La tactique TikTok : opacité, addiction et ombres chinoises - Rapport

• LA TACTIQUE TIKTOK : OPACITÉ, ADDICTION ET OMBRES CHINOISES
  
• LES RECOMMANDATIONS
  DE LA COMMISSION D'ENQUÊTE
  
  • I. UNE STRATÉGIE VISANT À MINIMISER LES LIENS DE TIKTOK AVEC LA CHINE
    
    • A. LE CONTEXTE : UNE STRATÉGIE D'INFLUENCE NUMÉRIQUE ASSUMÉE PAR LA CHINE
      
      • 1. Une « guerre cognitive » au service des intérêts et de la pérennité du régime
        
      • 2. Une «  force de frappe internationale » qui intéresse forcément les services chinois
        
    • B. LE CONTRÔLE EXERCÉ PAR LE PARTI COMMUNISTE CHINOIS SUR LES GRANDES ENTREPRISES
      
      • 1. Un succès improbable sans le soutien affirmé des autorités
        
      • 2. Une coopération inévitable avec les services de renseignement
        
    • C. DES LIENS AVEC LA CHINE QUI PERSISTENT MALGRÉ LA VOLONTÉ DE PRÉSENTER TIKTOK COMME UNE ENTREPRISE NON CHINOISE
      
      • 1. Des liens avec la Chine par le biais des dirigeants de l'entreprise
        
        • a) En France : une SASU dont la présidente est Mme Zhao Tian, cadre dirigeante de ByteDance qui n'apparaît pas sur l'organigramme fourni par TikTok
          
        • b) M. Zhang Yiming, fondateur de ByteDance et « bénéficiaire effectif » de TikTok France
          
        • c) Le rappel à l'ordre du fondateur de TikTok, son autocritique et son remplacement à la tête de l'entreprise
          
      • 2. La volonté de faire apparaître la maison-mère de TikTok, ByteDance, comme une entreprise internationale et non chinoise
        
        • a) Une domiciliation de la maison mère ByteDance aux îles Caïmans qui permet de maintenir l'opacité et qui ménage la possibilité d'un contrôle par les fondateurs chinois
          
        • b) D'autres mesures prises pour faire apparaître ByteDance comme une entreprise essentiellement internationale
          
      • 3. Une séparation fictive entre TikTok et Douyin
        
        • a) Un changement de nom pour afficher une séparation entre TikTok et Douyin
          
        • b) L'acquisition d'une « golden share » par l'État chinois et la revente des parts du fondateur à des investisseurs fantômes
          
        • c) Des liens évidents entre Douyin et TikTok
          
        • (1) Des liens au niveau des technologies et de la propriété intellectuelle
          
        • (a) Des brevets détenus par l'entité pékinoise de ByteDance
          
        • (b) Des technologies développées en commun, un algorithme partagé
          
        • (2) Des liens par le biais des transferts de données
          
        • (3) Des liens qui passent aussi par les employés de ByteDance en Chine
          
        • (4) Une messagerie Lark partagée par tous les employés
          
      • 4. La présence de membres du Parti communiste chinois au sein de ByteDance
        
    • D. DES FAITS AVÉRÉS ALTÉRANT DURABLEMENT LA RÉPUTATION DE TIKTOK ET LA CONFIANCE DE L'OPINION PUBLIQUE
      
      • 1. L'espionnage de journalistes révélé par plusieurs médias internationaux
        
        • a) À l'origine, des fuites internes à TikTok prouvant l'accès à des données d'utilisateurs américains depuis la Chine
          
        • b) Par la suite, une enquête interne conduisant à la surveillance avérée et reconnue de plusieurs journalistes américains
          
      • 2. Du déni public à une timide reconnaissance d'une possibilité d'accéder à distance aux données des utilisateurs de TikTok depuis la Chine
        
      • 3. Des mesures avérées de censure et de désinformation au bénéfice de la Chine
        
        • a) Des cas de censure au service de la pérennité du régime chinois
          
        • b) Une « tolérance coupable » envers du contenu de désinformation
          
        • c) L'épisode particulièrement inquiétant de la censure du TikTok russe lors de l'invasion de l'Ukraine
          
    • E. EN CONCLUSION : DES RISQUES AVÉRÉS QUI ONT CONDUIT À DE NOMBREUSES DÉCISIONS D'INTERDICTION OU DE RESTRICTION D'UTILISATION DE TIKTOK
      
      • 1. Une appréciation des risques partagée dans de nombreux pays
        
      • 2. En conséquence, des décisions successives d'interdiction ou de restriction d'utilisation
        
      • 3. En France, une première décision d'interdiction des applications récréatives sur les téléphones professionnels des agents publics
        
    • F. LA SOLUTION PROPOSÉE PAR TIKTOK : DES PROJETS TEXAS ET CLOVER QUI NE SUFFIRONT PAS À GARANTIR L'ÉTANCHÉITÉ DE L'APPLICATION VIS-À-VIS DES AUTORITÉS CHINOISES
      
      • 1. Deux projets qui reposent sur la localisation géographique des données des utilisateurs
        
      • 2. Deux projets qui ne garantissent pas l'immunité face aux législations extraterritoriales
        
      • 3. Deux projets qui ne remettent pas en cause la possibilité d'accéder aux données des utilisateurs depuis la Chine
        
      • 4. Le « précédent Huawei » : une première alerte d'ampleur sur les risques posés pour la sécurité nationale par une entreprise chinoise mondiale
        
        • a) Une entreprise mondialisée fer de lance des « routes numériques de la soie » de la Chine
          
        • b) Dans le cadre du développement de la 5G, une incapacité à convaincre quant à l'absence de risque pour la sécurité nationale
          
        • c) En conséquence, des mesures d'interdiction ou de restriction prises en ordre dispersé à l'échelle mondiale
          
  • II. UNE OPACITÉ RELEVÉE AUSSI PAR LES INSTITUTIONS EN RELATION AVEC TIKTOK EN FRANCE
    
    • A. UNE ABSENCE D'ACCORD AVEC LA SOCIÉTÉ DES AUTEURS ET DES COMPOSITEURS DRAMATIQUES (SACD) PRÉJUDICIABLE AU RESPECT DES DROITS D'AUTEURS
      
      • 1. Un manque manifeste de coopération de la part de TikTok
        
      • 2. Une « piraterie audiovisuelle » tolérée par TikTok
        
    • B. UN ACCORD INACHEVÉ AVEC LA SOCIÉTÉ DES AUTEURS, COMPOSITEURS ET ÉDITEURS DE MUSIQUE (SACEM)
      
