La mise à jour de la politique de confidentialité confirme que les données des utilisateurs du continent européen sont disponibles au sein de plusieurs bases de TikTok, notamment au Brésil, en Israël et aux États-UnisTikTok explique à ses utilisateurs européens que leurs données peuvent être consultées par des employés en dehors du continent, y compris en Chine, dans un contexte de préoccupations politiques et réglementaires concernant l'accès chinois aux informations des utilisateurs sur la plateforme. L'application de vidéo sociale appartenant à des Chinois met à jour sa politique de confidentialité pour confirmer que le personnel des pays, y compris la Chine, est autorisé à accéder aux données des utilisateurs pour s'assurer que leur expérience de la plateforme est « cohérente, agréable et sûre ».
Les autres pays où les données des utilisateurs européens peuvent être consultées par le personnel de TikTok sont le Brésil, le Canada et Israël ainsi que les États-Unis et Singapour, où les données des utilisateurs européens sont actuellement stockées.
La responsable de la confidentialité de TikTok en Europe, Elaine Fox, a déclaré : « Nous stockons actuellement les données des utilisateurs européens aux États-Unis et à Singapour. Sur la base d'un besoin démontré de faire leur travail, sous réserve d'une série de contrôles de sécurité et de protocoles d'approbation robustes, et au moyen de méthodes reconnues par le RGPD, nous permettons à certains employés de notre groupe d'entreprises situé au Brésil, au Canada, en Chine, en Israël, au Japon, en Malaisie, aux Philippines, à Singapour, en Corée du Sud et aux États-Unis d'accéder à distance aux données des utilisateurs européens de TikTok ».
Les données pourraient être utilisées pour effectuer des vérifications sur certains aspects de la plateforme, y compris les performances de ses algorithmes, qui recommandent du contenu aux utilisateurs et détectent les comptes automatisés vexatoires. TikTok a précédemment reconnu que certaines données des utilisateurs sont consultées par les employés de la société mère, ByteDance, en Chine.
Voici le communiqué entier :
Envoyé par Elaine Fox
À compter d'aujourd'hui, nous vous informons des mises à jour de notre politique de confidentialité pour l'Espace économique européen, le Royaume-Uni et la Suisse (collectivement « l'Europe »). Nous nous efforçons continuellement d'améliorer la divulgation d'informations pertinentes à nos utilisateurs et cette nouvelle mise à jour représente la poursuite de ce processus. Les mises à jour s'appliquent uniquement à notre politique de confidentialité pour l'Europe et incluent une plus grande transparence sur la manière dont nous partageons les informations des utilisateurs en dehors de l'Europe et sur la manière dont nous collectons les informations de localisation des utilisateurs.
Où stockons-nous les données utilisateur et qui peut y accéder
En nous appuyant sur nos travaux continus pour faire progresser la sécurité de nos données dans le monde, nous continuons à progresser dans notre approche de la gouvernance des données en Europe. Nos efforts se concentrent sur la limitation du nombre d'employés ayant accès aux données des utilisateurs européens, la minimisation des flux de données en dehors de la région et le stockage local des données des utilisateurs européens.
Alors que notre travail sur la gouvernance des données en Europe se poursuit, TikTok reste une communauté connectée de plus d'un milliard de personnes dans le monde. Afin d'exploiter une plateforme mondiale conçue pour partager du contenu joyeux, nous nous appuyons sur une main-d'œuvre mondiale pour garantir que l'expérience TikTok de notre communauté est cohérente, agréable et sûre.
Nous stockons actuellement les données des utilisateurs européens aux États-Unis et à Singapour. Sur la base d'un besoin démontré de faire leur travail, sous réserve d'une série de contrôles de sécurité et de protocoles d'approbation robustes, et au moyen de méthodes reconnues par le RGPD, nous permettons à certains employés de notre groupe d'entreprises situé au Brésil, au Canada, en Chine, en Israël, au Japon, en Malaisie, aux Philippines, à Singapour, en Corée du Sud et aux États-Unis d'accéder à distance aux données des utilisateurs européens de TikTok. Nos contrôles de sécurité comprennent les contrôles d'accès au système, le chiffrement et la sécurité du réseau.
