Après que des reportages récents ont mis en doute la manière dont la plateforme de médias sociaux chinoise gère certaines données sensibles, deux sénateurs américains ont écrit au PDG de TikTok, Shou Zi Chew, pour lui demander de clarifier ce qu’ils qualifient de réponses « mensongères ou erronées » sur le stockage et l’accès aux données des utilisateurs.
Les sénateurs américains Richard Blumenthal et Marsha Blackburn se sont appuyés sur un article de Forbes qui affirmait que TikTok conservait les informations financières des créateurs de contenu américains payés par l’entreprise - y compris leur numéro de sécurité sociale et leur numéro d’identification fiscale - sur des serveurs situés en Chine. Ils ont par ailleurs mentionné un autre article du New York Times, paru fin mai, qui révélait que les employés de TikTok transmettaient fréquemment des informations sur les utilisateurs, comme les permis de conduire de certains utilisateurs américains, via une application de messagerie interne nommée Lark, à laquelle les employés de ByteDance, la société mère de TikTok basée à Pékin, avaient facilement accès.
En février 2022, la société de marketing mobile URL Genius, a révélé que YouTube et TikTok suivent les données personnelles des utilisateurs plus que toute autre application de médias sociaux. L'étude a révélé que YouTube, qui appartient à Google, collecte principalement des données personnelles à ses propres fins, comme le suivi de l’historique de recherche en ligne, ou même l’emplacement, pour ainsi proposer des publicités pertinentes.
TikTok, qui appartient à la grande enseigne chinoise de la technologie ByteDance, permet essentiellement à des traceurs tiers de collecter les données de ses utilisateurs (et à partir de là, il est difficile de dire ce qui se passe avec). Avec les traceurs tiers, il est surtout impossible de savoir qui suit vos données ou quelles informations ils collectent, à partir de quels messages vous interagissez (et combien de temps vous passez sur chacun) à votre emplacement physique en passant par toute autre information personnelle que vous partagez avec l'application. Comme l'a noté l'étude, les traceurs tiers peuvent suivre votre activité sur d'autres sites même après avoir quitté l'application.
TikTok sous le feu des critiques aux États-Unis pour son accès aux données des utilisateurs
Au début de l'année, le gouvernement de Biden a menacé d'interdire la plateforme dans tout le pays si les propriétaires chinois de l'entreprise ne vendaient pas leurs parts. Pour apaiser les inquiétudes des législateurs américains, TikTok a vanté les mérites de son projet Texas, qui consiste à stocker les données des utilisateurs américains sur des serveurs détenus et gérés par le géant du logiciel Oracle.
TikTok a déclaré en juin 2022 qu'il transférait les données des utilisateurs américains vers des serveurs Oracle stockés aux États-Unis. L'annonce de sa migration faisait suite à un rapport accablant affirmant que le personnel de TikTok en Chine avait accès aux données de ses utilisateurs américains. Le rapport évoque les enregistrements de 80 réunions internes de TikTok qui ont été consultées et indique que les employés américains de TikTok ont questionné à plusieurs reprises leurs collègues en Chine pour comprendre comment les données des utilisateurs américains circulaient parce qu'ils n'avaient pas « l'autorisation ou la connaissance de la façon d'accéder aux données par eux-mêmes ».
Selon les fuites audio de plus de 80 réunions internes de TikTok, les employés de ByteDance basés en Chine ont accédé à plusieurs reprises à des données non publiques sur les utilisateurs américains de TikTok – exactement le type de comportement qui a inspiré l'ancien président Donald Trump à menacer d'interdire l'application aux États-Unis.
