III. UNE COLLECTE DE DONNÉES TRÈS IMPORTANTE, QUI FAIT L'OBJET DE PLAINTES TRAITÉES PAR LA « CNIL » IRLANDAISE

A. LES SPÉCIFICITÉS DE TIKTOK EXPLIQUENT UNE COLLECTE DE DONNÉES DANS LE « HAUT DU SPECTRE » DES APPLICATIONS

Le réseau social TikTok panache deux modèles, à la fois l'analyse des goûts personnels en fonction des vidéos regardées, mais également celle des interactions avec les personnes identifiées comme connaissances sur les réseaux, ainsi que l'a expliqué le secrétaire général de l'Institut de la souveraineté numérique, M. Bernard Benhamou. Il est de ce fait qualifié par la communauté des chercheurs de « graphe social d'intérêts » (ou social interest graph) soit un hybride entre « graphe social » et « graphe d'intérêts ». La collecte de données opérée par TikTok sert donc à nourrir ces deux champs d'analyse.

Le secrétaire général de la Commission nationale de l'informatique et des libertés (CNIL), M. Louis Dutheillet de Lamothe, a souligné lors de son audition que « les données collectées par TikTok sont impressionnantes de finesse, de rapidité, de fréquence ».

Les personnes auditionnées par la commission d'enquête sont surtout frappées par le profilage fin des utilisateurs sur le fil « Pour Toi » de l'application qui, selon la présentation faite par TikTok, est un fil d'actualité de vidéos personnalisé basé sur les centres d'intérêt et « l'engagement » des utilisateurs, c'est-à-dire le temps qu'ils passent à visionner telle ou telle vidéo.

1. De nombreuses données « classiques » collectées

Comme l'a relevé le secrétaire général de la CNIL, sur le sujet du traitement des données, TikTok présente des problématiques « largement classiques et communes à beaucoup de réseaux sociaux », même si, par certains aspects, celles-ci sont amplifiées.

TikTok recueille trois catégories de données : celles fournies par l'utilisateur, celles qui sont recueillies automatiquement et celles qui « proviennent d'autres sources ».

a) Des données approximativement décrites dans les documents TikTok

La lecture des conditions générales et de la politique de confidentialité de TikTok ne permet pas d'avoir une compréhension autre qu'approximative des données collectées par TikTok. Ainsi que l'a relevé l'association UFC-Que Choisir, TikTok produit des documents lisibles, bien écrits, fluides, mais ceux-ci ne reflètent pas les pratiques de la plateforme, en particulier pour ce qui est de l'ampleur de la collecte des données.

Les demandes de précision du rapporteur se sont toutes heurtées à des fins de non-recevoir. Ce qui n'a pas empêché Mme Marlène Masure de déclarer devant la commission : « nous faisons preuve d'une transparence totale sur les données collectées », renvoyant à la possibilité pour chaque utilisateur de télécharger ses données collectées en un clic. Outre le fait que ce téléchargement n'est finalement qu'une mise en oeuvre du droit d'accès imposé par l'article 15 du RGPD, on imagine toutefois la complexité pour un utilisateur non aguerri d'analyser le fichier ainsi téléchargé, étant relevé que les instructions pour y arriver sont rédigées en anglais (Requesting your data).

Extraits de la Politique de confidentialité de TikTok125(*)
(version 4 mai 2023)

Nous recueillons vos informations de trois manières : les informations que vous fournissez, les informations recueillies automatiquement et les informations provenant d'autres sources. Vous trouverez de plus amples informations ci-dessous.

Informations que vous fournissez

Les informations relatives à votre profil. Nous recueillons les informations que vous fournissez lorsque vous créez un compte, telles que votre date de naissance, votre nom d'utilisateur, votre adresse e-mail et/ou votre numéro de téléphone, ainsi que votre mot de passe. Vous pouvez ajouter d'autres informations à votre profil, telle qu'une biographie ou une photo de profil.

Le contenu utilisateur. Nous recueillons le contenu que vous créez ou publiez par le biais de la Plateforme, notamment les photos, les vidéos, les enregistrements audio, les flux en direct (livestreams), les commentaires, les hashtags, les avis, les évaluations, ainsi que les métadonnées associées (telles que la date, le lieu et l'auteur(-rice) du contenu). Même si vous n'êtes pas un utilisateur, des informations vous concernant peuvent apparaître dans le contenu créé ou publié par les utilisateurs de la Plateforme. Nous recueillons le Contenu utilisateur par le biais d'un préchargement au moment de la création, de l'importation ou du téléchargement, que vous choisissiez ou non d'enregistrer ou de télécharger ce Contenu utilisateur, par exemple pour recommander de la musique en fonction de la vidéo. Nous recueillons également du contenu (tel que du texte, des images et des vidéos) à partir du presse-papiers de votre appareil si vous choisissez de copier et coller du contenu vers ou depuis la plateforme ou de partager du contenu entre celle-ci et une plateforme de tiers. En outre, nous recueillons des informations de localisation (telles que les attractions touristiques, les magasins ou d'autres points d'intérêt) si vous choisissez d'ajouter les informations de localisation à votre Contenu utilisateur.

Les messages directs. Si vous communiquez avec d'autres personnes au moyen de messages directs, nous recueillons le contenu du message et les métadonnées associées (telles que l'heure à laquelle le message a été envoyé, reçu et/ou lu, ainsi que les participants à la communication). Nous recueillons également les messages que vous envoyez ou recevez par le biais de notre fonctionnalité de discussion instantanée lorsque vous communiquez avec des vendeurs qui vous vendent des produits, mais aussi lorsque vous utilisez des assistants virtuels lors de vos achats par le biais de la plateforme. Nous le faisons pour bloquer les spams, détecter les infractions et protéger nos utilisateurs.

