La Research Market Information Foundation (SOMI) appelle les parents du monde entier à signaler à la fondation que leurs enfants ont utilisé TikTok, l’application de médias sociaux populaire d’origine chinoise avec laquelle de courts clips musicaux peuvent être enregistrés et partagés. TikTok ne parvient pas à protéger les enfants à l’aide de l’application. C’est le point de vue de SOMI, qui mène des recherches supplémentaires sur les pratiques et le modèle économique de TikTok. L’autorité néerlandaise de protection des données, en bref AP, enquête également sur TikTok et l’AP s’attend à être en mesure de présenter les premiers résultats de l’enquête plus tard cette année. L’application est susceptible de collecter et de diffuser des informations personnelles non autorisées auprès des utilisateurs, en particulier des mineurs. Avec cela, TikTok serait en violation de la réglementation européenne GDPR. Dans le cadre du suivi de l’enquête, SOMI peut lutter contre les violations et renforcer la surveillance au nom des parents concernés. Le comité européen indépendant de la protection des données a également annoncé qu’il mettrait en place un groupe de travail pour enquêter sur le traitement des données par TikTok. La société américaine Penetrum a déjà effectué des recherches sur TikTok et est parvenue à la conclusion qu’il existe une collecte et un suivi de données dans l’application, y compris l’envoi de profils numériques et d’informations sur les utilisateurs en Chine.Chaque jour, des millions d’enfants et de jeunes du monde entier partagent d’innombrables vidéos créatives via l’application de médias sociaux TikTok. Certaines vidéos touchent des millions de personnes dans le monde grâce à cette application. Pour beaucoup, pendant cette crise corona, c’est le moyen de rester en contact avec des amis et de traverser le temps ensemble. Les enfants sont considérés comme un groupe extrêmement vulnérable en droit et dans le règlement général sur la protection des données (RGPD) car ils sont moins conscients des conséquences de leurs actions, en particulier lors du traitement de leurs données personnelles via les réseaux sociaux.
Monique Verdier, vice-présidente de l’AP, déclare à ce sujet: «Nous constatons que beaucoup d’enfants néerlandais aiment utiliser TikTok avec grand plaisir. Nous cherchons à savoir si cette application est conçue et fournie d’une manière respectueuse de la vie privée. En outre, nous vérifierons si les informations que les enfants reçoivent de TikTok lors de l’installation et de l’utilisation de l’application sont faciles à comprendre et s’il existe des explications suffisantes sur la manière dont TikTok collecte, traite et utilise davantage leurs données personnelles. Enfin, nous cherchons à savoir si le consentement parental est requis lorsque TikTok collecte, stocke et continue d’utiliser les données personnelles des enfants. »
Cor Wijtvliet, l’un des fondateurs de SOMI déclare: «L’Europe a créé le RGPD afin que les consommateurs restent propriétaires de leurs données personnelles et que les mineurs soient également protégés numériquement. TikTok enfreint continuellement de telles normes dans des pays extérieurs à l’UE sur plusieurs points. C’est poignant, non seulement parce que cela se produit sans autorisation et même à l’insu de l’utilisateur, mais surtout parce que l’entreprise a déjà commis plusieurs erreurs. Les enfants ne sont pas suffisamment protégés en ligne contre les contacts indésirables avec des adultes inconnus. C’est pourquoi nous avons décidé de faire un coup de poing. »
Violations du RGPD
Comme on le sait, la législation générale sur le RGPD aux Pays-Bas est légalement soumise au RGPD et l’Autorité pour les données personnelles, en abrégé AP, a été établie en tant qu’autorité de surveillance pour cela. Selon SOMI, la principale objection est que TikTok avait déjà été averti en 2019 que les enfants ne sont pas suffisamment protégés contre les contacts avec des adultes inconnus et que la surveillance à ce moment-là peut encore être complètement insuffisante. En ce qui concerne la réglementation RGPD applicable, les objections sont plus spécifiques comme suit:
Article 8 GDPR – Traitement illicite des données personnelles des mineurs Le traitement des données personnelles des mineurs nécessite l’autorisation d’un tuteur. Aux Pays-Bas, cela s’applique aux enfants jusqu’à l’âge de 16 ans. TikTok permet aux utilisateurs de créer un compte à partir de 13 ans. Cette «sécurité» peut être facilement contournée.
