211service.com
À l'intérieur de la quête inattendue de la Chine pour protéger la confidentialité des données
Une nouvelle loi sur la protection de la vie privée ressemblerait beaucoup au RGPD européen, mais restreindra-t-elle la surveillance de l'État ? 19 août 2020
Stefen Chow
À la fin de l'été 2016, Xu Yuyu a reçu un appel qui promettait de changer sa vie. Ses résultats à l'examen d'entrée à l'université, lui a-t-on dit, lui avaient valu d'être admise au département d'anglais de l'Université des postes et télécommunications de Nanjing. Xu vivait dans la ville de Linyi dans le Shandong, une province côtière de Chine, au sud-est de Pékin. Elle venait d'une famille pauvre, singulièrement dépendante des maigres revenus de son père. Mais ses parents avaient minutieusement économisé pour ses frais de scolarité; très peu de ses proches étaient allés à l'université.
Quelques jours plus tard, Xu a reçu un autre appel lui disant qu'elle avait également reçu une bourse. Pour percevoir les 2 600 yuans (370 $), elle devait d'abord déposer des frais d'activation de 9 900 yuans sur son compte universitaire. Après avoir demandé une aide financière quelques jours auparavant, elle a viré l'argent au numéro que l'appelant lui avait donné. Cette nuit-là, la famille s'est précipitée à la police pour signaler qu'elle avait été victime d'une fraude. Le père de Xu a déclaré plus tard que son plus grand regret était de demander à l'officier s'il pouvait encore récupérer son argent. La réponse - Probablement pas - n'a fait qu'exacerber la dévastation de Xu. Sur le chemin du retour, elle a fait une crise cardiaque. Elle est décédée à l'hôpital deux jours plus tard.
Cette histoire faisait partie de notre numéro de septembre 2020
- Voir la suite du problème
- S'abonner
Une enquête a déterminé que si le premier appel était authentique, le second provenait d'escrocs qui avaient payé un pirate informatique pour le numéro de Xu, le statut d'admission et la demande d'aide financière.
Pour les consommateurs chinois trop habitués à se faire voler leurs données, Xu est devenu un emblème. Sa mort a déclenché un tollé national pour une plus grande protection de la confidentialité des données. Quelques mois auparavant, l'Union européenne avait adopté le Règlement général sur la protection des données (RGPD), une tentative de donner aux citoyens européens le contrôle sur la façon dont leurs données personnelles sont utilisées. Pendant ce temps, Donald Trump était sur le point de remporter l'élection présidentielle américaine, alimentée en partie par une campagne qui s'est largement appuyée sur les données des électeurs. Ces données comprenaient des détails sur 87 millions de comptes Facebook, obtenus illégalement par la société de conseil Cambridge Analytica. Les régulateurs et les juristes chinois ont suivi ces événements de près.
En Occident, il est largement admis que ni le gouvernement chinois ni le peuple chinois ne se soucient de la vie privée. Les géants américains de la technologie usent de cette supposée indifférence pour affirmer que des lois onéreuses sur la protection de la vie privée les placeraient dans une position concurrentielle désavantageuse par rapport aux entreprises chinoises. Dans son témoignage au Sénat en 2018 après le scandale de Cambridge Analytica, le PDG de Facebook, Mark Zuckerberg, a exhorté les régulateurs à ne pas trop restreindre les technologies comme la reconnaissance faciale. Nous devons encore faire en sorte que les entreprises américaines puissent innover dans ces domaines, a-t-il dit, sinon nous allons prendre du retard sur les concurrents chinois et d'autres dans le monde.
En réalité, cette image des attitudes chinoises vis-à-vis de la vie privée est dépassée. Au cours des dernières années, le gouvernement chinois, cherchant à renforcer la confiance et la participation des consommateurs dans l'économie numérique, a commencé à mettre en œuvre des protections de la vie privée qui, à bien des égards, ressemblent à celles en Amérique et en Europe aujourd'hui.