Comment collectons-nous les informations de localisation ?
Notre politique de confidentialité mise à jour fournit également des informations sur les différentes manières dont les informations de localisation des utilisateurs européens peuvent être collectées. Par exemple, lorsque les utilisateurs créent une vidéo, ils peuvent choisir d'ajouter manuellement un emplacement à leur vidéo, comme des attractions touristiques ou d'autres points d'intérêt. Alternativement, ils peuvent choisir d'activer les services de localisation pour TikTok dans les paramètres de leur appareil pour permettre à TikTok de collecter des informations de localisation à partir de l'appareil. TikTok ne collecte pas d'informations de localisation précises, qu'elles soient basées sur la technologie GPS ou autre, auprès des utilisateurs en Europe.
TikTok s'efforce d'être ouvert et transparent sur la manière dont nous collectons et traitons les informations de nos utilisateurs. Nous continuerons à travailler pour gagner et instaurer la confiance avec notre communauté avec des mises à jour centrées sur la transparence de nos pratiques en matière de données et les investissements que nous réalisons dans les personnes, les processus et la technologie pour assurer la sécurité de notre communauté.
Où stockons-nous les données utilisateur et qui peut y accéder
En nous appuyant sur nos travaux continus pour faire progresser la sécurité de nos données dans le monde, nous continuons à progresser dans notre approche de la gouvernance des données en Europe. Nos efforts se concentrent sur la limitation du nombre d'employés ayant accès aux données des utilisateurs européens, la minimisation des flux de données en dehors de la région et le stockage local des données des utilisateurs européens.
Alors que notre travail sur la gouvernance des données en Europe se poursuit, TikTok reste une communauté connectée de plus d'un milliard de personnes dans le monde. Afin d'exploiter une plateforme mondiale conçue pour partager du contenu joyeux, nous nous appuyons sur une main-d'œuvre mondiale pour garantir que l'expérience TikTok de notre communauté est cohérente, agréable et sûre.
Nous stockons actuellement les données des utilisateurs européens aux États-Unis et à Singapour. Sur la base d'un besoin démontré de faire leur travail, sous réserve d'une série de contrôles de sécurité et de protocoles d'approbation robustes, et au moyen de méthodes reconnues par le RGPD, nous permettons à certains employés de notre groupe d'entreprises situé au Brésil, au Canada, en Chine, en Israël, au Japon, en Malaisie, aux Philippines, à Singapour, en Corée du Sud et aux États-Unis d'accéder à distance aux données des utilisateurs européens de TikTok. Nos contrôles de sécurité comprennent les contrôles d'accès au système, le chiffrement et la sécurité du réseau.
Comment collectons-nous les informations de localisation ?
Notre politique de confidentialité mise à jour fournit également des informations sur les différentes manières dont les informations de localisation des utilisateurs européens peuvent être collectées. Par exemple, lorsque les utilisateurs créent une vidéo, ils peuvent choisir d'ajouter manuellement un emplacement à leur vidéo, comme des attractions touristiques ou d'autres points d'intérêt. Alternativement, ils peuvent choisir d'activer les services de localisation pour TikTok dans les paramètres de leur appareil pour permettre à TikTok de collecter des informations de localisation à partir de l'appareil. TikTok ne collecte pas d'informations de localisation précises, qu'elles soient basées sur la technologie GPS ou autre, auprès des utilisateurs en Europe.
TikTok s'efforce d'être ouvert et transparent sur la manière dont nous collectons et traitons les informations de nos utilisateurs. Nous continuerons à travailler pour gagner et instaurer la confiance avec notre communauté avec des mises à jour centrées sur la transparence de nos pratiques en matière de données et les investissements que nous réalisons dans les personnes, les processus et la technologie pour assurer la sécurité de notre communauté.
Le président américain, Joe Biden, a annulé les décrets de son prédécesseur, Donald Trump, ordonnant la vente des activités américaines de TikTok, mais à leur place, il a demandé au département américain du commerce de produire des recommandations pour protéger les données des personnes aux États-Unis contre les « adversaires étrangers ». Le Comité des investissements étrangers aux États-Unis, qui examine les accords commerciaux avec des entreprises non américaines, procède également à un examen de la sécurité de TikTok.