Vos contacts. Si vous choisissez de synchroniser vos contacts, nous recueillerons les informations du répertoire de votre appareil, comme les noms, numéros de téléphone et adresses e-mail, puis nous ferons correspondre ces informations aux utilisateurs de la plateforme. Si vous choisissez de rechercher d'autres utilisateurs parmi vos contacts sur les réseaux sociaux, nous recueillerons les informations relatives à votre profil public, ainsi que les noms et profils de vos contacts sur les réseaux sociaux.

Les informations sur les achats. Lorsque vous effectuez un achat ou un paiement sur ou par le biais de la plateforme, notamment lorsque vous achetez des Pièces TikTok ou achetez des produits à l'aide de nos fonctionnalités d'achat, nous recueillons des informations concernant la transaction d'achat ou de paiement, comme les informations relatives à la carte de paiement, l'adresse de facturation, l'adresse de livraison et les coordonnées, ainsi que les produits que vous avez achetés.

Les enquêtes, études et promotions. Nous recueillons les informations que vous fournissez si vous choisissez de participer à une enquête, une étude, une promotion, un concours, une campagne marketing ou un événement menée ou parrainée par nous.

Les informations lorsque vous nous contactez. Lorsque vous nous contactez, nous recueillons les informations que vous nous envoyez, telles qu'une preuve d'identité ou d'âge, des commentaires ou des demandes de renseignements concernant votre utilisation de la plateforme ou des informations sur d'éventuelles violations de nos Conditions Générales d'Utilisation (nos « Conditions »), nos Règles communautaires (nos « Règles ») ou d'autres politiques.

Informations recueillies automatiquement

Les informations techniques. Nous recueillons certaines informations relatives aux appareils et à la connexion réseau lorsque vous accédez à la plateforme. Ces informations comprennent le modèle de votre appareil, le système d'exploitation, les schémas ou rythmes de frappe, l'adresse IP et la langue du système. Nous recueillons également des informations relatives aux services, aux diagnostics et aux performances, y compris les rapports d'incidents et les journaux de performances. Nous vous attribuons automatiquement un identifiant d'appareil et un identifiant d'utilisateur. Lorsque vous vous connectez à partir de plusieurs appareils, nous utilisons des informations telles que votre identifiant d'appareil et votre identifiant d'utilisateur pour identifier votre activité sur tous les appareils afin de vous offrir une expérience de connexion fluide, et à des fins de sécurité.

Les informations de localisation. Nous recueillons automatiquement des informations sur votre localisation approximative (par exemple, le pays, le département ou la ville) sur la base de vos informations techniques (telles que la carte SIM et l'adresse IP). De même, lorsque vous activez les services de localisation pour l'application TikTok dans les paramètres de votre appareil, nous recueillons des informations de localisation approximatives à partir de votre appareil. Cliquez ici pour en savoir plus sur la manière dont nous recueillons les informations de localisation.

Les informations sur l'utilisation. Nous recueillons des informations sur la manière dont vous utilisez la plateforme, notamment des informations sur le contenu que vous visualisez, la durée et la fréquence de votre utilisation, votre engagement avec d'autres utilisateurs, votre historique de recherche et vos paramètres.

Les caractéristiques et particularités du contenu. Nous détectons et collectons des caractéristiques et des particularités concernant les vidéos, les images et les enregistrements audio qui font partie de votre Contenu utilisateur, par exemple en identifiant des objets et des paysages, l'existence ou l'emplacement d'un visage ou d'autres parties du corps dans une image, et le texte des mots prononcés dans votre Contenu utilisateur. Nous le faisons, par exemple, pour la modération du contenu et pour fournir des effets spéciaux (tels que des filtres vidéo et des avatars) et des sous-titres.

Les informations déduites. Nous déduisons vos attributs (telles que la tranche d'âge et le genre) et vos intérêts sur la base des informations dont nous disposons à votre sujet. Nous utilisons les déductions, par exemple, pour assurer la sécurité de la plateforme, pour la modération du contenu et, lorsque cela est autorisé, pour vous proposer des publicités personnalisées en fonction de vos intérêts.

Les cookies. Nous utilisons des cookies et des technologies de suivi similaires pour exploiter et fournir la plateforme. Par exemple, nous utilisons des cookies pour mémoriser vos préférences linguistiques, pour nous assurer que vous ne voyiez pas la même vidéo plusieurs fois et pour des raisons de sécurité. Nous utilisons également ces technologies à des fins de marketing. Pour en savoir plus sur notre utilisation des cookies, veuillez consulter notre Politique relative aux cookies des sites Web et notre Politique relative aux cookies de la plateforme. Nous obtiendrons votre consentement pour notre utilisation des cookies lorsque la loi l'exige.

Informations provenant d'autres sources

Les partenaires en matière de publicités, de mesures et de données. Les partenaires en matière de publicités, de mesures et de données partagent avec nous des informations vous concernant et au sujet des actions que vous avez effectuées en dehors de la plateforme, telles que vos activités sur d'autres sites Web et applications ou dans des boutiques, notamment les produits ou services que vous avez achetés, que ce soit en ligne ou en personne. Ces partenaires partagent également avec nous des informations comme les identifiants mobiles à des fins publicitaires, les adresses e-mail et numéros de téléphone barrés, les identifiants de cookies, que nous utilisons pour vous associer, vous et vos actions effectuées en dehors de la plateforme, à votre compte TikTok. Certains de nos annonceurs et autres partenaires nous permettent de recueillir des informations similaires directement à partir de leur site Web ou de leur application en intégrant nos Outils pour les annonceurs TikTok (tels que TikTok Pixel).

Les vendeurs et les prestataires de paiement et d'exécution de transactions. Nous recevons des informations vous concernant de la part des vendeurs ainsi que des prestataires de paiement et d'exécution de transactions. Il s'agit par exemple des détails de confirmation de paiement et d'informations au sujet de la livraison des produits que vous avez achetés par le biais de nos fonctionnalités d'achat.

