TikTok, l’application de partage de vidéos qui a conquis le monde entier, est au cœur d’une controverse concernant la protection des données de ses utilisateurs américains. Malgré les efforts déployés pour sécuriser ces données, d’anciens employés affirment que la société n’a concentré ses efforts que sur la « porte d’entrée », négligeant ainsi la « porte dérobée » qui reste grande ouverte.En mars 2023, le PDG de TikTok, Shou Zi Chew, a témoigné devant une commission du Congrès américain, assurant que les allégations selon lesquelles TikTok partagerait des données d’utilisateurs américains avec le gouvernement chinois étaient « catégoriquement fausses ». Il a souligné l’initiative de l’entreprise, baptisée « Projet Texas », qui consiste en un investissement de 1,5 milliard de dollars visant à isoler les données des utilisateurs américains des opérations et des employés en Chine.
Cependant, cette affirmation a été accueillie avec scepticisme par certains critiques. Une enquête datant de 2022 a révélé que des employés de ByteDance en Chine avaient « à plusieurs reprises » accédé à des données d’utilisateurs américains non publiques. De plus, des chercheurs de l’Université de Toronto ont contesté la caractérisation de leur analyse par TikTok, affirmant qu’ils n’avaient « aucune visibilité sur ce qui arrivait aux données des utilisateurs une fois qu’elles étaient collectées et transmises aux serveurs de TikTok ».
L'initiative très médiatisée de TikTok visant à séparer les données des utilisateurs américains de celles de sa société mère basée en Chine, comme le demandaient les critiques, n'a pas permis de couper les liens entre les deux sociétés en raison de la complexité de la structure de son réseau informatique, selon l'ancien responsable du programme technique de l'entreprise pour l'ingénierie de la sécurité.
ByteDance, le propriétaire de TikTok, a conservé le contrôle de certains systèmes informatiques utilisés par les employés de TikTok, notamment la messagerie ainsi que les logiciels de gestion des produits et de la technologie, selon Patrick Spaulding Ryan, qui a dirigé la conformité de TikTok en matière de sécurité de mars 2020 à juin 2022.
Les employés partageaient régulièrement des données d'utilisateurs, y compris des données d'utilisateurs américains, sur ces systèmes internes à des fins de test, de développement de produits et de dépannage, a déclaré Ryan, dont le récit a été corroboré par un autre ancien employé qui a quitté TikTok au début de l'année 2023. Cette pratique rendait les données des utilisateurs américains vulnérables à l'espionnage par les employés de ByteDance basés en Chine, ont déclaré Ryan et l'autre source, du moins tant qu'ils faisaient encore partie de l'effectif de TikTok.
« Il y a une porte d'entrée que tout le monde regarde, mais le moyen d'accéder au réseau passe par les employés », a déclaré Ryan.
Cette allégation met encore plus à mal l'affirmation de TikTok selon laquelle les données des utilisateurs américains ne sont pas entre les mains de sa société mère
Les critiques se sont inquiétés du fait que les données pourraient être utilisées par les fonctionnaires du gouvernement chinois pour espionner les Américains, dont les emplacements et les comportements en ligne sont suivis dans les moindres détails par des services en ligne tels que TikTok, bien qu'il n'y ait aucune preuve que cela se soit réellement produit.
En réponse aux dernières allégations, un porte-parole de TikTok a déclaré dans un communiqué : « Ces informations sont inexactes et sont manifestement le fait de sources anonymes ayant des intentions préconçues. Les données des utilisateurs de TikTok ont été stockées en Virginie et à Singapour en 2022, loin de la Chine ». Le porte-parole a refusé de répondre aux allégations selon lesquelles certains de ses systèmes d'entreprise étaient hébergés en Chine au moins jusqu'en 2022.
Quoiqu'il en soit, le président Biden, évoquant une inquiétude quant à des possibilités d'espionnage, a signé un projet de loi qui oblige ByteDance à vendre TikTok à une entreprise non chinoise. La loi donne à ByteDance neuf mois pour vendre TikTok, avec une possibilité de prolongation de trois mois, si nécessaire, sous peine d'interdiction de TikTok aux États-Unis.
Dans un communiqué publié sur X, l'ancien Twitter, TikTok a qualifié la nouvelle loi d'inconstitutionnelle et a déclaré qu'il la contesterait devant les tribunaux. « Nous pensons que les faits et la loi sont clairement de notre côté et que nous finirons par l'emporter. Le fait est que nous avons investi des milliards de dollars pour assurer la sécurité des données américaines et préserver notre plateforme de toute influence ou manipulation extérieure », a déclaré TikTok.