Les transferts des données entre l'Europe et la Chine devraient être contrôlés pour des raisons de sécurité, selon un professeur en droits numériques
Le gendarme irlandais des données irlandais, qui a compétence sur TikTok dans toute l'UE, a également lancé une enquête sur les « transferts par TikTok de données personnelles vers la Chine ».
Michael Veale, professeur agrégé en droits numériques à l'University College de Londres, a déclaré qu'en vertu d'une récente décision de l'UE, les transferts de données entre l'Europe et la Chine devraient être contrôlés pour des raisons de sécurité : « Il est extrêmement difficile d'envoyer régulièrement des données d'utilisateurs de l'UE en Chine, car les contrats entre une entreprise chinoise et une entreprise européenne ne peuvent empêcher l'accès de l'État ».
En vertu d'un arrêt de la Cour de justice européenne baptisé Schrems II, certains transferts de données en dehors de l'UE doivent tenir compte du « niveau de protection », avec un accent particulier sur l'accès par les autorités de l'État, accordé aux données de l'utilisateur à l'autre bout.
Veale a déclaré que les lois chinoises sur les données pourraient soulever des questions sur la sécurité des transferts de données, même limités. Cependant, il a ajouté: « Je ne suis pas convaincu que le gouvernement chinois se concentre actuellement sur l'espionnage des données TikTok des individus. Ils disposent d'autres moyens pour obtenir des informations privées. Développer et approfondir une plateforme influente est en soi un objectif puissant ».
Dans un billet de blog l'année dernière, TikTok a déclaré qu'il était « aligné » sur l'orientation réglementaire définie par la décision Schrems II.
Au Royaume-Uni, l'Information Commissioner's Office, l'organisme de surveillance des données du pays, mène une consultation sur de nouvelles orientations pour les transferts de données après le Brexit. Cependant, le gouvernement a suspendu un nouveau projet de loi sur la réforme des données.
Le réseau social nage en eaux troubles au pays de l'oncle Sam
Pendant des années, TikTok a répondu aux préoccupations en matière de confidentialité des données en promettant que les informations recueillies sur les utilisateurs aux États-Unis seraient stockées aux États-Unis, plutôt qu'en Chine, où se trouve ByteDance, la société mère de la plateforme vidéo. Mais, en juin, selon les fuites audio de plus de 80 réunions internes de TikTok, les employés de ByteDance basés en Chine ont accédé à plusieurs reprises à des données non publiques sur les utilisateurs américains de TikTok – exactement le type de comportement qui a inspiré l'ancien président Donald Trump à menacer d'interdire l'application aux États-Unis.
Les enregistrements, qui ont été examinés par un quotidien américain, contiennent 14 déclarations de neuf employés différents de TikTok indiquant que les ingénieurs en Chine ont eu accès aux données américaines au moins entre septembre 2021 et janvier 2022. Malgré le témoignage sous serment d'un dirigeant de TikTok lors d'une audience au Sénat d'octobre 2021 selon lequel une « équipe de sécurité américaine de renommée mondiale » décide qui a accès à ces données, neuf déclarations de huit employés différents décrivent des situations où les employés américains ont dû se tourner vers leurs collègues en Chine pour déterminer comment les données des utilisateurs américains circulaient. Le personnel américain n'avait pas la permission ou ne savait pas comment accéder aux données par lui-même, selon les enregistrements.
« Tout se voit en Chine », a déclaré un membre du département Trust and Safety de TikTok lors d'une réunion en septembre 2021. Lors d'une autre réunion en septembre, un directeur a qualifié un ingénieur basé à Pékin de « maître administrateur » qui « a accès à tout ».
