TikTok a déclaré vendredi qu'il transférait les données des utilisateurs américains vers des serveurs Oracle stockés aux États-Unis. L'annonce de sa migration intervient à la suite d'un rapport accablant affirmant que le personnel de TikTok en Chine avait accès aux données de ses utilisateurs américains. Le rapport évoque les enregistrements de 80 réunions internes de TikTok qui ont été consultées et indique que les employés américains de TikTok ont questionné à plusieurs reprises leurs collègues en Chine pour comprendre comment les données des utilisateurs américains circulaient parce qu'ils n'avaient pas « l'autorisation ou la connaissance de la façon d'accéder aux données par eux-mêmes ».
Pendant des années, TikTok a répondu aux préoccupations en matière de confidentialité des données en promettant que les informations recueillies sur les utilisateurs aux États-Unis seraient stockées aux États-Unis, plutôt qu'en Chine, où se trouve ByteDance, la société mère de la plateforme vidéo. Mais selon les fuites audio de plus de 80 réunions internes de TikTok, les employés de ByteDance basés en Chine ont accédé à plusieurs reprises à des données non publiques sur les utilisateurs américains de TikTok – exactement le type de comportement qui a inspiré l'ancien président Donald Trump à menacer d'interdire l'application aux États-Unis.
Les enregistrements, qui ont été examinés par un quotidien américain, contiennent 14 déclarations de neuf employés différents de TikTok indiquant que les ingénieurs en Chine ont eu accès aux données américaines au moins entre septembre 2021 et janvier 2022. Malgré le témoignage sous serment d'un dirigeant de TikTok lors d'une audience au Sénat d'octobre 2021 selon lequel une « équipe de sécurité américaine de renommée mondiale » décide qui a accès à ces données, neuf déclarations de huit employés différents décrivent des situations où les employés américains ont dû se tourner vers leurs collègues en Chine pour déterminer comment les données des utilisateurs américains circulaient. Le personnel américain n'avait pas la permission ou ne savait pas comment accéder aux données par lui-même, selon les enregistrements.
« Tout se voit en Chine », a déclaré un membre du département Trust and Safety de TikTok lors d'une réunion en septembre 2021. Lors d'une autre réunion en septembre, un directeur a qualifié un ingénieur basé à Pékin de « maître administrateur » qui « a accès à tout ».
Les enregistrements vont de réunions en petits groupes avec des chefs d'entreprise et des consultants à des présentations de politiques et sont corroborés par des captures d'écran et d'autres documents, fournissant une grande quantité de preuves pour corroborer les rapports antérieurs d'employés basés en Chine accédant aux données des utilisateurs américains. Leur contenu montre que les données ont été consultées beaucoup plus fréquemment et récemment que précédemment, brossant un tableau riche des défis auxquels l'application de médias sociaux la plus populaire au monde a été confrontée pour tenter de séparer ses opérations américaines de celles de sa société mère à Pékin. En fin de compte, les enregistrements suggèrent que la société a peut-être induit en erreur les législateurs, ses utilisateurs et le public en minimisant le fait que les données stockées aux États-Unis pouvaient toujours être consultées par les employés en Chine.
En réponse à une liste exhaustive d'exemples et de questions sur l'accès aux données, la porte-parole de TikTok, Maureen Shanahan, a répondu par une courte déclaration : « Nous savons que nous sommes parmi les plateformes les plus examinées du point de vue de la sécurité, et nous visons à lever tout doute sur la sécurité des données des utilisateurs américains. C'est pourquoi nous embauchons des experts dans leurs domaines, travaillons continuellement pour valider nos normes de sécurité et faisons appel à des tiers indépendants et réputés pour tester nos défenses ».
Le Project Texas
En 2019, le Comité des investissements étrangers aux États-Unis a commencé à enquêter sur les implications pour la sécurité nationale de la collecte de données américaines par TikTok. Et en 2020, le président de l'époque, Donald Trump, a menacé d'interdire complètement l'application par crainte que le gouvernement chinois puisse utiliser ByteDance pour amasser des dossiers d'informations personnelles sur les utilisateurs américains de TikTok. La « collecte de données de TikTok menace de permettre au Parti communiste chinois d'accéder aux informations personnelles et exclusives des Américains », a écrit Trump dans son décret. TikTok a déclaré qu'il n'avait jamais partagé les données des utilisateurs avec le gouvernement chinois et qu'il ne le ferait pas si on le lui demandait.
La plupart des réunions enregistrées se concentrent sur la réponse de TikTok à ces préoccupations. La société tente actuellement de rediriger ses canaux afin que certaines données « protégées » ne puissent plus circuler hors des États-Unis vers la Chine, un effort connu en interne sous le nom de Project Texas. Dans les enregistrements, le Project Texas visait à mettre fin à la grande majorité des situations où le personnel basé en Chine avait accès aux données des utilisateurs américains.
