transfert de données
Tik Tok avoue transférer vos données personnelles vers la Chine
Mais à part ça, TKT… [langage sms, abréviation de « ne t’inquiète pas »]
Un nouveau scandale anime le monde des réseaux sociaux, et plus particulièrement l’application de partage de vidéos phare des jeunes « Tik Tok ».
La plateforme avait déjà été condamnée le 22 juillet 2021 par l’autorité de contrôle des Pays-Bas, car aucune politique de protection des données n’était disponible sur son interface en néerlandais [1].
En septembre dernier, une enquête de l’association américaine de défense des consommateurs « Consumer Reports » a ensuite révélé que Tik Tok collectait non seulement les données personnelles de ses propres utilisateurs, mais aussi d’internautes ne recourant pas à ses services[2].
Les dernières déclarations de l’application fétiche des adolescents ont à nouveau fait un tollé…Encore de quoi nous mettre le seum ! [argot, locution verbale utilisée par les jeunes signifiant « être en colère, dégoûté »]
Pourquoi Tik Tok n’est décidément pas un enfant de chœur ?
Des soupçons pesaient depuis de nombreuses années concernant d’éventuels transferts par Tik Tok, des données personnelles de ses utilisateurs européens vers des pays situés en dehors de l’Union européenne, où leur protection ne peut pas toujours être garantie.
Dans une publication du 2 novembre 2022, Elaine Fox – responsable de la « protection de la vie privée » du réseau social en Europe – a confirmé ces doutes [3]. Elle y précise que les informations de ces « Tik Tokeurs » sont stockées aux États-Unis et à Singapour. Mais surtout, elle confirme que les salariés de la plateforme peuvent y accéder à distance, quel que soit leur lieu de travail.
« Sous réserve d’un besoin avéré pour effectuer leur travail, d’une série de contrôles de sécurité et de protocoles d’approbation robustes, et par le biais de méthodes reconnues dans le cadre du RGPD, nous autorisons certains employés de notre groupe situés au Brésil, au Canada, en Chine, en Israël, au Japon, en Malaisie, aux Philippines, à Singapour, en Corée du Sud et aux États-Unis à accéder, à distance, aux données des utilisateurs de TikTok ».
– Elaine Fox, pour Tik Tok
Tik Tok continue donc de faire l’enfant…
Les inquiétudes se concentrent notamment sur le transfert de ces renseignements vers la Chine, où est localisé le siège social de ByteDance, la maison-mère de l’application. Cette entreprise est en effet membre de la « Fédération chinoise des Sociétés et de l’Internet », et est à ce titre supervisée par « l’administration chinoise du cyberespace », chargée notamment de la censure sur le Web[4].
Les données personnelles de millions d’internautes européens, pour la plupart mineurs, sont donc probablement à la disposition du gouvernement chinois. Les mêmes craintes s’appliquent à l’égard des États-Unis, dont la législation permet aux autorités nationales de contraindre les entreprises à leur communiquer de telles informations[5].
Les aveux tant attendus du réseau social n’ont donc pas pour autant été accueillis comme le fils prodigue…
Nous rappelons que les parents ont un rôle essentiel à jouer. Il leur appartient, à eux aussi, d’encadrer les pratiques numériques de leurs enfants. Cela suppose de les informer des risques liés à l’utilisation de Tik Tok – notamment à propos du transfert de leurs données personnelles à l’étranger, mais pas que…
Une révélation spontanée de Tik Tok ? MDR [argot, abréviation de « mort de rire »]
Des questions demeurent encore sur les conditions dans lesquelles ces transferts s’effectuent, ainsi que sur la nature des données personnelles réellement transmises vers l’étranger. Tik Tok affirme que la mise à jour de sa politique de confidentialité reflète sa volonté d’être davantage transparent vis-à-vis de sa communauté concernant ses pratiques en matière de protection des données.
