TikTok : une application sous haute surveillance
![Image [France :] les éditeurs doivent désormais signaler à l’ANSSI toute faille « significative »](https://incyber.org//wp-content/uploads/2024/05/incyber-news-cybersecurity-cybersecurite-notifications-messages-2-2024-885x690.jpg)
![Image [Atos :] trois offres de reprise étudiées d’ici au 31 mai 2024](https://incyber.org//wp-content/uploads/2023/09/incyber-news-cybersecurity-money-bank-885x690.jpg)
![Image [EUCS :] des entreprises européennes s’opposent à l’exclusion du critère de souveraineté](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2-2024-885x690.jpg)
Le réseau social chinois est dans le viseur des autorités américaines et européennes qui cherchent à savoir précisément comment les données de leurs ressortissants sont utilisées. Ce contrôle rapproché intervient dans un contexte plus global de tensions géostratégiques entre le bloc dit « occidental » et le binôme Chine / Russie.
TikTok, qui revendique aujourd’hui 150 millions d’utilisateurs aux États-Unis et 134 millions dans l’Union européenne, fait partie des applications les plus surveillées dans le monde. Pour mémoire, l’application mobile de partage de vidéos a été bannie, en février 2023, des téléphones des collaborateurs de la Commission européenne, puis de ceux de la Cour des comptes européenne et des Conseil et Parlement européens.
Dans un communiqué, la Commission européenne avait alors justifié cette décision de la manière suivante : « Cette mesure vise à protéger la Commission contre les cybermenaces et les agissements qui pourraient être ensuite exploités à des fins de cyberattaques ciblant l’institution (…). La Commission est déterminée à veiller à ce que son personnel soit bien protégé contre l’augmentation des cybermenaces et des incidents informatiques. Il est donc de notre devoir de réagir le plus tôt possible aux cyberalertes potentielles. »
Quelques semaines auparavant, le réseau social avait également été interdit des téléphones mobiles des employés du Congrès, de l’armée, des agences fédérales et du Parlement américains. Derrière le langage policé des communiqués de presse se cachait en réalité la crainte de voir les données des utilisateurs exploitées par l’application mobile créée par l’entreprise chinoise ByteDance, voire directement par le gouvernement chinois.
Une politique de confidentialité mise à jour et clarifiée
En novembre 2022, dans une démarche de clarification de ses pratiques liées aux données, TikTok avait communiqué sur le fait que certains de ses collaborateurs, situés dans plusieurs pays du monde, pouvaient accéder aux données d’utilisateurs européens.
Dans une mise à jour de sa politique de confidentialité, l’entreprise chinoise avait alors déclaré : « Nous stockons actuellement les données des utilisateurs européens aux États-Unis et à Singapour. Sous réserve d’un besoin avéré pour effectuer leur travail, d’une série de contrôles de sécurité et de protocoles d’approbation robustes, et par le biais de méthodes reconnues dans le cadre du RGPD, nous autorisons certains employés de notre groupe situés au Brésil, au Canada, en Chine, en Israël, au Japon, en Malaisie, aux Philippines, à Singapour, en Corée du Sud et aux États-Unis à accéder, à distance, aux données des utilisateurs de TikTok. »
Mais un mois plus tard, en décembre 2022, le New York Times avait mis au jour les pratiques de certains collaborateurs de TikTok qui avaient eu accès à des données sensibles, notamment des adresses IP, dans le but de traquer deux journalistes qui enquêtaient sur ByteDance. L’objectif de ces recherches était d’identifier les sources des journalistes, c’est-à-dire les personnes travaillant au sein de ByteDance et qui leur fournissaient des informations. Dans une déclaration faite à l’Agence France-Presse, le groupe chinois avait condamné une « initiative malencontreuse qui violait gravement le code de conduite de la société ».
TikTok : plusieurs niveaux d’analyse
« Quand on parle de TikTok, il faut prendre en compte plusieurs dimensions. Il faut tout d’abord raisonner de manière globale et se poser la question de savoir quelles données les utilisateurs veulent confier aux réseaux sociaux en général. Sur ce volet-là, TikTok n’est pas vraiment différent des autres plateformes. Quand on installe l’application, on peut partager son carnet d’adresses, l’accès aux photos, sa géolocalisation, comme on le ferait avec Facebook ou X (Twitter) », déclare Gérôme Billois, associé au sein du cabinet Wavestone.
La deuxième dimension qu’il faut prendre en considération est le risque que l’application soit piégée. « Ce serait le cas si une mise à jour de l’application contenait de nouvelles fonctionnalités masquées permettant d’espionner le téléphone. Techniquement, c’est un vrai risque, car rien n’empêche l’éditeur de TikTok d’ajouter ce type de fonctionnalités qui, bien cachées, passeraient allègrement à travers les mailles des filets de vérification. Heureusement, nous n’avons à ce jour aucune preuve d’agissements dans ce sens de la part de TikTok, ni même d’ailleurs des autres réseaux sociaux », complète Gérôme Billois.
Enfin, il faut replacer TikTok dans un contexte géostratégique beaucoup plus vaste. « Il est intéressant de remettre TikTok à l’échelle de la guerre que sont en train de se livrer dans l’espace numérique un bloc plutôt occidental et un bloc Russie / Chine. Cette guerre émerge via TikTok, mais elle est beaucoup plus profonde que cela. Il suffit d’ailleurs pour s’en convaincre de se rappeler qu’en Chine et en Russie, les iPhones sont interdits. Il existe une crainte croisée entre, d’un côté les États-Unis et l’Europe et, de l’autre, la Chine et la Russie, sur les moyens d’espionnage numérique », conclut Gérôme Billois.
Une surveillance des autorités sur tous les fronts
La surveillance de TikTok par les autorités porte aussi sur ses pratiques en termes de diffusion d’informations et de protection des mineurs. En octobre 2023, la Commission européenne a ainsi adressé une demande d’informations à TikTok (mais aussi Meta) au titre du règlement européen sur les services numériques (Digital Services Act / DSA), qui est entré en vigueur le 25 août 2023.
La Commission demande à TikTok de fournir davantage d’informations sur les mesures qu’elle a prises pour se conformer aux obligations liées aux évaluations des risques et aux mesures d’atténuation contre la diffusion de contenus illicites, en particulier la diffusion de contenus à caractère terroriste et violent et les discours haineux, ainsi que sur la propagation présumée de désinformation. La demande adressée à TikTok fait suite à celle intervenue une semaine auparavant auprès de X (ex-Twitter).
Début novembre 2023, Bruxelles a également ouvert une enquête sur les mesures prises par TikTok (mais aussi YouTube) pour protéger les mineurs. L’exécutif européen s’inquiète entre autres des conséquences de certaines vidéos sur la « santé mentale et physique » des plus jeunes. Le Commissaire européen au Marché intérieur, Thierry Breton, a fait de la protection des enfants une de ses priorités. Il s’attache à faire respecter, là aussi, les obligations qui s’imposent aux très grandes plateformes dans le cadre du Digital Services Act.
Rappelons que le 15 septembre 2023, TikTok a écopé d’une amende de 345 millions d’euros pour avoir enfreint le RGPD, dans le traitement d’informations concernant des mineurs. Cette amende lui a été infligée par la Commission irlandaise pour la protection des données (DPC), agissant au nom de l’UE.