EXAMEN EN COMMISSION

Mardi 4 juillet 2023

M. Mickaël Vallet, président. - Mes chers collègues, je vous présente tout d'abord les excuses de Mme Catherine Morin-Desailly.

Nous nous retrouvons pour l'examen du rapport de notre commission d'enquête, après plus de quatre mois de travaux dans le cadre du droit de tirage du groupe Les Indépendants - République et territoires. Je vous remercie pour les échanges constructifs que nous avons eus et pour la qualité des débats que nous avons menés.

Je vous rappelle le caractère strictement confidentiel de notre réunion. Conformément à l'ordonnance du 17 novembre 1958, nous devons attendre vingt-quatre heures pour publier notre rapport, délai pendant lequel le Sénat peut se constituer en comité secret. Le respect de ce devoir de confidentialité est impératif et soumis à des sanctions disciplinaires et pénales.

Enfin, tout élément n'ayant pas été rendu public par notre commission restera soumis à la règle du secret pendant une durée maximale de trente ans, particulièrement s'agissant des auditions réalisées à huis clos.

La décision de publier ou non le compte rendu de la présente réunion sera prise à l'issue de celle-ci, en fonction du contenu de nos échanges.

M. Claude Malhuret, rapporteur. - La présente réunion a pour objet l'adoption de notre rapport. Vous avez pu en consulter le projet depuis mercredi dernier. Je remercie ceux d'entre vous qui ont pu consacrer un moment à sa relecture et à la formulation de remarques et de suggestions. Je remercie d'ailleurs tous ceux qui ont participé avec assiduité aux réunions de la commission. Nous avons repris plusieurs de ces suggestions sous la forme de propositions de modifications que nous examinerons tout à l'heure.

35 journalistes ont d'ores et déjà demandé une accréditation pour notre conférence de presse prévue le jeudi 6 juillet prochain. Les événements récents ont en outre donné une certaine actualité à notre sujet.

Nous avons déjà évoqué, lors de la réunion du 15 juin dernier, les grandes orientations du rapport. Je pense que nous nous y sommes tenus.

Le premier axe consistait à montrer que l'entreprise TikTok est toujours étroitement liée aux autorités chinoises. Il s'agit d'un point important, car c'est celui sur lequel le discours des représentants de l'entreprise est le plus incohérent.

Le discours du PDG de TikTok, lorsqu'il est interrogé par les membres du Congrès américain, consiste à dire qu'il n'y a aucun lien entre TikTok et la Chine. De la même façon, Éric Garandeau parle d'entités totalement séparées. En même temps, l'entreprise reconnaît qu'elle continue à envoyer des données en Chine et à autoriser l'accès aux données à des ingénieurs situés dans ce pays. Des accès massifs ont ainsi été révélés jusque très récemment par la presse internationale, sans parler de l'espionnage de journalistes par des équipes chinoises. De plus, Marlène Masure, la directrice opérationnelle, a évoqué devant nous les ingénieurs chinois qui travaillent pour l'application.

Notre rapport démontre que les liens entre TikTok et ByteDance en Chine sont en réalité structurels : c'est dans ce pays que se trouvent les technologies, les brevets et les ingénieurs dont TikTok ne peut pas se passer. Plusieurs documents, évoqués dans le rapport, montrent une dépendance profonde de TikTok à l'égard de ses bases chinoises.

De même, le capital de la holding aux îles Caïmans, ByteDance Limited, est détenu pour environ 20 % par le fondateur chinois, Zhang Yiming, qui contrôle sans doute l'entreprise, en lien avec le PDG Liang Rubo, par un mécanisme de détention à droits variables, ou Variable Interest Entity (VIE). Il s'agit d'un montage classique pour les entreprises chinoises du numérique, dans lequel les droits de vote ne correspondent pas au capital. En détenant seulement 1 % du capital, une personne, parfois même l'État chinois, peut posséder la majorité des droits de vote.

Or Zhang Yiming, le principal fondateur de ByteDance et TikTok, a fait son autocritique et réaffirmé son intention d'oeuvrer dans le sens des autorités chinoises. En un mot, contraint et forcé, il a fait allégeance aux autorités chinoises et aux lois chinoises qui obligent les ressortissants chinois à coopérer avec les services de renseignement.

