TikTok s'est rendue au Capitole pour répondre aux allégations selon lesquelles elle constituerait une menace pour la sécurité nationale. L'entreprise, qui espère toujours éviter une interdiction aux États-Unis, a invoqué le soutien de certains chefs d'entreprise et influenceurs qui dépendent de l'application pour gagner leur vie. Mais lorsque les utilisateurs installent TikTok sur leur téléphone, à quoi acceptent-ils de renoncer exactement ? Parmi les quelque 150 millions d'Américains qui utilisent TikTok, combien ont réellement lu l'accord de licence et la politique de confidentialité qui précisent exactement les informations que TikTok peut légalement collecter avant d'accepter les conditions d'utilisation ?
La liste :
- votre nom, votre âge, votre nom d'utilisateur, votre adresse électronique, votre mot de passe, votre numéro de téléphone, votre localisation
- le contenu des messages, quand ils sont envoyés, reçus et lus, et par qui
- le texte, les images et les vidéos de votre presse-papiers
- les informations relatives aux achats, y compris les numéros de cartes de paiement, les adresses de facturation et de livraison
- les activités d'un utilisateur sur d'autres sites web et applications ou dans des magasins, y compris les produits ou services achetés, en ligne ou en personne
- les noms et types de fichiers
- les modèles et rythmes de frappe
- votre adresse IP, votre opérateur mobile, vos paramètres de fuseau horaire, le modèle de votre appareil et votre système d'exploitation
- des informations sur les vidéos, les images et le son
- les objets et les paysages qui apparaissent dans vos vidéos, y compris les attractions touristiques, les magasins ou d'autres points d'intérêt
- les identifiants biométriques tels que les empreintes faciales et vocales (ces informations permettent à TikTok de cibler les vidéos, les publicités et les messages politiques en fonction de vos habitudes et de vos centres d'intérêt)
- des cookies qui collectent, mesurent et analysent les pages web que les utilisateurs consultent le plus souvent et la manière dont ils interagissent avec le contenu.
L'entreprise a également reconnu avoir utilisé de très petites images ou des données intégrées dans des images et des publicités qui peuvent reconnaître l'heure et la date de consultation d'une page, ainsi qu'une description de cette page.
« Cela revient à leur donner les clés du royaume », a déclaré Evan Greer, de l'organisation de défense de la vie privée Fight for the Future. « Ils s'intéressent à vos frappes de clavier. Ils s'intéressent aux vidéos que vous regardez et à celles que vous sautez ».
Will Gragido, expert en cybersécurité chez NetWitness, a ajouté : « Des informations statistiques, démographiques, vos goûts, vos aversions, qui sont vos contacts qui sont déjà sur la plateforme ».
L'entreprise possède toujours vos données, même si vous n'avez jamais utilisé TikTok
L'interdiction de TikTok aux États-Unis ou la vente de l'application par son propriétaire chinois, ByteDance, ne résoudra pas les problèmes de sécurité nationale ou les craintes que TikTok puisse être utilisé pour détourner les données des Américains, selon un rapport de cybersécurité.
Ce rapport, rédigé par la société canadienne de cybersécurité Feroot, indique que l'application possède toujours vos données, même si vous n'avez jamais utilisé TikTok. Et elle collecte et transfère ces données, que l'application soit supprimée ou non, selon le rapport. « TikTok peut être présent sur un site web dans pratiquement tous les secteurs sous la forme de pixels/traceurs TikTok », indique le rapport. « Dans de nombreux cas, les pixels/traceurs commencent immédiatement à s'exécuter et n'ont que peu ou pas de rapport avec les activités immédiates du propriétaire du site web ».
Selon Feroot, les pages web de compagnies aériennes, de sites de commerce électronique, d'entreprises technologiques, d'États et de gouvernements fédéraux sont truffées de traceurs TikTok appelés pixels, qui font partie du code chargé dans votre navigateur à partir de divers sites web. Ils renvoient immédiatement à des plateformes de collecte de données qui récupèrent les noms d'utilisateur et les mots de passe, les cartes de crédit et les informations bancaires, ainsi que des détails sur la santé personnelle des utilisateurs. Ivan Tsarynny, PDG de Feroot Security, explique que les pixels « peuvent vous observer et vous enregistrer lorsque vous renouvelez votre permis de conduire, payez vos impôts ou remplissez des formulaires médicaux ».
Les sites qui exigent des connexions et des authentifications peuvent penser qu'ils ajoutent une couche de sécurité, mais les pixels de TikTok ne font que collecter ces noms, mots de passe et codes d'authentification, ainsi que d'autres données, selon Feroot.
Les pixels transfèrent les données vers des sites du monde entier, y compris la Chine et la Russie, souvent avant que les utilisateurs n'aient la possibilité d'accepter les cookies ou d'accorder leur consentement d'une autre manière, selon le rapport de Feroot.
Un rapport précédent de Consumer Reports faisait lui aussi état du fait que TikTok vous suit en ligne, même lorsque vous n'êtes pas un utilisateur de l'application.
Selon des experts en cybernétique, TikTok n'est pas la seule entreprise à collecter autant de données
De nombreuses plateformes de médias sociaux peuvent s'approcher du clonage de votre téléphone. Le rapport de Feroot indique TikTok n'est pas la seule entreprise à utiliser ses pixels sur l'internet. Le rapport révèle que Google, Meta et Microsoft, entre autres, utilisent ces traceurs.
De plus, l'analyse de l'entreprise conjointe américano-australienne Internet 2.0 a révélé que la collecte de données sur TikTok a atteint un tout autre niveau, et a émis l'avertissement suivant : « Enfin, la cartographie de l'appareil, l'accès au stockage externe, les contacts et la collecte de données d'applications tierces permettent à TikTok de réimaginer le téléphone à l'image de l'appareil d'origine ».
