C. LES PROCÉDURES EN COURS DE TRAITEMENT PAR LA DPC, LA « CNIL » IRLANDAISE
1. Au moins deux procédures en cours, relatives aux mineurs et au transfert de données vers la Chine
Depuis le 29 juillet 2020, l'autorité de protection des données irlandaise, la Data Protection Commission (DPC), est la seule à pouvoir sanctionner TikTok pour non-respect du RGPD. Selon son rapport annuel 2022143(*), elle conduit deux procédures :
- en septembre 2021, elle a engagé une enquête sur la conformité de la plateforme avec le RGPD s'agissant des conditions de traitement des données personnelles pour utilisateurs de moins de 18 ans et des mesures de vérification de l'âge pour les moins de 13 ans. Cette enquête a concerné également la manière dont TikTok s'est conformé aux obligations de transparence posées par le RGDP dans le cadre d'un traitement de données personnelles de mineurs.
Dans cette affaire, la DPC a soumis un projet de décision le 13 septembre 2022 aux autres autorités de contrôle concernées via le Comité européen de la protection des données (CEPD), conformément au mécanisme de coopération instauré par l'article 60 du RGPD. Une décision est attendue prochainement ;
- la deuxième procédure, concerne les transferts par TikTok des données personnelles de ses utilisateurs de l'UE vers la Chine et le respect des exigences du RGPD en la matière. L'enquête examine également si TikTok respecte ses obligations de transparence vis-à-vis des utilisateurs dans la mesure où les transferts de données sont concernés. Un premier exposé des griefs a été envoyé à TikTok en juillet 2022 qui y a répondu. La DPC est là encore en train de préparer un avant-projet de décision qui sera soumis au mécanisme de coopération.
Dans ce cadre, la DPC est censée se prononcer sur les mesures techniques et juridiques mises en place par TikTok pour assurer une protection appropriée aux données personnelles des utilisateurs européens transférées en Chine (efficacité des clauses contractuelles types au regard de la loi chinoise applicable à telle ou telle entité du groupe ByteDance, mesures complémentaires telle l'anonymisation » des données ou la création de « bastions de sécurité »...)144(*).
Mesures complémentaires déclarées par TikTok
TikTok a expliqué dans un complément de réponse les mesures complémentaires mises en place. Compte tenu du passif de l'entreprise dans ce domaine, ces engagements à des « politiques et des procédures poussées » doivent être pris pour ce qu'ils sont : des éléments de langage sujets à caution.
« Le groupe utilise une série de contrôles rigoureux, de mesures de protection telles que le cryptage, et des protocoles d'autorisation destinés à garantir que les données ne sont accessibles qu'aux personnes qui en ont besoin pour permettre à l'entreprise et au service de fonctionner.
Pour atténuer les risques d'accès, d'utilisation et de divulgation non autorisés de ces données, TikTok a mis en place des politiques et des procédures poussées qui permettent de garder trace et de limiter l'accès interne à ces données par les employés, où qu'ils soient, en le conditionnant à un besoin avéré dans le cadre de leur travail. Cela signifie que si une équipe basée à l'étranger, y compris si elle est composée de personnes basées en Chine, devait accéder à des données d'utilisateurs pour exécuter une fonction spécifique liée à son rôle (comme un « débuggage », un dépannage technique ou un contrôle de performance en vue de fournir la meilleure expérience possible à l'utilisateur), cet accès serait soumis à une série de contrôles et de garde-fous, ainsi qu'au respect de protocoles d'approbation et d'autorisation stricts.
Pour faciliter ces approbations, TikTok dispose également d'un système interne de classification des données, le niveau d'approbation requis pour y accéder étant basé sur le degré de sensibilité des données selon ce système de classification. L'objectif de ces processus et protocoles est de s'assurer que les données ne sont accessibles qu'aux personnes qui en ont besoin pour accomplir leurs tâches ou fonctions autorisées au sein de l'entreprise. »
Source : complément écrit de TikTok du 19 juin 2023
TikTok a également informé le rapporteur que TikTok Ireland avait reçu le 27 mars 2023 la notification d'une enquête diligentée par la DPC sur l'utilisation de cookies et d'autres technologies de suivi sur le site web de TikTok.
