Lorsque les profits menacent la vie privée : 5 choses à savoir sur Apple en Chine

Mercredi 28 février, Apple va apporter des changements importants au stockage des données des utilisateurs de ses services iCloud en Chine, ce qui fait craindre que les autorités chinoises ne soient désormais en mesure de surveiller librement les utilisateurs d’Apple en Chine.

Apple a la réputation d’être un fervent défenseur de la vie privée et de la sécurité. L’entreprise utilise un chiffrement renforcé, installé par défaut sur ses services, et a fait les gros titres lorsqu’elle a interjeté appel d’une décision de justice américaine qui autoriserait le FBI à contourner le cryptage des téléphones. Le directeur d’Apple Tim Cook a même adressé à tous les consommateurs Apple une lettre personnelle expliquant l’importance du respect de la vie privée.

Avec la Chine, cependant, une toute autre histoire se dessine. Apple a essuyé des critiques pour avoir bloqué l’accès à l’application Apple News pour les utilisateurs chinois et supprimé des applications de réseau privé virtuel (VPN) de l’App Store en Chine. Les changements apportés aux services iCloud sont la dernière touche indiquant que l’environnement juridique répressif de la Chine rend les choses difficiles pour Apple s’agissant d’être à la hauteur de ses engagements en termes de vie privée des utilisateurs et de sécurité. Quelles sont les conséquences de ces changements et quelles sont les options dont disposent les clients d’Apple pour se protéger ?

  1. Quid des services iCloud d’Apple en Chine ?

Le 28 février, Apple transfèrera la gestion de ses services iCloud pour les utilisateurs chinois à une entreprise chinoise, Guizhou-Cloud Big Data Industry Development Co., Ltd (GCBD). Ce transfert concernera les photos, documents, contacts, messages et autres données et contenus que les utilisateurs chinois stockent sur les serveurs iCloud d’Apple. La nouvelle législation chinoise promulguée en 2017 dispose que les services du cloud doivent être exploités par des entreprises chinoises : aussi les entreprises comme Apple doivent-elles louer de l’espace serveur en Chine ou créer des coentreprises avec des partenaires chinois.

  1. En quoi le fait de stocker les données utilisateurs en Chine représente-t-il un danger ?

La loi accorde au gouvernement chinois un accès quasi total aux données utilisateurs stockées en Chine, sans protection adéquate des droits des utilisateurs à la vie privée, à la liberté d’expression ou à d’autres droits fondamentaux. La police chinoise jouit d’un large pouvoir discrétionnaire et s’appuie sur des lois et des règlementations vagues et formulées en termes ambigus pour réduire au silence la dissidence, restreindre ou censurer les informations, et harceler et poursuivre en justice les défenseurs des droits humains notamment, au nom de la « sécurité nationale » et d’autres infractions pénales supposées. En conséquence, les internautes chinois peuvent être arrêtés et emprisonnés simplement pour avoir exprimé, communiqué ou accédé à des informations et des idées qui ne sont pas du goût des autorités.

En outre, la Loi relative à la cybersécurité exige que les opérateurs de réseau fournissent « un soutien et une assistance techniques » aux responsables de l’application des lois et aux agents de la sûreté de l’État. Ainsi, lorsque les autorités s’adressent à GCBD pour obtenir des informations sur un utilisateur d’iCloud aux fins d’une information judiciaire, l’entreprise est légalement tenue de les fournir et dispose de peu de recours légaux viables, voire aucun, pour contester ou refuser cette demande.

Tim Cook, le directeur d'Apple, participe à la quatrième Conférence mondiale sur l'Internet en décembre 2017 à Wuzhen, Chine (Photo @Du Yang/China News Service/VCG via Getty Images)
Tim Cook, le directeur d’Apple, participe à la quatrième Conférence mondiale sur l’Internet en décembre 2017 à Wuzhen, Chine (Photo @Du Yang/China News Service/VCG via Getty Images)
  1. Apple assure qu’elle a le contrôle des clés de chiffrement et n’autorisera pas les « portes dérobées » (backdoors). Cela ne permet-il pas de protéger les utilisateurs en Chine ?