Même si le gouvernement a renforcé la confidentialité des consommateurs, il a intensifié la surveillance de l'État. Il utilise des échantillons d'ADN et d'autres données biométriques, comme la reconnaissance faciale et d'empreintes digitales, pour surveiller les citoyens dans tout le pays. Il a renforcé la censure sur Internet et développé un système de crédit social, qui punit les comportements qui, selon les autorités, affaiblissent la stabilité sociale. Pendant la pandémie, il a déployé un système d'applications de code de santé pour dicter qui pouvait voyager, en fonction de leur risque de porter le coronavirus. Et il a utilisé une multitude de technologies de surveillance invasives dans sa dure répression des Ouïghours musulmans dans la région nord-ouest du Xinjiang.
Ce paradoxe est devenu une caractéristique déterminante du régime émergent de confidentialité des données en Chine, déclare Samm Sacks, un éminent spécialiste de la Chine à Yale et New America, un groupe de réflexion à Washington, DC. Cela soulève une question : un système peut-il durer avec de solides protections pour la vie privée des consommateurs, mais presque aucune contre l'espionnage du gouvernement ? La réponse ne concerne pas que la Chine. Ses entreprises technologiques ont une empreinte de plus en plus mondiale et les régulateurs du monde entier surveillent ses décisions politiques.
Novembre 2000 marque sans doute la naissance de l'État de surveillance chinois moderne. Ce mois-là, le ministère de la Sécurité publique, l'agence gouvernementale qui supervise l'application de la loi au quotidien, a annoncé un nouveau projet lors d'un salon professionnel à Pékin. L'agence envisageait un système national centralisé qui intégrerait à la fois la surveillance physique et numérique à l'aide des dernières technologies. Il a été nommé Golden Shield.
Désireuses d'en tirer profit, des entreprises occidentales, dont le conglomérat américain Cisco, le géant finlandais des télécommunications Nokia et le canadien Nortel Networks, ont travaillé avec l'agence sur différentes parties du projet. Ils ont aidé à construire une base de données nationale pour stocker des informations sur tous les adultes chinois et ont développé un système sophistiqué pour contrôler le flux d'informations sur Internet, ce qui allait devenir le Grand Pare-feu. Une grande partie de l'équipement impliqué avait en fait déjà été standardisé pour faciliter la surveillance aux États-Unis - une conséquence de la Communications Assistance for Law Enforcement Act de 1994.
Le gouvernement chinois a commencé à mettre en place des protections de la vie privée qui ressemblent à celles en Amérique et en Europe aujourd'hui.
Malgré l'équipement standardisé, le projet Golden Shield a été entravé par des silos de données et des guerres de territoire au sein du gouvernement chinois. Au fil du temps, la poursuite par le ministère d'un système unique et unifié s'est transformée en deux opérations distinctes : un système de surveillance et de base de données, consacré à la collecte et au stockage des informations, et le système de crédit social, auquel participent une quarantaine de ministères. les choses qui ne sont pas autorisées - du jaywalking à la corruption commerciale - leur pointage de crédit social chute et ils peuvent être empêchés d'acheter des billets de train et d'avion ou de demander un prêt hypothécaire.
La même année, le ministère de la Sécurité publique a annoncé Golden Shield, Hong Yanqing est entré à l'université de police du ministère à Pékin. Mais après sept ans de formation, après avoir obtenu son baccalauréat et sa maîtrise, Hong a commencé à avoir des doutes sur le fait de devenir policier. Il a plutôt postulé pour étudier à l'étranger. À l'automne 2007, il avait déménagé aux Pays-Bas pour commencer un doctorat en droit international des droits de l'homme, approuvé et subventionné par le gouvernement chinois.