Cerise sur le gâteau, si j'ose dire : nous avons découvert au greffe du tribunal de commerce - ce n'était pas, à proprement parler, un secret, mais personne n'avait pensé à s'y intéresser - que la présidente de TikTok France s'appelle Mme Zhao Tian. Née en Chine, elle a fait ses études à l'Institut de Diplomatie de Pékin, lequel ne forme pas seulement des diplomates... Naturalisée canadienne, elle a occupé des fonctions essentielles auprès de M. Zhang Yiming. M. Garandeau nous a annoncé que, pour tenir compte de nos inquiétudes, elle allait être remplacée par un président européen. C'est plutôt une maladresse de sa part, voire un aveu. Il a compris que nos inquiétudes risquaient d'être partagées par d'autres personnes.

Cet aveu s'inscrit dans un contexte particulier : aujourd'hui, aucune entreprise internationale d'origine chinoise ne peut se développer sans le soutien du régime. TikTok est une force de frappe internationale qui intéresse nécessairement le régime chinois, à la fois dans le cadre du développement des « routes de la soie numériques » et dans le cadre de sa stratégie d'influence internationale visant à s'affirmer comme une puissance numérique à succès, capable de rivaliser avec les grands acteurs américains.

Cette situation nous rappelle les débats qui ont eu lieu il y a quelques années à propos de l'entreprise Huawei, également une multinationale d'origine chinoise, dont la proximité avec le parti communiste chinois et la soumission obligatoire à l'extraterritorialité du droit chinois ont conduit plusieurs pays, dont des pays européens, à prendre des mesures restrictives et de vigilance à son égard.

Les conséquences de ces liens avec la Chine sont pour nous très claires : du fait de sa très large diffusion et du recueil massif de données personnelles dont il fait preuve, et compte tenu du contrôle qu'exercent les autorités chinoises sur leurs ressortissants tant en Chine qu'à l'étranger, il existe un risque évident que le réseau TikTok soit instrumentalisé pour mener diverses actions d'espionnage ou de déstabilisation au profit du régime chinois.

Le projet Clover, dont le calendrier et les modalités de mise en oeuvre demeurent flous, ne permet pas, à l'heure actuelle, de dissiper ces inquiétudes. Il ne permettra pas d'assurer qu'il n'y ait pas d'accès aux données des utilisateurs européens depuis la Chine. Les représentants de TikTok ont refusé de s'engager devant nous sur ce point. Au contraire, le projet Clover soumet potentiellement les données des utilisateurs à une triple législation : la législation européenne, la législation extraterritoriale américaine pour certains logiciels et la législation extraterritoriale chinoise.

La décision de la Data Protection Commission (DPC) irlandaise sur le sujet des transferts de données à la Chine nous dira aussi si les transferts actuels sont déjà tels qu'ils mettent TikTok en infraction avec le règlement général sur la protection des données (RGPD), mais nous n'avons pas beaucoup de doutes à cet égard.

D'autre part, ces liens font également craindre des phénomènes d'influence, de désinformation ou de déstabilisation. Là encore, des faits se sont déjà produits et les engagements de l'entreprise n'engagent pour l'instant que ceux qui les reçoivent.

Les mesures d'interdiction ou de restriction prises par certains pays confirment ce que nous pensons et sont parfaitement justifiées. À ce jour, au moins quatre pays ont interdit l'usage de l'application TikTok et de très nombreux pays européens et occidentaux ont annoncé des mesures de restriction d'utilisation, notamment auprès des fonctionnaires et des élus.

En dehors des liens avec la Chine, la collecte massive de données pose en soi un problème. Ce problème n'est pas différent par nature de celui que génèrent les autres grandes plateformes fondées sur un modèle d'exploitation des données, si ce n'est que le réseau TikTok semble particulièrement peu enclin à se conformer au RGPD. Le rapport montre également les nombreux manquements de l'entreprise sur ce point.

J'ai été particulièrement frappé des propos de Marlène Masure, qui nous a clairement dit que TikTok entendait faire reposer le principe de minimisation de la collecte des données sur l'utilisateur, renversant ainsi totalement la logique du RGPD : « Notre enjeu », a-t-elle dit, « est de continuer à éduquer sur les fonctionnalités qui permettent d'améliorer le contrôle des données qu'on laisse sur la plateforme. » La philosophie du RGPD s'appuie au contraire sur une minimisation de la collecte des données by design, et non à l'initiative des utilisateurs, la plupart d'entre eux ne sachant d'ailleurs pas comment procéder pour y parvenir.