2. Une autorité irlandaise souvent critiquée pour ses réponses timorées voire pour sa complaisance vis-à-vis des plateformes
Du fait du choix d'importantes plateformes extra-européennes de déclarer leur établissement principal en Irlande, la DPC est devenue chef de file dans de très nombreux dossiers. TikTok n'est en effet qu'un cas parmi d'autres : Meta (Facebook, Instagram, Whatsapp), Google (Youtube), Apple, Microsoft (Linkedin), Yahoo !, Twitter, Airbnb, etc. ont fait le même choix. Entre mai 2018 et décembre 2022, sur 1 301 plaintes transfrontalières reçues, 1 205 étaient des plaintes reçues en tant que chef de file (soit près de 93 %) et seulement 96 en tant qu'autorité de contrôle concernée145(*).
Les moyens de la DPC n'ont pas tout de suite été mis en adéquation. Ils sont ainsi passés de 11,7 millions d'euros et 110 employés en 2018 à 23,2 millions d'euros et 196 employés en 2022. Pour comparaison, la CNIL a bénéficié de 24,3 millions de crédit et un plafond d'emplois de 278 ETPT en loi de finances initiale pour 2022, alors qu'elle a beaucoup moins de grandes plateformes à contrôler.
La DPC est régulièrement critiquée pour la manière dont elle s'acquitte de son rôle de chef de file : trop conciliante avec les géants américains qui contribuent massivement au PIB de l'Irlande, trop longue à mener les procédures, trop timorée dans ses sanctions.
Dans son rapport sur les cinq ans du RGPD146(*), l'Irish council for civil liberties (ICCL) relève ainsi que :
- près de 87 % des plaintes transfrontalières qui sont adressées à la DPC concernent les mêmes huit grandes compagnies (Meta, Google, Airbnb, Yahoo!, Twitter, Microsoft, Apple, and Tinder) ;
- malgré cela, dans 83 % des cas la DPC use de la possibilité de mettre fin aux plaintes via des accords amiables ;
- surtout, 87 % des décisions de la DPC ont été invalidées par le CEPD.
Le mécanisme de règlement des litiges par le CEDP147(*)
Dans le cadre du « mécanisme de guichet unique » qui s'applique aux situations de traitement transfrontalier, l'autorité de contrôle chef de file est l'autorité chargée de diriger le processus de coopération : elle partage les informations pertinentes avec les autorités de contrôle concernées148(*), mène les enquêtes et prépare le projet de décision relatif à l'affaire.
Lorsqu'un projet de décision est émis, les autorités de contrôle concernées sont consultées par l'autorité de contrôle chef de file et peuvent formuler des objections à l'égard du projet de décision dans un délai de quatre semaines. Si au moins une des autorités de contrôle concernées est en désaccord avec le projet de décision et formule des objections et si l'autorité de contrôle chef de file n'entend pas suivre ces objections, alors elle est tenue de transmettre l'affaire au comité européen de la protection des données (CEPD).
Le CEPD agit ensuite en tant qu'organe de règlement des litiges et, en principe, dans un délai d'un mois à compter de la transmission de la question, il rend une décision à la majorité des deux tiers, qui est contraignante à la fois pour l'autorité de contrôle chef de file et les autorités de contrôle concernées.
La récente décision Meta - qui, par bien des aspects, présente des ressemblances avec l'une des procédures en cours contre TikTok - illustre particulièrement les difficultés rencontrées dans le traitement des dossiers transfrontaliers par la DPC.
Meta Platforms Ireland Limited s'est vu infliger le 12 mai 2023 une amende de 1,2 milliard d'euros à la suite d'une enquête sur son service Facebook, menée par la DPC. Cette amende est la plus importante jamais prononcée au titre du RGPD. Ont été reprochés à Meta les transferts de données personnelles vers les États-Unis sur la base de clauses contractuelles types depuis le 16 juillet 2020, date de l'arrêt Shrems II invalidant le régime de transferts de données entre l'Union européenne et les États-Unis (Privacy shield). Meta a également été sommé de mettre ses transferts de données en conformité avec le RGPD.
Or dans le projet de décision daté du 6 juillet 2022 et notifié aux autorités de contrôle concernées, seule la suspension des transferts futurs de données personnelles vers les États-Unis avait été proposée par la DPC comme mesure corrective149(*).