Au cours des quatre années suivantes, il s'est familiarisé avec la pratique occidentale du droit grâce à ses recherches doctorales et à une série de stages dans des organisations internationales. Il a travaillé à l'Organisation internationale du travail sur la législation mondiale sur la discrimination au travail et à l'Organisation mondiale de la santé sur la sécurité routière en Chine. C'est une culture très légaliste en Occident, ça me frappe vraiment. Les gens semblent aller souvent au tribunal, dit-il. Par exemple, pour le droit des droits de l'homme, la plupart des manuels portent sur les affaires importantes portées devant les tribunaux qui résolvent des problèmes de droits de l'homme.
Hong a trouvé cela étrangement inefficace. Il considérait le recours aux tribunaux comme un dernier recours pour remédier aux insuffisances de la loi, et non comme un outil principal pour l'établir en premier lieu. Selon lui, une législation élaborée de manière plus complète et avec plus de prévoyance permettrait d'obtenir de meilleurs résultats qu'un système reconstitué par une accumulation aléatoire de jurisprudence, comme aux États-Unis.
Après avoir obtenu son diplôme, il a ramené ces idées à Pékin en 2012, à la veille de l'ascension de Xi Jinping à la présidence. Hong a travaillé au Programme des Nations Unies pour le développement, puis en tant que journaliste pour le Quotidien du Peuple, le plus grand journal de Chine, qui appartient au gouvernement.
Xi a commencé à étendre rapidement la portée de la censure gouvernementale. Des commentateurs influents, ou Big V, du nom de leurs comptes vérifiés sur les réseaux sociaux, étaient devenus à l'aise pour critiquer et ridiculiser le Parti communiste chinois. À l'automne 2013, le parti a arrêté des centaines de microblogueurs pour ce qu'il a qualifié de rumeurs malveillantes et a exhibé un particulièrement influent à la télévision nationale pour en faire un exemple.
Ce moment a marqué le début d'une nouvelle ère de censure. L'année suivante, la Cyberspace Administration of China a été fondée. La nouvelle agence centrale était responsable de tout ce qui concernait la réglementation d'Internet, y compris la sécurité nationale, la censure des médias et de la parole et la protection des données. Hong a quitté le Quotidien du Peuple et a rejoint le département des affaires internationales de l'agence. Il l'a représenté à l'ONU et dans d'autres organismes mondiaux et a travaillé sur la coopération en matière de cybersécurité avec d'autres gouvernements.
En juillet 2015, l'Administration du cyberespace avait publié un projet de sa première loi. La loi sur la cybersécurité, entrée en vigueur en juin 2017, exigeait que les entreprises obtiennent le consentement des personnes pour collecter leurs informations personnelles. Dans le même temps, il a renforcé la censure d'Internet en interdisant les utilisateurs anonymes, une disposition appliquée par des inspections gouvernementales régulières des données des fournisseurs de services Internet.
Au printemps 2016, Hong a cherché à retourner dans le milieu universitaire, mais l'agence lui a demandé de rester. La loi sur la cybersécurité avait volontairement laissé dans le vague la réglementation sur la protection des données personnelles, mais les violations et vols de données des consommateurs avaient atteint des niveaux insupportables. Une étude réalisée en 2016 par l'Internet Society of China a révélé que 84 % des personnes interrogées avaient subi une fuite de leurs données, notamment des numéros de téléphone, des adresses et des coordonnées bancaires. Cela suscitait une méfiance croissante à l'égard des fournisseurs de services numériques qui avaient besoin d'accéder à des informations personnelles, telles que les applications de covoiturage, de livraison de nourriture et financières. La mort de Xu Yuyu a versé de l'huile sur les flammes.
Le gouvernement craignait que de tels sentiments n'affaiblissent la participation à l'économie numérique, qui était devenue un élément central de sa stratégie pour soutenir le ralentissement de la croissance économique du pays. L'avènement du GDPR a également fait comprendre au gouvernement que les géants chinois de la technologie devraient respecter les normes mondiales de confidentialité afin de se développer à l'étranger.