Cette volonté soudaine de transparence coïncide curieusement avec une enquête en cours, ouverte en septembre 2021 par l’équivalent irlandais de la CNIL[6], et portant précisément sur ce sujet des transferts de données vers la Chine[6]…
L’application indique que l’exploitation de ces données depuis l’étranger est indispensable pour améliorer ses services. Sa mise en conformité nous apparait pourtant comme un jeu d’enfant : pourquoi Tik Tok ne s’organise-t-il pas pour stocker en Europe les données de ses utilisateurs européens ? Et pourquoi ne prend-il pas les mesures nécessaires pour permettre un contrôle de ces données par des employés soumis au Règlement Général sur la Protection des Données (RGPD) ?
Un transfert pourtant encadré OKLM par le RGPD [OKLM : argot, contraction de « au calme »]
Dans son communiqué, Tik Tok promet que l’accès à vos données depuis l’étranger s’effectue « par le biais de méthodes reconnues dans le cadre du RGPD ». Il s’abstient toutefois bien de préciser lesquelles…
Puisque Tik Tok a refilé le bébé à d’autres l’explication de ces « méthodes reconnues », RGPD-Experts a à cœur de vous présenter brièvement ces mesures.
Les articles 44 à 50 du RGPD encadrent strictement les transferts de données transfrontières.
Deux situations peuvent se présenter :
① Situation n°1 : le pays de destination est « adéquat » (article 45 RGPD)
Si l’Etat destinataire figure sur la liste de ceux à l’égard desquels une décision d’adéquation a été adoptée par la Commission Européenne[8], vous pouvez transférer des données vers ces pays tiers sans avoir besoin d’accomplir d’autres formalités.
② Situation n°2 : le pays de destination n’est pas « adéquat » (article 46 RGPD)
Dans ce cas, vous êtes tenu d’assurer aux données communiquées un niveau de protection équivalent à celui assuré par les législations françaises et européennes.
Pour cela, vous devrez mettre en œuvre des garanties appropriées avant que ces informations personnelles ne soient transférées. Ces mesures peuvent consister en :
- Des Clauses contractuelles Types;
- Une certification;
- Un code de conduite;
- Des règles d’entreprises contraignantes;
- Des dérogations spéciales (prévues à l’article 49 du RGPD).
Si votre organisme transfère les données personnelles de résidents européens vers des pays « tiers », nous vous conseillons donc d’être particulièrement vigilant sur les conditions dans lesquelles ces communications sont réalisées.
- Vous n’aviez jamais entendu parler de ces garanties appropriées avant ?
- Vous ne savez pas à quoi correspondent concrètement ces mesures ?
Nous vous recommandons vivement de vous faire accompagner par des professionnels en cas de doutes sur les modalités d’organisation de ces transferts. Il ne s’agit pas d’un caprice d’enfant gâté, mais bien de vous assurer que vous prenez convenablement en main vos responsabilités.
Notre équipe d’experts, à l’écoute des besoins et des contraintes de votre organisme, saura vous aider à gérer ces transferts de données transfrontières. RGPD-Experts ne laissera pas « [votre] fils [votre] bataille » dans le flou. Nous vous invitons pour cela à nous contacter via notre formulaire : contactez-nous.
L.H
[1] Si vous souhaitez en savoir plus à propos de cette condamnation, nous vous invitons à consulter notre article sur le sujet : https://www.rgpd-experts.com/mauvaise-tactique-de-tiktok/
[2] https://www.consumerreports.org/electronics-computers/privacy/tiktok-tracks-you-across-the-web-even-if-you-dont-use-app-a4383537813/
[3] https://newsroom.tiktok.com/fr-fr/mise-a-jour-politique-confidentialite
[4] https://www.lesechos.fr/2018/05/cette-nuit-en-asie-les-geants-du-web-chinois-main-dans-la-main-pour-defendre-les-valeurs-du-parti-990229
[5] Sur ce sujet, vous pouvez consulter notre précédent article à l’adresse suivante : https://www.rgpd-experts.com/cloud-act-danger-pour-les-donnees/
[6] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.
[7] https://www.lesnumeriques.com/vie-du-net/tiktok-dans-le-viseur-de-la-cnil-irlandaise-pour-le-transfert-en-chine-de-donnees-des-mineurs-n168455.html
[8] La CNIL met ici à disposition un tableau Excel énumérant ces Etats adéquats : https://www.cnil.fr/sites/default/files/atoms/files/niveau_de_protection-fr-jan2015.xls
Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.