par Linda SEGHAIER, étudiante du Master 2 Droit des médias électroniques
« Parents, enfants et numérique », une étude réalisée par l’association OPEN a révélé qu’après la crise sanitaire la consommation numérique s’est accrue de 44 % pour les parents, contre 53 % pour les enfants. Le smartphone est devenu l’outil privilégié des mineurs, leur offrant un accès facile aux réseaux sociaux tels qu’Instagram, Facebook ou encore TikTok.
Selon le classement réalisé par data.ai, TikTok, devient l’application la plus téléchargée en 2023. Cette application a été créée en 2016 par la société chinoise ByteDanse et se définit comme une « application de divertissement » très populaire chez les plus jeunes.
Cependant, ce réseau soulève des préoccupations juridiques. Les défis liés à la désinformation, au cyberharcèlement, à la protection de la vie privée ou encore à l’accès des jeunes à des contenus inappropriés sont de plus en plus évidents.
À cet égard, il paraît primordial d’assurer la protection des données personnelles des mineurs sur TikTok. Pour ce faire, le réseau social, en tant que société traitant des données personnelles d’utilisateurs de l’UE, doit se conformer aux règles posées par le RGPD puisque son principal établissement en Europe se trouve en Irlande. La Data Protection Commission (DPC), l’autorité irlandaise de protection des données personnelles, est chargée de veiller à la protection des données personnelles des utilisateurs mineurs sur TikTok conformément au RGPD. Il est important de noter que, en vertu du RGPD, cette autorité peut infliger des sanctions financières significatives aux entreprises qui ne respectent pas les règles de protection des données des mineurs.
LES DONNÉES PERSONNELLES DES MINEURS EN DANGER SELON LA DATA PROTECTION COMMISSION
TikTok est un réseau social populaire auprès des jeunes, avec 150 millions d’utilisateurs aux États-Unis et 134 millions d’utilisateurs dans l’Union européenne. La popularité de cette filiale du géant chinois ByteDance s’explique par son algorithme addictif pour les plus jeunes utilisateurs. En effet, les utilisateurs peuvent regarder, créer ou encore partager des vidéos de durées variables « personnalisées » sans avoir à effectuer de recherche spécifique. À cet égard, TikTok procède à la collecte des données personnelles de ces utilisateurs, ce qui peut présenter un danger, notamment pour les plus jeunes d’entre eux. C’est pourquoi le règlement général sur la protection des données (RGPD) accorde une importance particulière à la protection des données personnelles des mineurs, car ils seraient « moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ».
À cet égard, courant 2021, des investigations portant sur le traitement des données personnelles des utilisateurs mineurs par TikTok ont été menées par la Data Protection Commission. Ces investigations portent sur la période comprise entre le 31 juillet et le 31 décembre 2020. La DPC créée en 1989 en vertu de la loi sur la protection des données de 1988, a décidé d’ouvrir une enquête pour évaluer les violations présumées du RGPD concernant le traitement des données personnelles des utilisateurs enfants par TikTok Technology Limited (TTL). Le 14 septembre 2021, la plateforme mondiale de divertissement a été informée de l’ouverture de cette enquête.
Plusieurs reproches sont adressées à TTL par l’autorité de régulation. En effet, l’autorité reproche au réseau social d’avoir laissé les profils d’utilisateurs mineurs en mode public par défaut, ce qui signifie que n’importe quel utilisateur de la plateforme est en mesure de voir le contenu partagé par le mineur.
De plus, selon la commission irlandaise, l’option « Family Pairing » est une fonctionnalité qui permet aux parents possédant un compte d’avoir le contrôle sur les activités de leurs enfants sur TikTok. Cette fonctionnalité est essentielle car il faut protéger les plus jeunes. Cependant, la commission reproche à la plateforme de ne pas vérifier si le compte est réellement détenu par le responsable légal du mineur.
Pour finir, l’autorité a examiné dans quelle mesure TTL respecte ses obligations de transparence en vertu du RGPD dans le contexte du traitement des données personnelles des utilisateurs de moins de 18 ans. Les différentes enquêtes ont permis de constater une opposition réelle ente les allégations de transparence de la part de TikTok et la réalité, qui est celle d’une opacité manifestement voulue. L’autorité reproche la mise en œuvre de « dark patterns » (modèles sombres) incitant les utilisateurs mineurs à choisir “des options plus intrusives pour leur vie privée” lors de l’inscription ou de la publication de vidéos.
LE PRONONCÉ D’UNE AMENDE RECORD POUR TIKTOK CONCERNANT LES DONNÉES PERSONNELLES DES MINEURS
La CNIL irlandaise a annoncé dans un communiqué que TikTok Technology Limited devra payer une amende administrative totale de 345 millions d’euros pour violation des dispositions du RGPD relatives à la vie privée des mineurs. Elle lui impose également de mettre ses opérations en conformité sous trois mois. Cette sanction intervient dans un contexte de renforcement des contrôles et procédures judiciaires de l’Union européenne, mais aussi aux États-Unis, contre TikTok et les GAFA (Google, Amazon, Facebook et Apple).
De manière générale, l’autorité de régulation reproche à TikTok de ne pas avoir suffisamment protégé les données personnelles des mineurs présentant sur la plateforme mettant en danger leur vie privée. Cette plateforme a été jugée « trop laxiste » par le passé donnant lieu à de nombreuses condamnations.