Les plateformes de tiers et partenaires tiers. Les plateformes de tiers nous fournissent des informations (telles que votre adresse e-mail, votre identifiant d'utilisateur et votre profil public) lorsque vous choisissez de vous inscrire ou de vous connecter à la plateforme en utilisant les fonctionnalités de connexion fournies par ces tiers. Nous pouvons également recevoir des coordonnées que vous détenez ou qui sont détenues à votre sujet lorsque ces informations sont synchronisées avec notre plateforme par vous-même ou un autre utilisateur. Lorsque vous interagissez avec un service de tiers (tel qu'une application, un site Web ou un produit de tiers) qui intègre les Outils pour les développeurs TikTok, nous recevrons les informations nécessaires pour vous fournir des fonctionnalités telles que l'authentification interservices ou la publication croisée. Par exemple, cela se produira si vous vous connectez à une autre plateforme avec votre compte TikTok ou si vous utilisez le bouton « partager » de TikTok sur une plateforme de tiers pour partager le contenu vers la plateforme.

Autres. Nous pouvons recevoir des informations vous concernant de la part d'autres personnes, par exemple lorsque vous êtes inclus(e) ou mentionné(e) dans le Contenu utilisateur, les Messages directs, dans le cadre d'une plainte, d'un appel, d'une demande ou d'un commentaire soumis par un utilisateur ou un tiers, ou si vos coordonnées nous sont fournies par un utilisateur.

Il est à noter que les informations utiles ne sont pas toutes rédigées en français. De nombreux liens présents dans la politique de confidentialité renvoient à des pages en anglais, ce qui ne garantit pas une bonne accessibilité de l'information pour les utilisateurs français.

Lien en français

Page en anglais

Cliquez ici pour en savoir plus sur la manière dont nous recueillons les informations de localisation

Location information on TikTok 

https://support.TikTok.com/en/account-and-privacy/account-privacy-settings/location-services-on-TikTok

Certains de nos annonceurs et autres partenaires nous permettent de recueillir des informations similaires directement à partir de leur site Web ou de leur application en intégrant nos Outils pour les annonceurs TikTok (tels que TikTok Pixel).

TikTok Advertiser Tools and Related Terms

https://ads.TikTok.com/help/article/TikTok-advertiser-tools-and-related-terms?redirected=2#

Vous pouvez découvrir les types de comptes et les paramètres de confidentialité, notamment sur la façon de limiter l'audience de vos vidéos, en allant ici

Account privacy settings

https://support.TikTok.com/en/account-and-privacy/account-privacy-settings

Pour en savoir plus sur la manière dont nous traitons les demandes des organismes chargés de l'application de la loi et des autorités publiques, consultez nos Directives relatives à la demande de données des organismes en charge de l'application de la loi.

TikTok Law Enforcement Guidelines

https://www.TikTok.com/legal/page/global/law-enforcement/en

Supprimer votre compte dans son intégralité. Cliquez ici pour obtenir des instructions détaillées

Deleting an account

https://support.TikTok.com/en/account-and-privacy/deleting-an-account

Demander la suppression d'un contenu particulier à l'aide de la fonction de signalement dans l'application (de plus amples informations sont disponibles ici).

Report a problem

https://support.TikTok.com/en/safety-hc/report-a-problem

Vous pouvez exercer votre droit à la portabilité en choisissant « Télécharger vos données » dans vos paramètres. Cliquez ici pour obtenir des instructions détaillées.

Requesting your data

https://support.TikTok.com/en/account-and-privacy/personalized-ads-and-data/requesting-your-data

Vous opposer au traitement de vos informations. Vous avez également le droit de vous opposer au traitement de vos informations dans certaines circonstances

Exercising your right to object to the processing of your personal data

https://www.TikTok.com/legal/page/global/right-to-object/en

Certaines entités de notre Groupe de sociétés, situées en dehors de votre pays de résidence (rendez-vous ici) se voit accorder un accès à distance limité à ces informations, afin qu'elles puissent assurer certaines fonctions, comme décrit dans la partie « Notre Groupe de sociétés » de la section

Our Global Operations and Data Transfers: Storage and Limited Remote Access within our Corporate Group

https://www.TikTok.com/legal/page/eea/transferee-countries/en

Selon l'analyse de l'association UFC-Que Choisir, la politique de confidentialité de TikTok n'est pas compréhensible quant à l'ampleur de la collecte, si bien que le consentement n'est pas éclairé. De plus, TikTok estime que l'ensemble des données relèvent de l'intérêt légitime, ce qui implique que leur collecte ne requiert pas le consentement exprès du consommateur, à l'exception notable de la publicité ciblée. Un changement de base légale, pour passer du consentement à l'intérêt légitime126(*), avait été annoncé par TikTok et devait rentrer en vigueur le 13 juillet 2022. Cette modification de la politique de confidentialité a été suspendue « jusqu'à nouvel ordre » après saisine de l'autorité de protection des données irlandaise (Data Protection Commission - DPC), à la suite d'un avertissement de l'autorité italienne (Garante per la protezione dei dati personali - GPDP) et de l'annonce d'une enquête de l'autorité espagnole (Agencia Española de Protección de Datos - AEPD).

Les finalités des traitements ne sont pas plus explicites : il s'agit d'exploiter, fournir, développer et améliorer la plateforme, « notamment aux fins suivantes » ; sont ici listées une douzaine d'objectifs peu précis (personnaliser votre expérience sur la plateforme, fournir certaines fonctionnalités interactives...).

Le terme « notamment » est utilisé dix-huit fois dans la politique de confidentialité de TikTok, aux côtés de « par exemple » qui apparaît quant à lui vingt-et-une fois, ce qui montre le peu de précision de l'information apportée.

b) Des données collectées directement à la source dans des proportions inconnues

Outre les informations directement renseignées par l'utilisateur lors de la création du compte ou qui proviennent du contenu qu'il crée ou publie, un certain nombre des données collectées proviennent directement de l'appareil sur lequel est installée l'application TikTok via les demandes envoyées par l'application au système d'exploitation du téléphone (Android ou IOS) pour avoir accès à des fonctionnalités ou des informations diverses. Les autorisations sollicitées sont portées à la connaissance des utilisateurs lors du téléchargement par l'éditeur de l'application.

