ByteDance, la maison-mère de TikTok, prévoyait d'utiliser TikTok pour surveiller l'emplacement physique de certains individus. Le projet, confié à une équipe dirigée par Pékin, aurait impliqué l'accès aux données de localisation des appareils de certains utilisateurs à leur insu ou sans leur consentement.Une équipe basée en Chine de la société mère de TikTok, ByteDance, prévoyait d'utiliser l'application TikTok pour surveiller l'emplacement personnel de certains citoyens américains spécifiques, selon des documents examinés par les médias. L'équipe derrière le projet de surveillance (le département d'audit interne et de contrôle des risques de ByteDance) est dirigée par Song Ye, cadre basé à Pékin, qui rend compte au cofondateur et PDG de ByteDance, Rubo Liang.
L'équipe mène principalement des enquêtes sur les fautes potentielles des employés actuels et anciens de ByteDance. Mais dans au moins deux cas, l'équipe d'audit interne a également prévu de collecter des données TikTok sur l'emplacement d'un citoyen américain qui n'avait jamais eu de relation de travail avec l'entreprise, selon les documents. Il n'est pas clair d'après les documents si des données sur ces Américains ont été réellement collectées; cependant, le plan était qu'une équipe ByteDance basée à Pékin obtienne des données de localisation à partir des appareils des utilisateurs américains.
La porte-parole de TikTok, Maureen Shanahan, a déclaré que TikTok collecte des informations de localisation approximatives basées sur les adresses IP des utilisateurs pour « entre autres, aider à montrer du contenu et des publicités pertinents aux utilisateurs, se conformer aux lois applicables, et détecter et prévenir la fraude et les comportements inauthentiques ».
Mais le matériel examiné par les médias indique que l'équipe d'audit interne de ByteDance prévoyait d'utiliser ces informations de localisation pour surveiller les citoyens américains individuels, et non pour cibler des publicités ou l'une de ces autres fins. Le quotidien derrière le rapport a indiqué qu'il ne divulgue pas la nature et le but de la surveillance prévue référencée dans les documents afin de protéger ses sources. TikTok et ByteDance n'ont pas répondu aux questions de savoir si l'audit interne avait spécifiquement ciblé des membres du gouvernement américain, des militants, des personnalités publiques ou des journalistes.
TikTok et le Comité du Département du Trésor sur les investissements étrangers aux États-Unis (CFIUS)
L'administration Biden et TikTok ont ​​rédigé un accord préliminaire pour résoudre les problèmes de sécurité nationale posés par l'application vidéo appartenant à des Chinois, mais font face à des obstacles sur les conditions, alors que la plateforme négocie pour continuer à fonctionner aux États-Unis sans changements majeurs dans sa structure de propriété, selon le New York Times.
Le quotidien a rapporté que TikTok et le Comité du Département du Trésor sur les investissements étrangers aux États-Unis (CFIUS pour Committee on Foreign Investment in the United States) étaient sur le point de signer un accord préliminaire à ce sujet. CFIUS évalue les risques pour la sécurité nationale posés par les entreprises à capitaux étrangers et a enquêté pour savoir si la propriété chinoise de l'entreprise pourrait permettre au gouvernement chinois d'accéder aux informations personnelles des utilisateurs américains de TikTok.
En septembre, le président Biden a signé un décret exécutif énumérant les risques spécifiques que le CFIUS devrait prendre en compte lors de l'évaluation des sociétés à capitaux étrangers. L'ordonnance, qui précise qu'elle entend « souligner... les risques présentés par l'accès d'adversaires étrangers aux données des personnes aux États-Unis », se concentre spécifiquement sur l'utilisation potentielle des données par les entreprises étrangères « pour la surveillance, le traçage, le suivi et le ciblage d'individus ou de groupes d'individus, avec des impacts négatifs potentiels sur la sécurité nationale ».
L'équipe d'audit interne et de contrôle des risques mène des audits et des enquêtes réguliers sur les employés de TikTok et ByteDance, pour des infractions telles que les conflits d'intérêts et l'utilisation abusive des ressources de l'entreprise, ainsi que pour les fuites d'informations confidentielles. Les documents internes examinés par les médias montrent que des cadres supérieurs, dont le PDG de TikTok, Shou Zi Chew, ont ordonné à l'équipe d'enquêter sur des employés individuels, et qu'elle a enquêté sur des employés même après leur départ de l'entreprise.
L'équipe d'audit interne utilise un système de demande de données connu des employés sous le nom de « canal vert », selon des documents et des enregistrements de Lark, le logiciel de gestion de bureau interne de ByteDance. Ces documents et enregistrements montrent que les demandes d'informations sur les employés américains du «*canal vert*» ont conduit à une publication de ces données en Chine continentale.
« Comme la plupart des entreprises de notre taille, nous avons une fonction d'audit interne chargée d'auditer et d'évaluer objectivement l'adhésion de l'entreprise et de nos employés à nos codes de conduite », a déclaré la porte-parole de ByteDance, Jennifer Banks, dans un communiqué. « Cette équipe fournit ses recommandations à l'équipe de direction ».
ByteDance n'est pas la première entreprise à avoir envisagé d'utiliser une application pour surveiller des utilisateurs spécifiques
En 2017, le New York Times a rapporté qu'Uber avait identifié divers politiciens et régulateurs locaux et leur avait servi une version distincte et trompeuse de l'application Uber pour éviter les sanctions réglementaires. À l'époque, Uber a reconnu qu'il avait exécuté le programme appelé greyball, mais a déclaré qu'il était utilisé pour refuser les demandes de transport à « des opposants qui s'entendent avec des fonctionnaires pour piéger les conducteurs », entre autres groupes.