      • 1. Un premier accord conclu avec TikTok
        
      • 2. Une nécessaire évolution du système de rémunération
        
    • C. UNE FORTE RÉTICENCE DE TIKTOK À COMMUNIQUER
      
  • III. UNE COLLECTE DE DONNÉES TRÈS IMPORTANTE, QUI FAIT L'OBJET DE PLAINTES TRAITÉES PAR LA « CNIL » IRLANDAISE
    
    • A. LES SPÉCIFICITÉS DE TIKTOK EXPLIQUENT UNE COLLECTE DE DONNÉES DANS LE « HAUT DU SPECTRE » DES APPLICATIONS
      
      • 1. De nombreuses données « classiques » collectées
        
        • a) Des données approximativement décrites dans les documents TikTok
          
        • b) Des données collectées directement à la source dans des proportions inconnues
          
      • 2. Un profilage fin des utilisateurs sur le fil « Pour Toi »
        
      • 3. Un partage des données avec de nombreux partenaires hors UE
        
      • 4. Le risque cyber
        
    • B. UNE COLLECTE QUI A ALERTÉ DE NOMBREUSES AUTORITÉS DE PROTECTION DES DONNÉES
      
      • 1. Des enquêtes de la CNIL qui ont abouti à une première condamnation partielle
        
      • 2. De nombreuses décisions relatives aux mineurs
        
    • C. LES PROCÉDURES EN COURS DE TRAITEMENT PAR LA DPC, LA « CNIL » IRLANDAISE
      
      • 1. Au moins deux procédures en cours, relatives aux mineurs et au transfert de données vers la Chine
        
      • 2. Une autorité irlandaise souvent critiquée pour ses réponses timorées voire pour sa complaisance vis-à-vis des plateformes
        
      • 3. Des autorités nationales qui essayent de maintenir une forme de contrôle sur TikTok
        
  • IV. UN ALGORITHME DE RECOMMANDATION TRÈS PERFORMANT MAIS OPAQUE
    
    • A. L'ALGORITHME DE RECOMMANDATION : LE POINT FORT INCONTESTÉ DE TIKTOK
      
    • B. UNE OPACITÉ DOMMAGEABLE
      
      • 1. Une origine et une localisation opaque
        
      • 2. Un fonctionnement tout aussi opaque
        
    • C. DES MESURES ANNONCÉES PAR TIKTOK POUR RÉPONDRE AUX CRITIQUES SUR L'OPACITÉ DE L'ALGORITHME
      
  • V. DES RÉSULTATS ENCORE TRÈS INSUFFISANTS SUR LA LUTTE CONTRE LA DÉSINFORMATION
    
    • A. DES ÉTUDES DOCUMENTANT LA PRÉSENCE NOTABLE DE CONTENUS DE DÉSINFORMATION
      
      • 1. Un « mauvais élève » de la lutte contre la désinformation selon l'ARCOM
        
      • 2. L'analyse de septembre 2022 de NewsGuard : une proportion élevée de désinformation sur TikTok
        
      • 3. L'analyse de Global Witness sur les élections américaines de 2022
        
    • B. DES RÉPONSES INSUFFISANTES DE TIKTOK À CETTE SITUATION PRÉOCCUPANTE
      
      • 1. Un flou entretenu sur les moyens humains consacrés à la lutte contre la désinformation
        
      • 2. Des contenus qui tardent à être retirés et des processus de labellisation peu aboutis
        
      • 3. Des règles de modération pouvant être détournées au profit de formes de censure
        
  • VI. DES EFFETS PSYCHOLOGIQUES ET SANITAIRES À NE PAS SOUS-ESTIMER
    
    • A. « ADDICTION » ? « ABRUTISSEMENT » ? : UNE « RADICALISATION » DES EFFETS DES PLATEFORMES NUMÉRIQUES
      
      • 1. Une absence de consensus scientifique sur la qualification des effets de TikTok...
        
        • a) Une littérature scientifique encore limitée sur TikTok
          
        • b) Des dangers démontrés sur les moins de 3 ans et sur le sommeil des enfants
          
        • c) « Addiction » ou « Abrutissement » ?
          
      • 2. ... mais des constats inquiétants livrés par les praticiens
        
      • 3. Des effets qui s'expliquent par les spécificités de TikTok
        
        • a) Un algorithme très performant pour capter l'attention
          
        • b) L'urgence de réaliser des études plus poussées spécifiques à TikTok
          
      • 4. TikTok comme amplificateur de difficultés psychologiques préexistantes
        
    • B. DES CONTENUS DANGEREUX OU INAPPROPRIÉS POUSSÉS PAR L'ALGORITHME
      
      • 1. Les contenus liés aux désordres alimentaires et au suicide davantage proposés aux personnes les plus vulnérables
        
      • 2. Les défauts de modération face à la multiplication des challenges dangereux sur l'application
        
      • 3. Une politique de modération ambiguë sur les contenus « hypersexualisés »
        
    • C. DES MESURES PRISES PAR TIKTOK D'UNE EFFICACITÉ INCERTAINE OU CONTOURNÉES PAR LES UTILISATEURS
      
      • 1. Des réponses peu convaincantes sur les bulles de filtres
        
      • 2. Un encadrement du temps d'écran peu crédible sur la base de décisions volontaires des utilisateurs
        
      • 3. Le contrôle parental : une solution qui renforce les inégalités
        
      • 4. Un contrôle d'âge déficient
        
        • a) Un contrôle se résumant essentiellement au repérage des comptes suspects
          
        • b) Un système de vérification d'âge à mettre en place par TikTok, en suivant les recommandations de la CNIL
          
  • VII. LES RECOMMANDATIONS DE LA COMMISSION D'ENQUÊTE
    
    • A. ÉLARGIR L'INTERDICTION DE L'APPLICATION DÉJÀ DÉCIDÉE POUR LES FONCTIONNAIRES AUX OPÉRATEURS D'IMPORTANCE VITALE (OVI)
      
    • B. ACCORDER À TIKTOK JUSQU'AU 1ER JANVIER 2024 POUR SE METTRE EN CONFORMITÉ AVEC SES OBLIGATIONS ET SE MONTRER COOPÉRATIF VIS-À-VIS DES AUTORITÉS
      
      • 1. Mettre pleinement en oeuvre le RSN
        
        • a) Le défi de la mise en oeuvre du RSN à brève échéance
          
        • b) Des régulateurs qui doivent être mobilisés pour l'entrée en vigueur du RSN
          
      • 2. Mettre fin à l'opacité et respecter les acteurs culturels
        
      • 3. Protéger les données personnelles des Français et des européens
        
    • C. EXIGER UNE CLARIFICATION DE LA SITUATION JURIDIQUE DE TIKTOK VIS-A-VIS DE LA CHINE
      
      • 1. De précédentes tentatives de séparer TikTok du groupe ByteDance
        
      • 2. Un contexte de rivalité sino-américaine mais des risques avérés
        
    • D. ENCADRER LES ALGORITHMES DE RECOMMANDATION ET DE MODÉRATION
      
    • E. ALLER PLUS LOIN : REPENSER LA RESPONSABILITÉ DES PLATEFORMES QUI ÉDITORIALISENT LEURS CONTENUS ET MIEUX LUTTER CONTRE LES FAUSSES INFORMATIONS
      
