TikTok condamné à une amende de 345 millions d’euros pour violation de la législation européenne sur les données des comptes d’enfants
(theguardian.com)- La Commission irlandaise de protection des données (DPC) a infligé à TikTok une amende de 345 millions d’euros pour avoir traité les comptes d’enfants d’une manière contraire au RGPD de l’UE
- Le point central est que les comptes des 13-17 ans étaient placés par défaut en mode public lors de l’inscription, et que des informations insuffisamment transparentes étaient fournies aux jeunes utilisateurs
- Le dispositif de « family pairing » ne vérifiait pas si l’adulte contrôlant le compte était réellement un parent ou tuteur, ce qui permettait même d’activer les paramètres de messages directs pour les utilisateurs de 16 ans et plus
- La DPC estime aussi que TikTok n’a pas suffisamment pris en compte le risque que des utilisateurs de moins de 13 ans accèdent à la plateforme et se retrouvent en mode public, mais ne considère pas que la méthode de vérification de l’âge constitue en elle-même une violation du RGPD
- TikTok rétorque que l’enquête portait sur les paramètres en vigueur du 31 juillet au 31 décembre 2020, et que les problèmes avaient déjà été corrigés, notamment avec le passage par défaut des comptes des 13-15 ans en mode privé à partir de 2021
Les bases de l’amende de 345 millions d’euros
- TikTok a écopé d’une amende de 345 millions d’euros, soit environ 296 millions de livres sterling, pour violation de la législation européenne sur la protection des données dans le traitement des comptes d’enfants
- La Commission irlandaise de protection des données (DPC), chargée de la régulation de TikTok dans l’UE, a jugé que TikTok avait enfreint à plusieurs reprises les règles du RGPD
- Le point clé est l’insuffisance de protection empêchant que les contenus des utilisateurs mineurs soient exposés publiquement
Le risque d’exposition créé par le mode public par défaut
- La DPC estime que les utilisateurs de 13 à 17 ans étaient orientés vers un paramétrage de compte public par défaut lors de l’inscription
- Avec un compte public, n’importe qui peut voir le contenu du compte ou laisser des commentaires
- Selon l’autorité, ce réglage permettait à tout le monde de voir les contenus publiés par ces utilisateurs sur les réseaux sociaux
- L’âge minimum d’utilisation de TikTok est de 13 ans
- Il est aussi reproché à TikTok de ne pas avoir suffisamment pris en compte le risque que des utilisateurs de moins de 13 ans accèdent à la plateforme et soient placés en mode public
Manque de transparence et problème du family pairing
- Le fait de ne pas avoir fourni des informations transparentes en quantité suffisante aux jeunes utilisateurs fait également partie des violations du RGPD
- Le « family pairing » permet à un adulte de contrôler les paramètres d’un compte d’enfant, mais ne vérifiait pas si cet adulte était réellement un parent ou tuteur
- Grâce à ce réglage, un adulte ayant accès à un compte d’enfant pouvait activer la fonction de messages directs pour les utilisateurs de 16 ans et plus
Duet, Stitch et l’appréciation sur la vérification de l’âge
- Duet et Stitch sont des fonctions qui permettent aux utilisateurs de combiner leur contenu avec celui d’autres utilisateurs de TikTok
- La DPC a indiqué que ces fonctions étaient activées par défaut pour les utilisateurs de moins de 17 ans
- En revanche, elle n’a pas considéré que la méthode de vérification de l’âge de TikTok constituait en elle-même une violation du RGPD
Pression réglementaire supplémentaire après la sanction au Royaume-Uni
- Cette décision intervient après que TikTok a été condamné en avril 2023 à une amende de 12,7 millions de livres sterling par le régulateur britannique des données
- Le régulateur britannique a estimé que TikTok avait traité illégalement les données de 1,4 million d’enfants de moins de 13 ans ayant utilisé la plateforme sans consentement parental
