TikTok : l’espion chinois de la jeunesse mondiale ?

Publié par le dans | Consulté 34 Fois

TikTok, victime juridique de son succès

Que ce soit pour chanter ou réaliser des scènes de ses films préférés en playback, que l’on soit un utilisateur commun ou une célébrité, que l’on y aille pour le plaisir ou le business : sur TikTok, tout le monde trouve son compte. La fréquentation de l’application TikTok, ou Douyin en Chine, a considérablement augmenté ces dernières années. L’application, créée en 2016 par la société chinoise ByteDance, représente aujourd’hui près de 732 millions d’utilisateurs mensuels, lui accordant la 7e place des applications les plus utilisées, après Messenger et WeChat. En à peine cinq ans, TikTok se place 5e parmi les plateformes préférées des utilisateurs. Seulement, comme toute plateforme qui gravit les échelons, TikTok a droit à son lot d’enquêtes.

Comment expliquer son succès ? L’application permet à chaque utilisateur de regarder ou de réaliser simplement de courtes vidéos « personnalisées » sans qu’il ne soit besoin de réaliser une recherche spécifique. La personnalisation du contenu s’effectuera en fonction des réactions du visionneur.

Comment expliquer les nombreuses enquêtes relatives à la plateforme ? Qui dit « personnalisation de contenu », dit « intelligence artificielle », dit « algorithme », dit « protection des données personnelles », dit « conformité ».

Condamnée par les Etats-Unis en 2019 à régler une amende de 5,7 millions de dollars, avant de faire face à une amende de 750 000 euros par la Dutch Data Protection Authority en juillet 2021, TikTok fait face à des questionnements concernant le traitement des données personnelles de ses utilisateurs. La CNIL puis la Data Protection Commission d’Irlande, Etat dans lequel la société devrait bientôt implanter un centre de données pour ses utilisateurs – ironie du sort –, lancent respectivement une enquête nationale pendant que l’UFC Que Choisir dépose, accompagnée d’une cinquantaine d’associations, une plainte groupée auprès de la Commission européenne, questionnant principalement le transfert des données personnelles des utilisateurs de la plateforme en Chine ainsi que la qualité de la protection accordée aux données personnelles des utilisateurs mineurs.

TikTok et le transfert non adéquat de données à caractère personnel vers la Chine 

La CNIL définit le « transfert » de données comme « toute communication, copie ou déplacement de données personnelle ayant vocation à être traitées dans un pays tiers à l’Union européenne ».

On entend par « donnée personnelle » toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. (RGPD, Art. 4)

En l’espèce, TikTok recueillerait les données personnelles « classiques » de ses utilisateurs afin d’évaluer le taux de visionnage, d’appréciation des contenus, mais pourrait également enregistrer le contenu copié-collé par l’utilisateur sur son appareil, même lorsque l’application est en arrière-plan. Quels genres de données peut alors recueillir la plateforme ? Des liens de vidéos que l’on aimerait visionner, articles du RGPD permettant d’alimenter nos notes d’actualité, mais également des numéros de téléphone, des identifiants ou mots de passe de nos comptes personnels (bancaire, de santé, FranceConnect, etc.). TikTok effectuerait un transfert de données dans son pays source, la Chine, que l’on peut, sans trop de difficulté géographique, qualifier de pays tiers à l’Union européenne.

Les transferts de données à caractère personnel ne peuvent avoir lieu, d’après l’article 44 du RGPD, que si les conditions posées par le règlement sont respectées. En consultant la carte des différents niveaux de protection des données des pays dans le monde, réalisée par la CNIL, on constate que la Chine « n’est pas reconnue comme adéquat par l’UE ».

Néanmoins, en cas d’absence d’adéquation, le RGPD prévoit dans son article 46 plusieurs possibilités, permettant à TikTok de pouvoir réaliser son transfert en toute conformité, sous certaines conditions.

La première de ces possibilités consiste en l’établissement de Binding Corporate Rules (BCR ou Règles d’entreprise contraignantes) destinées aux « entreprises privées de type multinationale, implantées dans plusieurs pays d’Europe et hors Union européenne ». Il s’agit alors pour l’entreprise de démontrer la réalisation de garanties appropriées et de la mise à disposition des personnes concernées de droits opposables et de voies de droit effectives. Il n’est pas nécessaire de bénéficier de l’autorisation de l’autorité de contrôle, l’entreprise doit s’assurer de respecter le Règlement en évaluant la nature du traitement, du transfert, de la finalité et des personnes concernées, en s’assurant que les droits fournis aux utilisateurs respectent les principes généraux du RGPD.

