Le 12 mars, la Chine a dévoilé une série de mesures visant à encadrer le traitement des données personnelles. Présentées par quatre ministères, elles entreront en application le 1er mai 2021. Elles détaillent quelles données les applications ont le droit de collecter et stocker.
La Chine veut une collecte de données frugale
D’office, elles devront se concentrer sur celles nécessaires au fonctionnement classique de l’application. Par exemple, un jeu mobile ne pourra pas demander ou exiger le numéro de téléphone de son utilisateur. Également, la Chine imposera aux applications mobiles de proposer un fonctionnement minimal sans collecter aucune information.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Une grande quantité de services tombent sous cette dernière règle. On retrouve par exemple les navigateurs, les bibliothèques numériques, lecteurs de musique et de vidéo, applications de traitement photographiques, les services téléphoniques, les magasins d’applications…
Cependant, le document publié par le Cyberspace Administration of China (CAC) n’apporte pas de précisions sur le fonctionnement de base des applications. Ce qui laisse une certaine marge d’interprétation pour les entreprises.
Ces nouvelles mesures marquent un peu plus le double discours du gouvernement chinois depuis fin 2020. L’Empire du Milieu s’attelle à mise en place d’un cadre de protection du consommateur. D’un côté, il remet en ordre ses règles antitrust, de l’autre, celles sur la protection des données personnelles des citoyens. En parallèle, la censure des contenus reste omniprésente, de même que la surveillance des habitants. Si les entreprises n’ont plus le droit de collecter certaines informations, il est clair que des agences gouvernementales le pourront toujours. C’est toute la spécificité de ce pays.
Néanmoins, ces mesures marquent la bonne volonté de la Chine qui veut réguler une économie centrée sur le numérique qui a explosé en quelques années, bénéficiant d’un cadre peu restrictif.
Le marché noir des données personnelles, symbole du laxisme passé
L’absence de cadre législatif strict et clair sur la collecte et le traitement des données personnelles a laissé le champ libre à des défaillances en tout genre. Notamment dans l’importance particulière que certaines informations peuvent revêtir.
C’est le cas des données biométriques. En Chine, la reconnaissance faciale est monnaie courante pour des mesures de sécurité. Aussi, elle est utilisée naturellement dans la vie de tous les jours, pour payer ses courses par exemple. Des écoles, sociétés de gestions immobilières, et bon nombre d’organismes sont amenés à traiter ces données, et leur caractère inaliénable les rend extrêmement sensibles. Cependant, les fuites de données biométriques sont fréquentes, ce qui soulève de plus en plus d’inquiétudes pour les résidents chinois. Elles sont si fréquentes que les données de reconnaissance faciale sont revendues pour 0,05€ sur le marché noir.
En 2019, un site dédié aux demandeurs d’emploi a vu ses données laissées en libre accès durant 3 ans. Au total, 202 millions de citoyens ont vu leur profil « très détaillé » en libre accès. Pour chaque personne, il était possible d’accéder au nom, prénom, e-mail, téléphone, genre, nombre d’enfants, état matrimonial, expériences précédentes…
Les gouvernements de certaines provinces ne sont pas non plus exempts de tout reproche. Certains systèmes de sécurité ont été exposés, et certaines données utilisées pour la surveillance également.
Dans un article, le SCMP dévoile d’autres pratiques courantes, notamment celles d’employés louant leur compte professionnel, ou revendant des bases de données. Le magazine rapporte également une récente fuite du réseau social Weibo qui a abouti à la mise en vente sur le marché noir des informations de 538 millions d’utilisateurs.
Les conséquences du manque de considération des entreprises et du gouvernement pour la protection des données durant de nombreuses années ne peuvent être gommées si facilement. La mise en place progressive d’une régulation pousserait la Chine vers l’instauration d’une sorte de RGPD, auquel l’État ne serait bien évidemment pas contraint. Il restera néanmoins aux autorités la lourde tâche de faire le ménage dans un marché noir qui a eu le temps de s’organiser et de se structurer.