Au-delà du caractère massif de la collecte, qui rejoint celui d'autres plateformes, les différentes personnes que nous avons auditionnées s'accordent à relever une particularité de TikTok : pour reprendre une expression de la Commission nationale de l'informatique et des libertés (Cnil), les données collectées sont « impressionnantes de finesse, de rapidité, de fréquence ». Le fil « Pour Toi » permet en effet une interaction permanente et très rapide avec l'utilisateur. L'application en déduit un véritable profil psychologique de celui-ci.

À quelle utilisation ce profil est-il destiné ? Je crains que nos auditions n'aient pas levé le mystère sur cette question, qui rejoint la préoccupation d'André Gattolin sur le modèle économique de TikTok. On a compris que la publicité ciblée n'était pas au centre des objectifs de TikTok. Le live gifting évoqué par Mme Masure ne suffit pas à caractériser ce modèle économique.

Autre singularité, TikTok fait beaucoup circuler ces données : stockées sur des serveurs basés aux États-Unis, en Malaisie et à Singapour, elles sont aussi partagées avec des prestataires de services ou des sociétés du groupe TikTok situés en dehors de l'Union européenne, en particulier en Chine. Ces tiers ne sont jamais nommés et les représentants de TikTok ont constamment éludé ou donné des réponses biaisées sur cette question, nous assurant simplement que les accès donnés étaient limités et justifiés par les nécessités du bon fonctionnement de l'application. C'est un peu maigre.

Le constat est ainsi que, cinq ans après son lancement en Europe, TikTok ne respecte toujours pas le RGPD, comme le ministre Jean-Noël Barrot nous l'a déclaré sans ambages. À ce sujet, depuis le 29 juillet 2020, la DPC irlandaise est devenue l'autorité chef de file et la seule à pouvoir prendre une décision contraignante envers TikTok. La DPC mène actuellement deux procédures à l'encontre de l'entreprise, qui devraient aboutir prochainement.

Je précise que, si la Cnil a pu prononcer le 29 décembre 2022 une amende de 5 millions d'euros contre TikTok, c'est dans le cadre d'une compétence qu'elle a conservée sur la base de la loi Informatique et Libertés, que le règlement européen ePrivacy en cours de discussion risque de remettre en cause. Pour le reste, elle ne peut que transmettre des éléments à la DPC irlandaise et lui demander régulièrement des informations sur les procédures en cours.

Concernant par ailleurs la protection des données contre les cyberattaques - car c'est aussi par ce biais que les fuites de données peuvent avoir lieu -, TikTok ne nous a pas non plus apporté de réponse convaincante.

Outre la collecte de données, l'algorithme de recommandation du fil « Pour Toi » est sans conteste le point fort de TikTok. Le fait de ne proposer qu'une seule vidéo très courte fournit des données d'entraînement d'une richesse incomparable, en nombre et en qualité, tout en limitant l'effort de réflexion de l'utilisateur, ainsi incité à poursuivre sans fin le visionnage du fil « Pour Toi ».

À l'heure actuelle, il n'y a aucune transparence de l'algorithme alors qu'il est une source d'informations privilégiée pour ses jeunes utilisateurs. TikTok reconnaît seulement intervenir ponctuellement pour éditorialiser le fil « Pour Toi », tantôt en réduisant la visibilité de certains contenus - par le shadowbanning -, tantôt en en « poussant » d'autres. Nous n'avons obtenu aucun éclaircissement de la part de TikTok sur cet algorithme. Où est-il localisé ? Qui en détient la propriété intellectuelle ? Quelles sont les équipes qui travaillent à sa maintenance et son amélioration ? Sur ces différents points, nos recherches nous ont toutefois permis d'établir que la réponse à ces questions se trouve essentiellement à Pékin.