En 2021, alors qu'elle était confrontée à une interdiction des États-Unis par le président Trump de l'époque, TikTok a lancé une initiative visant à garder les données des utilisateurs américains à l'écart de ByteDance. L'entreprise a finalement repoussé l'interdiction, mais a poursuivi ce qui est connu sous le nom de Projet Texas, un effort de 1,5 milliard de dollars pour stocker les données des utilisateurs américains aux États-Unis dans un environnement cloud sécurisé hébergé par le géant de la technologie Oracle.
TikTok a déjà admis que certaines données de ses utilisateurs sont stockées en Chine
Dans une lettre adressée à deux sénateurs américains, la société a reconnu que des données spécifiques des créateurs, telles que des contrats et des documents connexes, sont stockées sur des serveurs chinois. Ces données comprennent des informations personnelles cruciales, notamment des numéros de sécurité sociale, des numéros d'identification fiscale et d'autres détails financiers.
TikTok a déclaré dans cette lettre qu’il définissait les créateurs comme des utilisateurs « qui entrent dans une relation commerciale » avec lui, comme les influenceurs qui créent du contenu payant pour l’application de diffusion de vidéos. Les contrats et les « documents connexes » de ces personnes sont conservés en dehors des États-Unis, a déclaré la société dans une lettre adressée à deux sénateurs américains. Des informations sur les créateurs, telles que les formulaires fiscaux et les numéros de sécurité sociale, sont stockées en Chine.
TikTok a précisé qu'il n'avait pas partagé ces données avec le gouvernement chinois, soulignant qu'il ne se conformerait pas à de telles demandes si elles étaient faites. Un porte-parole de la société a déclaré : « TikTok n’a pas été sollicité pour ces données par le gouvernement chinois ou le [Parti communiste chinois]. TikTok n’a pas fourni ces données au gouvernement chinois ou au PCC, et TikTok ne le ferait pas ». Néanmoins, cette révélation a suscité des inquiétudes quant à la sécurité de la plateforme et à la confidentialité des données des utilisateurs américains.
Les préoccupations ne se limitent pas aux États-Unis
En Europe, TikTok a été condamné à une amende de 5 millions d’euros par la CNIL, l’autorité française de protection des données, pour des violations de la vie privée liées à son site web.
Envoyé par Cnil
Entre mai 2020 et juin 2022, la CNIL a effectué plusieurs missions de contrôle en ligne sur le site web « tiktok.com » et sur pièces, c’est-à-dire sur la base de documents demandés à la société par la CNIL.
Les contrôles ont uniquement porté sur le site web de TIKTOK, dans un espace non authentifié, et non sur l’application mobile.
Sur la base des constatations effectuées lors des contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que les sociétés TIKTOK INFORMATION TECHNOLOGIES UK LIMITED (TIKTOK ROYAUME-UNI) et TIKTOK TECHNOLOGY LIMITED (TIKTOK IRLANDE) avaient manqué aux obligations prévues par l’article 82 de la loi Informatique et Libertés.
Le montant de cette amende a été décidé au regard des manquements retenus, du nombre de personnes concernées – notamment des mineurs - et des nombreuses communications antérieures de la CNIL sur le fait qu’il doit être aussi simple de refuser les cookies que de les accepter.
Les manquements à la loi Informatique et Libertés
Lors du contrôle effectué en juin 2021, la CNIL a constaté que si les sociétés TIKTOK ROYAUME-UNI et TIKTOK IRLANDE proposaient bien un bouton permettant d’accepter immédiatement les cookies, elles ne mettaient pas en place de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser aussi facilement leur dépôt. Plusieurs clics étaient nécessaires pour refuser tous les cookies, contre un seul pour les accepter.
La formation restreinte a considéré que rendre le mécanisme de refus plus complexe revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton « Tout accepter ». Elle en a conclu que ce procédé portait atteinte à la liberté du consentement des internautes et constituait une violation de l’article 82 de la loi Informatique et Libertés puisqu’il n’était pas aussi simple de refuser les cookies que de les accepter au moment du contrôle en ligne de juin 2021 et jusqu’à la mise en place d’un bouton « Tout refuser » en février 2022.
De plus, les utilisateurs n’étaient pas informés de façon suffisamment précise des finalités (objectifs) des cookies tant sur le bandeau d’informations au premier niveau que dans le cadre de l’interface de choix accessible après avoir cliqué sur un lien présent dans la bannière.
La formation restreinte a donc conclu à plusieurs manquements à l’article 82 de la loi Informatique et Libertés.
Les contrôles ont uniquement porté sur le site web de TIKTOK, dans un espace non authentifié, et non sur l’application mobile.