Mme Marlène Masure a invoqué les informations présentées dans les magasins d'applications Google Play ou Apple, comme un gage de transparence : « vous pouvez voir les données collectées par chaque plateforme ».

Toutefois, M. Alain Bazot, président de l'UFC-Que Choisir, a souligné qu'en ce qui concerne TikTok, des manquements pouvaient être décelés dès le téléchargement de l'application dans les magasins d'applications Google Play ou Apple. Selon lui, tout récemment encore, il était annoncé dans le Google Play Store que l'application TikTok ne partageait pas ses données avec des tiers, ce qui est faux.

Le service juridique de l'UFC-Que Choisir est donc intervenu auprès de l'annonceur, pour qu'il efface cet « élément de rassurance » fallacieux.

 
 
 
 

Extrait du magasin d'application Google Play

Par ailleurs, seules certaines des demandes effectuées par l'application auprès du système d'exploitation du téléphone sont soumises à un accord exprès de l'utilisateur. Cette notification à l'utilisateur est faite par le système d'exploitation Android ou Apple qui, pour protéger les informations sensibles disponibles depuis un appareil, détermine quelles sont les demandes d'autorisation « dangereuses ». Il  est conseillé aux développeurs des applications de n'utiliser ces demandes que lorsque l'accès aux informations est nécessaire au bon fonctionnement de l'application.

Peuvent ainsi être collectées, avec l'autorisation de l'utilisateur, avec plus ou moins de capacité de contrôle, en fonction du modèle de mobile utilisé : la liste de contacts, le micro et la caméra, la bibliothèque de photos, la géolocalisation.

L'Anssi tchèque, le Národní úøad pro kybernetickou a informaèní bezpeènost (NÚKIB) a publié une alerte le 8 mars 2023127(*) au sujet de l'application TikTok estimant qu'elle collectait une masse excessive de données sur l'utilisateur. En particulier, le NUKIB pointait du doigt le « mappage » des applications, qui permet de détecter les autres applications installées et en usage sur le terminal, la vérification régulière de la géolocalisation, un accès à l'agenda de l'utilisateur, l'utilisation d'un navigateur propre qui permet de surveiller l'activité de l'utilisateur, etc.

La question de la géolocalisation

Les utilisateurs des applications sont habitués à voir surgir une fenêtre (ou pop up) leur demandant l'autorisation de les géolocaliser.

Ce n'est pas le cas pour TikTok qui ne demande pas d'utiliser les données GPS du téléphone et se contente d'une localisation approximative - mais précise à quelques kilomètres près - fondée sur les informations techniques du téléphone ou du réseau (par exemple, le pays associé à la carte SIM de l'appareil ou la ville associée à l'adresse IP).

La géolocalisation est ainsi plus « furtive ».

Lors d'une visite au Pôle d'expertise de la régulation numérique (PEReN), service à compétence nationale, rattaché au directeur général des entreprises, les membres de la commission d'enquête ont entendu les interrogations des spécialistes rencontrés sur la finalité de l'utilisation de certaines permissions et sur la nature des données stockées, par exemple s'agissant de l'accès aux contacts, de l'accès au presse-papier ou au calendrier ou agenda de l'utilisateur. Sur ce dernier point, le PEReN indique ne pas avoir identifié le parcours utilisateur conduisant à déclencher la demande, et donc l'usage légitime présenté. TikTok a précisé dans un complément écrit, faisant suite à l'audition de ses représentants, que l'accès au calendrier de l'utilisateur permet, s'il le souhaite, d'y ajouter des événements diffusés en direct sur TikTok.

Par ailleurs, des articles de presse128(*) ont fait état, à la mi-2022, de l'injection de code JavaScript au sein du navigateur maison de TikTok, comme cela avait déjà été démontré auparavant pour des plateformes américaines. Ceci permettrait notamment à TikTok - qui se défend en affirmant qu'il ne s'agit que de mesures techniques permettant des débogages - de capter les frappes des utilisateurs sur le clavier et donc potentiellement des informations importantes (telles que les numéros de carte de crédit). Sans que cette pratique soit propre à TikTok et sans qu'il faille y voir a priori d'intention maligne, ceci confirme la propension de l'application à « ratisser large » en matière de collecte de données.

Lors de son audition devant la commission, Mme Marlène Masure a attiré l'attention sur le fait qu'à la lecture des informations présentes dans les magasins d'application, il peut être constaté que TikTok est l'une des plateformes qui collectent le moins de données « pour remettre les choses en perspective ». Selon les rapports publiés par l'association Exodus, qui analyse les applications Android dans le but de lister les pisteurs embarqués et d'établir la liste des permissions requises par l'application, le nombre des permissions sollicitées par l'application TikTok semble en effet en baisse : 76 permissions sollicitées par l'application en version 28.5.4 contre 40 permissions sur la version 29.6.4 plus récente129(*).

M. Tariq Krim, entrepreneur et spécialiste des questions du numérique, relève toutefois que, au-delà de la collecte de données privées du téléphone, dupliquées ensuite sur le cloud, la grande valeur d'un produit comme TikTok est sa valeur d'usage : les données issues de l'activité même de l'utilisateur qui regarde les vidéos. L'amélioration de la connaissance et des usages permet l'amélioration de l'algorithme global et à terme l'intégration de la publicité.

En tout état de cause, Mme Marlène Masure a clairement indiqué à la commission que TikTok entendait faire reposer le principe de minimisation sur l'utilisateur : « notre enjeu est de continuer à éduquer sur les fonctionnalités qui permettent d'améliorer le contrôle des données qu'on laisse sur la plateforme ». Or ce n'est pas aux utilisateurs de s'éduquer sur les fonctionnalités mais aux gestionnaires de la plateforme de prévoir que l'application puisse fonctionner sans avoir besoin de prélever massivement des données.