- À l’époque, l’Information Commissioner’s Office avait jugé que TikTok n’avait « presque rien fait » pour vérifier qui utilisait la plateforme
- TikTok a indiqué que l’enquête portait sur les paramètres de confidentialité en vigueur du 31 juillet au 31 décembre 2020, et a affirmé avoir résolu les problèmes soulevés
- Depuis 2021, les comptes existants et nouveaux des 13-15 ans sont configurés en mode privé par défaut
- Avec un compte privé, seules les personnes approuvées par l’utilisateur peuvent voir le contenu
- TikTok conteste le montant de l’amende et la décision elle-même, affirmant que les critiques de la DPC se concentrent sur des fonctionnalités et paramètres datant de trois ans
- L’entreprise soutient aussi avoir déjà modifié les comptes des moins de 16 ans en mode privé par défaut avant le début de l’enquête
L’intervention du Comité européen de la protection des données
- La DPC a reconnu que sa position avait été renversée sur une partie de la décision par l’European Data Protection Board
- Elle a donc dû inclure l’appréciation proposée par l’autorité allemande
- Cette appréciation estime que l’usage de dark patterns, c’est-à-dire des conceptions trompeuses de sites web ou d’applications destinées à orienter les utilisateurs vers certains comportements ou choix, violait les dispositions du RGPD sur le traitement loyal des données personnelles
1 commentaires
Commentaires sur Hacker News
Il est dit que, dans la fonction « Family Pairing », TikTok ne vérifiait pas si l’adulte qui contrôle les paramètres du compte d’un enfant était réellement un parent ou un tuteur ; je ne vois pas très bien comment TikTok est censé vérifier précisément le statut de parent.
Les autres entreprises tech doivent-elles aussi vérifier les parents ? On dirait que TikTok est le seul à se prendre une amende pour cette raison.
https://techcrunch.com/2022/09/05/instagram-gdpr-fine-childr...
À force d’applaudir ce genre de jurisprudence, on risque de finir sur une voie où il faudra une pièce d’identité officielle et une preuve à distance pour utiliser des sites web populaires.
Depuis les années 90, il existait l’idée qu’un Internet anonyme et l’amplification des signaux avaient un effet net positif, mais cela semble de moins en moins vrai.
Si vous voulez vous autopublier anonymement, vous le pouvez, mais cela ne signifie pas que vous avez aussi le droit garanti d’utiliser l’une des cinq grandes plateformes.
Si cela conduit au démantèlement des grandes plateformes, j’y vois aussi un effet net positif.
J’ai commencé à utiliser TikTok récemment, et l’application indique qu’il faut 1 000 abonnés et avoir au moins 18 ans pour faire un live stream, mais en pratique j’ai vu beaucoup d’enfants faire des lives.
Je me demandais pourquoi ils n’appliquaient pas leurs propres règles. C’est peut-être parce qu’il y a trop de streamers, mais une seule personne dédiée pourrait probablement repérer suffisamment d’adolescents ou d’enfants en live.
Cette décision arrive donc à point nommé.
Cela dit, je me demande pourquoi les 13-18 ans devraient se voir interdire le streaming. Si c’est à cause des « pervers qui rôdent », ce raisonnement ne vaut pas pour le contrôle du chat, donc je ne vois pas pourquoi il vaudrait ici seulement. Le contenu sexuel n’est pas autorisé sur TikTok ; on peut voir des femmes en bikini, mais on en voit aussi sur une plage publique dans la vraie vie, voire des femmes seins nus. Quelle serait l’autre raison ?
C’est un bon début, mais je me demande si la législation européenne sur les données commencera aussi à être appliquée massivement aux entreprises européennes, et pas seulement aux entreprises internationales.
Les entreprises de l’UE avaient tendance à prendre la protection des données plus au sérieux et à la traiter avec davantage de prudence même avant le RGPD, donc il est aussi plus rare d’y trouver des violations graves.