TikTok nous promet des interfaces de programmation d'application (Application Programming Interface - API) d'ici fin août pour se conformer au Digital Services Act (DSA) et permettre un accès par les chercheurs. Je suis très circonspect sur la question. Éric Garandeau et Marlène Masure nous ont présenté ces API comme des outils à la main de TikTok pour commander des études sur les sujets qui les intéressent. De plus, jusqu'à présent, cette plateforme a été plus restrictive en matière d'API que Google, Apple, Facebook, Amazon et Microsoft (les Gafam). Il faudra donc être particulièrement vigilant sur ce point, pour l'application du DSA.

Non seulement notre rapport pointe l'opacité de TikTok, mais il met également en évidence la dangerosité potentielle de l'application, qu'une politique défaillante de modération n'arrive pas à contenir.

Le réseau TikTok est tout d'abord dangereux pour le débat public, l'application étant un mauvais élève de la lutte contre la désinformation. Le bilan 2022 de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) est particulièrement sévère et Benoît Loutrel nous a confirmé qu'en la matière les lacunes étaient plus nombreuses pour TikTok que pour les autres plateformes. De fait, selon la société NewsGuard, il suffit de moins de 40 minutes pour se voir proposer des vidéos contenant de fausses informations sur les grands sujets d'actualité. Les moyens humains consacrés à la lutte contre les fausses informations restent flous, seul le chiffre des équipes mondiales « Trust and Safety » étant communiqué, et plusieurs études démontrent que les contenus de désinformation tardent à être retirés de l'application.

Par ailleurs, si les règles communautaires de TikTok empêchent en principe la publication de vidéos aux contenus très violents, force est de constater - nous l'avons vu récemment - que la modération en la matière reste bien défaillante. Les challenges dangereux se multiplient également, la société ne semblant pas prendre suffisamment conscience de sa responsabilité dans ce domaine. Preuve de la gravité de la situation, l'Autorité italienne de la concurrence a ouvert une enquête en mars 2023, accusant TikTok de ne pas appliquer ses propres règles de modération.

Les récentes émeutes ont d'ailleurs souligné le rôle important d'amplificateur de la violence que peut jouer TikTok et ont de nouveau démontré les failles des politiques de modération des contenus sur l'application.

Sans être la seule application dans ce cas, TikTok est en outre potentiellement dangereux pour la santé mentale des adolescents les plus vulnérables. Le modèle même de l'application conduit ses utilisateurs à s'enfermer dans leurs préférences, c'est-à-dire dans des bulles de filtre. La captation de l'attention est telle que certains psychologues considèrent qu'il existe une « addictivité » de TikTok, d'autres préférant quant à eux parler d' « abrutissement ». Les témoignages livrés par des psychologues cliniciens en audition sont préoccupants, allant de la dysmorphophobie engendrée par des filtres comme bold glamour à l'enfermement possible dans des logiques mortifères.

Face à ces effets, les solutions proposées par TikTok sont, là encore, loin d'être à la hauteur. Pour remédier au temps excessif passé sur l'application - près de 2 heures en moyenne pour les 4-18 ans -, TikTok compte principalement sur un encadrement du temps d'écran par des décisions volontaires. En matière de contrôle d'âge, les actions de TikTok paraissent également dérisoires. La société mise sur un repérage des comptes soupçonnés d'être détenus par des mineurs. Cette technique est inefficace : alors que l'application est en principe interdite aux moins de 13 ans, près de 45 % des 11-12 ans y seraient inscrits.

L'application doit d'urgence mettre en place un système de vérification d'âge impliquant le recours à un tiers vérificateur indépendant, comme le prévoit la proposition de loi visant à instaurer une majorité numérique et à lutter contre la haine en ligne que nous avons récemment adoptée au Sénat.

L'ensemble de ces constats nous ont conduits à formuler des recommandations que vous pouvez lire à la fin du rapport. Elles se rapportent à l'ensemble des sujets que nous avons traités au cours de nos quatre mois d'enquête.

Sur certains points, je crois qu'il faut manifester une fermeté particulière. C'est le cas des liens avec la Chine, qui doivent être coupés par une modification des statuts de la maison mère ou par une vente des parts des fondateurs chinois au sein de celle-ci. Le ministre Jean-Noël Barrot s'est engagé lors de son audition à exiger de TikTok un éclaircissement sur la question des statuts déposés aux îles Caïmans. Je suis d'ailleurs surpris qu'une société comme TikTok France, qui opère en France, n'ait pas eu à répondre à des questions du ministère de l'économie, des finances et de la souveraineté industrielle et numérique sur ses statuts et les personnalités qui la composent.