Tout dépend des circonstances dans lesquelles Apple autorisera GCBD – et les autorités chinoises – à accéder à des données déchiffrées et intelligibles sur les utilisateurs d’iCloud. Lorsque les utilisateurs acceptent les conditions d’utilisation d’iCloud en Chine, ils acceptent que leurs données et contenus soient transmis aux forces de l’ordre « s’ils en ont l’obligation légale ». Il est à noter qu’Apple va désormais stocker les clés de chiffrement concernant les utilisateurs chinois en Chine, et non aux États-Unis – il semble donc acquis que l’entreprise sera contrainte de remettre les données déchiffrées dès lors que la requête est conforme à la législation chinoise.

Étant donné que de nombreuses dispositions de la législation chinoise n’offrent pas une protection adaptée de la vie privée, de la liberté d’expression et d’autres droits, se contenter de vérifier si les demandes d’informations du gouvernement sont conformes à la loi ne permet pas de déterminer si le fait de répondre à cette demande pourrait contribuer à des violations des droits humains. Apple n’a pas confirmé si elle évaluera le risque que les demandes d’information du gouvernement bafouent les droits des utilisateurs – ni comment. Difficile de dire comment Apple réagira jusqu’à ce qu’elle soit mise à l’épreuve, probablement une simple question de temps.

Quant aux « portes dérobées » ou aux mesures techniques qui permettraient aux organes responsables de l’application des lois ou autres organismes gouvernementaux d’avoir accès à des données utilisateurs déchiffrées sans même avoir à les demander, Apple s’est engagée à empêcher leur utilisation, et c’est tout à son honneur. Toutefois, cet engagement est vide de sens si ces organismes peuvent obtenir des entreprises qu’elles déchiffrent les données utilisateurs en faisant simplement valoir qu’il s’agit d’une information judiciaire.

  1. Que doivent faire les utilisateurs d’iCloud en Chine pour se protéger ?

Le meilleur moyen de protéger vos données personnelles et d’empêcher le gouvernement chinois d’y accéder est d’éviter de les stocker sur des serveurs en Chine. Les utilisateurs disposant d’une carte de crédit et d’une adresse de facturation à l’extérieur de la Chine peuvent les utiliser pour enregistrer leurs comptes et continuer de stocker leurs données iCloud hors de la Chine. Sinon, la seule option pour les utilisateurs chinois est de supprimer leurs comptes iCloud et de se désengager de manière permanente de ces services. (Apple a donné des instructions sur la manière de procéder.) Les utilisateurs individuels doivent sérieusement envisager les risques encourus avant de prendre leur décision ; cependant, Apple devrait protéger les utilisateurs chinois en désactivant iCloud par défaut et en leur fournissant des avertissements très clairs quant aux risques auxquels ils s’exposent en optant pour ces services.

Chez Apple, nous pensons que le respect de la vie privée est un droit fondamental.

Site officiel d'Apple
  1. Comment les entreprises de technologies de l’information et de la communication peuvent-elles agir de manière responsable dans le cadre de leurs activités en Chine ?

Il incombe aux entreprises de respecter tous les droits humains, où qu’elles opèrent dans le monde. Elles doivent fournir aux utilisateurs de leurs produits et services des informations claires et précises sur les risques auxquels ils s’exposent concernant leur vie privée et leur liberté d’expression en Chine, et sur les mesures qu’elles mettent en œuvre pour y répondre. Elles doivent effectuer des évaluations régulières et vérifiables en termes d’impact sur les droits humains et démontrer publiquement qu’elles mettent en place des mesures de surveillance, de diligence requise et d’obligation de rendre des comptes afin de veiller au respect des droits fondamentaux.

Enfin, les entreprises doivent faire tout ce qui est en leur pouvoir pour influencer le gouvernement chinois en vue de protéger et de respecter les droits humains, et doivent s’exprimer et remettre en cause les actions du gouvernement lorsqu’elles menacent les droits fondamentaux. Si une entreprise constate qu’elle est incapable de limiter le risque élevé de violations des droits humains, elle pourra être amenée à décider de ne pas proposer ses services en Chine.

Sur le site officiel d’Apple, on peut lire : « Chez Apple, nous pensons que le respect de la vie privée est un droit fondamental. » Reste à voir si Apple traduira ses paroles en actes.