Shein, TikTok, AliExpress : comment vos achats en ligne alimentent le marché noir des données

Imaginez. Vous commandez une robe sur Shein, un chargeur sur AliExpress ou un accessoire tendance sur Temu. Le colis arrive, vous êtes satisfait·e. Mais derrière ce simple achat, une mécanique bien plus opaque se met en marche : vos données personnelles — nom, adresse, numéro de téléphone, historique d’achats, voire vos coordonnées bancaires — quittent l’Europe pour être stockées en Chine. Sans que vous sachiez vraiment qui y aura accès, ni dans quel but.

Cette réalité n’est pas une théorie du complot. Elle est documentée, encadrée par des conditions générales d’utilisation souvent illisibles, et désormais dans le viseur des régulateurs européens. En mai 2026, l’Irlande, via sa Data Protection Commission (DPC), a ouvert une enquête formelle contre Shein pour ses transferts de données vers la Chine. Cette enquête, menée dans le cadre du mécanisme de guichet unique du RGPD (article 56), pourrait faire jurisprudence pour les plateformes opérant en Europe. Elle porte notamment sur l’absence de base légale pour ces transferts et le risque d’accès par les autorités chinoises.

Alors, que risquent vraiment vos données une fois qu’elles traversent les frontières européennes ? Comment le RGPD tente-t-il de vous protéger ? Et surtout, comment reprendre le contrôle de votre vie numérique sans renoncer aux achats en ligne ? Plongeons dans les rouages d’un système où vos données valent plus que les produits que vous achetez.

1. Vos données, une marchandise plus précieuse que vos achats

Sur Shein, AliExpress ou Temu, vos achats ne sont pas le seul prix à payer : vos données personnelles le sont aussi. Une fois parties en Chine, elles échappent largement aux protections européennes.

Ce qu’elles savent de vous

Les conditions générales de ces plateformes sont claires — si vous prenez le temps de les lire. Par exemple, AliExpress précise dans sa politique de confidentialité que vos données peuvent être transférées vers des serveurs situés en dehors de l’Union européenne, notamment en Chine. Shein va plus loin : l’entreprise se réserve le droit de collecter votre adresse IP, votre historique de navigation, vos préférences d’achat, vos interactions sur l’appli, et même vos messages privés avec les vendeurs.

Une enquête du Commissariat à la protection de la vie privée du Canada en 2025 a révélé que TikTok collectait une vaste quantité de données personnelles, y compris des informations non fournies directement par les utilisateurs. Si des trackers peuvent fonctionner en arrière-plan, aucune étude ne confirme spécifiquement une collecte "lorsque l’appli est fermée".

Pourquoi la Chine veut vos données ?

La réponse tient en trois mots : big data et contrôle. En Chine, les données personnelles ne sont pas seulement un outil marketing. Elles alimentent des algorithmes d’intelligence artificielle, des systèmes de surveillance de masse, et des bases de données utilisées par l’État. La loi chinoise sur la sécurité nationale de 2017 et la loi sur la sécurité des données de 2021 obligent les entreprises à coopérer avec les autorités chinoises si celles-ci demandent accès à des données, y compris celles stockées à l’étranger. En clair : si Pékin veut vos informations, Shein, TikTok ou AliExpress n’ont pas le choix.

En 2024, l’European Data Protection Board (EDPB) a souligné dans son rapport annuel 2025 les risques posés par les transferts de données vers des pays tiers, dont la Chine, pour les droits fondamentaux des Européens. L’EDPB a notamment mis en garde contre l’absence de garanties adéquates pour ces transferts.

2. Le RGPD, un bouclier… mais percé de failles

Le Règlement général sur la protection des données (RGPD) est censé vous protéger. Il encadre strictement les transferts de données vers des pays tiers, comme la Chine, où le niveau de protection n’est pas équivalent à celui de l’UE. En théorie, une entreprise ne peut exporter vos données que si :

• Le pays destinataire offre un niveau de protection adéquat (ce qui n’est pas le cas de la Chine).
• Des garanties supplémentaires sont mises en place (comme le chiffrement ou des clauses contractuelles types).
• Vous avez donné votre consentement éclairé.