Concernant l'application du DSA - appelé en français « règlement européen sur les services numériques » (RSN) -, nous proposons de laisser six mois à TikTok pour rattraper son retard dans tous les domaines : modération, retrait de la désinformation, ouverture d'interfaces de programmation, transparence sur les bonus et le shadowbanning, etc. À défaut, il faudra que la Commission européenne engage des procédures de sanction, voire de suspension.

Nous estimons également, à la suite des interventions d'André Gattolin sur le sujet, qu'il faut renforcer la possibilité de signaler des contenus de désinformation manifeste sans que les plateformes gardent totalement la main sur ce sujet. La solution la plus simple nous a paru de nous appuyer sur la plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements (Pharos), mais en demandant une évolution de ce dispositif. En effet, pour le moment, bien que ce soit possible en théorie, il est impossible en pratique de déclarer la présence de fausses informations sur Pharos, car le formulaire de déclaration ne le prévoit pas. Il faut également que la plateforme se saisisse de cette question.

Concernant le projet Clover, il s'agit là encore d'une question existentielle pour TikTok. Si l'entreprise ne s'engage pas dans un bref délai sur des mesures de sécurité convaincantes pour protéger les données des utilisateurs européens, appuyées sur des solutions logicielles purement européennes, nous pourrons considérer que le risque justifie de la sanctionner sévèrement.

Sur les algorithmes, nous reprenons à notre compte la recommandation du rapport d'information rédigé par Mmes Catherine Morin-Desailly et Florence Blatrix Contat : il est temps de s'assurer de la légalité et de la sécurité des algorithmes utilisés par les plateformes en ligne en mettant en place des normes minimales en matière d'éthique et de respect des droits fondamentaux, obligatoires pour tous les algorithmes dès leur création, dans une logique de sécurité et légalité par construction ou « safety and legacy by design ».

De manière plus structurelle, sur la question du statut - éditeur ou hébergeur - nous reprenons également la recommandation du même rapport d'information de créer un nouveau régime européen de responsabilité renforcée pour les fournisseurs de services intermédiaires utilisant des algorithmes d'ordonnancement des contenus, à raison de cette utilisation.

Le rapport préconise également de poursuivre les recherches sur les effets sanitaires de l'application, mais aussi de demander à la Cnil de faire comme son homologue italienne : ne pas hésiter à bloquer l'accès à TikTok le cas échéant en vertu de l'article 66 du RGPD, en cas de danger sanitaire grave, comme un dangereux défi viral.

Il est également nécessaire de mettre enfin en place un système de vérification de l'âge performant, ainsi qu'un blocage de l'application pour les mineurs au bout d'un certain temps, par exemple une heure.

Nous avons procédé à plusieurs modifications de rédaction au cours des derniers jours, soit présentées par certains d'entre vous, soit qui nous sont apparues nécessaires à la relecture du rapport ou à l'aune de certains événements, notamment les émeutes récentes.

M. André Gattolin. - Tous les grands réseaux sociaux gérant plus de tel volume de données personnelles françaises devraient avoir l'obligation de déclarer les cyberattaques, tentatives de cyberattaque et les vols de données dont ils font l'objet sur le site de l'Agence nationale de la sécurité des systèmes d'information (Anssi). Cette mesure me semblerait intéressante, d'autant qu'elle ne vise pas le seul réseau TikTok. Si ce dernier ne transfère sans doute pas - ou en tout cas le fera de moins en moins - volontairement ses données sur des serveurs chinois, il peut laisser des portes ouvertes pour que certains puissent se servir. C'est une chose d'être victime d'un vol, c'en est une autre d'exporter illégalement des données. La tendance générale de ces opérateurs est de cacher le moindre problème, pour préserver leur réputation. Or il faut que les informations relatives aux fuites de données soient connues.

Dans le cadre du scandale impliquant la société Cambridge Analytica, des données ont été prélevées sur le site de Facebook à des fins d'exploitation précises, pour une campagne électorale. En revanche, si les autorités chinoises décident de faire un usage plus discret des données des utilisateurs de TikTok, via l'intelligence artificielle par exemple, rien ne permettra de constater qu'elles auront été volées.

