TikTok explique à ses utilisateurs européens que leurs données peuvent être consultées par des employés en dehors du continent, y compris en Chine, dans un contexte de préoccupations politiques et réglementaires concernant l'accès chinois aux informations des utilisateurs sur la plateforme. L'application de vidéo sociale appartenant à des Chinois met à jour sa politique de confidentialité pour confirmer que le personnel des pays, y compris la Chine, est autorisé à accéder aux données des utilisateurs pour s'assurer que leur expérience de la plateforme est « cohérente, agréable et sûre ».
Les autres pays où les données des utilisateurs européens peuvent être consultées par le personnel de TikTok sont le Brésil, le Canada et Israël ainsi que les États-Unis et Singapour, où les données des utilisateurs européens sont actuellement stockées.
La responsable de la confidentialité de TikTok en Europe, Elaine Fox, a déclaré : « Nous stockons actuellement les données des utilisateurs européens aux États-Unis et à Singapour. Sur la base d'un besoin démontré de faire leur travail, sous réserve d'une série de contrôles de sécurité et de protocoles d'approbation robustes, et au moyen de méthodes reconnues par le RGPD, nous permettons à certains employés de notre groupe d'entreprises situé au Brésil, au Canada, en Chine, en Israël, au Japon, en Malaisie, aux Philippines, à Singapour, en Corée du Sud et aux États-Unis d'accéder à distance aux données des utilisateurs européens de TikTok ».
Les données pourraient être utilisées pour effectuer des vérifications sur certains aspects de la plateforme, y compris les performances de ses algorithmes, qui recommandent du contenu aux utilisateurs et détectent les comptes automatisés vexatoires. TikTok a précédemment reconnu que certaines données des utilisateurs sont consultées par les employés de la société mère, ByteDance, en Chine.
Voici le communiqué entier :
Envoyé par Elaine Fox
Le président américain, Joe Biden, a annulé les décrets de son prédécesseur, Donald Trump, ordonnant la vente des activités américaines de TikTok, mais à leur place, il a demandé au département américain du commerce de produire des recommandations pour protéger les données des personnes aux États-Unis contre les « adversaires étrangers ». Le Comité des investissements étrangers aux États-Unis, qui examine les accords commerciaux avec des entreprises non américaines, procède également à un examen de la sécurité de TikTok.
Les transferts des données entre l'Europe et la Chine devraient être contrôlés pour des raisons de sécurité, selon un professeur en droits numériques
Le gendarme irlandais des données irlandais, qui a compétence sur TikTok dans toute l'UE, a également lancé une enquête sur les « transferts par TikTok de données personnelles vers la Chine ».
Michael Veale, professeur agrégé en droits numériques à l'University College de Londres, a déclaré qu'en vertu d'une récente décision de l'UE, les transferts de données entre l'Europe et la Chine devraient être contrôlés pour des raisons de sécurité : « Il est extrêmement difficile d'envoyer régulièrement des données d'utilisateurs de l'UE en Chine, car les contrats entre une entreprise chinoise et une entreprise européenne ne peuvent empêcher l'accès de l'État ».
En vertu d'un arrêt de la Cour de justice européenne baptisé Schrems II, certains transferts de données en dehors de l'UE doivent tenir compte du « niveau de protection », avec un accent particulier sur l'accès par les autorités de l'État, accordé aux données de l'utilisateur à l'autre bout.
Veale a déclaré que les lois chinoises sur les données pourraient soulever des questions sur la sécurité des transferts de données, même limités. Cependant, il a ajouté: « Je ne suis pas convaincu que le gouvernement chinois se concentre actuellement sur l'espionnage des données TikTok des individus. Ils disposent d'autres moyens pour obtenir des informations privées. Développer et approfondir une plateforme influente est en soi un objectif puissant ».
Dans un billet de blog l'année dernière, TikTok a déclaré qu'il était « aligné » sur l'orientation réglementaire définie par la décision Schrems II.
Au Royaume-Uni, l'Information Commissioner's Office, l'organisme de surveillance des données du pays, mène une consultation sur de nouvelles orientations pour les transferts de données après le Brexit. Cependant, le gouvernement a suspendu un nouveau projet de loi sur la réforme des données.
Le réseau social nage en eaux troubles au pays de l'oncle Sam
Pendant des années, TikTok a répondu aux préoccupations en matière de confidentialité des données en promettant que les informations recueillies sur les utilisateurs aux États-Unis seraient stockées aux États-Unis, plutôt qu'en Chine, où se trouve ByteDance, la société mère de la plateforme vidéo. Mais, en juin, selon les fuites audio de plus de 80 réunions internes de TikTok, les employés de ByteDance basés en Chine ont accédé à plusieurs reprises à des données non publiques sur les utilisateurs américains de TikTok – exactement le type de comportement qui a inspiré l'ancien président Donald Trump à menacer d'interdire l'application aux États-Unis.
