Tout,
Il y a plusieurs semaines, un reportage a été publié alléguant que des employés de l’équipe d’audit interne de l’entreprise auraient tenté d’accéder de manière inappropriée aux données de localisation des utilisateurs. Même si de nombreuses affirmations de l’article étaient spéculatives, notre équipe Global Legal Compliance a immédiatement lancé une enquête sur les faits allégués dans l’histoire et a engagé un cabinet d’avocats très réputé pour l’aider dans l’enquête.
Depuis, nous avons appris qu’un plan malavisé avait été élaboré et mis en œuvre par quelques personnes au sein du service d’audit interne l’été dernier dans le cadre d’une enquête sur des fuites importantes d’informations confidentielles de l’entreprise par des employés vers les médias – y compris des fuites de documents, des captures d’écran et des fichiers audio. enregistrements des réunions internes.
Il est de pratique courante pour les entreprises d’avoir un groupe d’audit interne autorisé à enquêter sur les violations du code de conduite. Cependant, dans le cadre de l’initiative visant à enquêter sur les fuites liées à cette affaire, les individus impliqués ont abusé de leur autorité pour obtenir l’accès aux données des utilisateurs de TikTok. Ces personnes cherchaient à identifier les liens potentiels entre deux journalistes, qui ont rendu compte du contenu de documents et d’enregistrements divulgués – un ancien journaliste de BuzzFeed et un journaliste du Financial Times – et des employés de l’entreprise. À leur tour, ils espéraient que les informations sur ces connexions aideraient à identifier les employés responsables des fuites. Par exemple, les individus ont examiné les adresses IP des journalistes pour tenter de déterminer s’ils se trouvaient au même endroit que les employés soupçonnés d’avoir divulgué des informations confidentielles, malgré le fait que les adresses IP ne fourniraient que des informations de localisation approximatives. Sans surprise, leurs efforts inconsidérés n’ont pas permis d’identifier les sources des fuites. Néanmoins, leur accès aux données des utilisateurs dans le cadre de ces efforts constituait une violation importante du code de conduite de l’entreprise, et nous prenons donc immédiatement les mesures suivantes :
Aucune des personnes qui ont directement participé ou supervisé le plan malavisé ne reste employée chez ByteDance. Nous poursuivons l’enquête menée par l’équipe Juridique.
Nous restructurons le département Audit Interne et Contrôle des Risques (IARC) :
Julie Gao, CFO, reprendra le département du CIRC et commencera immédiatement la recherche du nouveau chef, qui lui rapportera.
La fonction Global Investigations qui faisait partie du CIRC sera scindée et restructurée. À l’avenir, l’équipe Global Legal Compliance supervisera toutes les enquêtes qui relevaient auparavant du périmètre du CIRC.
Nous allons repenser le processus d’enquête pour inclure un conseil de surveillance qui, entre autres responsabilités, supervisera l’élaboration et l’amélioration des politiques et procédures régissant les fonctions d’enquête de l’entreprise et surveillera la conformité des fonctions aux lois applicables et aux politiques de l’entreprise.
Nous avons supprimé tous les accès aux données utilisateur et les autorisations pour le département du CIRC.
À l’avenir, s’il est nécessaire et approprié que l’IARC ait accès à des données d’utilisateur correctement délimitées (par exemple, pour enquêter sur une fraude impliquant des employés de l’entreprise), cet accès sera soumis et uniquement accordé conformément aux politique et protocoles. Cette étape sera couplée avec la formation de l’équipe du CIRC concernant la nouvelle politique et les nouveaux protocoles.
De plus, nous continuerons d’évaluer et d’améliorer nos contrôles d’accès. Dans ce cas, en fait, l’accès à certaines informations des utilisateurs américains dans le cadre de l’enquête erronée était déjà limité par le transfert préalable du contrôle à l’équipe américaine de sécurité des données, et ces contrôles ont été considérablement améliorés et renforcés depuis cette initiative.
Je tiens également à souligner que nous avons une culture ouverte et franche au sein de ByteDance. C’est une partie essentielle de nos ByteStyles. Si vous êtes confronté à un dilemme éthique ou à un défi à signaler, informez votre responsable, les RH ou la hotline Speak Up pour le faire de manière anonyme. Il existe de nombreuses avenues pour vous de partager vos préoccupations.
J’espère que nous pourrons tous apprendre de cette situation et aller de l’avant avec une compréhension et une appréciation claires de nos responsabilités – en tant qu’employés et dirigeants – pour construire et exploiter une entreprise éthique.
Érich