Les enregistrements, qui ont été examinés par un quotidien américain, contenaient 14 déclarations de neuf employés différents de TikTok indiquant que les ingénieurs en Chine ont eu accès aux données américaines au moins entre septembre 2021 et janvier 2022. Malgré le témoignage sous serment d'un dirigeant de TikTok lors d'une audience au Sénat d'octobre 2021 selon lequel une « équipe de sécurité américaine de renommée mondiale » décide qui a accès à ces données, neuf déclarations de huit employés différents décrivent des situations où les employés américains ont dû se tourner vers leurs collègues en Chine pour déterminer comment les données des utilisateurs américains circulaient. Le personnel américain n'avait pas la permission ou ne savait pas comment accéder aux données par lui-même, selon les enregistrements.
En juillet 2022, TikTok a confirmé que les employés situés en Chine ont accès aux données des utilisateurs américains. La déclaration apparaît dans une réponse à un questionnaire de sénateurs américains. L’entreprise précise néanmoins que la manœuvre est possible en utilisant un processus d’approbation. Elle réitère qu’elle stocke désormais les données des utilisateurs US dans des serveurs Oracle. Elle a promis enfin qu’elle procédera à la suppression des données à problème de ses systèmes sur le sol chinois.
«TikTok n'est pas qu'une simple application de partage de vidéos. C'est le loup déguisé en agneau. Elle recueille des masses de données sensibles qui, selon de nouveaux rapports, sont consultées à Pékin. Il est clair que TikTok pose un risque inacceptable pour la sécurité nationale en raison de sa collecte extensive de données combinée à l'accès apparemment incontrôlé de Pékin à ces données sensibles », a déclaré Brendan Carr, un des responsables de la Commission fédérale des communications (FCC), dans une publication Twitter. Il présentait une lettre dans laquelle il demande aux PDG de Google et Apple de retirer TikTok de leurs boutiques d’application respectives. Le responsable de la FCC a donné à Apple et à Google jusqu'au 8 juillet pour expliquer pourquoi ils ne retirent pas l'application de leurs magasins s'ils refusent de le faire.
TikTok : entre promesses non tenues et risques de fuite de données vers la Chine
En réponse aux régulateurs américains, ByteDance, la société mère de TikTok, a promis de conserver les données des utilisateurs américaines sur des serveurs aux États-Unis, mais Brendan Carr est sceptique sur cette proposition et estime que cela pose toujours des problèmes de sécurité nationale aux États-Unis.
Michael Beckerman, responsable américain de la politique publique chez TikTok, a déclaré que l'affirmation selon laquelle TikTok collecte l'historique du navigateur est « tout simplement fausse ». Il a ajouté que si l'application scanne votre visage pour les filtres, elle ne l'utilise pas pour identifier les individus.
On lui a également demandé si des membres du Parti communiste chinois avaient vu les données non publiques des utilisateurs de TikTok. « La réponse est que nous n'avons jamais partagé d'informations avec le gouvernement chinois, et que nous ne le ferions pas », a déclaré Beckerman, ajoutant qu'ils ont des équipes de sécurité basées aux États-Unis. En outre, il a été demandé à Beckerman si les ingénieurs de TikTok, les personnes qui développent cet outil étaient redevables à la Chine, et si cela représentait une menace pour les États-Unis. « Non, absolument pas. TikTok n'est pas une menace pour la sécurité », a répondu Beckerman.
Cependant, l'analyse par des chercheurs en technologie du code source de l'application TikTok a révélé des choses alarmantes sur l'accessibilité de vos données personnelles. L'application vidéo virale vérifie l'emplacement de l'appareil au moins une fois par heure, demande en permanence l'accès aux contacts, cartographie les applications en cours d'exécution d'un appareil et toutes les applications installées, et plus encore.
Suite à un aveu que le personnel en Chine peut accéder aux données de millions d'utilisateurs australiens « L'application mobile TikTok a été construite avec une culture qui ne place pas la confidentialité comme principe, car la plupart des autorisations et des informations sur les appareils collectées sont au-dessus des autorisations nécessaires pour que l'application puisse fonctionner correctement », indique le rapport.