Sur la base des constatations effectuées lors des contrôles, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que les sociétés TIKTOK INFORMATION TECHNOLOGIES UK LIMITED (TIKTOK ROYAUME-UNI) et TIKTOK TECHNOLOGY LIMITED (TIKTOK IRLANDE) avaient manqué aux obligations prévues par l’article 82 de la loi Informatique et Libertés.
Le montant de cette amende a été décidé au regard des manquements retenus, du nombre de personnes concernées – notamment des mineurs - et des nombreuses communications antérieures de la CNIL sur le fait qu’il doit être aussi simple de refuser les cookies que de les accepter.
Les manquements à la loi Informatique et Libertés
Lors du contrôle effectué en juin 2021, la CNIL a constaté que si les sociétés TIKTOK ROYAUME-UNI et TIKTOK IRLANDE proposaient bien un bouton permettant d’accepter immédiatement les cookies, elles ne mettaient pas en place de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser aussi facilement leur dépôt. Plusieurs clics étaient nécessaires pour refuser tous les cookies, contre un seul pour les accepter.
La formation restreinte a considéré que rendre le mécanisme de refus plus complexe revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton « Tout accepter ». Elle en a conclu que ce procédé portait atteinte à la liberté du consentement des internautes et constituait une violation de l’article 82 de la loi Informatique et Libertés puisqu’il n’était pas aussi simple de refuser les cookies que de les accepter au moment du contrôle en ligne de juin 2021 et jusqu’à la mise en place d’un bouton « Tout refuser » en février 2022.
De plus, les utilisateurs n’étaient pas informés de façon suffisamment précise des finalités (objectifs) des cookies tant sur le bandeau d’informations au premier niveau que dans le cadre de l’interface de choix accessible après avoir cliqué sur un lien présent dans la bannière.
La formation restreinte a donc conclu à plusieurs manquements à l’article 82 de la loi Informatique et Libertés.
L’Union européenne a lancé un ultimatum de 24 heures à TikTok pour fournir une évaluation des risques concernant sa nouvelle application, TikTok Lite, qui a été discrètement lancée en France et en Espagne. Cette application permet aux utilisateurs de gagner des récompenses en regardant des vidéos, ce qui soulève des inquiétudes quant à son impact potentiel sur la protection des mineurs et la santé mentale des utilisateurs, notamment en ce qui concerne la stimulation possible de comportements addictifs.
Cette situation est particulièrement préoccupante pour les enfants, étant donné l'absence présumée de mécanismes efficaces de vérification de l'âge sur TikTok. L'absence de mécanismes efficaces de vérification de l'âge et le caractère addictif présumé des plateformes font déjà l'objet d'une enquête dans le cadre de la première procédure formelle engagée à l'encontre de TikTok.
La Commission européenne a réclamé, mercredi 17 avril 2024, à TikTok de lui fournir sous 24 heures des explications sur les risques liés au déploiement de sa nouvelle appli en France et en Espagne. Puis, le 22 avril, la Commission a ouvert une deuxième procédure formelle à l'encontre de TikTok en vertu de la loi sur les services numériques (DSA)
Conclusion
La situation actuelle soulève des questions cruciales sur la capacité de TikTok à protéger efficacement les données de ses utilisateurs et sur la confiance que l’on peut accorder à une entreprise dont la maison mère, ByteDance, est basée à Pékin. Alors que TikTok continue de nier tout lien étroit avec le Parti communiste chinois et tout risque pour les données des citoyens américains, la controverse persiste et alimente un débat mondial sur la sécurité des données et la souveraineté numérique.
Sources : Cnil, rapport du Congrès, NYT
Et vous ?
Quelle importance accordez-vous à la sécurité de vos données personnelles sur les plateformes sociales comme TikTok ? Pensez-vous que les entreprises technologiques sont suffisamment transparentes concernant l’utilisation et le partage de vos données ? Les efforts de TikTok pour isoler les données des utilisateurs américains vous semblent-ils suffisants ? Pourquoi ? Comment les révélations sur l’accès aux données par des employés en Chine influencent-elles votre perception de TikTok ? Quelles mesures concrètes TikTok devrait-elle prendre pour renforcer la confiance des utilisateurs en matière de protection des données ? La réglementation actuelle est-elle adéquate pour protéger les données des utilisateurs contre les accès non autorisés ? Quel rôle le gouvernement devrait-il jouer pour assurer la protection des données des citoyens sur les plateformes numériques ? En tant qu’utilisateur, quelles actions êtes-vous prêt à entreprendre pour sécuriser vos données en ligne ? 