Les enregistrements, qui ont été examinés par un quotidien américain, contiennent 14 déclarations de neuf employés différents de TikTok indiquant que les ingénieurs en Chine ont eu accès aux données américaines au moins entre septembre 2021 et janvier 2022. Malgré le témoignage sous serment d'un dirigeant de TikTok lors d'une audience au Sénat d'octobre 2021 selon lequel une « équipe de sécurité américaine de renommée mondiale » décide qui a accès à ces données, neuf déclarations de huit employés différents décrivent des situations où les employés américains ont dû se tourner vers leurs collègues en Chine pour déterminer comment les données des utilisateurs américains circulaient. Le personnel américain n'avait pas la permission ou ne savait pas comment accéder aux données par lui-même, selon les enregistrements.
« Tout se voit en Chine », a déclaré un membre du département Trust and Safety de TikTok lors d'une réunion en septembre 2021. Lors d'une autre réunion en septembre, un directeur a qualifié un ingénieur basé à Pékin de « maître administrateur » qui « a accès à tout ».
Les enregistrements vont de réunions en petits groupes avec des chefs d'entreprise et des consultants à des présentations de politiques et sont corroborés par des captures d'écran et d'autres documents, fournissant une grande quantité de preuves pour corroborer les rapports antérieurs d'employés basés en Chine accédant aux données des utilisateurs américains. Leur contenu montre que les données ont été consultées beaucoup plus fréquemment et récemment que précédemment, brossant un tableau riche des défis auxquels l'application de médias sociaux la plus populaire au monde a été confrontée pour tenter de séparer ses opérations américaines de celles de sa société mère à Pékin. En fin de compte, les enregistrements suggèrent que la société a peut-être induit en erreur les législateurs, ses utilisateurs et le public en minimisant le fait que les données stockées aux États-Unis pouvaient toujours être consultées par les employés en Chine.
En réponse à une liste exhaustive d'exemples et de questions sur l'accès aux données, la porte-parole de TikTok, Maureen Shanahan, a répondu par une courte déclaration : « Nous savons que nous sommes parmi les plateformes les plus examinées du point de vue de la sécurité, et nous visons à lever tout doute sur la sécurité des données des utilisateurs américains. C'est pourquoi nous embauchons des experts dans leurs domaines, travaillons continuellement pour valider nos normes de sécurité et faisons appel à des tiers indépendants et réputés pour tester nos défenses ».
Peu de temps avant la publication de ce rapport, TikTok a publié un billet de blog annonçant qu'il avait changé « l'emplacement de stockage par défaut des données des utilisateurs américains » :
« TikTok stocke depuis longtemps les données des utilisateurs américains dans nos propres centres de données aux États-Unis et à Singapour. Notre centre de données de Virginie comprend des contrôles de sécurité physiques et logiques tels que des points d'entrée fermés, des pare-feu et des technologies de détection d'intrusion. Il est également important de maintenir des emplacements de stockage des données de sauvegarde pour se prémunir contre les scénarios catastrophiques où les données des utilisateurs pourraient être perdues, et notre centre de données à Singapour sert d'emplacement de stockage des données de sauvegarde pour nos utilisateurs américains.
« Depuis plus d'un an, nous travaillons avec Oracle sur plusieurs mesures dans le cadre de notre relation commerciale pour mieux protéger notre application, nos systèmes et la sécurité des données des utilisateurs américains. Nous avons maintenant franchi une étape importante dans ce travail : nous avons modifié l'emplacement de stockage par défaut des données des utilisateurs américains. Aujourd'hui, 100 % du trafic des utilisateurs américains est acheminé vers Oracle Cloud Infrastructure. Nous utilisons toujours nos centres de données aux États-Unis et à Singapour pour la sauvegarde, mais à mesure que nous poursuivons notre travail, nous prévoyons de supprimer les données privées des utilisateurs américains de nos propres centres de données et de basculer entièrement vers les serveurs cloud Oracle situés aux États-Unis ».
« L'emplacement physique n'a pas d'importance si les données sont toujours accessibles depuis la Chine »
TikTok a indiqué dans ses billets de blog et des déclarations publiques qu'il stockait physiquement toutes les données sur ses utilisateurs américains aux États-Unis, avec des sauvegardes à Singapour. Cela atténue certains risques – la société affirme que ces données ne sont pas soumises à la loi chinoise – mais cela ne tient pas compte du fait que les employés basés en Chine peuvent accéder aux données, selon les experts.
« L'emplacement physique n'a pas d'importance si les données sont toujours accessibles depuis la Chine », a déclaré Adam Segal, directeur du programme de politique numérique et cyberespace au Council on Foreign Relations. Il a déclaré que « le problème serait que les données se retrouvent toujours entre les mains des services de renseignement chinois si les gens en Chine y avaient toujours accès ».
TikTok lui-même a reconnu son problème d'accès dans un billet de blog de 2020. « Notre objectif est de minimiser l'accès aux données entre les régions afin que, par exemple, les employés de la région APAC, y compris la Chine, aient un accès très minimal aux données des utilisateurs de l'UE et des États-Unis », a écrit Roland Cloutier, directeur de la sécurité de l'information de TikTok.
Source : TikTok (1, 2)
Et vous ?
Quelle lecture en faites-vous ?
Selon vous, TikTok est-il un outil de surveillance de Pékin comme le prétendent les Américains ?
Que pensez-vous des applications américaines de médias sociaux ?
Posent-elles des préoccupations en matière de sécurité nationale pour la France et les autres pays ?