2. Un profilage fin des utilisateurs sur le fil « Pour Toi »

Parmi les informations à disposition de TikTok, se trouvent les « informations déduites » : TikTok déduit certaines caractéristiques comme la tranche d'âge et le genre, et les intérêts de l'utilisateur sur la base des informations collectées. Ces informations sont utilisées - « par exemple » selon l'expression très souvent utilisée dans la politique de confidentialité - pour assurer la sécurité de la plateforme, pour la modération du contenu et pour la publicité ciblée. TikTok peut ainsi, selon son expression, « segmenter les utilisateurs » en catégories d'intérêts et de comportements ou bien par groupes d'audiences personnalisées auprès desquelles les annonceurs peuvent diffuser des publicités ciblées.

Ces déductions constituent une vraie richesse pour la plateforme. Selon la CNIL, la principale caractéristique de TikTok est en effet la performance de son algorithme de recommandations capable de capter tout ce que fait l'utilisateur, ses goûts, ses réactions, d'où la qualité de ses prédictions et la grande valeur opérationnelle des données utilisateur qu'elle collecte. Cette finesse d'analyse - en particulier s'agissant du temps de visionnage et de l'appréhension du comportement de l'utilisateur et de son interaction avec le réseau social - est rendu possible par le fait que TikTok ne propose qu'une vidéo à la fois à l'utilisateur qui réagit en continuant de la regarder ou en passant son doigt sur l'écran (swipe) pour passer à la vidéo suivante.

La rapidité de visionnage induit une rapidité de l'enrichissement du profilage des données. La plateforme TikTok se caractérise en effet par le format très court de ses vidéos qui ne font que quelques dizaines de secondes : initialement d'une durée limitée à 15 secondes, cette durée maximale a été augmentée à trois minutes en juillet 2021, puis à dix minutes en mars 2022. Sous couvert de donner « plus de souplesse aux créateurs, pour leur permettre d'exprimer leurs idées » il semble que le but est surtout la possibilité de monétiser les contenus.

Le format de quelques dizaines de secondes reste toutefois largement majoritaire. Comme le rapporte le journal Le Monde dans un article du 1er mars 2022130(*), « un rapport interne de l'entreprise, consulté en 2021 par le média américain Wired, soulignait que les vidéos de plus d'une minute étaient « stressantes » aux yeux d'une petite moitié des utilisateurs de TikTok. Le réseau social lui-même conseille à ses créateurs de limiter la durée de leurs productions de vingt-et-une à trente-quatre secondes ».

Toutes les personnes auditionnées ont insisté sur la richesse des informations qui peuvent être retirées du fonctionnement du fil « Pour Toi ».

Ainsi, M. Marc Faddoul, chercheur en intelligence artificielle et directeur de l'association Al Forensics, a-t-il relevé qu'en acceptant les conditions générales d'utilisation, on accepte que TikTok collecte nos données comportementales, notamment les données qui décrivent notre interaction avec le contenu. On autorise ainsi la plateforme à dresser un profil psychologique et d'intérêts à notre sujet et à l'utiliser à des fins commerciales, pour faire de la publicité ciblée, ce qui est essentiel dans son modèle économique.

Selon Viginum, en comparaison avec d'autres plateformes, qui cherchent aussi à profiler les utilisateurs, TikTok peut connaitre plus rapidement leur profil psychologique et améliorer en conséquence ses algorithmes pour proposer des vidéos mieux ciblées et en augmenter l'engagement. Les agents de Viginum ont aussi observé que lors de la navigation sur la version web de TikTok, les déplacements de souris pouvaient générer une transmission d'informations à la plateforme (ce qui n'est généralement pas le cas avec les autres réseaux sociaux). Ces constatations témoignent du fait que TikTok récupère des données sur la moindre action de chacun de ses utilisateurs. Ces informations sont ensuite susceptibles de nourrir la connaissance de TikTok sur ses utilisateurs et enrichir en conséquence l'efficacité de ses algorithmes.

M. Alain Bazot, président de l'association UFC-Que Choisir ; relève de même que l'application fonctionne grâce à une hyperpersonnalisation et à un tracking très fin du comportement de ses utilisateurs. Très rapidement, TikTok parvient à savoir ce que l'utilisateur aime ou n'aime pas, de manière à pouvoir l'alimenter en événements ou en documents correspondant à ses centres d'intérêt. Les vidéos sont de format court de sorte que l'utilisateur ne peut pas se lasser, car leur visionnage est très rapide.

Selon M. Bernard Benhamou, secrétaire général de l'Institut de la souveraineté numérique, percevoir autant de données, y compris biométriques ou émotionnelles, n'est pas neutre. TikTok peut en effet également capter l'empreinte vocale et l'empreinte faciale lorsque les autorisations correspondantes sont données. Les répercussions sur l'analyse comportementale de ce genre de collectes de données sont importantes.

En particulier, ainsi que l'a relevé la CNIL, les activités de profilage liées au ciblage peuvent permettre de déduire des intérêts ou d'autres caractéristiques que l'individu n'a pas activement révélés, ce qui compromet la capacité de l'individu à exercer un contrôle sur ses données à caractère personnel. Ces informations peuvent même être « sensibles » au sens de l'article 9 du règlement général sur la protection des données du 27 avril 2016131(*) (RGPD) ou l'article  8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (« loi Informatique et Libertés »), en ce qu'elles révèlent les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie ou l'orientation sexuelle des personnes.

Des données qui génèrent les revenus de TikTok ?

Le modèle économique de TikTok semble moins lié à la publicité que les autres plateformes dans la mesure où elle ne peut imposer le visionnage de vidéos publicitaires à des utilisateurs habitués à swiper. Ainsi Marlène Masure explique-t-elle, que de façon volontaire, TikTok ne sature pas son audience de formats publicitaires, pour que l'expérience reste la meilleure possible : « nos formats publicitaires sont des formats premium (...) Notre stratégie consiste à favoriser cette meilleure expérience possible ».