    • F. MOBILISER LE MONDE ACADÉMIQUE POUR EVALUER LES MESURES PRISES PAR TIKTOK ET DETERMINER SCENTIFIQUEMENT SES EFFETS PSYCHOLOGIQUES, PRENDRE DES MESURES EN CAS DE DANGER AVÉRÉ
      
    • G. METTRE EN PLACE UN VÉRITABLE SYSTÈME DE VERIFICATION DE L'AGE ET INSTAURER UN BLOCAGE DE TEMPS POUR LES MINEURS
      
    • H. PRÉVOIR UNE POSSIBILITÉ DE SUSPENSION EN CAS D'ABSENCE DE RÉPONSE ET DE NON-RESPECT DE SES OBLIGATIONS ESSENTIELLES PAR TIKTOK AVANT LE 1ER JANVIER 2024
      
• ANNEXE 1 : CIRCULAIRE D'INTERDICTION DES APPLICATIONS RÉCRÉATIVES
  
• ANNEXE 2 : L'EXTRATERRITORIALITÉ DU DROIT CHINOIS
  
  • 1. La notion d'extraterritorialité en droit international
    
  • 2. Quelques caractéristiques du droit chinois
    
  • 3. Les lois chinoises à portée extraterritoriale dans le domaine du numérique et de la protection des données
    
    • a) Aperçu général
      
    • b) Le cadre juridique de la protection des données
      
    • c) Les lois sur le renseignement et sur la lutte contre l'espionnage
      
• ANNEXE 3 : LE DROIT AMÉRICAIN EN MATIÈRE DE PROTECTION DES DONNÉES, DE MODÉRATION DES CONTENUS ET DE LUTTE CONTRE LA DÉSINFORMATION
  
• EXAMEN EN COMMISSION
  
• LISTE DES DÉPLACEMENTS
  
• LISTE DES PERSONNES AUDITIONNÉES
  
• TABLEAU DE MISE EN oeUVRE ET DE SUIVI
  DES RECOMMANDATIONS
  

N° 831

SÉNAT

SESSION EXTRAORDINAIRE DE 2022-2023

RAPPORT

FAIT

au nom de la commission d'enquête (1) sur l'utilisation du réseau social TikTok, son exploitation des données, sa stratégie d'influence,

Président
M. Mickaël VALLET,

Rapporteur
M. Claude MALHURET,

Sénateurs

Tome I - Rapport

LA TACTIQUE TIKTOK : OPACITÉ, ADDICTION ET OMBRES CHINOISES

« Les réseaux sociaux sont devenus l'une des principales menaces contre la démocratie » disait il y a peu M. Barack Obama dans « The Atlantic^1(*) ». Le rêve de quelques jeunes ingénieurs californiens du début des années 2000 d'un Internet porteur d'une connaissance universelle, d'une transparence inédite et de nouveaux liens sociaux à l'échelle de la planète s'est transformé en une réalité beaucoup plus prosaïque. Fake news, discours de haine, harcèlement, désinformation, manipulations électorales à grande échelle, fermes à trolls, ne sont que quelques exemples des dérapages d'une technologie qui connaît un succès mondial mais bien souvent pour de mauvaises raisons.

C'est dans ce contexte qu'est apparu voici quelques années, après Facebook, Twitter, Instagram et quelques autres, un nouveau venu dont la croissance exponentielle lui a permis de dépasser en peu de temps la plupart de ses prédécesseurs. En apparence il leur ressemble. En réalité il s'en distingue par au moins trois aspects essentiels. D'abord son fonctionnement : au modèle du « graphe^2(*) social » de la plupart des réseaux qui favorisent les interactions de l'internaute avec ses « amis », TikTok oppose un « graphe d'intérêts » qui privilégie les contenus proposés par l'application elle-même. En deuxième lieu, son algorithme extrêmement addictif qui retient des heures durant ses utilisateurs, essentiellement des enfants et des adolescents, sur leurs écrans. Enfin, malgré des efforts constants pour le dissimuler, l'évidence de la faculté pour l'État, le Parti communiste et les services de renseignement chinois d'accéder aux données recueillies sur les utilisateurs du monde entier.

Pour toutes ces raisons, TikTok est aujourd'hui interdit totalement dans plusieurs pays (Inde, Indonésie, Pakistan...) et de façon limitée dans beaucoup d'autres, notamment ceux de l'Union Européenne, France incluse. Faut-il aller plus loin et considérer que TikTok doit être mis à l'index, au même titre que Huawei, comme une des menaces envers les démocraties d'un régime chinois qui ne cesse de se durcir ? La moindre des prudences consiste en tous cas à nous départir de notre naïveté confondante envers les risques posés aux démocraties par les méthodes de plus en plus élaborées des dictatures et de ce qu'elles appellent leurs guerres hybrides. C'est le but de ce rapport.

LES RECOMMANDATIONS
DE LA COMMISSION D'ENQUÊTE

La participation de TikTok aux travaux de la commission d'enquête :
« La transparence dans l'opacité »

Le phénomène qui a le plus frappé les membres de la Commission d'enquête tout au long de ses travaux est le contraste saisissant entre, d'une part, les proclamations permanentes de transparence des dirigeants de TikTok et, d'autre part, le jugement de toutes les autres personnes et institutions rencontrées, régulateurs, chercheurs, journalistes, responsables politiques, dont le sentiment, entendu à chaque audition se résume à un mot : l'opacité.

TikTok a répondu à trois questionnaires envoyés par le rapporteur. Deux de ses dirigeants, M. Éric Garandeau, directeur des affaires publiques et Mme Marlène Masure, directrice générale des opérations France, Benelux et Europe du Sud, ont été entendus en auditions et ont répondu aux questions du rapporteur et des membres de la commission d'enquête pendant plus de trois heures chacun.

Toutefois, tout au long de ces échanges, l'entreprise et ses représentants se sont efforcés de maintenir cette opacité à laquelle le groupe TikTok est habitué et de retenir toute information qui ne serait pas déjà publique.

Le document transmis en réponse à une demande de fournir au secrétariat de la commission d'enquête un organigramme de la société TikTok SAS en est un exemple révélateur : il ne faisait apparaître aucun nom de responsables à l'exception de Mme Marlène Masure, déjà publiquement identifiée comme directrice générale des opérations.

Organigramme transmis par TikTok SAS à la commission d'enquête

M. Éric Garandeau - qui n'apparaissait pas lui-même sur ce document - a justifié ce format comme une mesure de sécurité, pour « ne pas exposer les salariés à des risques de menaces, chantage ou harcèlement de la part d'utilisateurs mécontents de décisions de modération ». La seule information qu'il a consenti à révéler est que « ce sont des personnes françaises, qui opèrent depuis nos bureaux parisiens, et plutôt junior car elles gèrent des portefeuilles de partenaires et ont été recrutées depuis peu ». Ce n'est qu'après plusieurs échanges écrits qu'un organigramme complet a finalement été fourni... complet à l'exception d'une seule personne que le rapporteur a dû identifier lui-même car elle ne figurait dans aucun des documents remis. Il s'agissait pourtant de la Présidente de la société : Mme Zhao Tian...

