Le 10 octobre 2019, le site RECLAIM THE NET via un article, a mis en garde les utilisateurs du navigateur SAFARI. La fonctionnalité de navigation
sécurisée de ce dernier, dans le cadre de la lutte contre les pages malveillantes, pourrait par défaut envoyer les données de navigation des utilisateurs vers l’entreprise chinoise Tencent.
Cette affaire intervient dans un contexte globale de questionnement sur la protection des données à caractère personnel et fait suite aux différentes polémiques ayant secoué les grands acteurs du numérique, comme la controverse sur la société Cambridge Analytica.
Ces informations de navigation doivent être selon le droit de l’Union européenne considérées comme des données personnelles au sens de la définition posée par le Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ( ci-après RGPD ). Notamment en ce qu’elles peuvent contenir l’adresse IP de l’utilisateur ainsi que les adresses URL des sites visités.
L’inquiétude que suscite ce transfert de données est d’autant plus légitime lorsque l’on s’attarde sur la société Tencent. Dirigée par Ma Huateng alias Pony Ma, milliardaire et proche du pouvoir Chinois, elle travaille en étroite collaboration avec les autorités sur l’élaboration du fameux système de notation des citoyens via son application WeChat, source gigantesque de données personnelles.
La société Apple, créatrice du navigateur Safari, est venue se justifier quant au transfert des données de navigation. Argumentant qu’il s’agissait d’une option facile à désactiver, mais surtout que le transit via Tencent ne s’effectuait que pour les utilisateurs avec un appareil configuré en Chine et que cela résulte de l’interdiction de Google dans ce pays. L’absence du géant américain forçant la société Apple à utiliser les services de Tencent pour garantir la sécurité des utilisateurs chinois.
Dans l’hypothèse où des données provenant de l’Union européenne transiteraient via les serveurs de Tencent, le droit de l’Union pourrait s’appliquer et notamment le RGPD.
L’on pourrait donc déjà critiquer partiellement la réponse d’Apple, à la lumière de ce droit , très protecteur au niveau des données personnelles et des droits du consommateur. En matière de stockage et conservation des données au travers des cookies par exemple, la Cour de justice de l’Union européenne, est venue affirmer que le consentement exprès de l’utilisateur était nécessaire et qu’une case cochée par défaut, ne satisfaisait pas cette obligation.
Toujours dans l’hypothèse d’un transfert de données depuis l’Europe, la question de la conformité au chapitre V du RGPD peut se poser. Ce chapitre traitant du transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales et imposant un certain nombre de contraintes à respecter pour garantir la sécurité et l’intégrité de ces données. D’autant plus que si le fonctionnement de la technologie Safe Browsing de Google est connue, le traitement effectué par Tencent reste opaque. Ce qui pourrait engager la responsabilité d’Apple en tant que responsable du traitement des données au sens du chapitre IV du RGPD.
Il reste cependant assez difficile d’imaginer qu’Apple utilise effectivement les services de Tencent en dehors du territoire chinois. La défense de la vie privée étant devenue un argument marketing phare, contribuant énormément à la réputation d’Apple.
La défense de la vie privée mise en avant par Apple semble pourtant s’arrêter aux portes de la Chine. La firme respectant les lois chinoises en matière de communication électronique, qui sont régulièrement qualifiées de liberticides en Occident.
Le traitement qu’effectue Tencent, s’il ne s’applique que sur le territoire chinois peut être vu comme problématique, compte tenu notamment de la crise que traverse la ville de Hong Kong.
Brève contextualisation
Hong Kong est un territoire rétrocédé par le Royaume-Uni à la Chine en 1997, à conditions que la démocratie et le libéralisme Hongkongais connaisse une période de transition de 50 ans avant d’être remplacé par le système du parti communiste chinois. Hong Kong appartenant dès lors à la République populaire de Chine mais dispose d’un régime semi-autonome jusqu’en 2047. Au fil du temps, le gouvernement chinois a multiplié les actions pour affirmer son autorité sur la région, comme le projet de loi permettant l’extradition des hongkongais en Chine pour y être jugés. Loi qui a suscité de vives réactions de la part des habitants de Hong Kong, manifestant en masse contre la fin programmée de leurs institutions démocratiques. Manifestations réprimées avec sévérité par les autorités Chinoises.
Dans ce contexte, n’est-il pas risqué qu’une entreprise comme Tencent, proche du pouvoir procède au traitements des données personnelles des Hongkongais utilisateurs de Safari ?