Hong a été chargé d'un nouveau groupe de travail qui rédigerait une spécification de protection des informations personnelles (PIPS) pour aider à résoudre ces défis. Le document, bien que non contraignant, indiquerait aux entreprises comment les régulateurs entendaient mettre en œuvre la loi sur la cybersécurité. Dans le processus, espérait le gouvernement, il les inciterait à adopter eux-mêmes de nouvelles normes de protection des données.
Le groupe de travail de Hong s'est mis à traduire tous les documents pertinents qu'ils pouvaient trouver en chinois. Ils ont traduit les lignes directrices sur la protection de la vie privée émises par l'Organisation de coopération et de développement économiques et par son homologue, la Coopération économique Asie-Pacifique ; ils ont traduit le GDPR et le California Consumer Privacy Act. Ils ont même traduit la Charte des droits de la vie privée des consommateurs de la Maison Blanche de 2012, introduite par l'administration Obama mais jamais transformée en loi. Pendant tout ce temps, Hong a rencontré régulièrement des régulateurs et des universitaires européens et américains en matière de protection des données.
Petit à petit, des documents et des consultations, un choix général s'est dégagé. Les gens disaient, en termes très simplistes : « Nous avons un modèle européen et le modèle américain », se souvient Hong. Les deux approches divergeaient considérablement sur le plan de la philosophie et de la mise en œuvre. Lequel suivre est devenu le premier débat du groupe de travail.
Au cœur du modèle européen se trouve l'idée que les personnes ont un droit fondamental à la protection de leurs données. Le RGPD place la charge de la preuve sur les collecteurs de données, tels que les entreprises, pour démontrer pourquoi ils ont besoin des données. En revanche, le modèle américain privilégie l'industrie au détriment des consommateurs. Les entreprises définissent elles-mêmes ce qui constitue une collecte de données raisonnable ; les consommateurs n'ont qu'à choisir d'utiliser ou non cette entreprise. Les lois sur la protection des données sont également beaucoup plus parcellaires qu'en Europe, réparties entre des régulateurs sectoriels et des États spécifiques.

Un agent de contrôle des épidémies vérifie la température des personnes faisant la queue pour être testées pour le covid-19 dans le district de Xicheng, au centre de Pékin.
KEVIN FRAYER/GETTY IMAGESÀ l'époque, sans loi centrale ni agence unique en charge de la protection des données, le modèle chinois ressemblait davantage à celui américain. Le groupe de travail, cependant, a trouvé l'approche européenne convaincante. La structure des règles européennes, l'ensemble du système, est plus clair, dit Hong.
Mais la plupart des membres du groupe de travail étaient des représentants de géants technologiques chinois, comme Baidu, Alibaba et Huawei, et ils estimaient que le RGPD était trop restrictif. Ils ont donc adopté ses grandes lignes, y compris ses limites sur la collecte de données et ses exigences en matière de stockage et de suppression de données, puis ont assoupli une partie de son langage. Le principe de minimisation des données du RGPD, par exemple, maintient que seules les données nécessaires doivent être collectées en échange d'un service. Le PIPS laisse de la place pour d'autres collectes de données pertinentes pour le service fourni.
Le PIPS est entré en vigueur en mai 2018, le même mois que le RGPD est finalement entré en vigueur. Mais alors que les responsables chinois regardaient le bouleversement américain à propos du scandale Facebook et Cambridge Analytica, ils ont réalisé qu'un accord non contraignant ne suffirait pas. La loi sur la cybersécurité ne prévoyait pas de mécanisme solide pour faire respecter la protection des données. Les régulateurs ne pouvaient infliger aux contrevenants qu'une amende pouvant aller jusqu'à 1 000 000 yuans (140 000 dollars), un montant sans conséquence pour les grandes entreprises. Peu de temps après, l'Assemblée populaire nationale, l'organe législatif suprême de la Chine, a voté pour commencer à rédiger une loi sur la protection des informations personnelles au cours de sa période législative actuelle de cinq ans, qui se termine en 2023. Elle renforcerait les dispositions relatives à la protection des données, prévoirait des sanctions plus sévères et potentiellement créer un nouvel organisme d'exécution.