De même, le rapporteur a souhaité disposer de l'ensemble des conditions générales d'utilisation, des politiques de confidentialité et autres règles contractuelles applicables aux utilisateurs français et a demandé à TikTok de présenter les différentes versions de celles-ci, pour en comprendre les évolutions au cours du temps.

Dans sa première réponse, la société TikTok a renvoyé aux conditions générales d'utilisation et à la politique de confidentialité en ligne, sachant que la politique de confidentialité a été actualisée le 4 mai 2023 au cours des travaux de la commission d'enquête. Elle a également éludé la question sur les évolutions dans le temps en indiquant que « TikTok réexamine régulièrement ses conditions et politiques et, le cas échéant, les met à jour (par exemple, pour se conformer à de nouvelles obligations légales ou pour refléter les meilleures pratiques de l'industrie) ». Elle a simplement donné quelques exemples ponctuels d'évolutions, sans en fournir le détail ni être exhaustive.

C'est pourtant derrière sa politique de confidentialité, très incomplète sur ce sujet, que TikTok s'est retranché pour refuser de répondre aux demandes précises du rapporteur concernant les données à caractère personnel collectées auprès des utilisateurs.

Extrait des réponses de TikTok

Enfin, lors de leurs auditions, les représentants de TikTok SAS n'ont pas répondu à certaines questions précises du rapporteur, préférant apporter ultérieurement des compléments par écrit. Ces compléments effectivement communiqués ont maintenu l'opacité sur plusieurs sujets. Ainsi, concernant le stockage et les transferts à l'étranger des données des utilisateurs, et sur les raisons de ces transferts, TikTok a choisi de maintenir le secret. TikTok n'a pas non plus répondu aux questions sur les « équipes produit ingénierie » situées dans le monde entier, notamment aux États-Unis, en Europe, à Singapour et en Chine, ou, comme on le verra, sur le nom des entités du groupe situées en Chine avec lesquels l'entreprise travaille. Autre exemple, aucune information n'a été apportée sur le nombre de mineurs qui arrêtent effectivement de regarder le fil « Pour Toi » après l'alerte apparaissant au bout de 60 minutes, mesure pourtant mise en avant comme la « mesure phare » pour lutter contre l'utilisation excessive de l'application par les jeunes.

La société ByteDance^3(*), société-mère de TikTok, a été créée en 2012, par M. Zhang Yiming et M. Liang Rubo, ingénieurs chinois en informatique, à Zhongguaucun, technopole située dans le district de Haidian de Pékin, considérée comme la « Silicon Valley chinoise ».

ByteDance a constitué dès sa création une « App factory »^4(*), une fabrique d'applications. En quelques mois, l'entreprise crée ainsi deux applications : Neihan Duanzi (« Plaisanterie sous entendue »), un forum humoristique, et Jinri Toutiao (« Les titres du jour »), un agrégateur d'informations qui repose sur un flux de contenu personnalisé et qui remporte rapidement un succès important.

En septembre 2016, ByteDance investit le domaine des vidéos à format court en créant Douyin (« son d'une vibration »). Cette application s'inspire alors de Musical.ly, une plateforme née en Chine proposant des vidéos musicales et de karaoké, qui fonctionne à l'étranger mais qui reste confidentielle en Chine. En mai 2017, ByteDance lance une version internationale de Douyin, dénommée TikTok. ByteDance rachète Musical.ly en novembre 2017 puis fusionne Musical.ly et TikTok en août 2018.

À partir de 2018, la croissance de TikTok devient exponentielle. Pour favoriser son succès à travers le monde, ByteDance investit massivement dans des campagnes de communication pour promouvoir TikTok sur les autres plateformes. Rien qu'en 2018, la société dépense 1 milliard de dollars en campagnes de publicités sur les sites de ses principaux concurrents comme YouTube, Instagram et Snapchat, afin d'attirer de nouveaux utilisateurs sur TikTok^5(*). Le moins qu'on puisse dire est que ceux-ci n'ont rien vu venir...

La pandémie de covid-19 sert d'accélérateur à la croissance de l'application. Alors qu'elle comptait 54 millions d'utilisateurs en janvier 2018, TikTok en cumule plus de 689 millions en juillet 2020. En septembre 2021, l'application passe le cap du milliard d'utilisateurs mensuels. En 2023, TikTok compte 1,7 milliard d'utilisateurs actifs, soit plus de 20 % des 4,8 milliards d'utilisateurs d'internet dans le monde.

En septembre 2021, TikTok est même passé, selon Cloudflare, devant Google en termes de site le plus visité, titre qu'il a depuis perdu pour repasser en troisième position. Avec 3 milliards d'installations, TikTok était en 2022 l'application la plus téléchargée de l'histoire^6(*). Les utilisateurs de TikTok ouvrent leur application environ 40 fois par jour^7(*). TikTok a été utilisé en 2022 par 22 millions de Français, avec 9 millions d'utilisateurs quotidiens^8(*).

Le succès de TikTok est particulièrement impressionnant chez les plus jeunes, l'application étant massivement plébiscitée par les enfants et les adolescents. En 2022, TikTok était le deuxième média social le plus utilisé par les adolescents américains après YouTube. Au moins un tiers des utilisateurs français sont mineurs, ce qui représente plusieurs millions d'adolescents et d'enfants. Selon une récente enquête mondiale de Qustodio, les mineurs passent en moyenne 1h47 par jour sur TikTok^9(*).

Application de divertissement, ayant fait son succès à l'origine sur des vidéos musicales et de synchronisation labiale, TikTok est en outre de plus en plus une plateforme choisie par les jeunes pour s'informer. 15 % des 18-24 ans utilisent l'application dans le but de s'informer^10(*). Aux États-Unis, plus du quart des 18-29 ans utilisent régulièrement TikTok pour s'informer^11(*).

Cependant, depuis ses origines, l'application a suscité de nombreuses polémiques médiatiques mais aussi des inquiétudes sérieuses, conduisant à une interdiction dans certains pays ou à des restrictions d'utilisation sur les terminaux portables d'employés des administrations publiques.

Au premier rang de ces inquiétudes, les liens entre l'entreprise et la Chine font craindre une utilisation possible de l'application à des fins de désinformation ou de collecte de données personnelles des utilisateurs par les autorités de ce pays. Le présent rapport s'efforce à ce sujet d'évaluer la persistance de ces liens malgré les dénégations des représentants de l'entreprise et d'évaluer les risques qui en découlent (I).