Les données collectées permettent de vendre des outils de publicité ciblée, qui est activée par défaut132(*). Le ciblage se fait via l'interface TikTok Ads Manager qui propose un certain nombre de critères de ciblage133(*), dont le sexe, l'âge, la zone géographique, la langue, les centres d'intérêt, le pouvoir d'achat, l'intention d'achat, les comportements vidéo - soit les actions de visionner, aimer, commenter et partager des vidéos par catégorie - et les interactions avec les créateurs, le prix de l'appareil. Pour que les annonceurs puissent « surveiller » les performances de leurs annonces plus facilement, TikTok a créé le pixel TikTok qui permet de suivre les comportements des utilisateurs sur leurs sites Web et d'évaluer les résultats marketing. Les catégories d'âge indiquées - 13-17, 18-24, 25-34, 35-44, 45-54, 55+ - comprennent les mineurs alors que Marlène Masure a assuré à la commission que TikTok anticipait l'entrée en vigueur du RSN et respectait déjà l'obligation d'absence de publicité sur les mineurs de moins de 15 ans.

Cette activité a rapporté en 2022 62 millions d'euros pour la partie française, c'est-à-dire auprès d'annonceurs en France ou ciblant les internautes dotés d'une adresse IP française.

De manière surprenante, la publicité ne vient qu'au deuxième rang des revenus de TikTok, loin derrière l'achat de cadeaux virtuels (sous forme d'émojis) qui lui ont rapporté 103 millions d'euros s'agissant des cadeaux virtuels offerts aux créateurs qui diffusent du contenu en direct - en live streaming - via la fonctionnalité TikTok LIVE134(*). Ces cadeaux virtuels peuvent être achetés par les utilisateurs grâce à des « pièces », achetées notamment sur les magasins d'application Google ou Apple. Les cadeaux virtuels sont ensuite convertis en « diamants » par ceux qui les reçoivent, « diamants » qui peuvent ensuite eux-mêmes être transformés en euros.

Ce modèle d'affaires de live gifting, émergent en Europe, est déjà très développé dans d'autres parties du monde selon Mme Marlène Masure. Cette activité a attiré l'attention de l'UFC-Que Choisir qui a relevé que ce mécanisme facilite des arnaques difficilement décelables, les comptes pouvant disparaître facilement. Certains usent de leur influence pour promettre une vidéo de promotion à celui qui leur aura donné le plus de cadeaux virtuels. Les utilisateurs souvent jeunes n'ont pas toujours le discernement qui leur permettrait de déceler le caractère grossier de la promesse qui leur est faite.

La prochaine étape pourrait être le lancement d'une activité de commerce en ligne. Débutée en Asie du Sud-Est en 2022, elle semble y rencontrer un grand succès. Le président de TikTok a ainsi annoncé le 15 juin 2023 vouloir investir « des milliards de dollars » en Indonésie et en Asie du Sud-Est ces prochaines années135(*).

Plus généralement, les membres de la commission d'enquête ont relevé que les représentants de TikTok donnaient peu d'information sur le modèle économique de la plateforme au niveau mondial. Ainsi, les représentants des ayants droit comme la SACEM ont expliqué que, contrairement aux autres plateformes, TikTok refusait de fournir des données actualisées qui permettraient de répercuter le succès de la plateforme sur les ayants droit comme c'est d'ordinaire le cas (cf. ci-dessous).

M. Gattolin a souligné que, compte tenu de son personnel conséquent et des dépenses qui en découlent, des investissements annoncés (par exemple le projet Clover avec 1,2 milliard d'euros par an), et compte tenu par ailleurs des possibilités limitées en matière de publicité liées au format de l'application, il y avait lieu de s'interroger sur ce modèle économique. En effet, s'il est commun pour des plateformes de commencer par perdre de l'argent, la manière dont TikTok compte ensuite devenir rentable n'est pas claire à ce stade.

3. Un partage des données avec de nombreux partenaires hors UE

La politique de confidentialité de la plateforme TikTok indique que cette dernière partage les informations de ses utilisateurs avec des prestataires de services, des partenaires et les sociétés de son groupe, sans qu'aucun nom ne soit jamais communiqué, là où Twitter par exemple liste ses principaux sous-traitants136(*).

Extraits de la Politique de confidentialité de TikTok
(version 4 mai 2023)

Manières dont nous partageons vos informations

Prestataires de services

Nous faisons appel à des prestataires de services qui nous aident à fournir, soutenir et développer la Plateforme et à comprendre comment elle est utilisée. Ils fournissent des services tels que l'hébergement sur le cloud, la diffusion de contenu, l'assistance client et technique, la modération de contenu, le marketing, l'analyse et le paiement en ligne. Nous partageons les informations que vous fournissez, les informations recueillies automatiquement et les informations provenant d'autres sources avec ces prestataires de services dans la mesure où cela est nécessaire pour leur permettre de fournir leurs services.

Partenaires

Les plateformes de tiers et partenaires tiers. Nous partageons des informations limitées qui peuvent inclure les informations que vous fournissez, les informations techniques et les informations sur l'utilisation avec des plateformes de tiers et des partenaires tiers dont la plateforme ou les services sont intégrés à la Plateforme. Nous le faisons pour vous offrir une expérience fluide, permettre à votre contenu d'être partagé sur d'autres plateformes et/ou permettre à des plateformes de tiers et des partenaires tiers de mieux authentifier les utilisateurs. Par exemple, si vous :

? vous connectez à une plateforme de tiers en utilisant votre compte, nous partagerons les informations de base de votre compte et toute autre information que vous fournissez ;

? vous inscrivez ou vous connectez à la Plateforme en utilisant les données de votre compte sur une plateforme de tiers (comme Facebook ou Google), nous partagerons certaines informations techniques afin de faciliter cette démarche ;

? partagez le Contenu utilisateur que vous publiez sur la Plateforme sur d'autres plateformes de réseaux sociaux, nous partagerons votre Contenu utilisateur et les informations connexes.