Une autre possibilité sera de mettre en place dans l’Etat tiers important les données des clauses contractuelles type (CTT) adoptée par la Commission européenne. De nouvelles CTT ont été adoptées le 4 juin 2021 avec une période de transition de trois mois, puis une durée supplémentaire de quinze mois.

Concernant TikTok, il s’agira donc pour les autorités de contrôle européennes de vérifier l’adéquation des BCR au RGPD ou du respect des CTT concernant le transfert des données à caractère personnel de ses utilisateurs vers la Chine. En cas de manquement aux dispositions européennes, la plateforme encourt une sanction pécuniaire équivalent à 4% de son chiffre d’affaires annuel mondial, soit 1,4 milliards de dollars. Nous assisterons peut-être à une version chinoise de l’affaire Schrems, dans laquelle la CJUE avait estimé le Privacy Shield américain comme inadéquat aux exigences européennes. De quoi inquiéter la plateforme, condamnée par l’Autorité hollandaise en juillet dernier pour absence de lisibilité des conditions d’utilisation de l’application et violation de la vie privée des mineurs.

TikTok, protecteur ou utilisateur des mineurs ?

L’enquête en cours par les différentes autorités de contrôle interroge la qualité de la protection accordée aux données à caractère personnel des utilisateurs mineurs de la plateforme.

Le mineur a droit au respect de sa vie privée et au droit d’être entendu, comme le disposent les articles 16 et 12 de la Convention Internationale des Droits de l’Enfant (CIDE) de 1989.

Dans le monde numérique, un traitement de données à caractère personnel est licite, d’après l’article 8, « lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant. ». En France, l’âge légal de consentement d’un traitement a été baissé à 15 ans. Lorsque l’enfant est âgé de moins de 13 ans, « Le responsable du traitement s’efforce raisonnablement de vérifier, en pareil cas, que le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant, compte tenu des moyens technologiques disponibles. ».

La CNIL constate que Tiktok est passé d’environ 30 % à presque 50 % d’utilisateurs chez les 11-18 ans de 2020 à 2021, qui seraient davantage autonomes dans leur utilisation des réseaux sociaux, insistant dès lors sur la nécessité d’encadrer la capacité d’agir des mineurs en ligne dans sa Recommandation du 9 juin 2021. Elle propose alors d’une part d’augmenter la responsabilité des mineurs âgés de plus de 15 ans en les qualifiant de capable de conclure des contrats ayant pour objet le traitement de leurs données à condition que « ces services soient adaptés aux publics mineurs qu’ils accueillent, ces traitements respectent strictement les règles fixées par le RGPD et la loi Informatique et Libertés, que le mineur soit informé de façon claire et adaptée sur les conditions d’utilisation de ses données et que les parents disposent d’une voie de recours pour demander la suppression du compte de leur enfant. »

Concernant la suppression du compte d’un mineur et plus particulièrement le droit d’oubli, cher à la vie numérique, le RGPD considère la minorité de la personne concernée au moment de la collecte de données personnelles comme un motif spécifique permettant leur effacement.

Les conditions d’utilisation de TikTok ne précisent en rien si les données des mineurs seront traitées différemment de celles des adultes. Concernant les mineurs de moins de 13 ans, la plateforme indique que l’accès leur est interdit et effectue une vérification, certes limitée mais tout de même existante, par inscription de la date de naissance de l’utilisateur. L’application a également mis en place une fonctionnalité « connexion famille » qui permet d’établir un contrôle parental sur la visibilité du contenu, le temps de visionnage ou encore la possibilité de communiquer avec des inconnus. La plateforme devra démontrer sa conformité au RGPD par le respect des règles applicables aux mineurs, risquant toujours une sanction pécuniaire équivalent à 4% de son chiffre d’affaires annuel mondial.

Le mode jeunesse : solution pour les réseaux sociaux ou contrôle orwellien de l’Etat ?