Cependant, les manquements de TikTok concernant le traitement des données des mineurs semblent être récurrents puisque la plate-forme a été sanctionnée financièrement plusieurs fois pour ce même motif. Ce fut le cas en 2019 aux États-Unis, où le réseau a écopé d’une amende de 5,7 millions de dollars, aux Pays Bas, avec une amende de 750.000 euros en 2021, et au Royaume-Uni en avril dernier, avec une amende de 12,7 millions de livres. En France, la CNIL a également condamné la plateforme à une amende de 5 millions d’euros pour ses pratiques concernant les cookies.
On peut alors se demander si les amendes administratives prononcées par les autorités de régulation au sein de l’UE sont réellement efficaces puisque malgré les anciennes condamnations, la plateforme ne semble pas totalement respecter les obligations prévues par le RGPD.
Mais la sanction prononcée par l’autorité irlandaise présente une particularité dans cette affaire qui est celle d’être beaucoup plus élevée que les anciennes, ce qui ne plaît pas à TikTok. En effet, l’autorité irlandaise a la possibilité de prononcer une amende pouvant aller jusqu’à 4 % du chiffre d’affaires global de la société incriminée. De plus, l’amende doit être proportionnée et ne pas dépasser ce qui est nécessaire pour atteindre l’objectif déclaré.
Le but de l’amende administrative est de faire respecter le RGPD en sanctionnant les infractions constatées et d’encourager la mise en place des mesures de conformité adéquates. Le prononcé d’une amende administrative vise également à dissuader les réseaux sociaux (Facebook, Instagram, TikTok) de commettre les mêmes infractions à l’avenir.
UNE SANCTION JUGÉE INAPPROPRIÉE PAR LA PLATEFORME COMPTE TENU DES MESURES MISES EN ŒUVRE
À l’issue de cette sanction, le réseau social a décidé de publier un communiqué de presse dans lequel elle se dit « en désaccord avec plusieurs aspects de sa décision, en particulier le montant de l’amende imposée et nous tenons à fournir quelques éléments de contexte importants et évaluons en même temps les prochaines étapes ». Un porte-parole auprès de l’AFP ajoute que « Les critiques de la DPC se concentrent sur des fonctionnalités et des paramètres qui étaient en place il y a trois ans, et que nous avons modifiés ». De plus, devant la commission d’enquête, Éric Garandeau (chargé de veiller au respect des lois) affirme que la priorité de TikTok est le bien-être, la sécurité et la protection des données de ses utilisateurs.
Pour TikTok, les conclusions ne sont plus pertinentes, car avant même le début de l’enquête, ils mirent en place différentes mesures pour protéger les mineurs. En effet, les comptes des utilisateurs de 13 à 15 ans sont désormais privés par défaut depuis janvier 2021. Avec un compte privé sur TikTok, seuls les abonnés acceptés par l’utilisateur peuvent visionner ou interagir avec le contenu créé par le titulaire du compte. Néanmoins, le titulaire d’un compte peut modifier ces paramètres par défaut en passant d’un compte privé à un compte public.
L’objectif du réseau social chinois est de permettre aux jeunes utilisateurs de prendre des décisions avisées et éclairées sur ce qu’ils partagent en ligne. Ce ne sont pas les seules modifications apportées puisque les personnes pouvant commenter les vidéos postées par un utilisateur de moins de 15 ans sont restreintes. Elle affirme également qu’elle a supprimé 17 millions de comptes potentiellement utilisés par des mineurs de moins de 13 ans au premier semestre 2023 dans le but de renforcer les mesures de protection des mineurs.
Elaine Fox, la responsable du respect de la vie privée de TikTok pour l’Europe, l’Afrique et le Moyen-Orient, affirme que « nous avons bien conscience que la protection des utilisateurs et de leur vie privée est un combat de chaque instant ». Cela est d’autant plus vrai que les réseaux sociaux sont régulièrement accusés d’avoir des effets néfastes sur les plus jeunes. Ceux-ci peuvent se trouver exposés à des contenus qui ne sont pas appropriés à leur âge sans avoir conscience des risques ; c’est pourquoi TikTok a procédé aux modifications mentionnées précédemment.
UNE DÉCISION SUJETTE À CONTROVERSE
À l’issue de son enquête, la DPC a soumis le 13 septembre 2022 un projet de décision à toutes les autorités de contrôle concernées. Le projet de décision proposait des constats de violation de l’article 5( 1)(c), 5(1)(f), 24(1), 25(1), 25(2), 12(1) et 13(1)(e) du RGPD. Cependant, des objections au projet de décision ont été soulevées par les autorités de surveillance de l’Italie et de Berlin.
L’autorité de protection des données de Berlin soulevait la violation du principe d’équité de l’article 5, paragraphe 1, point a) du RGPD en ce qui concerne les « dark patterns ». Cela signifie que des pratiques trompeuses étaient utilisées pour collecter les données personnelles des utilisateurs. Tandis que l’autorité de protection des données italienne visait à l’annulation de la proposition de la Data protection commission.
Cela permet de montrer qu’il existe une controverse entre les autorités de protection des données européennes concernant ces questions liées à la protection des données personnelles et aux dark patterns.
La DPC décide de soumettre ces objections à l’EDPB (European Data Protection Board) pour décision. L’EDPB a adopté sa décision contraignante le 2 août 2023, ordonnant à la DPC de modifier son projet de décision et d’y inclure la violation de plusieurs articles du RGPD.
SOURCES