Ce n'est qu'à la demande de quatre autorités de contrôle concernées qu'ont été ajoutées l'amende administrative - dont les critères d'évaluation et de détermination ont été arrêtés par le CEDP - et l'injonction de cesser le traitement illégal, y compris le stockage aux États-Unis des données personnelles transférés en violation du RGPD.
Comme dans d'autres affaires, il est à noter que la DPC n'a pas été très diligente, la décision n'étant intervenue que près de trois ans après l'ouverture de l'enquête, en août 2020. En effet, les premières étapes des procédures dirigées par les autorités chef de file se sont soumises à aucun délai. Ce n'est que la consultation des autres autorités et du CEPD qui sont encadrés par de tels délais.
3. Des autorités nationales qui essayent de maintenir une forme de contrôle sur TikTok
Bien que n'étant pas chef de file, les autres autorités nationales tentent de conserver une forme de contrôle sur la conformité de TikTok au RGPD150(*).
Ainsi, à la demande de sa présidente, depuis le transfert des procédures à la DPC, les équipes de la CNIL maintiennent des contacts réguliers avec leurs homologues irlandais afin qu'ils les informent de l'avancée des procédures à l'encontre de TikTok (points téléphoniques, demande de documentation sur ce que la DPC a réussi à obtenir de la part de TikTok lors de ses enquêtes, notamment sur le sujet des transferts...). Les autres autorités de contrôle concernées procèdent de même.
Le 13 mars 2023, la présidente de la CNIL a rencontré le directeur juridique de ByteDance, Erich Andersen. Les échanges ont porté sur le plan d'action de TikTok sur la protection des données en Europe, la supposée autonomie de l'algorithme, le code source, le fonctionnement de l'application aux États-Unis, la protection des mineurs et la vérification d'âge dans le cadre des restrictions d'utilisation pour les moins de 18 ans et l'implantation de TikTok et ByteDance en Chine.
Le 10 juin 2023151(*), le GPDP italien a demandé des informations à TikTok sur l'accès aux données des utilisateurs par la Chine tel qu'allégué par un ancien ingénieur de TikTok entendu par la justice américaine152(*).
Ce suivi attentif par les autorités de contrôle des pays membres de l'Union européenne et les échanges au sein du CEDP s'avèrent indispensables pour imposer à TikTok de respecter ses obligations au regard du RGPD.
En tout état de cause, comme l'a affirmé le ministre M. Jean-Noël Barrot lors de son audition, actuellement TikTok ne respecte pas le RGPD.
* 143 Voir son rapport annuel 2022 : https://www.dataprotection.ie/sites/default/files/uploads/2023-03/DPC%20AR%20English_web.pdf.
* 144 Voir le cas Meta évoqué page 84.
* 145 Voir son rapport annuel 2022 précité.
* 146 https://www.iccl.ie/wp-content/uploads/2023/05/5-years-GDPR-crisis.pdf.
* 147 Voir https://edpb.europa.eu/system/files/2021-09/20201110_art65_faq_fr.pdf.
* 148 Une autorité de contrôle qui est concernée par le traitement de données à caractère personnel parce que le responsable du traitement ou le sous-traitant est établi sur le territoire de l'État membre dont cette autorité de contrôle relève ; des personnes concernées résidant dans l'État membre de cette autorité de contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l'être ; ou une réclamation a été introduite auprès de cette autorité de contrôle (Article 4 du RGPD).
* 149https://www.dataprotection.ie/en/news-media/press-releases/Data-Protection-Commission-announces-conclusion-of-inquiry-into-Meta-Ireland.
* 150 A noter : l'ICO britannique a notifié le 13 mars 2023 à TikTok UK Ltd l'ouverture d'une enquête sur la conformité avec le RGPD britannique et les obligations visant à mettre en place des mesures techniques et organisationnelles appropriées permettant de se protéger contre le traitement illégal et la perte de données personnelles.
* 151 https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9895930.
* 152https://www.lemonde.fr/international/article/2023/06/09/un-ancien-cadre-de-TikTok-accuse-l-entreprise-de-collaborer-avec-les-autorites-chinoises_6176945_3210.html.