Le site affirme également que les données de TikTok sont généralement stockées aux États-Unis et à Singapour, mais qu'elles sont connectées à des serveurs en Chine, un sujet de préoccupation majeur pour le Congrès.
« Quelle que soit l'application que vous téléchargez, vous confiez à cette société le soin d'installer un logiciel sur votre appareil, ce qui peut vous exposer à des vulnérabilités et vous mettre en danger », a déclaré Greer. « Ils aspirent autant de données que vous êtes prêt à leur donner accès ».
C'est la position de TikTok, qui a maintenu que les utilisateurs contrôlaient les données collectées par l'entreprise. En acceptant les conditions énoncées dans le « contrat d'utilisateur final », les Américains choisissent de transmettre les données demandées par TikTok. La plupart d'entre eux appuient simplement sur le bouton « approuver » parce qu'ils veulent le programme. Toutefois, il est peu probable que de nombreux utilisateurs aient eu le temps de lire l'intégralité de la politique de confidentialité alors qu'ils étaient en train de regarder un flux de vidéos divertissantes sur la danse et la cuisine.
« Même si quelque chose a l'air bénin ou semble, dans une certaine mesure, mignon ou sûr, cela ne veut pas nécessairement dire que c'est le cas », a ajouté Gragido. « Il est tout à fait possible que quelque chose comme TikTok ait le potentiel d'être très perturbateur ou de mener à des actes et des activités très perturbateurs. Cela va de la désinformation à l'espionnage, en passant par la collecte de données, la surveillance et le contrôle, pour finalement devenir une sorte de cheval de Troie au sens moderne du terme ».
TikTok tente de rassurer le public
L'entreprise a déclaré que depuis juin, toutes les nouvelles données des utilisateurs américains ont été acheminées vers le cloud Oracle et que depuis octobre, l'accès à cet environnement sécurisé a été limité aux employés de TikTok U.S. Data Security ; aujourd'hui, ces employés gèrent tous les accès aux données des utilisateurs américains.
Un porte-parole de TikTok a déclaré en mars, alors que l'administration Biden demandait à ByteDance de se désengager de l'application : « La meilleure façon de répondre aux préoccupations en matière de sécurité nationale est d'assurer une protection transparente, basée aux États-Unis, des données et des systèmes des utilisateurs américains, avec une surveillance, un contrôle et une vérification solides de la part de tiers, ce que nous sommes déjà en train de mettre en œuvre ».
TikTok a déclaré qu'elle continuerait à aller de l'avant avec un plan appelé "Project Texas" pour protéger les données des utilisateurs américains tout en évaluant la position de l'administration.
Le Project Texas
En 2019, le Comité des investissements étrangers aux États-Unis a commencé à enquêter sur les implications pour la sécurité nationale de la collecte de données américaines par TikTok. Et en 2020, le président de l'époque, Donald Trump, a menacé d'interdire complètement l'application par crainte que le gouvernement chinois puisse utiliser ByteDance pour amasser des dossiers d'informations personnelles sur les utilisateurs américains de TikTok. La « collecte de données de TikTok menace de permettre au Parti communiste chinois d'accéder aux informations personnelles et exclusives des Américains », a écrit Trump dans son décret. TikTok a déclaré qu'il n'avait jamais partagé les données des utilisateurs avec le gouvernement chinois et qu'il ne le ferait pas si on le lui demandait.
La plupart des réunions enregistrées se concentrent sur la réponse de TikTok à ces préoccupations. La société tente actuellement de rediriger ses canaux afin que certaines données « protégées » ne puissent plus circuler hors des États-Unis vers la Chine, un effort connu en interne sous le nom de Project Texas. Dans les enregistrements, le Project Texas visait à mettre fin à la grande majorité des situations où le personnel basé en Chine avait accès aux données des utilisateurs américains.
Le projet Texas est la clé d'un contrat que TikTok négocie actuellement avec le fournisseur de services cloud Oracle et CFIUS. En vertu de l'accord CFIUS, TikTok conserverait les informations privées protégées des utilisateurs américains, comme les numéros de téléphone et les anniversaires, exclusivement dans un centre de données géré par Oracle au Texas (d'où le nom du projet). Ces données ne seraient accessibles que par des employés spécifiques de TikTok basés aux États-Unis. Les données considérées comme « protégées » sont toujours en cours de négociation, mais les enregistrements indiquent que toutes les données publiques, y compris les profils publics des utilisateurs et tout ce qu'ils publient, ne seront pas incluses.
Sources : Consumer Reports, rapport de Feroot
Et vous ?
Quelle est votre opinion sur la quantité de données personnelles collectées par TikTok ? Pensez-vous que cela va trop loin ou que c’est justifié pour améliorer l’expérience utilisateur ?
Au vue de la quantité de données que collectent des applications concurrentes, comme Facebook, comprenez-vous pourquoi l'administration cible TikTok en particulier en évoquant ladite raison ?
Avez-vous déjà pris des mesures pour protéger votre vie privée en ligne ? Si oui, quelles sont-elles ? Si non, pourquoi ?
Pensez-vous que les utilisateurs devraient être plus informés des pratiques de collecte de données des applications avant de les utiliser ? Comment pouvons-nous sensibiliser davantage les gens à ce sujet ?
Quelles alternatives à TikTok recommanderiez-vous pour ceux qui souhaitent partager des vidéos ? Existe-t-il des plateformes qui sont plus transparentes sur leurs pratiques de confidentialité ?
Comment les gouvernements et les entreprises devraient-ils réglementer la collecte de données par les applications ? Quelles mesures devraient être prises pour protéger les utilisateurs ?