Enquête de la commission européenne sur l’usage des données personnelles des utilisateurs de TikTok

Le 21 novembre, la présidente de la commission européenne, Ursula Von der Leyen a indiqué dans un communiqué que plusieurs procédures venaient d’être initiées en Europe dans le but de vérifier si l’application TikTok a des pratiques conformes au règlement européen de protection des données personnelles.

Ces procédures sont notamment en cours en Irlande et aux Pays Bas où les autorités nationales de régulation ont commencé des investigations concernant le réseau social.

Ces procédures et ces déclarations en Europe sont notamment dues au fait que TikTok a avoué, début novembre, que des employés basés en Chine peuvent avoir accès à des données d’utilisateurs européens. Plus précisément, la société a expliqué que les données des utilisateurs européens sont stockées dans des serveurs à Singapour et aux USA mais que des employés chinois peuvent y avoir accès.

La société a déjà tenté de rassurer les autorités européennes en assurant que les données des utilisateurs restaient dans les serveurs aux USA et à Singapour et non sur des serveurs chinois. De plus, ByteDance qui est l’entreprise à qui appartient TikTok a assuré que tous les traitements des données personnelles se font dans le respect du RGPD.

Cependant, de nombreux experts ne sont pas convaincus et s’inquiètent pour les données personnelles des utilisateurs du réseau social. En effet, ByteDance entretient des rapports assez particuliers avec le gouvernement chinois puisque l’entreprise est membre de la fédération chinoise des sociétés de l’Internet et elle a été engagée par ses statuts à un soutien total au pouvoir local.

L’inquiétude peut paraître donc légitime quand on connaît l’appétence du régime chinois pour la collecte des données personnelles, que ce soit de manière légale ou non.

Il est aussi important de rajouter que la plateforme a un certain passif dans ce domaine. En effet, cette dernière avait été condamnée en 2019 par les autorités américaines à une amende record de 5,7 millions d’euros. Il s’agissait dans cette affaire d’une condamnation pour collecte illégale de données personnelles de mineurs. L’application n’en serait donc pas à son coup d’essai.

A l’heure actuelle, aucune sanction n’a été prononcée dans cette affaire et il faudra attendre la fin des instructions pour savoir si TikTok sera condamné ou non.

Les potentielles infractions commises par le réseau social

En l’espèce, il est reproché à l’application de transférer les données des utilisateurs européens hors de l’UE et que ces données soient potentiellement traitées par des employés en Chine.

Or, le transfert de données personnelles est une problématique traitée par le RGPD et notamment dans son chapitre 5.

En effet, c’est plus précisément l’article 45 qui explique dans quelles situations un transfert de données personnelles hors de l’UE est réalisable.

« Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l’organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d’autorisation spécifique. »

C’est donc la Commission qui est chargée de s’assurer qu’un pays ou qu’une organisation internationale a un niveau de protection adéquat qui va permettre le transfert de données à caractère personnel.

Lorsqu’elle évalue le caractère adéquat du niveau de protection, la Commission tient compte de nombreux éléments. Parmi ceux-ci, on trouve le respect des droits de l’homme et la législation pertinente du pays ou de l’organisation en question. En réalité, elle regarde tout d’abord si le pays a une législation concernant la protection des données personnelles et si c’est le cas alors elle l’analyse afin de constater si elle a des règles suffisamment protectrices ou non.

Ensuite, elle va regarder l’existence et le fonctionnement effectif d’une ou plusieurs autorités de contrôle indépendantes dans le pays tiers. Ce qui signifie qu’il faut une autorité de contrôle chargée de la protection des données et que celle-ci puisse assurer une protection des données suffisante aux yeux de la Commission.

Enfin, il s’agit de constater si le pays tiers ou l’organisation a pris des engagements internationaux dans ce domaine.

Si tous les critères sont respectés alors la Commission peut décider par voie d’actes d’exécution, qu’un pays tiers, un territoire ou une organisation internationale, assure un niveau de protection adéquat au sens de l’article 45 du RGPD.

Par conséquent, si la Chine remplit tous les critères énoncés, alors elle aurait un niveau de protection des données personnelles adéquat et le transfert de données à caractère personnel pourrait se faire sans illégalité et même s’il n’y a pas eu d’autorisation préalable.

En réalité, il est facilement vérifiable pour tout internaute de savoir si tel ou tel pays offre un niveau de protection adéquat des données personnelles. En effet, la Commission européenne a réalisé une classification des pays et de leur adéquation ou non à la protection des données personnelles. Cette classification est notamment matérialisée sur le site de la CNIL à l’aide d’une carte du monde.

En observant cette carte, on remarque donc que la Chine n’offre pas un niveau de protection adéquat selon la Commission. Dès lors, le transfert des données à caractère personnel d’utilisateurs européens est illicite.

Les sanctions encourues

Depuis 2018 et la mise en vigueur du RGPD les autorités administratives européennes ont vu leur pouvoir de sanction s’accroître. En effet, avant 2018 les amendes prononcées à l’encontre des entreprises en cas d’insuffisance quant à la protection des données personnelles des utilisateurs étaient plus que dérisoires.

De plus, elles étaient souvent prononcées envers des grosses sociétés qui préféraient payer une faible amende plutôt que de se conformer aux dispositions législatives.

Cependant, depuis que le RGPD est effectif les sanctions de la CNIL deviennent de plus en plus dissuasives et importantes. Maintenant les sanctions peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise selon quelle somme est la plus élevée.

Dans le cas du réseau social TikTok, la sanction choisie sera sans aucun doute le pourcentage par rapport au chiffre d’affaires. En effet, en 2021 la société a réalisé un chiffre d’affaires proche d’un milliard d’euros. La sanction prononcée pourrait donc avoisiner les 40 millions d’euros au maximum.

Sources :

CHAPITRE V – Transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales | CNIL

La protection des données dans le monde | CNIL

Données personnelles, influence de Pékin… Pourquoi TikTok inquiète l’Union européenne (rtl.fr)

TikTok : amende record de 5,7 millions de dollars pour collecte illégale de données de mineurs (latribune.fr)