Problème : dans la pratique, ces règles sont rarement respectées.

Shein dans le viseur : une enquête historique

En mai 2026, la Data Protection Commission irlandaise a ouvert une enquête contre Shein pour transferts illégaux de données vers la Chine. C’est la première fois qu’une autorité européenne cible frontalement une plateforme chinoise sur ce sujet. L’enquête porte sur :

• L’absence de base légale pour ces transferts.
• Le manque de transparence sur l’utilisation des données.
• Le risque d’accès par les autorités chinoises.

Si Shein est condamné, l’amende pourrait atteindre jusqu’à 4 % de son chiffre d’affaires mondial, comme le prévoit l’article 83 du RGPD. En 2025, Shein a déclaré un chiffre d’affaires de 42 milliards de dollars, ce qui porterait l’amende maximale à environ 1,68 milliard de dollars. Mais au-delà de l’argent, c’est un signal fort envoyé à toutes les plateformes : le RGPD n’est pas une option.

Pourquoi les régulateurs ont tant tardé ?

La réponse est simple : complexité juridique et pression économique. Les géants chinois du e-commerce emploient des armées d’avocats pour contourner les règles. Et les États membres hésitent à sévir, de peur de froisser des partenaires commerciaux majeurs.

Pourtant, les plaintes s’accumulent. En 2025, plus de 500 signalements ont été déposés auprès des autorités européennes concernant des transferts illégaux de données par des plateformes chinoises. La CNIL française, l’autorité espagnole (AEPD) et leurs homologues allemand·e·s et néerlandaises multiplient les contrôles. Mais le combat est déséquilibré : face à des entreprises valorisées à des centaines de milliards, les régulateurs ont des moyens limités.

3. Vos données en danger : marché noir et espionnage

Vos données ne finissent pas seulement dans des serveurs chinois. Elles alimentent un marché noir florissant et peuvent être utilisées contre vous.

Le marché noir des données : un business juteux

En 2025, des enquêtes journalistiques, notamment celle de ZATAZ et de l’UFC-Que Choisir, ont révélé l’existence de marchés noirs en ligne où des courtiers vendent des données personnelles volées, y compris des informations bancaires et des historiques d’achats. Ces marchés prospèrent grâce à des fuites de données provenant de plateformes compromises.

Prix moyen d’un lot de 10 000 profils ? Entre 500 et 2 000 euros. De quoi alimenter le phishing, l’usurpation d’identité, ou le chantage.

L’espionnage industriel et politique

En 2024, l’Agence de l’Union européenne pour la cybersécurité (ENISA) a souligné dans son Threat Landscape 2025 les risques croissants d’utilisation des données personnelles à des fins d’espionnage industriel, notamment via des fuites de données ou des cyberattaques ciblant des secteurs sensibles comme l’aéronautique ou l’énergie. Plusieurs cas ont été documentés :

• Des ingénieurs européens travaillant dans des secteurs sensibles ont été ciblés via leurs achats en ligne sur AliExpress.
• Des responsables politiques ont vu leurs données de géolocalisation fuiter après avoir utilisé TikTok, révélant leurs déplacements et rencontres.

La surveillance de masse, version 2.0

Le pire ? Vos données pourraient un jour servir à vous évaluer. La Chine a déjà déployé un système de crédit social pour ses citoyen·ne·s, où chaque comportement — achats, déplacements, opinions — est noté. En Europe, ce système est interdit, mais rien n’empêche un État ou une entreprise de vous profiler en secret.

Imaginez : un algorithme décide que vous êtes "à risque" parce que vous avez acheté un livre sur Taïwan, commandé un drapeau tibétain, ou liké une vidéo critique envers Pékin. Demain, ce profil pourrait vous fermer des portes : refus de visa, exclusion d’un emploi, surveillance accrue. Ce n’est pas de la science-fiction. C’est déjà une réalité pour des millions de Chinois·es.

4. Comment reprendre le contrôle ?

Face à ces risques, la tentation est grande de tout boycotter. Mais ce n’est pas la seule solution. Voici des pistes concrètes pour consommer en ligne sans sacrifier vos données.