La CNIL propose également la mise en place d’une désactivation par défaut des systèmes de profilage des mineurs, l’interdiction des dispositifs d’incitation des mineurs à rester en ligne le plus longtemps possible, la publication par les sites et applications destinés aux jeunes de la liste de leurs engagements en matière de protection des données des mineurs dans un format compréhensible pour les enfants. Appliquées à TikTok, ces propositions reviendraient à rendre plus pédagogues et accessibles les informations concernant les conditions de confidentialité et d’utilisation de la plateforme, mais également à adapter le système du « scroll » pour les mineurs. Cette technique élaborée par Aza Raskin, qui a récemment démontré publiquement sa dangerosité, est en grande partie responsable du temps passé par les utilisateurs par les écrans.

Faut-il imposer de manière étatique un temps limité à la consultation des réseaux sociaux pour les mineurs afin d’éviter toute dérive ? C’est en tout cas la décision adoptée par la Chine pour Douyin, l’homologue chinois de TikTok. Tous les comptes d’utilisateurs âgés de moins de 14 ans seraient alors programmés en « mode jeunesse » sur lequel seraient diffusés des contenus adaptés à la jeunesse, comme on peut le retrouver sur la plateforme YouTube Kids. Néanmoins, cette restriction de liberté d’expression par l’Etat chinois sous-couvert d’une volonté de protection de la jeunesse apporte de nombreux questionnement sur l’avenir de la liberté d’agir.

Sources

LE MONDE :

Enquête ouverte en Europe contre TikTok, soupçonné de transférer les données de ses utilisateurs vers la Chine, Le Monde PIXELS, 15 septembre 2021.

La CNIL lance une enquête TikTok, Le Monde PIXELS, 11 août 2020.

Data Protection Commission, DPC launches two inquiries into TikTok concerning compliance with GDPR requirements relating to the processing of childrens’ personal data and transfers of data to China, 14 septembre 2021.

Charte dr. fond. UE, Art. 8.

Loi n°78-17 du 7 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

DUDH, 10 décembre 1948, Art. 12

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

Résolution du Parlement européen du 20 mai 2021 sur l’arrêt rendu par la Cour de justice de l’Union européenne le 16 juillet 2020 dans l’affaire C-311/18, Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems (« arrêt Schrems II ») (2020/2789(RSP)

CNIL, Recommandation 1 : encadrer la capacité d’agir des mineurs en ligne, 9 juin 2021

CNIL, Recommandation 2 : encourager les mineurs à exercer leurs droits, 9 juin 2021

Conseil constitutionnel, Décision nº 94-352 DC du 18 janvier 1995

CJUE 16 juill. 2020, DPC c. Facebook Ireland Ltd et M. Schrems, aff. C-311/18

Penetrum Security Analysis of TikTok versions 10.0.8 – 15.2.3

DELAUNAY (A.), Relations avec la Chine, espionnage des mineurs… Ce que l’on sait de la collecte de données par TikTok, Le Monde PIXELS, 21 juillet 2020.

FERAL-SCHUL (C.), CYBERDROIT, Le Droit à l’épreuve de l’Internet, Praxis-Dalloz, 8e édition 2020-2021

LONG (M.), PARAVANO (L.), SAURON (J-L),

Lignes directrices du CEPD et de la CNIL, JCP A, Lexis-Nexis, n°23 du 7 juin 2021, p. 24-25

Point sur les textes en cours et autres actualités pertinentes, JCP A, Lexis-Nexis, n°23 du 7 juin 2021, p. 24-25

MAISONNIER (A.), DUPUIS-BERNARD (R.), LETINIER (H.), La disparition numérique de son vivant, RJPF, n°9 du 1er septembre 2021, p.5-9.

SIGNORET (P.), Des applications accusées de ne pas suffisamment protéger les données des enfants, Le Monde PIXELS, 18 avril 2018.

SIX (N.), La Chine limite le temps d’utilisation de TikTok à 40 minutes par jour chez les moins de 14 ans, Le Monde PIXELS, 20 septembre 2021.

WAGNER (A.), CACHERA (F.), SAURON (J-L), Les nouvelles clauses contractuelles types de la Commission européenne : « Tout doit changer pour que rien ne change », RLDI, n°183 du 1er juillet 2021.