Les annonceurs. Nous fournissons aux annonceurs des informations regroupées sur les performances de leurs publicités et autres contenus sur la Plateforme, afin de les aider à mesurer leur efficacité. Nous créons ces informations regroupées en utilisant les informations que vous fournissez, les informations recueillies automatiquement et les informations provenant d'autres sources. Nous partageons vos informations directement avec les annonceurs lorsque vous nous en donnez l'autorisation.

Les partenaires en matière de mesures et de données. Nous partageons également les informations que vous fournissez, les informations techniques et les informations sur l'utilisation avec des fournisseurs de mesures tiers qui nous permettent de mesurer les publicités diffusées sur la Plateforme et d'aider nos annonceurs à déterminer l'efficacité de leurs publicités.

Les vendeurs, les prestataires de paiement et d'exécution de transactions et autres prestataires de services. Lorsque vous effectuez un achat par le biais des fonctionnalités d'achat sur notre Plateforme, nous partageons les informations sur les achats relatives à la transaction avec le vendeur, les prestataires de paiement et d'exécution de transactions, et autres prestataires de services. Par exemple, nous partagerons les articles de la commande, les coordonnées et les informations de livraison afin de permettre le traitement de votre commande. Nous pouvons également être amenés à partager certaines informations techniques concernant votre appareil ou connexion avec ces entités afin d'assurer la sécurité de la transaction.

Notre Groupe de sociétés

En tant que société internationale, la Plateforme est soutenue par un certain nombre d'entités au sein de notre groupe de sociétés (notre « Groupe de sociétés »). Ces entités traitent les informations que vous fournissez, les informations recueillies automatiquement et les informations provenant d'autres sources pour nous, dans la mesure où cela est nécessaire pour fournir certaines fonctionnalités, telles que le stockage, la diffusion de contenu, la sécurité, la recherche et le développement, l'analyse, les paiements en ligne, l'assistance client et technique, et la modération de contenu. Reportez-vous à la section « Nos opérations mondiales et les transferts de données » pour en savoir plus.

Le flou est entretenu sur les sociétés auxquelles les données des utilisateurs sont fournies, TikTok se contentant de donner une localisation très générale de celles-ci dans sa politique de confidentialité :

- les informations des utilisateurs sont stockées sur des serveurs situés aux États-Unis, en Malaisie et à Singapour (les représentants de TikTok n'ont pas voulu justifier ces choix) ;

- les informations peuvent être partagées avec les prestataires de services, les partenaires et d'autres entités tierces qui « peuvent se trouver en dehors [du] pays de résidence [de l'utilisateur] », sans aucune précision sur le lieu d'établissement de ces sociétés et le cadre du partage d'informations. Dans une réponse écrite faite au rapporteur, TikTok indique que « certains sous-traitants » sont en Chine et ont un accès à distance aux données afin de pouvoir fournir des services à TikTok Ireland (responsable des données des utilisateurs français) ;

- certaines sociétés du groupe TikTok - non nommées - se voient accorder un accès à distance137(*), afin qu'elles puissent « assurer certaines fonctions ».

Un lien vers un page écrite en anglais « précise » que cet accès à distance peut se faire par des sociétés du groupe situées dans des pays pour lesquels la Commission européenne a rendu des décisions d'adéquation reconnaissant que ces pays tiers assurent un niveau de protection adéquat des données à caractère personnel : le Canada, le Royaume-Uni, Israël, le Japon et la Corée du Sud.

Mais l'accès à distance concerne également des sociétés du groupe situées dans des pays pour lesquels la Commission européenne n'a pas rendu de décisions d'adéquation : le Brésil, la Chine, la Malaisie, les Philippines, Singapour et les États-Unis138(*). Selon les réponses transmises par TikTok au rapporteur, seuls certains employés du groupe seraient autorisés à accéder à distance à certaines données, en cas de besoin avéré dans le cadre de leur travail et sous réserve d'une série de contrôles de sécurité et de protocoles d'approbation rigoureux. Ces contrôles de sécurité comprendraient des contrôles d'accès au système, le cryptage et la sécurité du réseau.

Sur son site, TikTok indique utiliser des clauses contractuelles types, se référant sans doute aux clauses contractuelles types arrêtées par la Commission européenne139(*), pour encadrer ces accès à distance. Toutefois, le simple usage de ces clauses est insuffisant pour garantir un niveau de protection approprié des données à caractère personnel. En l'absence de décision d'adéquation, le responsable du traitement ou le sous-traitant doit en effet vérifier au cas par cas si le droit ou la pratique du pays tiers compromet l'efficacité des clauses contractuelles types et, si tel est le cas, de prendre des mesures supplémentaires pour remédier à ces lacunes de la protection et la porter au niveau exigé par le droit.

La position de la CNIL sur les transferts de données personnelles en Chine

« Depuis l'arrêt Schrems II de la Cour de justice de l'union européenne (CJUE) du 16 juillet 2020, l'UE a pris un parti très strict sur l'application de lois étrangères permettant à des autorités publiques de demander à des opérateurs de leur communiquer tel ou tel type de données personnelles. Pour celles qui concernent des Européens, la CJUE a demandé que les pays déclarés « adéquats » par l'UE ne se réfèrent pas à ce type de loi - ou, plus exactement, qu'ils s'y réfèrent en répondant aux standards de protection de garantie exigés pour l'UE. De ce point de vue, la loi américaine a été déclarée comme « ne répondant pas aux standards de protection demandés par la CJUE ».