Je ne sais pas si cette mesure est réalisable, mais elle me semblerait une piste intéressante.

M. Mickaël Vallet, président. - Les représentants de TikTok ne répondent pas précisément aux questions relatives à la cybersécurité. Mme Masure nous a dit qu'elle n'était pas spécialiste, mais qu'elle imaginait que la société faisait le nécessaire en la matière. Tous deux nous ont en outre dit qu'ils n'avaient pas de contact avec l'Anssi, mais qu'ils aimeraient travailler avec elle.

M. Claude Malhuret, rapporteur. - Nous n'avons pas retenu la disposition proposée par M. Gattolin, car elle est déjà satisfaite. En effet, toute entreprise chargée de traiter des données personnelles est tenue d'adresser à la Cnil toute tentative de compromission de ces données, cyberattaques comprises. L'Anssi est chargée de ce contrôle pour les opérateurs d'importance vitale (OIV). Rien ne nous empêche néanmoins d'évoquer cela dans le rapport.

M. Claude Malhuret, rapporteur. - Je vous propose de passer à l'examen des propositions de modification.

M. Claude Malhuret, rapporteur. La proposition de modification n° 6 vise à ajouter une note au bas de la page 9 pour définir la notion de graphe.

La proposition de modification n° 6 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 5 a pour objet de remplacer le mot « TikTok » par le mot « ByteDance » à la page 27 du rapport.

La proposition de modification n° 5 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 8 vise à ajouter deux phrases ainsi rédigées après le troisième paragraphe de la page 45 : « Ce déficit de moyens de modération n'est sans doute pas propre à TikTok : Facebook notamment a déjà été critiqué pour un manque de modérateurs en langue française. Interrogée sur ce point, Chine Labbé soulignait toutefois que “s'agissant des comparaisons entre telle et telle plateforme en matière de fausses informations, même si l'on manque de données statistiques précises et même si l'on trouve de fausses informations sur toutes les plateformes, le fait est que l'on constate une forte présence de contenus faux sur TikTok.” ».

La proposition de modification n° 8 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 7 consiste à ajouter la phrase suivante à la page 46, après les mots « du pluralisme des expressions et de la qualité de l'information diffusée sur sa plateforme » : « Comme le soulignait Bernard Benhamou, secrétaire général de l'Institut de la souveraineté numérique : “Par définition, ne pas utiliser ces données serait une forme de faute professionnelle de la part des services chinois.” ».

La proposition de modification n° 7 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 9 a pour objet d'ajouter la phrase suivante à la page 46 : « Pour le moment, Viginum n'a pas relevé d'intervention de désinformation manifestement concertée au profit d'un État étranger en France via l'application. En revanche, le problème de la présence importante de fausses informations sur TikTok, relevé dans les pages précédentes, concerne aussi bien notre pays. »

La proposition de modification n° 9 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 15 vise à insérer au bas de la page 47 du rapport le tableau recensant les interdictions et restrictions d'utilisation de TikTok dans le monde, réalisé par la division de législation comparée du Sénat.

La proposition de modification n° 15 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 11 rassemble les recommandations nos 1 et 2 en une seule.

La proposition de modification n° 11 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 3 vise à préciser le délai de six mois accordé à TikTok dans le rapport pour respecter pleinement ses obligations.

M. André Gattolin. Nous pourrions aussi fixer une échéance précise, par exemple le 1er janvier 2024.

M. Claude Malhuret, rapporteur. Effectivement. En ce cas, il me faudrait votre autorisation pour modifier cette mention partout où elle apparaît dans le rapport.

Il en est ainsi décidé.

La proposition n° 3, ainsi modifiée, est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 4 apporte une précision rédactionnelle.

La proposition de modification n° 4 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 12 a pour objet de remplacer les recommandations nos 6 et 7 par une recommandation unique, concernant la société des auteurs et compositeurs dramatiques (SACD) et la société des auteurs, compositeurs et éditeurs de musique (Sacem).

La proposition de modification n° 12 est adoptée.

M. Claude Malhuret, rapporteur. De même, la proposition de modification n° 14 tend à remplacer les recommandations nos 11 et 12 par une recommandation unique.