Article 9 du RGPD – traitement illicite de données personnelles sensibles TikTok traite des données personnelles sensibles, telles que les informations sur l’appareil sur lequel l’application est utilisée, les données de localisation de l’appareil et l’activité de l’utilisateur. Même lorsque l’application est désactivée. En outre, il a été constaté que l’application TikTok installe des « trackers de navigateur » qui suivent les activités de l’utilisateur sur Internet.
Article 12 du RGPD – Information transparente, communication et règles supplémentaires pour l’exercice des droits de la personne concernée
On ne sait pas quelles données des utilisateurs TikTok transfère à des tiers (tels que Facebook et la plate-forme d’analyse Appsflyer), quels tiers sont, comment ces tiers gérer les données et leur utilisation. TikTok suit le comportement des utilisateurs en ligne, mais ne permet pas de supprimer ces données.
Article 25 du RGPD – Protection des données dès la conception et par défaut
La conception et les paramètres par défaut de TikTok ne garantissent pas les finalités de protection des données visées à l’article 25 du RGPD. TikTok n’a pas pris de mesures techniques et organisationnelles appropriées pour garantir que seules les données personnelles nécessaires à chaque finalité spécifique du traitement sont traitées. Au contraire, la conception et les paramètres de l’application sont conçus pour collecter autant de données que possible.
Article 32 GDPR – Sécurité du traitement
Conformément à l’article 32, le responsable du traitement et le sous-traitant prennent « des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques ». La sécurité de TikTok ne semble pas être conforme à l’article 32 du RGPD.
Des recherches récentes ont révélé plusieurs vulnérabilités dans l’application, notamment:
1. Webviewing: vues Web à distance qui sont activées par défaut et peuvent donc être utilisées par des parties externes pour y accéder;
2. L’application semble prendre du texte comme commandes et le traiter directement en Java;
3. L’application qui utilise la réflexion Java et raccourcit le temps de chargement de la VM peut être exploitée par des utilisateurs malintentionnés et a un score CVE de 8,8 (correspondant à un risque «élevé»);
4. Autres échecs inexplicables dans l’utilisation de l’application et l’affichage des informations par l’application.
Article 45-49 RGPD – Transfert de données en dehors de l’UE
L’enquête mentionnée ci-dessus indique que 37,7% des adresses IP utilisées par TikTok proviennent de Chine et peuvent être liées à Alibaba, basée à Hangzhou. La Chine est considérée comme un pays tiers non sûr selon la réglementation GDPR. TikTok a besoin d’une autorisation spéciale pour pouvoir traiter à cette échelle les données personnelles des citoyens de l’UE en dehors de l’Espace économique européen.
Réclamation collective
SOMI appelle tous les parents concernés dans le monde à signaler à la fondation lorsque leurs enfants ont utilisé TikTok. En remplissant et en signant le formulaire de participation en ligne sur Tiktokclaim.org, le consommateur autorise SOMI à enquêter sur les violations sur la base des données personnelles des utilisateurs. De cette manière, suffisamment de matériel peut être collecté pour une éventuelle réclamation collective contre l’entreprise. Le formulaire de participation offre au consommateur la possibilité de transférer sa créance directement pour la collecte sans avoir à engager de poursuites judiciaires. Une contribution unique de 17,50 € est facturée pour l’inscription, après quoi le consommateur peut également participer aux autres actions de la fondation.
Cor Wijtvliet conclut avec «La première étape est une recherche approfondie. Ce n’est qu’alors que nous pourrons construire une revendication potentiellement réussie. Nous recueillons actuellement des données sur les utilisateurs et des rapports de recherche pour cela. Soit dit en passant, le but de la réclamation n’est pas d’obtenir une compensation, c’est-à-dire une prise accessoire. Notre préoccupation est que les enfants sont protégés et que le consommateur individuel n’est pas impuissant face aux producteurs d’applications populaires. Ensemble, nous sommes plus forts et la revendication est plus puissante. »
La Research Market Information Foundation (SOMI) est une organisation à but non lucratif créée pour identifier et influencer les questions d’importance sociale. SOMI se concentre sur le fonctionnement des marchés dans les domaines de la vie privée, des personnes âgées, du logement et des soins. En 2016 et 2017, par exemple, la fondation a mené des recherches juridiques et économétriques sur la formation de cartels de grandes banques sur le marché hypothécaire néerlandais. La particularité de cette action est que les participants sont également invités à participer en tant que travailleur du savoir (crowdsourcing). L’étude a abouti à un calculateur en ligne, dans lequel les conséquences de la formation d’un cartel pour les propriétaires individuels sont rendues transparentes.