1. Comprendre où vont vos données (et comment les limiter)

Avant de commander, posez-vous ces questions :

• Où mes données seront-elles stockées ? → Cherchez des mentions comme "transfert vers un pays tiers" dans la politique de confidentialité.
• Quelles données sont vraiment nécessaires ? → Une plateforme qui demande votre numéro de téléphone pour un achat de 5 € a probablement un motif caché.
• Puis-je payer sans créer de compte ? → Privilégiez les options "invité" ou les solutions de paiement anonymes (comme PayPal en mode "sans compte").

Outils pour vérifier :

• Exodus Privacy : analyse les trackers intégrés dans les applis mobiles.
• Terms of Service ; Didn’t Read : résume les conditions générales des sites en langage clair.

2. Utiliser des alternatives européennes (et respectueuses du RGPD)

L’Europe regorge de plateformes de e-commerce qui ne transfèrent pas vos données en Chine et respectent le RGPD. En voici quelques-unes :

| Secteur | Plateformes européennes | Pourquoi c’est mieux ? | |-------------------|----------------------------|---------------------------| | Mode | Vinted, Lesara | Pas de transfert hors UE, chiffrement des données. | | Électronique | Back Market, LDLC | Garantie RGPD, pas de revente de données. | | Cosmétiques | Naturéo, Aroma-Zone | Ingrédients traçables, données protégées. | | Alimentation | La Fourche, Rué des Gourmets | Circuits courts, pas de tracking invasif. |

Bonus : Certaines plateformes, comme Colissimo pour les livraisons ou Lydia pour les paiements, sont 100 % européennes et offrent des garanties solides en matière de protection des données.

✨ Et dans la pratique ? Si vous en avez assez de jongler entre des dizaines d’applis tout en vous demandant où finissent vos données, découvrez Colistor — une plateforme unifiée pour gérer vos contacts, agendas et tâches sans tracking, sans revente de données, et hébergée en Europe. Note : Colistor est une solution indépendante et open-source, conforme au RGPD. Parce que votre vie numérique mérite d’être protégée, pas monétisée.

3. Exiger la transparence (et faire pression)

Vos achats sont un pouvoir. Utilisez-le :

• Interpellez les plateformes : Envoyez un message au service client pour demander où vos données sont stockées. Si la réponse est floue, boycottez.
• Signez des pétitions : Des associations comme La Quadrature du Net ou NOYB (fondée par Max Schrems, le militant qui a fait tomber le Privacy Shield) mènent des actions juridiques contre les transferts illégaux.
• Choisissez des marques engagées : Certaines entreprises affichent fièrement leur label "RGPD compliant" ou leur hébergement en Europe. Soutenez-les.

4. Protéger vos données au quotidien

Quelques gestes simples pour limiter les risques :

• Utilisez un e-mail dédié pour vos achats (ex : une adresse ProtonMail chiffrée).
• Payez avec une carte prépayée ou un service comme Revolut (qui permet de générer des cartes virtuelles à usage unique).
• Désactivez le suivi publicitaire dans les paramètres de votre téléphone et navigateur.
• Installez un bloqueur de trackers comme uBlock Origin ou Privacy Badger.

5. L’Europe peut-elle gagner cette bataille ?

La réponse est oui… mais seulement si nous agissons ensemble.

Les signes d’espoir

• Les régulateurs se réveillent : Après Shein, d’autres enquêtes sont en cours contre TikTok et AliExpress.
• Les citoyen·ne·s se mobilisent : En 2025, une plainte collective contre Temu, portée par le Bureau européen des unions de consommateurs (BEUC) et 17 organisations de consommateurs, a rassemblé des milliers de signalements en Europe. Si le chiffre de 50 000 signataires n’est pas confirmé, cette plainte a conduit à l’ouverture d’une enquête par la Commission européenne.
• Les alternatives européennes montent en puissance : Des plateformes comme ManoMano (bricolage) ou Doctolib (santé) prouvent qu’on peut réussir sans sacrifier la vie privée.

Ce qui manque encore

• Une harmonisation des sanctions : Aujourd’hui, une amende infligée en Irlande ne s’applique pas automatiquement en France ou en Allemagne.
• Plus de moyens pour les régulateurs : La CNIL française a **10 fois moins de budget