Toujours en juillet 2022, Roland Cloutier, l’ex-responsable mondial de la sécurité de TikTok, a choisi de quitter ses fonctions alors que l'entreprise utilise désormais les serveurs américains d'Oracle pour stocker les données des Américains. La société a partagé un mémo interne sur ce changement dans un message publié dans sa salle de presse, qui indique que Cloutier assumera un rôle consultatif, tandis que la responsable des risques de sécurité, des fournisseurs et de l'assurance clients de TikTok, Kim Albarella, prendra temporairement le relais.
« Avec l'annonce récente de changements dans la gestion des données aux États-Unis, il est temps pour moi de passer de mon rôle de responsable mondial de la sécurité à un rôle de conseiller stratégique axé sur l'impact commercial des programmes de sécurité et de confiance, en travaillant directement avec Shou, Dingkun et d'autres dirigeants », écrit-il.
Une porte-parole de TikTok a déclaré que Cloutier n'était pas impliqué dans la gestion du nouveau département de TikTok dédié au traitement des données des utilisateurs américains. Elle a également expliqué que ce changement organisationnel était en préparation depuis des mois, avant que les politiciens américains ne s'en prennent à TikTok.
TikTok a tenté de négocier « un accord de sécurité » avec le gouvernement de Biden qui lui permettrait de rester accessible à ses millions d'utilisateurs américains. Mais malgré les promesses de cet accord, d'anciens responsables de la sécurité nationale et d'autres experts américains restent sceptiques quant à son succès. « Ils ont construit tout le système en Chine. À moins qu'ils ne reconstruisent le système aux États-Unis à grands frais, tôt ou tard, lorsque quelque chose ne va pas, il s'avérera qu'il n'y a qu'un seul ingénieur qui sait comment le réparer. Et il ou elle se trouvera probablement en Chine », indique Stewart Baker, avocat spécialisé dans la sécurité nationale chez Steptoe & Johnson LLP. Un grand nombre des experts ayant participé à la rédaction de l'accord penseraient la même chose.
La mise à jour de la politique de confidentialité de TikTok confirme que les données des utilisateurs du continent européen sont disponibles au sein de plusieurs bases de TikTok, notamment au Brésil, en Israël et aux États-Unis. L'application de médias sociaux populaire a fait l'objet d'un examen minutieux de la part des gouvernements occidentaux, qui se sont méfiés de la propriété chinoise de l'entreprise et ont interdit son utilisation sur les appareils émis par le gouvernement.
TikTok admet que les données des utilisateurs européens peuvent être consultées en Chine
TikTok explique à ses utilisateurs européens que leurs données peuvent être consultées par des employés en dehors du continent, y compris en Chine, dans un contexte de préoccupations politiques et réglementaires concernant l'accès chinois aux informations des utilisateurs sur la plateforme. L'application de vidéo sociale appartenant à des Chinois a mis à jour sa politique de confidentialité pour confirmer que le personnel des pays, y compris la Chine, est autorisé à accéder aux données des utilisateurs pour s'assurer que leur expérience de la plateforme est « cohérente, agréable et sûre ».
Les autres pays où les données des utilisateurs européens peuvent être consultées par le personnel de TikTok sont le Brésil, le Canada et Israël ainsi que les États-Unis et Singapour, où les données des utilisateurs européens sont actuellement stockées. Alex Haurek, l’actuel porte-parole de TikTok, a déclaré : « Nous examinons la lettre. Nous restons confiants quant à l'exactitude de notre témoignage et de nos réponses au Congrès ». L'entreprise a déclaré que les serveurs contenant les données des utilisateurs américains ont été physiquement stockés en Virginie et à Singapour, où se trouve son siège social. Mais la question de savoir qui peut accéder à ces données - et d'où - est toujours d'actualité.