TikTok n'a pas répondu aux questions de savoir s'il a déjà servi un contenu ou des expériences différents aux responsables gouvernementaux, aux régulateurs, aux militants ou aux journalistes différents du contenu et des expériences du grand public sur l'application TikTok.
Uber et Facebook auraient également suivi l'emplacement des journalistes faisant des reportages sur leurs applications. Une enquête menée en 2015 par l'Electronic Privacy Information Center a révélé qu'Uber avait surveillé l'emplacement des journalistes couvrant des actualités sur l'entreprise. Uber n'a pas spécifiquement répondu à cette affirmation. Le livre paru en 2021 An Ugly Truth allègue que Facebook a fait la même chose, dans le but d'identifier les sources des journalistes. Facebook n'a pas répondu directement aux affirmations du livre, mais un porte-parole a déclaré au San Jose Mercury News en 2018 que, comme d'autres entreprises, Facebook « utilise régulièrement les dossiers commerciaux dans les enquêtes sur le lieu de travail ».
Mais un facteur important distingue la collecte prévue par ByteDance d'informations sur les utilisateurs privés de ces cas : TikTok a récemment déclaré aux législateurs que l'accès à certaines données d'utilisateurs américains - y compris probablement l'emplacement - sera « limité uniquement au personnel autorisé, conformément aux protocoles en cours d'élaboration avec les États-Unis ». TikTok et ByteDance n'ont pas répondu aux questions de savoir si le responsable de l'audit interne Song Ye ou d'autres membres du département sont du « personnel autorisé » aux fins de ces protocoles.
Ces promesses font partie du projet Texas, l'effort massif de TikTok pour reconstruire ses systèmes internes afin que les employés basés en Chine ne puissent pas accéder à une bande de données d'identification « protégées » sur les utilisateurs américains de TikTok, y compris leurs numéros de téléphone, dates d'anniversaire et brouillons de vidéos. Cet effort est au cœur des négociations de sécurité nationale de l'entreprise avec le CFIUS.
TikTok assure que le prochain accord avec le CFIUS va répondre aux préoccupations de sécurité nationale
Lors d'une audience au Sénat en septembre, la directrice de l'exploitation de TikTok, Vanessa Pappas, a déclaré que le prochain contrat du CFIUS « répondrait à toutes les préoccupations de sécurité nationale » concernant l'application. Pourtant, certains sénateurs semblaient sceptiques. En juillet, la commission sénatoriale du renseignement a ouvert une enquête pour savoir si TikTok avait induit les législateurs en erreur en dissimulant des informations sur l'accès des employés basés en Chine aux données américaines plus tôt cette année, à la suite d'un rapport de juin indiquant que les données des utilisateurs américains avaient été consultées à plusieurs reprises par les employés de ByteDance en Chine.
Dans une déclaration sur les contrôles d'accès aux données de TikTok, le porte-parole de TikTok, Shanahan, a déclaré que la société utilise des outils tels que le chiffrement et la « surveillance de la sécurité » pour assurer la sécurité des données, que l'approbation d'accès est supervisée par le personnel américain et que les employés ont accès aux données américaines « sur la base des besoins ».
On ne sait pas quel rôle l'équipe d'audit interne de ByteDance jouera dans les efforts de TikTok pour limiter l'accès des employés basés en Chine aux données des utilisateurs américains, en particulier compte tenu des plans de l'équipe pour surveiller les emplacements de certains citoyens américains à l'aide de l'application TikTok. Mais une évaluation des risques de fraude rédigée par un membre de l'équipe fin 2021 a mis en évidence des problèmes de stockage des données, affirmant que selon les employés responsables des données de l'entreprise, « il est impossible d'empêcher que des données qui ne devraient pas être stockées en Chine soient conservées en Chine », même après que ByteDance ait mis en place un centre de stockage principal à Singapour. Précisons que les données de Lark sont enregistrées en Chine.
De plus, une conversation audio divulguée de janvier 2022 montre que l'équipe basée à Pékin recueillait, à ce moment-là, des informations supplémentaires sur le projet Texas. Lors de l'appel, un membre de l'équipe américaine Trust & Safety de TikTok a raconté une conversation inhabituelle à son responsable*: l'employé avait été invité par Chris Lepitak, auditeur interne en chef de TikTok, à le rencontrer dans un restaurant de la région de LA en dehors des heures d'ouverture. Lepitak, qui relève de Song Ye, basé à Pékin, a ensuite posé à l'employé des questions détaillées sur l'emplacement et les détails du serveur Oracle qui est au cœur des plans de TikTok visant à limiter l'accès étranger aux données personnelles des utilisateurs américains. L'employé a dit à son supérieur qu'il était « paniqué » par l'échange.
Le porte-parole d'Oracle, Ken Glueck, a déclaré que bien que TikTok utilise actuellement les services cloud d'Oracle, « nous n'avons absolument aucune idée d'une manière ou d'une autre » sur qui peut accéder aux données des utilisateurs de TikTok. « Aujourd'hui, TikTok fonctionne dans le cloud Oracle, mais tout comme Bank of America, General Motors et un million d'autres clients, ils ont le contrôle total de tout ce qu'ils font », a-t-il déclaré.
Quoi qu'il en soit, dans une déclaration à Bloomberg publiée, la porte-parole de TikTok, Brooke Oberwetter, a déclaré: « Nous sommes convaincus que nous sommes sur la bonne voie pour satisfaire pleinement toutes les préoccupations raisonnables de sécurité nationale des États-Unis ».
Sources : New York Times, décret exécutif
Et vous ?
Êtes-vous surpris de savoir que ByteDance a prévu de se servir de TikTok pour surveiller l'emplacement physique de certains individus ? Est-il, selon vous, possible que ce schéma ait lieu dans d'autres pays comme la France ? 
Envoyé par ilyos
