Mauvaise nouvelle pour TikTok. Selon l'Union européenne, le réseau social a enfreint ses règles de protection des données (RGPD) dans le traitement d'informations concernant des mineurs.

En conséquence, TikTok Technology Limited devra s'acquitter d'« amendes administratives pour un montant total de 345 millions d'euros », et mettre ses opérations en conformité sous trois mois, a annoncé dans un communiqué ce vendredi 15 septembre la Commission irlandaise pour la protection des données (DPC), agissant au nom de l'UE.

Lire aussiYouTube, Twitter, TikTok, Facebook: et si le vrai problème était moins leur statut d'hébergeur que leur modèle économique?

Cette condamnation fait suite à une enquête ouverte par la DPC, compétente pour agir au nom de l'UE car le principal établissement de TikTok en Europe se trouve en Irlande, en septembre 2021 et dont les investigations ont été menées du 31 juillet au 31 décembre 2020. L'autorité irlandaise relève notamment dans sa décision que l'inscription des enfants sur la plateforme se faisait de telle manière que leurs comptes étaient définis comme publics par défaut.

D'autres problèmes tenaient au mode « connexion famille », qui permet de relier le compte TikTok d'un parent à celui de son adolescent. Selon la décision, l'entreprise ne vérifiait notamment pas si l'utilisateur associé était réellement le parent ou le tuteur.

En outre, si la plateforme est en théorie réservée aux utilisateurs d'au moins 13 ans, la DPC estime que TikTok n'a pas correctement pris en compte les risques posés aux personnes plus jeunes ayant tout de même réussi à se créer un compte.

TikTok « respectueusement en désaccord avec la décision » européenne

Un coup dur pour la filiale du géant chinois ByteDance, très populaire chez les jeunes, qui compte aujourd'hui 150 millions d'utilisateurs aux Etats-Unis et 134 millions dans l'Union européenne. Après l'annonce de la décision européenne, un porte-parole a fait savoir dans une déclaration transmise à l'AFP que TikTok est « respectueusement en désaccord avec la décision, en particulier le niveau de l'amende imposée », précisant que l'entreprise évalue les prochaines étapes, sans se prononcer sur l'éventualité de faire appel.

« Les critiques de la DPC se concentrent sur des fonctionnalités et des paramètres qui étaient en place il y a trois ans, et que nous avons modifiés » peu de temps après, a fait valoir l'entreprise, relevant par exemple que tous les comptes de personnes de moins de 16 ans sont désormais privés par défaut.

En outre, elle affirme surveiller de près l'âge de ses utilisateurs, et indique notamment avoir supprimé près de 17 millions de comptes dans le monde sur les seuls trois premiers mois de 2023 parce qu'ils étaient soupçonnés d'appartenir à des personnes de moins de 13 ans.

Lire aussiPourquoi l'avenir de TikTok est en danger

Ce n'est pas la première fois que TikTok se voit infliger une amende pour son traitement des données des mineurs. En 2019, le réseau social avait écopé d'une amende de 5,7 millions de dollars aux Etats-Unis en 2019, de 750.000 euros aux Pays-Bas en 2021 et de 12,7 millions de livres au Royaume-Uni en avril dernier pour des faits comparables. Quant à la France, son Parlement a voté fin juin l'obligation pour les plateformes comme TikTok, Snapchat ou Instagram de vérifier l'âge de leurs utilisateurs et le consentement des parents quand ils ont moins de 15 ans.

TikTok banni des téléphones de responsables politiques

La décision prise par l'Europe et annoncée ce vendredi ne devrait pas redorer l'image du réseau social déjà banni des téléphones de responsables politiques dans plusieurs pays. C'est notamment le cas en France selon une décision annoncée le 24 mars dernier et qui interdit l'installation et l'utilisation de l'application chinoise TikTok pour les fonctionnaires. Plus généralement, ce sont toutes les applications dites « récréatives », comme Netflix, qui sont concernées, et ce, sur les téléphones professionnels des 2,5 millions d'agents de la fonction publique d'Etat.

Pour justifier cette décision, le gouvernement avait invoqué des « risques en matière de cybersécurité et de protection des données des agents publics et de l'administration ». Peu de temps avant, c'est le Royaume-Uni qui avait décrété l'interdiction immédiate de TikTok sur les appareils gouvernementaux en raison de craintes sur la sécurité. Une même décision a été prise par l'Australie le mois suivant.

Les données de ses utilisateurs européens hébergées en Irlande

Pour tenter d'apaiser les inquiétudes en matière de protection des données notamment en raison de ses actionnaires chinois, TikTok a annoncé, début septembre avoir commencé à héberger les données de ses utilisateurs européens en Irlande. « Notre premier centre de données à Dublin, en Irlande, est désormais opérationnel et la migration des données des utilisateurs européens vers ce centre a déjà débuté, tandis que nos deux autres centres en Norvège et en Irlande sont en cours de construction », a ainsi indiqué la filiale de ByteDance dans un communiqué. Ce projet, baptisé Clover et annoncé en mars, représente pour TikTok un investissement annuel de 1,2 milliard d'euros.

En parallèle, le réseau social a noué un partenariat avec l'entreprise de cybersécurité britannique NCC Group. Celle-ci sera chargée d'effectuer « un audit indépendant » des protections des données mises en œuvre, de « surveiller les flux de données » et de « signaler tout incident ».

Sur le modèle des mesures imposées au réseau social aux Etats-Unis, ces dispositions ont pour but d'empêcher les employés de ByteDance situés en Chine d'accéder aux « données protégées » des Européens, notamment les noms réels des utilisateurs, leur adresse mail, leur numéro de téléphone ou encore l'adresse IP de leurs terminaux, ont assuré des responsables de TikTok.

(Avec AFP)