Plus généralement, le rapport montre aussi que TikTok France fait preuve d'une grande opacité dans ses relations avec l'ensemble des institutions en France, en particulier avec celles qui représentent les ayants droit des artistes dont des créations sont réutilisées dans les contenus de la plateforme, sans qu'ils obtiennent nécessairement en échange une juste rémunération (II).

En troisième lieu, il a été reproché à l'entreprise de ne pas respecter le Règlement général sur la protection des données européen (RGPD) en collectant plus de données que nécessaires et en les transférant dans des pays qui n'appliquent pas des règles équivalentes. Le rapport mesure l'étendue de cette collecte de données, en décrit les mécanismes et étudie la réponse apportée par l'entreprise (III).

Il approfondit également la question de l'algorithme (IV) du fil « Pour Toi » de TikTok, qui constitue le coeur de l'application et le premier artisan de son succès, tout en suscitant de nombreuses critiques liées à son opacité.

TikTok a été particulièrement pointée du doigt par l'ARCOM en raison de ses mauvaises performances et de son absence de transparence en matière de lutte contre la désinformation et dans les autres domaines couverts par le nouveau Règlement sur les services numériques (RSN) qui doit entrer en vigueur à partir de l'été 2023. Dans le domaine, le présent rapport recense les faits reprochés à l'application et s'efforce d'en comprendre les causes (V).

Enfin, de nombreux reproches sont faits à l'application du fait de son « addictivité » et des conséquences psychologiques ou sanitaires de son utilisation intensive par les adolescents et les enfants. Cette question, d'une grande importance compte tenu de la diffusion extrêmement large de TikTok au sein de cette population, fait l'objet de la partie VI.

La dernière partie du rapport présente une série de recommandations destinées à prévenir ou à traiter l'ensemble des risques ainsi recensés et analysés (VII).

I. UNE STRATÉGIE VISANT À MINIMISER LES LIENS DE TIKTOK AVEC LA CHINE

Réseau social au succès mondial, TikTok présente la particularité, par rapport aux autres plateformes numériques de cette envergure, d'avoir été créée par une entreprise chinoise, ByteDance, créée par M. Zhang Yiming en 2012 à Pékin.

Depuis plusieurs années, la Chine est engagée dans une stratégie d'influence à grande échelle, qui a fait l'objet de plusieurs rapports^12(*). Cette stratégie se décline de manière particulièrement ambitieuse dans le monde numérique. Dans ce contexte, les représentants de TikTok s'emploient à démontrer que leur entreprise est désormais complètement séparée de la branche chinoise de la maison-mère, ByteDance, et qu'elle n'est donc pas soumise au contrôle ni à l'influence des autorités chinoises.

Les investigations menées par les membres de la commission d'enquête montrent cependant que ce postulat ne résiste pas à l'examen. Il peut au contraire être démontré qu'il existe des liens étroits entre TikTok et les entités situées en Chine du groupe ByteDance, tant sur le plan des transferts de données que des technologies utilisées, de la propriété intellectuelle ou encore des relations entre les employés. En outre, des faits concrets illustrant ces liens avec la Chine sont intervenus encore récemment, décrédibilisant le discours des représentants de TikTok sur ce sujet. Les nouvelles décisions de restriction d'usage de l'application qui ont été prises en série aux mois de mars et d'avril 2023 par les gouvernements et institutions de nombreux pays ne font que traduire la prise de conscience des risques que fait peser cette persistance des liens avec la Chine. La réponse de TikTok, le projet Clover, s'avère insuffisante pour mettre fin à ces craintes légitimes.

A. LE CONTEXTE : UNE STRATÉGIE D'INFLUENCE NUMÉRIQUE ASSUMÉE PAR LA CHINE

1. Une « guerre cognitive » au service des intérêts et de la pérennité du régime

Les risques pour la sécurité nationale que peuvent représenter des entreprises chinoises mondialisées telles que Huawei ou TikTok doivent être appréhendés dans le contexte des vastes opérations d'influence menées par la Chine depuis plusieurs années et mobilisant plusieurs leviers d'action, en particulier les entreprises internationales et les réseaux sociaux.

Selon le rapport de M. Paul Charon et de M. Jean-Baptiste Jeangène Vilmer publié en 2021 pour l'Institut de recherche stratégique de l'école militaire (Irsem), les opérations d'influence chinoises tendent à se complexifier et à se durcir. C'est pourquoi ce rapport fait référence au « moment machiavélien » de la Chine.

Ces opérations poursuivent plusieurs objectifs. D'une part, produire un discours positif sur la Chine, son hégémonie, ses valeurs et son modèle, souvent présenté en opposition avec le modèle de la démocratie libérale qui prévaut aux États-Unis et en Europe. D'autre part, « empêcher tout discours négatif sur le PCC, en prévenant et contrôlant tout discours sur les « cinq poisons » (Ouïghours, Tibétains, Falun Gong, « militants pro-démocratie », « indépendantistes taïwanais »), et plus généralement toute critique du Parti »^13(*).

Cette analyse est corroborée par le premier rapport du service européen d'action extérieure (SEAE) sur les menaces de manipulation étrangère de l'information et d'interférences, que les membres de la commission d'enquête ont eu l'opportunité de rencontrer à Bruxelles lors d'un déplacement auprès des institutions européennes le 24 avril 2023.

Sur l'année 2022, l'étude empirique menée par le SEAE décrit un ensemble de comportements, certes généralement non illégaux, qui néanmoins menacent ou peuvent avoir un impact négatif sur les valeurs, les procédures et les processus politiques des pays cibles. Ces comportements sont de nature manipulatrice, menée de manière intentionnelle et coordonnée par des acteurs étatiques ou non étatiques, y compris leurs mandataires, à l'intérieur et à l'extérieur de leur propre territoire.

Cette étude recense ainsi une centaine d'incidents, dont 17 sont attribués directement à la Chine, principalement menés par des acteurs étatiques à destination d'une audience internationale. Il est ainsi établi que « les incidents chinois ont promu la Chine en tant que partenaire fiable et leader mondial, tout en dégradant l'Occident, en soulignant notamment la manière dont les États-Unis déstabilisaient l'Union européenne »^14(*).

Afin de mieux comprendre les opérations d'influence menées par la Chine et les risques qu'elles représentent, le rapport de l'Irsem rappelle ainsi l'ancienneté et la densité de la pensée stratégique et militaire chinoise dont les concepts suivants peuvent aujourd'hui être mobilisés pour mieux cerner cette stratégie d'influence et rendre les Européens plus lucides face aux prétentions hégémoniques de la Chine :

- la « guerre de l'opinion publique », qui consiste à « créer un environnement d'opinion publique favorable à l'initiative politique et à la victoire militaire »^15(*) ;

- la « guerre psychologique », qui consiste à « utiliser des informations spécifiques et des médias pour des actions de combat qui affectent la psychologie et le comportement du public cible »^16(*) ;

- la « guerre cognitive » qui, se situant au croisement de la guerre de l'opinion publique et de la guerre psychologique, consiste à « utiliser la guerre psychologique pour façonner et même contrôler les capacités cognitives de l'ennemi et de prise de décision »^17(*).