Du moins, quand j’ai affaire à des services de l’UE, leur politique de confidentialité tient en quelques pages A4, les éléments importants sont au début et elle est rédigée de manière facile à comprendre. Même les banques ne cachent pas ce qu’elles collectent et expliquent pourquoi elles le collectent.
À l’inverse, les entreprises étrangères insistent souvent sur des politiques de confidentialité énormes au point d’être difficiles à comprendre, et tendent à s’en servir pour contourner la loi. Par exemple, la page de confidentialité de Google ressemble à une immense page répétant que « Google peut collecter des informations vous concernant » ; l’usage des données reste flou et elle s’appuie beaucoup sur d’autres pages pour les détails. Une personne moyenne a probablement déjà perdu le fil.
Au bout du compte, les entreprises étrangères pensent pouvoir violer la loi et s’en tirer, tout en rendant difficile le suivi de l’usage des données. Les entreprises européennes, dans l’ensemble, respectent réellement la loi, ce qui explique que les grandes affaires concernent surtout des géants technologiques étrangers.
Mais, dans l’ensemble, les entreprises européennes ont pris le sujet beaucoup plus au sérieux que les multinationales. Parfois même trop : même si cela s’est un peu calmé aujourd’hui, on voit encore parfois des entreprises imposer des politiques absurdes sur les données, qu’elles croient à tort nécessaires pour être conformes.
À l’inverse, les entreprises européennes sont généralement plus petites, donc les amendes sont plus faibles, et elles font moins souvent la une. C’est pourquoi, même s’il existe toujours des amendes contre des entreprises européennes, on en entend moins parler. Honnêtement, nous n’entendons généralement parler que des amendes gigantesques.
Pour une décision rendue par un seul pays, l’amende est assez élevée. Environ 2,6 % du chiffre d’affaires annuel, soit une dizaine de jours.
Je dis volontairement Twitter et non X Corp, parce que Musk a notoirement licencié toutes les personnes de Twitter Ireland chargées de la conformité. Parmi les exigences, il me semble qu’il y avait aussi le fait de faire examiner tous les lancements de fonctionnalités par l’équipe irlandaise afin d’éviter toute violation du droit européen des données ; Musk ne l’a fait pour aucun des changements introduits après son rachat par emprunt.
Quand est-ce que les PDG de canapé arrêteront de dire des trucs du genre « lol, x n’est qu’une poussière dans le chiffre d’affaires de y » ? Vous croyez que 345 millions d’euros poussent sur les arbres ?
En plus de l’amende, il faudrait les mettre pendant quelques mois en zone de pénalité : par exemple leur interdire d’opérer dans cette juridiction pendant une période donnée.
Comme amende de départ plutôt qu’une interdiction, c’est un bon début, et c’est aussi le type d’approche que je demande depuis longtemps.
En cas de violations répétées de la vie privée des utilisateurs, les amendes devraient monter jusqu’à plusieurs milliards de dollars. Il y a déjà eu un précédent avec Facebook.
Les grandes entreprises n’ont aucune excuse pour faire ce genre de choses et s’en tirer ; toute entreprise de réseaux sociaux comptant des centaines de millions d’utilisateurs ou plus devrait être sanctionnée si elle viole la vie privée des utilisateurs comme TikTok. Il ne devrait plus y avoir d’exceptions ni de prétextes.
Au final, quand TikTok maltraite la vie privée de ses utilisateurs, il n’est pas différent de Meta.
À l’échelle de l’entreprise, cela ne semble pas être une somme énorme. Une amende relativement plus lourde aurait été acceptable, mais il se peut que je ne connaisse pas tous les détails.
Il y a aussi de fortes chances qu’elle soit réduite à un montant bien plus faible lorsque la bataille juridique sera terminée.
Où va cet argent ?
Si vous ne connaissez pas la réponse, vous ne devriez pas inventer des fictions et les présenter comme des faits.