Chew, PDG de la société, a déclaré lors d'une audition devant le Congrès en mars que l'accès aux données était fourni « au besoin » à des ingénieurs du monde entier à des fins professionnelles. Il a également précisé que certains employés de ByteDance avaient encore accès à certaines données d'utilisateurs américains, mais que cet accès prendrait fin une fois que le projet Texas - le plan de l'entreprise visant à siphonner les données d'utilisateurs américains de la Chine - serait achevé.
L'année dernière, l'entreprise a déclaré qu'elle avait commencé à diriger l'ensemble du trafic des utilisateurs américains vers des serveurs Oracle stockés aux États-Unis, tout en continuant à sauvegarder les données sur ses propres serveurs. Chew a indiqué que la société avait commencé à supprimer toutes les données historiques des utilisateurs américains des serveurs autres que ceux d'Oracle en mars, et que le processus devrait être achevé cette année.
Dans leur lettre, les sénateurs indiquent également que les récentes informations semblent contredire les témoignages d'un autre responsable de TikTok sur l'endroit où sont stockées les données des utilisateurs américains.
Les préoccupations des sénateurs américains Richard Blumenthal et Marsha Blackburn accusent TikTok de leur avoir fourni des réponses « trompeuses ou inexactes » sur le stockage et l’accès aux données, et demandent à l’entreprise de fournir des informations plus détaillées et transparentes. Ils se basent sur des reportages récents qui suggèrent que TikTok stocke certaines données sensibles en Chine et les partage avec sa société mère ByteDance, ce qui pourrait les rendre vulnérables à l’influence du gouvernement chinois.
TikTok reste confronté à une pression croissante de la part des autorités américaines, qui s’inquiètent de la sécurité et de la vie privée de ses utilisateurs, ainsi que de son rôle potentiel dans la diffusion de la désinformation et de la propagande. Les sénateurs américains Richard Blumenthal et Marsha Blackburn soulèvent des questions importantes sur la responsabilité et la confiance des plateformes de médias sociaux, qui doivent protéger les données de leurs utilisateurs tout en respectant les lois et les normes des pays où elles opèrent.
Source : Richard Blumenthal and Marsha Blackburn, in a letter
Et vous ?
Quel est votre avis sur le sujet ?
S'agissant des réelles intentions des Américains, la pression exercée par les autorités américaines contre TikTok ne serait-elle pas l'arbre qui cache la forêt ?
Quels seraient les risques potentiels pour les utilisateurs de TikTok si leurs données sont stockées ou partagées en Chine ?
À votre avis, les mesures prises ou que TikTok prévoit de prendre pour protéger les données de ses utilisateurs et se conformer aux lois et aux normes américaines ne justifient pas de la bonne foi de l'entreprise ?
Quel est l’impact de la pression des autorités américaines sur la réputation et la performance de TikTok sur le marché ?
Voir aussi :
TikTok partage vos données plus que toute autre application de médias sociaux et on ne sait pas où elles vont, selon une recherche sur 200 applications iOS
Les données des utilisateurs US de TikTok ont été consultées en Chine malgré les démentis, selon un rapport. Aussi, TikTok a annoncé le transfert de tout le trafic américain vers les serveurs Oracle
TikTok confirme que les employés situés en Chine ont accès aux données des utilisateurs américains, l'entreprise basée en Chine précise néanmoins que cela est possible via un processus d'approbation
Alors que TikTok promet des serveurs américains, le commissaire de la FCC reste critique à l'égard de la confidentialité des données, et affirme que TikTok est un outil de surveillance de la Chine
Le responsable de la sécurité de TikTok quitte son poste alors que l'entreprise transfère ses données américaines sur des serveurs Oracle, suite à la confirmation que les employés chinois y accèdent
Les utilisateurs de TikTok courent toujours le risque que leurs données personnelles soient exposées au piratage et à l'espionnage par la Chine, selon des experts
TikTok indique aux utilisateurs européens que son personnel en Chine ainsi qu'aux États-Unis a accès à leurs données, dans une mise à jour de sa politique de confidentialité