Un changement entrant de politique de confidentialité annoncé hier par TikTok pour les utilisateurs en Europe – qui, pour la première fois, désigne la Chine comme l’un des nombreux pays tiers où les données des utilisateurs peuvent être consultées à distance par « certains » employés de l’entreprise pour effectuer ce qu’il prétend être « important ”fonctions – a atterri des mois avant le mouvement prévu sur une enquête d’un an sur les exportations de données de la plate-forme vers la Chine en vertu du règlement général sur la protection des données (RGPD) du bloc.
L’enquête GDPR sur la légalité des transferts de données de la plate-forme de partage de vidéos vers la Chine est dirigée par la Commission irlandaise de protection des données (DPC), le principal régulateur de la confidentialité de TikTok dans la région, qui a ouvert l’enquête il y a un peu plus d’un an. Le DPC a déclaré à TechCrunch aujourd’hui qu’il s’attend à ce que son enquête sur les transferts de données TikTok passe à l’étape suivante dans les mois à venir – avec un projet de décision qui devrait être envoyé à d’autres APD de l’UE pour examen au cours du premier trimestre de l’année prochaine.
Ce processus d’examen de l' »article 60″ pourrait conduire soit à une affirmation du projet de décision de l’Irlande – ce qui permettrait alors, dans un délai relativement court, de rendre une décision finale (potentiellement avant le milieu de l’année prochaine, à en juger par les délais d’enquête passés) . Cependant, si d’autres régulateurs de l’UE soulèvent des objections au projet de décision de l’Irlande, l’enquête devrait passer à un processus de règlement des différends «article 65» – ce qui pourrait ajouter de nombreux mois au processus avant qu’une décision finale puisse être rendue alors que les régulateurs du bloc recherchent un consensus.
Il n’est pas clair si l’annonce par TikTok de la modification de la politique de confidentialité est liée à cette enquête globale du RGPD. Les changements entrants – qui doivent s’appliquer à partir du 2 décembre – incluent également une mise à jour sur la façon dont la plate-forme collecte les informations de localisation des utilisateurs afin qu’ils ne se concentrent pas entièrement sur les transferts de données.
Mais la divulgation des employés chinois accédant aux données des utilisateurs européens pourrait également être une tentative peu subtile d’anticiper l’application de la réglementation sur ses transferts de données – et d’essayer d’atténuer un futur coup en étant en mesure de signaler les mesures déjà prises pour améliorer sa transparence avec utilisateurs européens. (Ce n’est pas que ce soit le seul problème potentiel de préoccupation réglementaire vis-à-vis des exportations de données, cependant.)
Un porte-parole de TikTok a refusé de dire si sa politique de confidentialité mise à jour était liée de quelque manière que ce soit à l’enquête GDPR – affirmant qu’elle ne pouvait pas le faire car l’enquête est toujours en cours.
Cependant, dans un article de blog annonçant la mise à jour, la société a affirmé que les changements « incluent une plus grande transparence dans la façon dont nous partageons les informations des utilisateurs en dehors de l’Europe ».
C’est remarquable parce que la transparence est un principe clé du GDPR – tandis que les violations du principe de transparence peuvent entraîner des sanctions sévères (comme l’amende de 267 millions de dollars pour WhatsApp appartenant à Meta l’année dernière, après qu’une enquête menée par l’Irlande a révélé une série de violations de la transparence ).
Prétendant que vous êtes transparent et étant en fait transparent ne sont pas nécessairement la même chose, bien sûr. Il convient donc de noter que la politique de confidentialité mise à jour de TikTok semble atomiser des éléments d’information clés – tels que la liste complète des pays où les employés peuvent accéder à distance aux données des utilisateurs européens et pour quelles raisons spécifiques – à travers un certain nombre de menus et d’hyperliens réductibles répartis dans tout le politique, obligeant ainsi un utilisateur à cliquer, à suivre plusieurs liens et à rechercher essentiellement des informations pertinentes au milieu d’un plus grand bourbier de données afin de reconstituer une vue complète de ce qui se passe avec leurs données (plutôt que d’articuler et de rassembler clairement tout en un seul , vue facile à digérer).
Donc, si c’est la transparence que TikTok vise vraiment ici, il semble toujours qu’il y ait du travail à faire.
Également toujours en cours pour TikTok : un projet de localisation de données pour stocker les données des utilisateurs européens dans la région – qui, plus tôt cette année, a annoncé qu’il avait de nouveau été retardé (jusqu’en 2023).
Le fait est que si TikTok a l’intention de continuer à autoriser les employés situés dans des pays sans accord d’adéquation de l’UE affirmant qu’ils ont des normes de protection des données essentiellement équivalentes à celles du bloc pour avoir un accès à distance aux informations des utilisateurs européens, alors des questions sur la légalité de ses transferts internationaux de données sont susceptibles de persister.
Outre la Chine, la politique de confidentialité de TikTok désigne le Brésil, la Malaisie, les Philippines, Singapour et les États-Unis (qui n’ont pour le moment qu’un accord préliminaire avec l’UE pour un nouvel accord de transfert de données) comme pays où les employés ont un accès à distance aux données des utilisateurs européens. sans la couverture d’un accord d’adéquation – en disant qu’il s’appuie sur des clauses contractuelles types (SCC) pour ces transferts.
Mais, comme le soulignent les orientations du CEPD sur les transferts de données, chaque transfert vers un pays tiers doit être évalué individuellement et certains peuvent ne pas être possibles légalement, même avec l’application de mesures supplémentaires. Ainsi, chacun de ces transferts devra résister à un examen réglementaire.
Compte tenu de tant de transferts vers des pays tiers, le projet européen de localisation des données de TikTok ne peut être considéré, du moins pour l’instant, qu’un exercice de relations publiques. Et/ou une tentative de s’attirer les faveurs des régulateurs locaux dans l’espoir qu’ils adoptent une vision plus favorable des exportations de données en cours. À moins ou jusqu’à ce qu’il cesse d’exporter des données vers des pays tiers et trouve un moyen de bloquer complètement son entité mère en Chine pour qu’elle ne puisse pas accéder aux données des utilisateurs européens en clair.
Le porte-parole de TikTok a refusé de commenter les projets futurs qu’il pourrait avoir pour adapter davantage ses transferts de données à la lumière de ces défis, mais il a renvoyé à son article de blog – qui décrit son approche de la gouvernance des données en Europe comme étant «centrée sur la limitation du nombre de employés ayant accès aux données des utilisateurs européens, minimisant les flux de données en dehors de la région et stockant les données des utilisateurs européens localement.
Le problème plus large de TikTok est qu’il est confronté à un examen réglementaire intensifié dans le monde occidental plus généralement en raison de problèmes de sécurité liés à la capacité de l’État chinois à accéder aux données que les plates-formes/services commerciaux détiennent sur leurs utilisateurs – avec des lois sur la sécurité nationale chez lui pays outrepassant les protections contractuelles standard habituelles.
Sa plate-forme collecte également énormément de données d’utilisateurs, ce qui ne fait qu’alimenter les inquiétudes quant à sa capacité à être réutilisée comme un pot de données pour la surveillance de l’État ou même pour les opérations d’influence étrangère de «pouvoir doux».
Alors que son suivi et son profilage des utilisateurs invitent à d’autres maux de tête réglementaires spécifiques en Europe – du côté de la confidentialité et de la protection des consommateurs – qui appliquent certaines limites à son fonctionnement.
Par exemple, TikTok a récemment accepté de geler une modification controversée de la base juridique sur laquelle il s’appuie pour diffuser des publicités ciblées après un avertissement formel de la DPA italienne – et un «engagement» de suivi de la DPC – sur un plan de retrait du consentement ( et revendiquez un intérêt légitime pour diffuser des publicités ciblées). Ainsi, son modèle de profilage et de ciblage publicitaire est confronté à des défis sur plusieurs fronts, alors même qu’il tente de défendre son activité contre des problèmes de sécurité géopolitiques plus larges.