Le projet Texas est la clé d'un contrat que TikTok négocie actuellement avec le fournisseur de services cloud Oracle et CFIUS. En vertu de l'accord CFIUS, TikTok conserverait les informations privées protégées des utilisateurs américains, comme les numéros de téléphone et les anniversaires, exclusivement dans un centre de données géré par Oracle au Texas (d'où le nom du projet). Ces données ne seraient accessibles que par des employés spécifiques de TikTok basés aux États-Unis. Les données considérées comme « protégées » sont toujours en cours de négociation, mais les enregistrements indiquent que toutes les données publiques, y compris les profils publics des utilisateurs et tout ce qu'ils publient, ne seront pas incluses.
L'annonce de TikTok
Peu de temps avant la publication de ce rapport, TikTok a publié un billet de blog annonçant qu'il avait changé « l'emplacement de stockage par défaut des données des utilisateurs américains » :
« TikTok stocke depuis longtemps les données des utilisateurs américains dans nos propres centres de données aux États-Unis et à Singapour. Notre centre de données de Virginie comprend des contrôles de sécurité physiques et logiques tels que des points d'entrée fermés, des pare-feu et des technologies de détection d'intrusion. Il est également important de maintenir des emplacements de stockage des données de sauvegarde pour se prémunir contre les scénarios catastrophiques où les données des utilisateurs pourraient être perdues, et notre centre de données à Singapour sert d'emplacement de stockage des données de sauvegarde pour nos utilisateurs américains.
« Depuis plus d'un an, nous travaillons avec Oracle sur plusieurs mesures dans le cadre de notre relation commerciale pour mieux protéger notre application, nos systèmes et la sécurité des données des utilisateurs américains. Nous avons maintenant franchi une étape importante dans ce travail : nous avons modifié l'emplacement de stockage par défaut des données des utilisateurs américains. Aujourd'hui, 100 % du trafic des utilisateurs américains est acheminé vers Oracle Cloud Infrastructure. Nous utilisons toujours nos centres de données aux États-Unis et à Singapour pour la sauvegarde, mais à mesure que nous poursuivons notre travail, nous prévoyons de supprimer les données privées des utilisateurs américains de nos propres centres de données et de basculer entièrement vers les serveurs cloud Oracle situés aux États-Unis.
« De plus, nous travaillons en étroite collaboration avec Oracle pour développer des protocoles de gestion de données qu'Oracle auditera et gérera pour donner aux utilisateurs encore plus de tranquillité d'esprit.
« Nous apportons également des changements opérationnels conformément à ce travail, y compris le nouveau département que nous avons récemment créé, avec une direction basée aux États-Unis, pour gérer uniquement les données des utilisateurs américains pour TikTok. Ensemble, ces changements renforceront les protections des employés, fourniront plus de garanties et minimiseront davantage le transfert de données en dehors des États-Unis. Il s'agit d'une orientation importante du point de vue de la sécurité des systèmes et des données, et une partie de notre objectif de préserver une expérience interconnectée pour notre communauté mondiale tout en créant une culture axée sur la sécurité ».
La crainte des législateurs que le gouvernement chinois puisse mettre la main sur les données américaines via ByteDance est enracinée dans la réalité que les entreprises chinoises sont soumises aux caprices du Parti communiste chinois autoritaire, qui a réprimé ses grandes enseignes locales de la technologie au fil des ans. Le risque est que le gouvernement puisse forcer ByteDance à collecter et à transmettre des informations comme une forme « d'espionnage de données ».
Il y a cependant une autre préoccupation : que le soft power du gouvernement chinois puisse avoir un impact sur la façon dont les dirigeants de ByteDance ordonnent à leurs homologues américains d'ajuster les leviers du puissant algorithme « For You » de TikTok, qui recommande des vidéos à ses plus d'un milliard d'utilisateurs. Le sénateur Ted Cruz, par exemple, a qualifié TikTok de « cheval de Troie que le Parti communiste chinois peut utiliser pour influencer ce que les Américains voient, entendent et finalement pensent ».
L'accent étroit de Project Texas sur la sécurité d'une tranche spécifique de données d'utilisateurs américains ne répond pas aux craintes que la Chine, via ByteDance, puisse utiliser TikTok pour influencer le comportement commercial, culturel ou politique des Américains.
« L'emplacement physique n'a pas d'importance si les données sont toujours accessibles depuis la Chine »
TikTok a indiqué dans ses billets de blog et des déclarations publiques qu'il stockait physiquement toutes les données sur ses utilisateurs américains aux États-Unis, avec des sauvegardes à Singapour. Cela atténue certains risques – la société affirme que ces données ne sont pas soumises à la loi chinoise – mais cela ne tient pas compte du fait que les employés basés en Chine peuvent accéder aux données, selon les experts.
