TikTok fait de nouveau l'objet d'un rapport accablant concernant la manière dont il traite les données personnelles de ses utilisateurs et l'accès du personnel basé en Chine sur ces informations. Le rapport souligne notamment qu'au cours de dernières années, les employés de TikTok ont régulièrement partagé certaines informations privées des utilisateurs par le biais d'un service interne de messagerie appelé Lark. Ces informations auraient été accessibles à des milliers d'employés de ByteDance, la société mère de TikTok, dont beaucoup se trouvaient en Chine. Ces données comprennent des permis de conduire, numéros de téléphone, photos, adresses IP, etc.
TikTok est devenu une préoccupation majeure pour de nombreux régulateurs étatiques dans le monde depuis que les rapports critiques sur sa gestion des données personnelles d'utilisateurs ont commencé par apparaître. Craignant que Pékin puisse accéder à ces données, plusieurs pays et États ont déjà interdit TikTok sur les appareils fournis par le gouvernement. Outre les accusations d'"opérations d'influence" délibérées, TikTok a également été critiqué pour ne pas avoir protégé les enfants contre l'addiction à son application, les défis viraux dangereux et la désinformation. Le régulateur français a qualifié la modération sur TikTok de totalement médiocre.
Mercredi, le New York Times (NYT) a publié un nouveau rapport critique sur la manipulation des données personnelles d'utilisateurs par les employés de TikTok, et plus largement de ByteDance. Le rapport indique que dans le cadre de la gestion des plaintes des utilisateurs, les employés de TikTok ont parfois publié leurs informations personnelles sur une application interne de messagerie appelée Lark et semblable à Slack. Les données partagées par le biais de cet outil interne de communication auraient été à de nombreuses reprises accessibles à des milliers d'employés de ByteDance, la société mère de TikTok, dont beaucoup se trouvaient en Chine.
Par exemple, en août 2021, TikTok a reçu une plainte d'une utilisatrice britannique, qui a signalé qu'un homme s'était "exposé et avait joué avec lui-même" lors d'une diffusion en direct (livestream) qu'elle hébergeait sur l'application. L'utilisatrice a également décrit les abus qu'elle avait subis par le passé. Pour répondre à la plainte, les employés de TikTok auraient partagé l'incident sur l'application interne de messagerie Lark. Les données personnelles de la Britannique - notamment sa photo, son pays de résidence, son adresse IP, son appareil et ses identifiants - ont également été publiées sur la plateforme. Une pratique pour le moins étrange.
En outre, en juin 2019, un employé de TikTok a partagé sur Lark une image du permis de conduire d'une femme du Massachusetts. La femme avait envoyé l'image à TikTok pour vérifier son identité. L'image - qui comprenait son adresse, sa date de naissance, sa photo et son numéro de permis de conduire - a été publiée dans un groupe interne de Lark comptant plus de 1 100 personnes qui s'occupaient de l'interdiction et de la suppression des comptes. Le permis de conduire, ainsi que les passeports et les cartes d'identité de personnes originaires de pays tels que l'Australie et l'Arabie saoudite, était accessible sur Lark depuis l'année dernière.
Le rapport souligne que ces informations n'étaient qu'une partie des données des utilisateurs de TikTok partagées sur Lark, qui est utilisée chaque jour par des milliers d'employés de ByteDance. Selon les documents obtenus par le Times, les permis de conduire d'utilisateurs américains étaient également accessibles sur la plateforme, de même que le contenu potentiellement illégal de certains utilisateurs, comme des documents relatifs à des abus sexuels sur des enfants. Dans de nombreux cas, ces informations étaient disponibles dans des "groupes" de Lark - essentiellement des salons de discussion d'employés - comptant des milliers de membres.
Selon des rapports internes et quatre employés actuels et anciens, la profusion de données d'utilisateurs sur Lark a alarmé certains employés de TikTok, d'autant plus que les employés de ByteDance, en Chine et ailleurs, pouvaient facilement voir le matériel. Depuis au moins juillet 2021, plusieurs employés chargés de la sécurité ont averti les dirigeants de ByteDance et de TikTok des risques liés à cette pratique, mais ils ont été ignorés. Un employé de TikTok aurait alors demandé dans un rapport interne en juillet dernier s'il était normal que des employés basés à Pékin soient propriétaires de groupes contenant des données secrètes d'utilisateurs.
Un porte-parole de TikTok a déclaré que les preuves examinées étaient "datées" et que la plateforme de médias sociaux disposait maintenant d'un processus plus sûr pour signaler les documents sensibles. Il n'a pas répondu à la question du journal de savoir si les données de Lark étaient stockées en Chine. Les rapports internes et les communications de Lark semblent contredire les récents propos du PDG de TikTok, Shou Zi Chew, selon lesquels les données privées des Américains ne seraient conservées que sur des serveurs situés aux États-Unis - un sentiment qu'il a réitéré lors d'une audition houleuse de cinq heures devant le Congrès en mars.
Chew semblait en effet minimiser l'accès de ses employés basés en Chine aux données des utilisateurs américains. Lors de l'audition, Chew a déclaré que ces données étaient principalement utilisées par des ingénieurs en Chine à des "fins professionnelles" et que TikTok disposait de "protocoles d'accès aux données rigoureux" pour protéger les utilisateurs. Il a ajouté qu'une grande partie des informations sur les utilisateurs auxquelles les ingénieurs ont eu accès étaient déjà publiques. Mais des employés actuels et anciens ont déclaré que les données de Lark provenant de TikTok ont été stockées sur des serveurs en Chine à la fin de l'année dernière.
