porte pas atteinte à la protection des données. Étant donné que la Chine est un État de surveillance autoritaire, les entreprises ne peuvent pas, de manière réaliste, protéger les données des utilisateurs de l'UE contre l'accès du gouvernement chinois. Après les problèmes liés à l'accès du gouvernement américain, l'essor des applications chinoises ouvre un nouveau front pour la législation européenne en matière de protection des données.
- Plainte contre TikTok en Grèce
- Plainte contre Xiaomi en Grèce
- Plainte contre SHEIN en Italie
- Plainte contre AliExpress en Belgique
- Plainte contre WeChat aux Pays-Bas
- Plainte contre Temu en Autriche
Contexte : les transferts de données hors de l'UE ne constituent qu'une exception. En principe, les entreprises ne sont pas autorisées à transférer les données des Européens en dehors de l'UE. Si, pour quelque raison que ce soit, elles doivent néanmoins le faire, elles peuvent invoquer un certain nombre d'exceptions ("dérogations"). Toutefois, si les entreprises externalisent des données pour des raisons de commodité, elles doivent respecter des exigences strictes pour garantir la sécurité des données à caractère personnel. Dans des pays comme la Chine, les entreprises s'appuient généralement sur des "clauses contractuelles types" (CCN). Il s'agit d'un contrat dans lequel le destinataire chinois s'engage à respecter les protections de l'UE, même en Chine. Pour que cela soit autorisé, les entreprises doivent réaliser une analyse d'impact afin de vérifier que les données des Européens sont en sécurité dans le pays de destination et que les CSC n'entrent pas en conflit avec les lois nationales qui exigent l'accès aux données. Étant donné que la Chine est un État de surveillance autoritaire, il n'existe pas de décision d'adéquation et aucune entreprise ne peut fournir une telle garantie. Les lois chinoises sur la protection des données ne limitent en rien l'accès des autorités.
Kleanthi Sardeli, juriste spécialiste de la protection des données à l'agence noyb: "Étant donné que la Chine est un État autoritaire qui pratique la surveillance, il est évident qu'elle n'offre pas le même niveau de protection des données que l'UE. Le transfert de données personnelles d'Européens est clairement illégal et doit être interrompu immédiatement."
Risque élevé d'accès aux données par les autorités. Les rapports de transparence de Xiaomi confirment le risque que les autorités chinoises demandent et obtiennent un accès (illimité) aux données personnelles dans la pratique. Selon ces documents, les autorités demandent l'accès aux données à caractère personnel à très grande échelle, alors qu'au cours de la même période, les autorités de l'UE/EEE n'ont reçu qu'une poignée de demandes. En outre, Xiaomi se conforme (ou doit se conformer) presque toujours aux demandes des autorités chinoises. En outre, il est presque impossible pour les utilisateurs étrangers d'exercer leurs droits en vertu de la législation chinoise sur la protection des données. Le pays ne dispose pas d'une autorité de protection des données spécialisée et indépendante, ni d'un autre tribunal pour soulever les questions de surveillance gouvernementale, et la portée et l'application des lois ne sont pas claires.
Les demandes d'accès des utilisateurs sont restées sans réponse. Il est donc d'autant plus important de savoir ce que les entreprises technologiques chinoises font des données personnelles des Européens. Les plaignants ont donc déposé des demandes d'accès en vertu de l'article 15 du GDPR auprès des entreprises susmentionnées pour savoir si leurs données avaient été envoyées en Chine ou dans d'autres pays en dehors de l'UE. Malheureusement, aucune des entreprises n'a fourni les informations requises par la loi sur les transferts de données. Nous savons néanmoins que, selon leur politique de confidentialité, AliExpress, SHEIN, TikTok et Xiaomi transfèrent des données vers la Chine. Temu et WeChat mentionnent des transferts vers des pays tiers. D'après la structure d'entreprise de Temu et de WeChat, il est fort probable que la Chine en fasse partie.
Kleanthi Sardeli, avocate spécialisée dans la protection des données chez noyb: "Les entreprises chinoises n'ont d'autre choix que de se conformer aux demandes d'accès aux données formulées par les gouvernements. Cela signifie que les données des utilisateurs européens sont en danger tant qu'elles sont envoyées à l'étranger. Les autorités compétentes doivent agir rapidement pour protéger les droits fondamentaux des personnes concernées"
Plaintes déposées dans cinq pays. noyb a déposé six plaintes relatives au GDPR dans cinq pays européens et demande aux autorités chargées de la protection des données d'ordonner immédiatement la suspension des transferts de données vers la Chine en vertu de l'article 58, paragraphe 2, point j), étant donné que ce pays n'offre pas un niveau essentiellement équivalent de protection des données en vertu des articles 44 et 46 du GDPR. le noyb demande également aux entreprises de mettre leur traitement en conformité avec le GDPR. Dernier point, mais non des moindres, noyb demande aux autorités de protection des données d'imposer une amende administrative afin d'éviter que des violations similaires ne se reproduisent à l'avenir. Cette amende peut atteindre jusqu'à 4 % du chiffre d'affaires global, soit 147 millions d'euros (chiffre d'affaires annuel de 3,68 milliards d'euros) pour AliExpress ou 1,35 milliard (revenus annuels de 33,84 milliards d'euros) pour Temu.