Après Cambridge Analytica, dit Hong, l'agence gouvernementale a compris: 'D'accord, si vous ne mettez pas vraiment en œuvre ou n'appliquez pas ces règles de confidentialité, vous pourriez avoir un scandale majeur, affectant même les choses politiques.'
L'enquête de la police locale sur la mort de Xu Yuyu a finalement identifié les escrocs qui l'avaient appelée. C'était un gang de sept personnes qui avait trompé de nombreuses autres victimes sur plus de 560 000 yuans en utilisant des informations personnelles obtenues illégalement. Le tribunal a jugé que la mort de Xu était le résultat direct du stress lié à la perte des économies de sa famille. Pour cette raison et son rôle dans l'orchestration de dizaines de milliers d'autres appels, le meneur, Chen Wenhui, 22 ans, a été condamné à la prison à vie. Les autres ont été condamnés à des peines allant de trois à 15 ans.
Enhardis, les médias et les consommateurs chinois ont commencé à critiquer plus ouvertement les violations de la vie privée. En mars 2018, le PDG du géant de la recherche sur Internet Baidu, Robin Li, a suscité l'indignation des médias sociaux après avoir suggéré que les consommateurs chinois étaient prêts à échanger leur vie privée contre la sécurité, la commodité ou l'efficacité. Un non-sens, a écrit un utilisateur des médias sociaux, cité plus tard par le Quotidien du Peuple. Il est plus exact de dire [il est] impossible de défendre [notre vie privée] efficacement.
Fin octobre 2019, les utilisateurs des médias sociaux ont de nouveau exprimé leur colère après que des photos ont commencé à circuler d'élèves d'une école portant des bandeaux de surveillance des ondes cérébrales, censés améliorer leur concentration et leur apprentissage. L'autorité éducative locale est finalement intervenue et a dit à l'école de cesser d'utiliser les bandeaux parce qu'ils violaient la vie privée des élèves. Une semaine plus tard, un professeur de droit chinois a poursuivi un zoo animalier de Hangzhou pour avoir remplacé son système d'entrée basé sur les empreintes digitales par la reconnaissance faciale, affirmant que le zoo n'avait pas obtenu son consentement pour stocker son image.
Mais la sensibilité croissante du public aux atteintes à la vie privée des consommateurs n'a pas conduit à de nombreuses limites à la surveillance de l'État, ni même à un examen minutieux de celle-ci. Comme le souligne Maya Wang, chercheuse à Human Rights Watch, c'est en partie parce que la plupart des citoyens chinois ne connaissent pas l'ampleur ou la portée des opérations du gouvernement. En Chine, comme aux États-Unis et en Europe, il existe de vastes exemptions de sécurité publique et nationale aux lois sur la confidentialité des données. La loi sur la cybersécurité, par exemple, permet au gouvernement d'exiger des données d'acteurs privés pour aider à des enquêtes judiciaires pénales. Le ministère de la Sécurité publique accumule également directement des quantités massives de données sur les individus. En conséquence, la confidentialité des données dans l'industrie peut être renforcée sans limiter de manière significative l'accès de l'État à l'information.
L'apparition de la pandémie a toutefois perturbé cet équilibre précaire.