Le 10 octobre toujours, l’AFP rapporte que la firme Apple a décider de retirer une application qui favoriserait les actions des manifestants hongkongais. La société Apple ne souhaitant sans doutes pas être associée aux violences sur les forces de polices qui pourraient en découler ou voir une dégradation de ses relations avec le gouvernement chinois.
Un cas loin d’être isolé
Plus généralement, la crise que traverse actuellement la ville de Hong Kong semble mettre en lumière un phénomène loin d’être nouveau, celui des liens entres les grandes firmes du numérique et le régime dictatorial de Pékin. Le marché chinois, volontiers qualifié de nouvel Eldorado, suscite un fort intérêt économique pour ces transnationales, qui doivent impérativement se soumettre à certaines obligations impensables en occident, si elles souhaitent s’y développer.
Ainsi le 5 octobre dernier, la société Activision-Blizzard lors d’un tournoi de e-sport sur le jeu Hearthstone, a décidé de sanctionner le joueur professionnel Chung Ng Wai alias Blitzchung pour avoir tenu des propos pro-indépendandistes hongkongais. Si depuis 2013 la société Tencent est présente au capital d’Activision-Blizzard, elle n’est pas pour autant derrière cette sanction. Il est en effet bien plus probable que la société américaine n’ait pas voulu prendre de risques vis-à-vis du gouvernement et du marché chinois, ce pays comptant environs 30% des joueurs d’Hearthstone.
Cette action a rapidement été vivement critiquée, notamment par la communauté des joueurs via le réseau Twitter. Le hashtag Blizzard boycott s’est vite hissé dans les tendances. Chose que l’on peut sûrement expliquer par la popularité de média du jeu vidéo et la croissance de l’intérêt pour les compétitions d’e-sports.
L’affaire remontant jusqu’au congrès des États-Unis, certains sénateurs s’indignant de voir une société américaine prendre le parti de la censure plutôt que celui de la liberté d’opinion.
La nature même du droit international semble l’empêcher de régler la situation hongkongaise, la Chine étant un état souverain, elle reste libre de choisir à quelles obligations internationales elle souhaite délibérément se soumettre.
Il n’en reste pas moins des moyens pour tenter limiter la collaboration entre les grandes entreprises du numérique et le gouvernement chinois. L’appel au boycott et la notification du problème aux pouvoirs publiques semblant être les actions les plus significatives à l’encontre de ces marques misant énormément sur leur bonne réputation.
Mais ces procédés connaissent une grande faiblesse. Ils sont bien souvent fonction de l’intérêt que le grand public y porte, ce qui a pour conséquence que des affaires relativement similaires ne suscitent pas forcement le même émoi. Ainsi en septembre dernier, lorsque la banque française BNP Paribas a sanctionné un employé pour avoir tenu des propos en faveur de la liberté de Hong Kong sur un réseau social à titre privé, puis qu’elle s’est excusée publiquement de l’offense causée, les réactions ont été bien moindres que pour l’affaire Activision-Blizzard. Si les faits sont comparables, l’on peut déplorer que l’engouement à l’encontre des injustices dans le secteur bancaire n’ait pas la même importance que pour celui du jeu vidéo. Les acteurs du monde numérique semblant être plus étroitement surveillés par les consommateurs.
SOURCES :
- Règlement ( UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Chapitre IV
Chapitre V - Cour de justice de l’Union européenne, affaire C-673/17Bundesverband der Verbraucherzentralen und Verbraucherverbände ̶ Verbraucherzentrale Bundesverband eV/Planet49, du 1 octobre 2019
- Lettre du congrès américain à Activision-Blizzard du 18 octobre 2019, wyden.senate.gov
- W. Audureau, E-sport : Blizzard dans la tourmente après l’exclusion d’un joueur pro-Hongkong, Le Monde, 9 octobre 2019
- F. de Changy, Hongkong se mobilise contre l’extradition vers la Chine, Le Monde, 7 juin 2019
- E. Lederer, Hong Kong : BNP Paribas s’excuse après le post d’un salarié, Les Echos, 16 septembre 2019
- T. Parker, Apple Safari browser sends some user IP addresses to Chinese conglomerate Tencent by default, reclaimthenet.org, 10 octobre 2019
- A. Robertson, Apple’s Tencent privacy controversy is more complicated than it looks, theverge.com, 14 octobre 2019
- L. Ronfaut, Blizzard dans la tourmente après avoir suspendu un joueur d’e-sport promanifestants à Hongkong, Le Figaro, 9 octobre 2019
- B. Terrasson, Apple s’explique sur les éléments transmis à Tencent, siecledigital.fr, 16 octobre 2019
- Hong Kong : Apple retire une application permettant de localiser la police, l’Express / AFP, 10 octobre 2019