2. Une «  force de frappe internationale » qui intéresse forcément les services chinois

Parmi les différents concepts évoqués ci-dessus, celui de « guerre cognitive » a particulièrement retenu l'attention des membres de la commission d'enquête lors des diverses auditions menées, car il reflète particulièrement bien les inquiétudes exprimées par de nombreux spécialistes quant à l'instrumentalisation possible de TikTok par le régime chinois.

Avec plus d'un milliard d'utilisateurs dans le monde dont 22 millions d'utilisateurs actifs mensuels en France, TikTok est la version internationale à succès d'une autre application, Douyin, qui est une application chinoise seulement autorisée et utilisée en Chine, alors que TikTok y est interdit.

Au regard de sa croissance, du nombre de ses utilisateurs, particulièrement jeunes, et de sa capacité à susciter une utilisation intensive grâce à un algorithme de recommandation dynamique favorisant la succession de vidéos en format court, TikTok apparaît comme un levier potentiel pour contribuer à cette « guerre cognitive » dont « le but ultime est de manipuler les valeurs, l'esprit/l'éthos national, les idéologies, les traditions culturelles, les croyances historiques, etc., d'un pays pour les inciter à abandonner leur compréhension théorique, leur système social et leur voie de développement »^18(*).

Pour le chercheur M. Julien Nocetti, « il faut comprendre que les stratégies de subversion sont devenues la norme dans le cadre des relations internationales, plutôt que l'exception. Ce rapport de force dans le domaine cognitif vient finalement exploiter quelque chose d'assez ancien. Mais celui-ci est adapté à des contenus extrêmement personnalisés, et s'insère dans une démarche de répétition, qui, alliée à des contenus courts, permet de capter l'attention de l'utilisateur et de le rendre très dépendant des contenus qu'il consulte »^19(*).

Autrement dit, selon certains analystes, TikTok représente une « force de frappe internationale » que le régime chinois pourrait mettre à profit afin « d'affaiblir les résistances » d'une jeunesse mondiale qui constituera, dans quelques années, le principal concurrent à une société et à une force productive chinoises en quête d'hégémonie et d'une plus grande reconnaissance internationale.

Comme l'a expliqué M. Paul Charon, directeur du domaine « Renseignement, anticipation et stratégies d'influence » de l'Irsem : « ce que l'on ne sait pas, c'est à quel point le fait de mettre du contenu tendant à abêtir les utilisateurs correspond ou non à une stratégie de la Chine. Est-ce seulement une conséquence néfaste de l'algorithme, surtout conçu a priori pour faire du profit, suivant l'intérêt de TikTok et de ByteDance ? Mais comme la plateforme a du succès, elle intéresse nécessairement les services chinois, qui peuvent être intéressés par la diffusion de contenus »^20(*).

Si les doutes subsistent sur les différences réelles entre TikTok et Douyin, les auditions des dirigeants de TikTok SAS France devant la commission d'enquête n'ayant en aucun cas permis de les dissiper, une chose est certaine : il existe en Chine une véritable politique de limitation du temps d'écran et de lutte contre les addictions aux jeux et aux plateformes numériques qui, dans un contexte de « guerre cognitive » assumée, modifie, en notre défaveur, notre rapport de force vis-à-vis de ce pays.

B. LE CONTRÔLE EXERCÉ PAR LE PARTI COMMUNISTE CHINOIS SUR LES GRANDES ENTREPRISES

1. Un succès improbable sans le soutien affirmé des autorités

Les entreprises sont aujourd'hui des acteurs de premier plan des stratégies d'influence menées par la Chine sur la scène internationale, en particulier les entreprises des nouvelles technologies de l'information et de la communication dont TikTok est le dernier fleuron.

Les critiques et les craintes de l'opinion publique, des services de renseignement et des dirigeants politiques concernent surtout les entreprises mondialisées d'origine chinoise car, en l'état actuel du fonctionnement du régime chinois, le succès international de l'entreprise ne peut être assuré sans un soutien manifeste du Parti communiste chinois (PCC). À cet égard, les travaux précités de l'Irsem relèvent un renforcement du contrôle exercé par le PCC sur le secteur privé et sur les grandes entreprises : « On peut ainsi dire qu'aucune compagnie importante en Chine ne peut prospérer sans être sur la ligne du Parti. Sous le mandat de M. Xi Jinping, cette tendance s'est même renforcée avec le programme Made in China 2025, la Belt and Road Initiative et les plans de développement en matière d'intelligence artificielle ou d'informatisation »^21(*).

Ce constat a été confirmé et expliqué à des nombreuses reprises lors des auditions menées par la commission d'enquête. Ainsi, M. Marc Faddoul, chercheur en intelligence artificielle et directeur de l'association AI Forensics, a rappelé que « le régime de M. Xi Jinping a démontré à plusieurs reprises qu'il contrôlait l'écosystème technologique d'une main de fer »^22(*).

Le député européen M. Raphaël Glucksmann, qui préside la commission du Parlement européen sur les ingérences étrangères, a insisté sur les différences culturelles et politiques qui existent avec le régime chinois : « ByteDance n'est pas une entreprise privée comme on l'entend en France. Bien sûr, sur le papier, elle en est une. Mais en Chine comme en Russie, il est impossible pour une entreprise dépassant une taille critique d'échapper au contrôle du régime politique »^23(*).

Le contrôle exercé par le PCC sur les grandes entreprises chinoises peut se matérialiser de différentes façons, mais notamment par :

- la présence de cellules du PCC au sein de l'entreprise, comme cela a été par exemple mis en évidence pour Huawei, le PCC disposant de 300 cellules et de 12 000 membres parmi les salariés de l'entreprise^24(*). Selon Mme Alice Ekman, sinologue et analyste responsable de l'Asie à l'Institut des études de sécurité de l'Union européenne (EUISS), il y aurait aujourd'hui plus de 1,5 million de cellules du PCC implantées dans des entreprises, avec une présence plus ou moins marquée selon les secteurs^25(*) ;

- l'exigence d'avoir un nombre minimum de salariés inscrits au PCC au sein de l'entreprise, en particulier s'il s'agit de joint ventures entre des entreprises chinoises et des entreprises étrangères. Il est ainsi estimé que le PCC compte 92 millions de membres en Chine, avec une tendance croissante estimée à 2 millions d'adhésions supplémentaires par an^26(*) ;

- l'accès facilité à des financements bancaires, en particulier de la part de la China Bank et de la China Export-Import Bank ;

- les prises de participation minoritaire au capital des grandes entreprises (Alibaba ; Tencent ; ByteDance, maison mère de TikTok ; etc.) par l'intermédiaire des « golden shares » détenues par l'Administration du cyberespace de Chine, permettant au PCC de siéger à leur conseil d'administration et de veiller, en conséquence, au bon respect de la ligne du Parti.