« L'emplacement physique n'a pas d'importance si les données sont toujours accessibles depuis la Chine », a déclaré Adam Segal, directeur du programme de politique numérique et cyberespace au Council on Foreign Relations. Il a déclaré que « le problème serait que les données se retrouvent toujours entre les mains des services de renseignement chinois si les gens en Chine y avaient toujours accès ».
TikTok lui-même a reconnu son problème d'accès dans un billet de blog de 2020. « Notre objectif est de minimiser l'accès aux données entre les régions afin que, par exemple, les employés de la région APAC, y compris la Chine, aient un accès très minimal aux données des utilisateurs de l'UE et des États-Unis », a écrit Roland Cloutier, directeur de la sécurité de l'information de TikTok.
Le projet Texas, une fois terminé, est censé combler cette lacune en ne laissant filtrer qu'une quantité limitée de données. Mais de nombreux enregistrements audio révèlent les défis auxquels les employés ont été confrontés pour trouver et fermer les canaux permettant aux données de circuler des États-Unis vers la Chine.
Quatorze des enregistrements divulgués incluent des conversations avec ou à propos d'une équipe de consultants de Booz Allen Hamilton. L'un des consultants a déclaré aux employés de TikTok qu'ils avaient été recrutés en février 2021 pour aider à gérer la migration des données du projet Texas, et un directeur de TikTok a déclaré à d'autres employés de TikTok que les consultants relevaient du chef de la défense des données américaines de TikTok. Dans les enregistrements, les consultants étudient comment les données circulent via les outils internes de TikTok et ByteDance, y compris ceux utilisés pour la visualisation des données, la modération du contenu et la monétisation.
En septembre 2021, un consultant a déclaré à ses collègues : « J'ai l'impression qu'avec ces outils, il y a une porte dérobée pour accéder aux données des utilisateurs, c'est épuisant ».
Lorsqu'il lui a été demandé de commenter, la porte-parole de Booz Allen Hamilton, Jessica Klenk, a déclaré que quelque chose à propos des informations ci-dessus était incorrect, mais a refusé de préciser de quoi il s'agissait. « À ce stade, je ne suis pas en mesure de discuter davantage ou même de confirmer / nier notre relation avec un client. Mais je peux vous dire que ce que vous affirmez ici est inexact ».
De plus, quatre des enregistrements contiennent des conversations dans lesquelles les employés responsables de certains outils internes ne pouvaient pas comprendre quelles parties de ces outils fonctionnaient. Lors d'une réunion en novembre 2021, un scientifique des données a expliqué que pour de nombreux outils, « personne n'a vraiment documenté un mode d'emploi. Et il y a des éléments dans les outils dont personne ne sait à quoi ils servent ».
La complexité des systèmes internes de l'entreprise et la façon dont ils permettent aux données de circuler entre les États-Unis et la Chine soulignent les défis auxquels est confrontée l'équipe des services techniques des États-Unis, une nouvelle équipe d'ingénierie dédiée que TikTok a commencé à embaucher dans le cadre du projet Texas.
Trump avait donné sa bénédiction à un plan qui aurait donné TikTok au géant américain de la technologie Oracle avec des investissements de la centrale de distribution Walmart, mais cet accord n'a pas été approuvé à Pékin. Le nouveau décret exécutif de Biden a annulé le bannissement de TikTok aux USA et a appelé à « une analyse fondée sur des preuves pour faire face aux risques » des applications Internet contrôlées par des entités étrangères.
TikTok a révélé à la fin de l'année dernière qu'il comptait un milliard d'utilisateurs dans le monde.
Sources : TikTok, rapport
Et vous ?
Êtes-vous surpris par ce rapport ?
Que pensez-vous de la réponse de TikTok qui a décidé de transférer tout son trafic américain vers des serveurs Oracle ?
Que pensez-vous des propos d'Adam Segal qui pense que « L'emplacement physique n'a pas d'importance si les données sont toujours accessibles depuis la Chine » ?
Êtes-vous surpris par les propos du consultant qui a déclaré à ses collègues : « J'ai l'impression qu'avec ces outils, il y a une porte dérobée pour accéder aux données des utilisateurs » ?
Les données des utilisateurs US de TikTok ont été consultées en Chine malgré les démentis, selon un rapport.
Aussi, TikTok a annoncé le transfert de tout le trafic américain vers les serveurs Oracle
Les données des utilisateurs US de TikTok ont été consultées en Chine malgré les démentis, selon un rapport.
Aussi, TikTok a annoncé le transfert de tout le trafic américain vers les serveurs Oracle
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !