La tentative de TikTok de changer de base juridique pour cibler la publicité sur les utilisateurs en Europe semble être en difficulté après que le chien de garde italien de la protection des données est intervenu et a émis un avertissement d’insuffisance juridique quelques jours avant le changement prévu de la politique de confidentialité.
La plate-forme de partage de vidéos générées par les utilisateurs a attiré attention des experts de la confidentialité le mois dernier lorsqu’il a discrètement divulgué une modification entrante de ses conditions générales pour les utilisateurs de l’Espace économique européen, du Royaume-Uni et de la Suisse, qui, selon lui, s’appliquerait à partir du 13 juillet – pour passer de l’utilisation du consentement au traitement des données des utilisateurs pour fonctionner » publicités personnalisées » à revendiquer une base légale connue sous le nom d’« intérêts légitimes » et dire qu’il cesserait donc de demander aux utilisateurs leur permission d’être suivis pour des publicités ciblées.
Experts en confidentialité rapidement interrogé si le commutateur passerait le rassemblement avec les régulateurs de protection des données.
La réponse – du moins en Italie – semble être non.
Écrivant dans un communiqué de presse annonçant son « avertissement formel » à TikTok, l’autorité italienne – qui a déclaré qu’elle avait « immédiatement » commencé un exercice d’enquête en entendant parler de la révision prévue de la politique de confidentialité de TikTok – a conclu que le changement prévu de base juridique est incompatible avec la directive de l’UE et avec la loi locale sur la protection des données qui a transposé le cadre de l’UE.
« Les deux instruments juridiques prévoient explicitement que le consentement des personnes concernées est la seule base juridique pour » le stockage d’informations, ou l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur « », a-t-il averti.
La DPA italienne a également fait part de ses inquiétudes quant aux risques que TikTok cible les enfants si elle va de l’avant avec les changements – compte tenu des inquiétudes antérieures quant à sa capacité à identifier l’utilisation de sa plate-forme par des mineurs.
La Garantie a déclaré qu’il agissait dans le cadre de la directive ePrivacy de l’UE, qui couvre les technologies de suivi et les données traitées sur un terminal.
La directive lui permet d’intervenir au niveau national – plutôt que d’avoir à faire part de ses préoccupations à l’agence irlandaise de protection des données, qui dirige les plaintes contre TikTok qui relèvent du règlement général sur la protection des données (RGPD) en raison de la soi-disant » mécanisme de guichet unique »qui vise à simplifier la conformité pour les entreprises (mais qui, selon les critiques, a permis aux géants de la technologie d’échapper à la responsabilité du traitement des données hostiles à la vie privée via le forum shopping).
La Commission irlandaise de protection des données (DPC) a deux enquêtes RGPD ouvertes sur les activités de TikTok – qui ont été lancées en septembre 2021 (dont une axée sur son traitement des données des enfants) – mais aucune des enquêtes n’a abouti à des décisions, des avertissements publics ou des ordres jusqu’à présent.
Ainsi, le contraste avec le régulateur italien agissant si rapidement en réponse à une préoccupation semble marqué.
En plus de donner un avertissement formel à TikTok aujourd’hui, la DPA italienne a également déclaré qu’elle se réservait le droit de prendre des mesures supplémentaires, y compris une procédure d’urgence, si la plateforme « ne recule pas ».
L’article 66 du RGPD permet aux régulateurs de la protection des données de contourner l’exigence standard de faire passer les préoccupations par l’intermédiaire d’un superviseur principal – et d’adopter immédiatement des mesures provisoires au niveau national (qui peuvent durer trois mois) – s’ils sont convaincus qu’il est urgent d’agir pour protéger les droits et libertés des personnes concernées. Il existe donc un mécanisme Garantie pourrait chercher à utiliser pour agir rapidement dans le cadre du GDPR, c’est-à-dire si TikTok ne recule pas sur le changement de politique de confidentialité.
Il a utilisé ce mécanisme pour intervenir avant les préoccupations urgentes liées à la plate-forme de TikTok – avertir des vérifications d’âge inadéquates en 2020, par exemple, puis ordonner à TikTok de bloquer les utilisateurs qu’il ne pouvait pas vérifier l’âge.
Quelques mois plus tard, TikTok a purgé plus d’un demi-million de comptes en Italie dont il n’a pas pu confirmer qu’ils n’appartenaient pas à des mineurs.
Désormais, l’organisme italien de surveillance des données a déclaré qu’il était «particulièrement préoccupé» par le passage de la plate-forme à une base juridique inadéquate en ce qui concerne également la protection des enfants utilisateurs enregistrés, avertissant: «[T]Les difficultés actuellement rencontrées par TikTok pour établir le respect des conditions d’âge pour accéder à la plateforme ne permettent pas d’écarter le risque que des publicités « personnalisées » comprenant des contenus inadaptés soient diffusées auprès de très jeunes utilisateurs en fonction de l’intérêt légitime de l’entreprise.
C’est pourquoi il a pris la décision d’adresser un avertissement formel à TikTok selon lequel le traitement des données des utilisateurs sur la base de « l’intérêt légitime » serait « en conflit avec le cadre réglementaire actuel, du moins en ce qui concerne les informations stockées dans les appareils des utilisateurs, et serait entraîner toutes les conséquences pertinentes également en termes de mesures correctives et d’amendes », comme il le dit.
Alors que le RGPD de l’UE autorise des amendes pouvant atteindre 4 % du chiffre d’affaires mondial total de l’année précédente pour des violations confirmées des règles, l’ancienne directive ePrivacy permet aux agences compétentes des États membres d’imposer des sanctions » efficaces, proportionnées et dissuasives ». (ce qui, dans quelques cas récents, a conduit à des amendes notables pour les géants de la technologie, certaines dépassant 100 millions de dollars, et même à des remaniements politiques notables – l’application de la réglementation de l’UE sur la protection de la vie privée a donc certainement un impact, même s’il en faut beaucoup plus ).
« La constatation d’une violation de la directive ePrivacy a permis à la SA italienne d’intervenir directement et de toute urgence concernant TikTok, en dehors de la procédure de coopération telle qu’énoncée dans le RGPD qui aurait obligé la Commission irlandaise de protection des données à mener la procédure – puisque TikTok a placé son principal établissement européen en Irlande », Garantie explique dans son communiqué de presse, avant de dire qu’il ne pense pas non plus que le changement prévu de la politique de confidentialité de TikTok soit légal en vertu du RGPD – ajoutant qu’il est donc également informé à la fois du DPC irlandais et du Comité européen de la protection des données (EDPB) « afin qu’ils envisagent d’autres mesures ».
On ne sait pas quelles mesures supplémentaires pourraient en résulter.
Le DPC pourrait décider d’ouvrir une nouvelle enquête (en supposant que TikTok n’abandonne pas son plan) – bien que les délais impliqués dans le travail de cas transfrontalier/big tech du régulateur irlandais à ce jour suggèrent qu’il pourrait s’écouler des années avant qu’il n’arrive à une décision et toute exécution.
Le CEPD pourrait donc avoir un rôle important à jouer – si le chien de garde italien décide d’aller de l’avant avec une procédure d’urgence en vertu de l’article 66 du RGPD et lui demande d’intervenir et d’adopter des mesures finales contre TikTok.
Alors que le Conseil a rejeté une telle demande de la DPA de Hambourg, concernant une plainte contre le partage de données WhatsApp-Facebook, l’année dernière, il a ordonné au DPC d’enquêter « rapidement ». Et, quelques mois plus tard, il y a eu une décision finale du régulateur irlandais dans une longue enquête de transparence sur WhatsApp qui a abouti à une amende de 267 millions de dollars. (Bien que le lien entre l’ordonnance de la Commission et la conclusion du DPC selon laquelle l’enquête de « son propre gré » ne soit pas tout à fait claire.)
TikTok et le DPC irlandais ont été contactés pour commenter le Garantiela dernière intervention de.
Mise à jour: Un porte-parole de TikTok a maintenant envoyé cette déclaration :
«Chez TikTok, nous nous efforçons de créer une expérience personnalisée pour notre communauté, et en même temps nous nous engageons à respecter la vie privée de nos utilisateurs, à être transparents sur nos pratiques de confidentialité et à fonctionner en conformité avec toutes les réglementations applicables. Bien que notre évaluation du récent avis de l’Agence italienne de protection des données soit toujours en cours, nous ne pouvons pas commenter davantage.
Ces dernières années, la plateforme de partage de vidéos a également fait l’objet d’un examen régional de la part des régulateurs de la protection des consommateurs. Des inquiétudes ont été soulevées en février 2021 par un certain nombre d’agences, notamment en ce qui concerne la sécurité des enfants et le marketing. Ces plaintes coordonnées en matière de protection des consommateurs ont conduit à un « dialogue formel » dirigé par la Commission européenne et, le mois dernier encore, les régulateurs ont accepté un ensemble d’engagements de TikTok pour modifier ses divulgations publicitaires (sans pénalités à ce stade).
Cependant, les problèmes de confidentialité concernant le profilage des utilisateurs par TikTok n’ont pas été résolus dans le cadre de l’action de protection des consommateurs – ce qui peut également expliquer pourquoi la DPA italienne a décidé de faire sa propre intervention maintenant.
Mise à jour 2 : Le DPC a également envoyé une déclaration refusant de commenter le GarantieL’évaluation de TikTok selon laquelle le passage prévu de TikTok à un motif d’intérêt légitime viole la mise en œuvre locale de la directive ePrivacy.
Il a déclaré que ses deux propres enquêtes ouvertes sur TikTok étaient « bien avancées » – suggérant que l’enquête sur son traitement des données des enfants atteindra la phase de projet de décision et sera envoyée à d’autres DPA de l’UE pour examen le mois prochain.
Voici la déclaration complète :
« Le DPC note que le Garante considère que le recours proposé par TikTok aux intérêts légitimes viole la transposition italienne de la directive e-privacy. Le DPC ne peut pas dire si c’est le cas.
«En ce qui concerne la conformité au RGPD des changements annoncés par TikTok, le DPC a demandé à TikTok des informations détaillées sur les changements annoncés sur lesquels il a immédiatement consulté toutes les autres autorités de contrôle de la protection des données de l’UE et pendant qu’il terminait également sa propre analyse. À ce jour, la DPC n’a reçu aucune réponse des autres AS de l’UE autre que le commentaire contenu dans le communiqué de presse publié par le Garante. La DPC achèvera son analyse sous peu.
La DPC a deux enquêtes sur TikTok bien avancées. La DPC a ouvert une enquête sur les transferts de TikTok vers la Chine en septembre dernier. Cette enquête est en cours avec l’énoncé des problèmes envoyé à TikTok le 7 juillet. Nous attendons actuellement leurs soumissions.
En outre, nous avons également une autre enquête ouverte sur TikTok en termes de traitement des données des enfants (également ouverte en septembre dernier) et nous prévoyons de présenter un projet de décision dans cette enquête à nos collègues autorités de protection des données de l’UE le mois prochain.