Par divers procédés de surveillance et de contrôle, la Chine d'aujourd'hui renforce progressivement son implication dans le développement et la gouvernance des grandes entreprises chinoises qui se développent internationalement. Cette situation témoigne d'un changement de stratégie d'influence plus globale, comme le soulignent de récents travaux parlementaires à ce sujet : « la Chine de M. Xi Jinping se caractérise par une projection sur la scène internationale qui se distingue des préceptes mis en avant sous l'ère de M. Deng Xiaoping, à savoir « faire profil bas » et « attendre son heure »». Si la Chine d'hier était concentrée sur son développement intérieur, la Chine d'aujourd'hui - et de demain - lie stabilité intérieure et affirmation extérieure »^27(*).

2. Une coopération inévitable avec les services de renseignement

Les craintes exprimées à l'encontre de TikTok et d'autres entreprises chinoises internationales sont intrinsèquement liées à la nature du régime politique chinois, à son régime juridique et à l'extraterritorialité de son droit. En particulier, la coopération inévitable avec les services de renseignement a été mise en avant à de très nombreuses reprises lors des auditions menées par la commission d'enquête, comme l'illustrent les témoignages suivants :

- pour M. Marc Faddoul, « le fait que TikTok, parce qu'elle est une entreprise chinoise, doive répondre aux demandes d'un gouvernement autoritaire, constitue une distinction importante »^28(*) ;

- pour M. Benoît Loutrel, membre du collège de l'Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) « la loi chinoise oblige toutes les sociétés à coopérer avec les services de renseignement chinois » ^29(*) ;

- pour M. Paul Charon : « aucune société chinoise ne peut tenir tête au parti. C'est juste impossible. Le système ne le permet pas, d'abord parce qu'une loi sur le renseignement et une loi sur le contre-espionnage autorisent, depuis 2014 et 2017, les services de renseignement chinois à demander à toute entreprise chinoise de leur transmettre les données dont elle dispose sur des individus ou des personnes morales »^30(*) ;

- pour M. Raphaël Glucksmann, « une grande entreprise comme ByteDance est soumise non seulement à la loi de 2017 qui soumet tous les acteurs institutionnels, privés y compris, aux exigences de sécurité nationale émises par le parti communiste chinois mais également aux diktats politiques fixés par le pouvoir »^31(*).

Cette « loi chinoise de 2017 » à laquelle il est souvent fait référence désigne la loi sur le renseignement national de la République populaire de Chine adoptée le 27 juin 2017 qui codifie la pratique existante en matière de renseignement, établit une distinction entre les fonctions du renseignement civil et du renseignement militaire et des principes juridiques pour le fonctionnement des agences de sécurité de l'État, sans précisément les nommer ni définir la notion de « renseignement ».

En particulier, les articles 7, 9 et 10, dont la traduction figure ci-dessous, suscite des inquiétudes légitimes de la part de nombreux experts et dirigeants politiques. La portée extraterritoriale de cette loi, applicable en dehors du territoire de la République populaire de Chine pour y autoriser, sous certaines conditions, l'activité des services de renseignement chinois, est ainsi explicitement mentionnée.

Ainsi, la combinaison du contrôle ordinaire du PCC sur l'économie et les grandes entreprises internationales et de la portée extraterritoriale du droit chinois conduit à ce que « tout citoyen, toute entreprise peuvent être contraints de devenir des agents du PCC, c'est-à-dire à tout le moins des informateurs, parfois des espions »^32(*).

Il y a ainsi aujourd'hui un contexte, une stratégie d'influence, un régime politique et juridique et des contraintes dont on ne saurait faire abstraction s'agissant de TikTok et de ByteDance, entreprises dont les pages suivantes démontrent les liens étroits et persistants avec la Chine. Bien au contraire, le succès mondial de l'application la rend plus vulnérable aux pressions qui découlent nécessairement de ce contexte.

C. DES LIENS AVEC LA CHINE QUI PERSISTENT MALGRÉ LA VOLONTÉ DE PRÉSENTER TIKTOK COMME UNE ENTREPRISE NON CHINOISE

Face aux allégations concernant les liens persistants de TikTok avec la Chine, une double ligne de défense est suivie par les représentants de l'entreprise.

D'une part, ceux-ci affirment que la maison mère de TikTok, ByteDance, est une entreprise internationale, immatriculée aux îles Caïmans et dont le capital est pour l'essentiel détenu par de grands investisseurs institutionnels, dont plusieurs sont Américains. En caricaturant, ByteDance serait une entreprise américaine et non une entreprise chinoise, et TikTok, elle-même relativement autonome par rapport à ByteDance selon ses représentants, serait donc une entreprise totalement internationale et nullement chinoise. Ainsi, devant le Congrès américain, le PDG de TikTok a insisté sur cet actionnariat international et sur le caractère international, et non chinois, de sa société.

D'autre part, les représentants de TikTok et de ByteDance soutiennent que la branche chinoise de ByteDance, qui perdure malgré un changement de nom (cf. ci-dessous, comment les filiales de ByteDance en Chine ont été rebaptisées Douyin) est totalement séparée des autres branches de l'entreprise, et que par conséquent ni données, ni contrôle, ni influence ne peuvent circuler « transversalement » entre cette branche chinoise et les autres entités de ByteDance partout ailleurs dans le monde.

Ainsi, selon les représentants de TikTok : au sommet se trouve ByteDance Ltd, immatriculée aux îles Caïmans, sous laquelle plusieurs chaînes complètement séparées les unes des autres « descendent » jusqu'aux entités nationales. L'une de ses chaînes passe par TikTok Ltd (également immatriculée aux îles Caïmans) et se ramifie notamment en TikTok US et TikTok UK, dont TikTok SAS en France est une filiale à 100%. Une autre chaîne, présentée comme séparée de la précédente, passe par Douyin group Ltd (HK) puis les diverses entités de Douyin en Chine. Ainsi, comme l'a défendu M. Éric Garandeau lors de son audition devant la commission : « la chaine capitalistique et juridique qui descend de ByteDance à TikTok doit permettre de faire en sorte qu'il n'y ait pas de pressions qui soient exercées à l'encontre de la plateforme TikTok ».

L'organigramme public de ByteDance, ou comment l'entreprise souhaite que l'on se représente sa structure

Cette partie du rapport entend démontrer que cette présentation de la structure de l'entreprise comme assurant l'étanchéité des activités internationales de TikTok par rapport aux activités en Chine ne résiste pas à l'examen.