Le 11 février, Ant Financial, un géant de la technologie financière dont le siège est à Hangzhou, une ville au sud-ouest de Shanghai, a lancé une plateforme de création d'applications appelée AliPay Health Code. Le même jour, le gouvernement de Hangzhou a publié une application qu'il avait créée à l'aide de la plate-forme. L'application Hangzhou a demandé aux gens de déclarer eux-mêmes leurs informations de voyage et de santé, puis leur a donné un code de couleur rouge, jaune ou vert. Soudain, les 10 millions d'habitants de Hangzhou ont tous dû montrer un code vert pour prendre le métro, faire des courses ou entrer dans un centre commercial. En une semaine, les gouvernements locaux de plus de 100 villes avaient utilisé AliPay Health Code pour développer leurs propres applications. Le géant technologique rival Tencent a rapidement suivi avec sa propre plate-forme pour les construire.
Les applications ont rendu visible un niveau inquiétant de surveillance de l'État et ont déclenché une nouvelle vague de débats publics. En mars, Hu Yong, professeur de journalisme à l'Université de Pékin et blogueur influent sur Weibo, a fait valoir que la collecte de données sur la pandémie par le gouvernement avait franchi une ligne. Non seulement cela a conduit à des cas de vol d'informations, a-t-il écrit, mais cela a également ouvert la porte à l'utilisation de ces données au-delà de leur objectif initial. L'histoire a-t-elle jamais montré qu'une fois que le gouvernement dispose d'outils de surveillance, il fera preuve de modestie et de prudence dans son utilisation ? Il a demandé.
L'histoire a-t-elle jamais montré qu'une fois que le gouvernement dispose d'outils de surveillance, il fera preuve de modestie et de prudence lorsqu'il les utilisera ?
En effet, fin mai, des documents divulgués ont révélé des plans du gouvernement de Hangzhou pour créer une application de code de santé plus permanente qui évaluerait les citoyens sur des comportements tels que l'exercice, le tabagisme et le sommeil. Après un tollé public, les autorités municipales ont annulé le projet. Ce média géré par l'État avait également publié des articles critiquant l'application, ce qui a probablement aidé.
Le débat a rapidement fait son chemin jusqu'au gouvernement central. Ce mois-là, l'Assemblée populaire nationale a annoncé son intention d'accélérer la loi sur la protection des informations personnelles. L'ampleur des données collectées pendant la pandémie a rendu plus urgente une application stricte de la loi, ont déclaré les délégués, et ont souligné la nécessité de clarifier la portée des procédures de collecte et de suppression des données du gouvernement lors d'urgences spéciales. En juillet, le corps législatif avait proposé un nouveau processus d'approbation strict que les autorités gouvernementales devaient subir avant de collecter des données auprès de plateformes du secteur privé. Le langage reste encore une fois vague, à étoffer plus tard – peut-être par le biais d'un autre document non contraignant – mais cette décision pourrait marquer une étape vers la limitation de la large portée des exemptions gouvernementales existantes pour la sécurité nationale, ont écrit Sacks et d'autres chercheurs chinois de New America.
Hong pense également que l'écart entre les règles régissant la collecte de données de l'industrie et du gouvernement ne durera pas, et le gouvernement commencera bientôt à limiter sa propre portée. Nous ne pouvons pas simplement nous adresser à un acteur tout en laissant de côté l'autre, dit-il. Ce ne serait pas une approche très scientifique.
D'autres observateurs ne sont pas d'accord. Le gouvernement pourrait facilement faire des efforts superficiels pour répondre aux réactions du public contre la collecte de données visibles sans vraiment toucher au cœur des opérations nationales du ministère de la Sécurité publique, explique Wang, de Human Rights Watch. Elle ajoute que toute loi serait probablement appliquée de manière inégale : Au Xinjiang, les musulmans turcs n'ont absolument rien à dire sur la façon dont ils sont traités.
Pourtant, Hong reste optimiste. En juillet, il a commencé à enseigner le droit à l'Université de Pékin et tient désormais un blog sur la cybersécurité et les problèmes de données. Chaque mois, il rencontre une communauté naissante de responsables de la protection des données en Chine, qui surveillent attentivement l'évolution de la gouvernance des données dans le monde.
Mettre à jour: Des citations supplémentaires ont été ajoutées à la pièce.