La proposition de modification n° 14 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 1 a pour objet de préciser la recommandation n° 13 de la manière suivante : « Exiger de ByteDance Ltd, maison mère de TikTok et société immatriculée au sein du paradis fiscal des îles Caïmans, la transparence sur ses statuts et sur les droits de vote à son conseil d'administration. S'il s'avère que la société est contrôlée par les fondateurs chinois, demander à la Commission européenne d'exiger de ByteDance, soit que les statuts de la société soient modifiés pour mettre fin à ce contrôle des fondateurs, soit que les parts de ceux-ci soient vendues. »

La proposition de modification n° 1 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 2 crée une recommandation n° 18 visant à demander à Pharos de prendre davantage en compte les infractions liées à la diffusion de fausses informations et d'adapter le formulaire internet de déclaration d'infractions en conséquence.

M. André Gattolin. Le problème est que l'on se focalise sur la diffusion de fausses nouvelles. Comment signale-t-on des contenus illicites ou tendancieux, par exemple un message appelant des jeunes à se rendre dans une manifestation potentiellement violente à Nanterre ? De plus, au-delà de tels messages, par le jeu des graphes et des agrégations d'informations, on peut obtenir facilement une cartographie des endroits où ont lieu des émeutes et des pillages, ce qui peut constituer un appel au désordre public rendu possible de manière irresponsable par la plateforme.

M. Claude Malhuret, rapporteur. La catégorie des menaces, incitations à la violence, incitations à la haine et mises en danger des personnes existe déjà sur Pharos. Nous proposons d'ajouter à cette plateforme une rubrique permettant de signaler les fausses informations.

La proposition de modification n° 2 est adoptée.

M. Claude Malhuret, rapporteur. - Par la proposition de modification n° 10, nous demandons également l'instauration d'un mécanisme spécifique de modération a priori par les plateformes numériques en cas de grave trouble à l'ordre public, impliquant le retrait des messages concernés dans les deux heures, ainsi que la possibilité, pour l'autorité administrative, s'il est constaté des émeutes et des incitations manifestes à la violence contre des personnes dépositaires de l'autorité publique, à la dégradation des bâtiments ou des installations publics ou à l'intrusion en leur sein, d'émettre des injonctions de retrait à l'encontre de tout service de réseau social en ligne pour retirer ou bloquer l'accès de ces contenus.

M. Patrick Chaize a déposé un amendement au projet de loi visant à sécuriser et réguler l'espace numérique qui va dans le même sens.

Mme Sophie Primas. Mme Toine Bourrat a déposé un amendement similaire concernant les cas de cyberharcèlement.

Pourquoi la proposition de modification n° 10 restreint-elle la possibilité de retrait ou de blocage des contenus aux incitations à la violence contre des personnes dépositaires de l'autorité publique ? En l'état, cette rédaction ne tient pas compte des commerces vandalisés.

M. Claude Malhuret, rapporteur. Il faut donc écrire « contre des personnes ».

Il en est ainsi décidé.

M. Mickaël Vallet, président. L'idée serait donc d'imposer, à partir du moment où l'on entrerait dans une phase de trouble à l'ordre public qualifiée de « critique », une décision éditoriale et une autorisation a priori, antérieurement à toute publication sur un réseau ; soit un renversement du paradigme actuel où les internautes sont responsables de leurs publications, charge à la plateforme de retirer, après signalement, les contenus qui posent problème.

M. Claude Malhuret, rapporteur. Il ne s'agit pas, en réalité, d'une nouveauté. Cela existe déjà en matière de pédopornographie et de terrorisme. Nous l'étendrions simplement à un nouveau cas particulier, celui des émeutes et de la violence.

M. Mickaël Vallet, président. - Il serait bon par conséquent de préciser que cette référence aux dispositions existantes pour les cas de pédopornographie et de terrorisme.

Il en est ainsi décidé.

La proposition n° 10, ainsi modifiée, est adoptée.

M. Claude Malhuret, rapporteur. - La proposition de modification n° 16 précise les différents niveaux de sanctions prévus par le rapport sur des points particuliers, par exemple en l'absence de clarification, par TikTok, des statuts de ByteDance. En outre, si le DSA n'est pas appliqué dans les six mois, une forte amende devra s'appliquer, voire des mesures d'urgence. En cas de diffusion de contenus dangereux viraux, la Cnil devra prendre ses responsabilités et suspendre l'application le temps que le trouble soit réparé.