Les enregistrements vont de réunions en petits groupes avec des chefs d'entreprise et des consultants à des présentations de politiques et sont corroborés par des captures d'écran et d'autres documents, fournissant une grande quantité de preuves pour corroborer les rapports antérieurs d'employés basés en Chine accédant aux données des utilisateurs américains. Leur contenu montre que les données ont été consultées beaucoup plus fréquemment et récemment que précédemment, brossant un tableau riche des défis auxquels l'application de médias sociaux la plus populaire au monde a été confrontée pour tenter de séparer ses opérations américaines de celles de sa société mère à Pékin. En fin de compte, les enregistrements suggèrent que la société a peut-être induit en erreur les législateurs, ses utilisateurs et le public en minimisant le fait que les données stockées aux États-Unis pouvaient toujours être consultées par les employés en Chine.
En réponse à une liste exhaustive d'exemples et de questions sur l'accès aux données, la porte-parole de TikTok, Maureen Shanahan, a répondu par une courte déclaration : « Nous savons que nous sommes parmi les plateformes les plus examinées du point de vue de la sécurité, et nous visons à lever tout doute sur la sécurité des données des utilisateurs américains. C'est pourquoi nous embauchons des experts dans leurs domaines, travaillons continuellement pour valider nos normes de sécurité et faisons appel à des tiers indépendants et réputés pour tester nos défenses ».
Peu de temps avant la publication de ce rapport, TikTok a publié un billet de blog annonçant qu'il avait changé « l'emplacement de stockage par défaut des données des utilisateurs américains » :
« TikTok stocke depuis longtemps les données des utilisateurs américains dans nos propres centres de données aux États-Unis et à Singapour. Notre centre de données de Virginie comprend des contrôles de sécurité physiques et logiques tels que des points d'entrée fermés, des pare-feu et des technologies de détection d'intrusion. Il est également important de maintenir des emplacements de stockage des données de sauvegarde pour se prémunir contre les scénarios catastrophiques où les données des utilisateurs pourraient être perdues, et notre centre de données à Singapour sert d'emplacement de stockage des données de sauvegarde pour nos utilisateurs américains.
« Depuis plus d'un an, nous travaillons avec Oracle sur plusieurs mesures dans le cadre de notre relation commerciale pour mieux protéger notre application, nos systèmes et la sécurité des données des utilisateurs américains. Nous avons maintenant franchi une étape importante dans ce travail : nous avons modifié l'emplacement de stockage par défaut des données des utilisateurs américains. Aujourd'hui, 100 % du trafic des utilisateurs américains est acheminé vers Oracle Cloud Infrastructure. Nous utilisons toujours nos centres de données aux États-Unis et à Singapour pour la sauvegarde, mais à mesure que nous poursuivons notre travail, nous prévoyons de supprimer les données privées des utilisateurs américains de nos propres centres de données et de basculer entièrement vers les serveurs cloud Oracle situés aux États-Unis ».
« L'emplacement physique n'a pas d'importance si les données sont toujours accessibles depuis la Chine »
TikTok a indiqué dans ses billets de blog et des déclarations publiques qu'il stockait physiquement toutes les données sur ses utilisateurs américains aux États-Unis, avec des sauvegardes à Singapour. Cela atténue certains risques – la société affirme que ces données ne sont pas soumises à la loi chinoise – mais cela ne tient pas compte du fait que les employés basés en Chine peuvent accéder aux données, selon les experts.
« L'emplacement physique n'a pas d'importance si les données sont toujours accessibles depuis la Chine », a déclaré Adam Segal, directeur du programme de politique numérique et cyberespace au Council on Foreign Relations. Il a déclaré que « le problème serait que les données se retrouvent toujours entre les mains des services de renseignement chinois si les gens en Chine y avaient toujours accès ».
TikTok lui-même a reconnu son problème d'accès dans un billet de blog de 2020. « Notre objectif est de minimiser l'accès aux données entre les régions afin que, par exemple, les employés de la région APAC, y compris la Chine, aient un accès très minimal aux données des utilisateurs de l'UE et des États-Unis », a écrit Roland Cloutier, directeur de la sécurité de l'information de TikTok.
Source : TikTok (1, 2)
Et vous ?
Quelle lecture en faites-vous ? Selon vous, TikTok est-il un outil de surveillance de Pékin comme le prétendent les Américains ? Que pensez-vous des applications américaines de médias sociaux ? Posent-elles des préoccupations en matière de sécurité nationale pour la France et les autres pays ? 