Dans les dossiers concernant cette question, nous avons estimé qu'un constat identique pouvait s'établir avec les lois chinoises. Cela signifie qu'une vigilance particulière est requise lorsque des données à caractère personnel d'Européens sont transférées sur le territoire chinois. Comme l'a indiqué la CNIL peu après l'arrêt Schrems II, il s'agit également de faire attention à des données entre les mains d'opérateurs soumis à la législation chinoise, même si celles-ci sont hébergées et traitées sur le sol européen. Tout cela est à regarder au cas par cas, en fonction des situations, mais le risque est bien réel

Sur cette question, nous avons alerté l'autorité irlandaise ; c'est à elle de prendre position, et celle-ci n'est pas facile à prendre. Il s'agit de déterminer dans quelle mesure la loi chinoise s'applique à tel ou tel type d'entités du groupe ByteDance ; sur ce point, TikTok a avancé des arguments. Il s'agit de préciser où sont les données, et de savoir également si des mesures supplémentaires mises en place par TikTok peuvent protéger de ce type de risque. Si jamais une difficulté apparaît, la Cnil dispose d'un corpus doctrinal suffisamment étoffé ; elle peut dire qu'il ne suffit pas d'héberger les données en Europe pour se protéger de ce risque : des mesures de sécurité beaucoup plus radicales sont nécessaires.»

Audition de M. Louis Dutheillet de Lamothe, secrétaire général de la CNIL
le 3 avril 2023

M. Éric Garandeau a assuré à la commission que les accès de données depuis la Chine étaient accordés dans un nombre limité de cas, à certaines personnes seulement, dans des buts purement techniques, et après anonymisation des données, ce qui n'apparaît nullement dans la politique de confidentialité.

Interrogé par le président de la commission qui souhaitait recevoir l'assurance qu'il n'y avait pas de transferts de données personnelles en dehors de ces cas limités, M. Eric Garandeau a refusé de se prononcer : « La notion de données personnelles est elle-même une notion complexe. Je préfère donc revenir vers vous par écrit sur ce sujet, si vous me le permettez ». Selon lui, « une donnée peut être une information banale, qui porte sur l'utilisation d'un filtre, d'une fonctionnalité. Ce type de données doit pouvoir circuler d'un lieu à l'autre pour pouvoir être analysé. TikTok est une plateforme qui opère dans tous les pays ».

Il n'y a finalement pas été répondu par écrit. De même, aucune précision n'a été apportée quant au nombre d'employés basés en Chine pouvant accéder aux données des utilisateurs européens ou leurs fonctions, ainsi qu'à l'identité des sociétés du groupe ByteDance ayant accès aux données.

4. Le risque cyber

Au-delà des soupçons de transferts de données volontaires que peut faire peser la proximité de TikTok avec les entités chinoises du groupe ByteDance, il est nécessaire de souligner que de tels transferts peuvent tout simplement intervenir lors de cyberattaques, celles-ci étant extrêmement fréquentes. Comme les autres plateformes numériques qui collectent des milliards de données sur leurs utilisateurs, TikTok doit donc démontrer que l'entreprise met tout en oeuvre pour minimiser ce genre de risques. La question de ces mesures de sécurité a en particulier été posée par M. André Gattolin lors de l'audition des représentants de TikTok : « La question est celle de la vulnérabilité de tous les supports et bases de données aux attaques extérieures. Les données personnelles sont l'or blanc de l'économie actuelle ».

Il s'agit notamment de savoir si TikTok a déjà fait l'objet de cyberattaques qui l'aurait conduite à faire des déclarations publiques, celles-ci permettant de mieux partager les informations avec les autres plateformes et de diffuser la culture de cyberprotection.

Interrogé sur ce point, M. Éric Garandeau a indiqué que « TikTok cherche justement à établir des relations avec l'ANSSI. Nous n'avons pas encore eu de rendez-vous mais nous espérons en avoir un prochainement pour présenter les projets Clover et pour pouvoir leur indiquer que l'on est disposé à ce que l'ANSSI fasse des tests pour vérifier la robustesse de nos dispositifs ». En revanche, il n'a pas souhaité communiquer publiquement sur les cyberattaques éventuelles à l'encontre de la plateforme. De même, Mme Marlène Masure n'a pas été en mesure d'apporter des précisions et a préféré renvoyer, une fois de plus, au projet Clover : « C'est une question technique, je ne suis pas experte, mais j'ai le sentiment qu'avec la mise en place du projet Clover que vous a expliqué Eric Garandeau ce matin, avec la souveraineté numérique, avec un tiers de confiance qui sera annoncé prochainement et va sécuriser tout le stockage de données personnelles en Europe, on va aussi cranter quelque chose en matière de cybersécurité ». Par ailleurs, en réponse à une question écrite, TikTok a indiqué que ce sujet était couvert par le secret des affaires.


* 125 Gras ajouté.

* 126 Intérêt légitime invoqué par TikTok : « fournir aux utilisateurs des outils pour inspirer la créativité, la collaboration et le plaisir, et créer des possibilités pour les utilisateurs de toucher de nouveaux publics ».

* 127 https://www.nukib.cz/en/infoservis-en/news/1942-the-TikTok-app-poses-a-security-threat/

* 128 https://www.forbes.com/sites/richardnieva/2022/08/18/TikTok-in-app-browser-research/

* 129 https://reports.exodus-privacy.eu.org/fr/.

* 130https://www.lemonde.fr/pixels/article/2022/03/01/TikTok-autorise-les-videos-de-dix-minutes_6115698_4408996.html

* 131 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

* 132 Marlène Masure : « Vous avez aussi la possibilité de limiter les données collectées, par exemple en enlevant la personnalisation des publicités - il faut décocher la case ».

* 133 https://ads.TikTok.com/help/article/ad-targeting?lang=fr.

* 134 Ouverte aux plus de 18 ans uniquement.

* 135 « TikTok compte investir "des milliards" en Asie du Sud-Est où le e-commerce décolle », 15 juin 2023, Dépêche AFP.

* 136 https://privacy.twitter.com/fr/subprocessors.

* 137 Un accès à distance constitue un transfert de données au sens du RGPD selon les recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l'UE adoptées le 18 juin 2021 par le European Data Protection Board.

* 138 À la suite de l'arrêt Shrems II de la Cour de justice de l'Union européenne du 16 juillet 2020, qui a invalidé le régime de transferts de données entre l'Union européenne et les États-Unis (Privacy shield).

* 139 https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32021D0914

Les thèmes associés à ce dossier