Nombre de nos questions n'ont pas reçu de réponse de la part de TikTok, ou bien des réponses consistant à dire que la mesure demandée était impossible. Il nous a paru important de regrouper l'ensemble de ces cas de figure, et de prévoir des sanctions en conséquence, pouvant donc aller jusqu'à la suspension. Je parle bien ici de suspendre et non d'interdire l'application, jusqu'à ce qu'elle ait satisfait aux demandes - ce qu'elle est tenue de faire dans les six mois, ou avant le 1er janvier 2024.

La situation dure en effet depuis trop longtemps. L'entreprise TikTok existe depuis cinq ans et ne cesse de dire qu'elle va prendre des mesures. Or elle ne fait rien.

L'idée n'est pas d'inciter ByteDance à vendre TikTok, mais d'insister sur l'importance pour le réseau TikTok de répondre aux injonctions qui lui sont faites et, en l'absence de réponse, d'envisager une suspension dans un contexte où TikTok comme les Gafam ne cessent de gagner du temps, tout en s'acquittant de sanctions pécuniaires qui ne les touchent presque pas.

En l'absence de réponse de l'entreprise concernant l'actionnariat de ByteDance aux îles Caïmans ou l'application des mesures du DSA, nous pourrions envisager que le Gouvernement français suspende temporairement la plateforme jusqu'à la satisfaction de ces demandes.

M. André Gattolin. - Nous pourrions aussi rappeler ici que l'entreprise a l'obligation de déclarer les cyberattaques dont elle fait l'objet auprès des autorités françaises et européennes, sachant que c'est l'ensemble des réponses qui nous seront apportées par l'entreprise, dans leur globalité, qui compteront dans la décision de suspendre ou non l'application.

Mme Sophie Primas. - La décision de suspension étant de toute façon conditionnelle, un tel ajout ne signifie pas qu'aucun délai supplémentaire ne pourra être octroyé à l'entreprise, sans suspension, pour nous apporter ses réponses.

M. Claude Malhuret, rapporteur. - Nous proposons d'ajouter au texte de la recommandation, dans la partie concernant les principales mesures demandées à TikTok, la mention suivante : « Ne pas avoir déclaré une cyberattaque ayant conduit à une compromission massive de données personnelles ».

Il en est ainsi décidé.

La proposition n° 16, ainsi modifiée, est adoptée.

M. Mickaël Vallet, président. - Une remarque : dans la comparaison faite avec Huawei, n'oublions pas que l'Anssi en est venue à considérer que faute d'outil pour contrôler effectivement l'usage des données par cette entreprise, les mesures de contrôle et d'interdiction porteraient sur des secteurs bien définis, quitte à laisser l'entreprise s'implanter normalement dans le reste du territoire. Le raisonnement n'est pas binaire, avec l'interdiction totale ou l'autorisation sans limite.

M. André Gattolin. - Les recours américains ont échoué contre WeChat, effectivement. Dans le rapport, cependant, la rédaction est suffisamment précise puisqu'on vise le cas où TikTok n'aurait pas pris les principales mesures qu'on lui demande.

M. Mickaël Vallet, président. - Deux remarques encore. Notre rapport doit signaler le danger que représente le renvoi vers des messageries dites privées, qui « piègent » en quelque sorte les internautes dans des boucles fermées, on l'a vu au Brésil avec WhatsApp et Marc Faddoul a insisté sur ce phénomène.

Ensuite, il faut bien souligner que l'action doit comporter aussi une incitation forte à ce que les administrations en général et les opérateurs d'importance vitale utilisent les outils de messagerie et de téléconférence créés par l'État.

M. Claude Malhuret, rapporteur. - La proposition de modification n° 17 a pour objet l'ajout du titre suivant : « La tactique TikTok : opacité, addiction et ombres chinoises ». Ce titre nous a paru condenser les aspects principaux du rapport, dans une formulation facile à retenir.

La proposition de modification n° 17 est adoptée.

Le rapport est adopté et la commission d'enquête en autorise la publication.

La réunion est close à 17 h 20.

Les thèmes associés à ce dossier