Les documents vus par le Times comprennent des dizaines de captures d'écran de rapports, de messages de chat et de commentaires d'employés sur Lark, ainsi que des vidéos et des enregistrements audio de communications internes, couvrant la période de 2019 à 2022. Le porte-parole de TikTok a déclaré que TikTok était en train de supprimer les données des utilisateurs américains collectées avant juin 2022 - date à laquelle elle a modifié la manière dont elle traitait les informations relatives aux utilisateurs américains et a commencé à envoyer ces données vers des serveurs américains appartenant à un tiers plutôt qu'à TikTok ou ByteDance.
ByteDance a lancé Lark en 2017. Cet outil, qui a un équivalent uniquement chinois connu sous le nom de Feishu, est utilisé par toutes les filiales de ByteDance dans le monde, y compris TikTok et ses 7 000 employés américains. L'application de communication Lark comprend une plateforme de chat, des fonctions de vidéoconférence, de gestion des tâches et de collaboration documentaire. Lorsque Chew a été interrogé sur Lark lors de l'audition de mars, il a déclaré qu'il s'agissait de "n'importe quel autre outil de messagerie instantanée" pour les entreprises et l'a comparé à Slack. Lark a été utilisé pour gérer les problèmes des comptes TikTok individuels.
Alex Stamos, directeur de l'Observatoire d'Internet de l'université de Stanford et ancien responsable de la sécurité des informations de Facebook, a déclaré que la sécurisation des informations des utilisateurs est le projet technique le plus difficile pour l'équipe de sécurité d'une entreprise de médias sociaux. « Les problèmes de TikTok sont aggravés par la propriété de ByteDance. Lark montre que tous les processus d'arrière-plan sont supervisés par ByteDance », a ajouté Stamos. Selon le rapport, une conversation d'octobre 2019 a montré que les employés utilisaient également Lark pour signaler les contenus d'abus sexuels sur des enfants.
Haurek Alex, le porte-parole de TikTok, a déclaré que les employés avaient reçu pour instruction de ne jamais partager de tels contenus et de les signaler à une équipe interne spécialisée dans la sécurité des enfants. Parmi les employés inquiets, un ingénieur senior de sécurité de TikTok a également déclaré à l'automne dernier qu'il pourrait y avoir des milliers de groupes Lark qui manipulent mal les données des utilisateurs. Dans un enregistrement cité dans le rapport, l'ingénieur aurait déclaré que TikTok devait transférer les données hors de Chine et diriger Lark depuis Singapour. TikTok possède en effet un siège à Singapour et un autre à Los Angeles.
Haurek a qualifié les commentaires de l'ingénieur d'"inexacts" et a déclaré que TikTok avait examiné les cas où les groupes Lark étaient susceptibles de mal traiter les données des utilisateurs et avait pris des mesures pour y remédier. Il a ajouté que l'entreprise avait mis en place un nouveau processus de traitement des contenus sensibles et qu'elle avait fixé de nouvelles limites à la taille des groupes Lark. Les coupes effectuées dans la division de TikTok chargée de la protection de la vie privée font craindre à certains employés un ralentissement ou une mise à l'écart des projets relatifs à la protection de la vie privée et à la sécurité à un moment critique.
Cependant, Haurek a déclaré que TikTok disposait de plusieurs équipes travaillant sur la protection de la vie privée et la sécurité (dont plus de 1 500 personnes au sein de son équipe américaine chargée de la sécurité des données) et qu'elle avait dépensé plus de 1,5 milliard de dollars pour mettre en œuvre le Projet Texas. En bref, le projet Texas est une initiative sans précédent visant à faire en sorte que chaque Américain sur TikTok se sente en sécurité - avec la certitude que ses données sont sécurisées, stockées et traitées aux États-Unis. Toutefois, TikTok, ainsi que son propriétaire ByteDance, n'a pas précisé quand le projet Texas serait achevé.
Les documents des utilisateurs sur Lark soulèvent des questions sur les pratiques de TikTok en matière de données et de protection de la vie privée et montrent à quel point l'entreprise est liée à ByteDance, alors que l'application fait l'objet d'un examen de plus en plus minutieux en raison de ses risques en matière de sécurité et de ses liens avec la Chine. La semaine dernière, le gouverneur du Montana a signé un projet de loi interdisant TikTok dans l'État à compter du 1er janvier 2024. TikTok, qui a porté plainte contre le Montana, a également été interdit dans les universités et les agences gouvernementales aux États-Unis, ainsi que dans l'armée.
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des révélations sur le partage de données au sein de TikTok ?
Pensez-vous que l'application devrait être interdite en France en raison de ces agissements ?
Selon vous, quels sont les risques que pose le comportement des employés de ByteDance et de TikTok ?
Voir aussi
Les utilisateurs de TikTok courent toujours le risque que leurs données personnelles soient exposées au piratage et à l'espionnage par la Chine, selon des experts
Les données des utilisateurs US de TikTok ont été consultées en Chine malgré les démentis, selon un rapport. Aussi, TikTok a annoncé le transfert de tout le trafic américain vers les serveurs Oracle
TikTok confirme que les employés situés en Chine ont accès aux données des utilisateurs américains, l'entreprise basée en Chine précise néanmoins que cela est possible via un processus d'approbation
TikTok indique aux utilisateurs européens que son personnel en Chine ainsi qu'aux États-Unis a accès à leurs données, dans une mise à jour de sa politique de confidentialité
Permis de conduire, adresses IP, photos : découvrez comment TikTok partage les données de ses utilisateurs,
Ces données circuleraient sans aucune restriction sur un outil de communication interne
Permis de conduire, adresses IP, photos : découvrez comment TikTok partage les données de ses utilisateurs,
Ces données circuleraient sans aucune restriction sur un outil de communication interne
Le , par Bill Fassinou
Une erreur dans cette actualité ? Signalez-nous-la !