1. Des liens avec la Chine par le biais des dirigeants de l'entreprise

a) En France : une SASU dont la présidente est Mme Zhao Tian, cadre dirigeante de ByteDance qui n'apparaît pas sur l'organigramme fourni par TikTok

L'entité française de TikTok est une société par actions simplifiée à actionnaire unique (SASU), détenue à 100% par TikTok UK. En examinant les documents relatifs à cette entreprise déposés au greffe du tribunal judiciaire de Paris, le rapporteur a été surpris de constater que la présidente de cette société est Mme Zhao Tian, née en Chine, ayant acquis la nationalité canadienne et qui résiderait actuellement à Singapour. En effet, interrogés oralement puis à l'écrit sur l'organigramme de la société TikTok SAS, les représentants de l'entreprise n'ont pas fait la moindre allusion à cette personne, ni aux fonctions qu'elle exerce dans l'entreprise.

Pourtant, Mme Zhao Tian est non seulement présidente de TikTok SAS (la branche française) mais également présidente de TikTok UK, et membre du « board » de TikTok en Australie. Elle a en outre occupé des hautes fonctions eu sein du groupe ByteDance, ayant été vice-présidente de Toutiao, proche de M. Zhang Yiming, le fondateur de l'entreprise (cf. ci-dessous). Les responsables de TikTok SAS, interrogés expressément sur cette personne, ont par ailleurs indiqué qu'elle dirigerait l'équipe « Global Ethics » (éthique globale) de TikTok et serait basée à Singapour. Sur LinkedIn, Mme Zhao Tian dispose d'un profil très discret et communique rarement. On peut néanmoins y constater qu'elle a fait des études à l'académie diplomatique de Pékin.

Lors de leur audition, les responsables de TikTok France ont indiqué que Mme Zhao Tian n'avait « aucune responsabilité opérationnelle » au sein de TikTok SAS et expliqué sa nomination à la tête de la société par la pratique qui consiste, pour un groupe en pleine croissance au niveau mondial et qui en conséquence multiplie les filiales, à nommer la même personne à la tête d'un grand nombre de ces filiales. M. Garandeau et Mme Masure ont aussi indiqué n'avoir jamais rencontré Mme Zhao Tian. Interrogés sur les pouvoirs de Mme Zhao Tian en tant que présidente de TikTok SAS, les deux responsables ont systématiquement répondu au sujet de son absence de rôle opérationnel, éludant ainsi la question de ses prérogatives juridiques. En tant que présidente de la SAS, Mme Zhao Tian a pourtant tout pouvoir pour prendre les décisions relatives à la société dans son ensemble, comme la signature des contrats conclus avec la société, sa représentation vis-à-vis des tiers, la prise des actes engageant le patrimoine de la société, la détermination de la politique d'investissement ou encore sa stratégie financière.

Dans ce contexte, le fait que Mme Zhao Tian soit présidente de TikTok SAS a une importance qui ne relève pas de l'opérationnel au sein de l'entreprise mais bien du contrôle potentiel exercé sur son action par le pouvoir chinois : pendant toute sa période d'activité en Chine, notamment au sein de Toutiao, elle était en effet soumise à l'autorité de celui-ci, à la fois de fait et de droit. Le cas échéant, elle devait donc obtempérer à toute demande en provenance de cette autorité, qu'elle implique ou non des entités de ByteDance ainsi que des employés ou des utilisateurs de l'application situés en Chine ou de nationalité chinoise. Ce contrôle continue probablement à s'exercer quand bien même Mme Tian a acquis la nationalité canadienne.

Cette soumission des dirigeants du numérique chinois aux autorités est d'ailleurs démontrée par les faits : plusieurs d'entre eux, dont M. Zhang Yiming lui-même, fondateur de ByteDance, ont eu à subir des pressions très fortes, les forçant à publier leur autocritique voire, pour certains, à renoncer à tout ou partie de leurs fonctions (cf. ci-dessous).

Deux motivations peuvent alors être à l'oeuvre pour les autorités chinoises. D'une part, l'entreprise concernée peut sembler être une menace pour l'ordre social en Chine lorsqu'elle ne se conforme pas suffisamment aux souhaits des autorités, par exemple lorsqu'elle permet ou encourage l'expression d'opinions qui ne vont pas dans un sens favorable pour ces autorités et ses dirigeants : ainsi de Toutiao lorsqu'elle fut interdite temporairement en 2018, obligeant M. Zhang Yiming à faire son autocritique. D'autre part, comme déjà indiqué, le secteur du numérique est au centre d'une stratégie très élaborée et d'une grande cohérence de la part des autorités chinoises, déclinée en de multiples aspects, visant à en faire un instrument de pouvoir et d'influence au niveau international : or cette stratégie implique notamment un contrôle sur les dirigeants des entreprises du numérique (comme, par exemple, le PDG d'Alibaba, M. Jack Ma l'a appris à ses dépens).

Après l'audition de M. Garandeau, celui-ci a fait savoir aux membres de la commission d'enquête qu'un nouveau président, européen, allait remplacer Mme Zhao Tian à la tête de TikTok France, en raison des inquiétudes manifestées lors de son audition.

b) M. Zhang Yiming, fondateur de ByteDance et « bénéficiaire effectif » de TikTok France

Liée ainsi étroitement sur le plan juridique à une ressortissante chinoise, la société l'est également sur le plan capitalistique. En effet, dans ses statuts déposés au greffe du Tribunal de grande instance, il est indiqué que M. Zhang Yiming, fondateur de ByteDance, est bénéficiaire effectif de la société.

La notion de « bénéficiaire effectif » a été introduite dans le code monétaire et financier par la loi Sapin II du 9 décembre 2016, qui oblige les créateurs d'entreprise à fournir un document relatif à ce bénéficiaire effectif lors des formalités de création ou de modification d'entreprise. Le bénéficiaire effectif est défini par l'article R561-1 du code monétaire et financier comme la personne physique associée (SAS, SARL, etc.) ou l'actionnaire (SA) qui remplit une des conditions suivantes :

- elle détient, directement ou indirectement, plus de 25 % des droits de vote ou du capital de la société ;

- elle dispose d'un pouvoir de contrôle sur celle-ci par tout autre moyen (par exemple, elle peut nommer ou révoquer la majorité des membres des organes de direction).

En l'occurrence, le document du greffe indique que M. Zhang Yiming détient indirectement 26 % de la TikTok SAS. Ainsi qu'il a été indiqué au rapporteur par les responsables de TikTok France, cette société est détenue à 100 % par la filiale TikTok UK. Selon l'organigramme officiel de ByteDance, TikTok UK est elle-même détenue à 100 % par TikTok Ltd, à son tour détenue à 100 % par ByteDance Ltd (îles Caïmans). Comme l'ont confirmé les représentants de TikTok France, le contrôle de 26 % du capital de TikTok SAS par M. Zhang Yiming résulte ainsi des parts qu'il détient dans la maison mère, ByteDance Ltd, immatriculée aux îles Caïmans.

Ainsi, le fondateur de ByteDance est-il considéré par la loi française comme le bénéficiaire effectif de TikTok France.

c) Le rappel à l'ordre du fondateur de TikTok, son autocritique et son remplacement à la tête de l'entreprise

L'histoire personnelle de M. Zhang Yiming montre qu'il a dû se conformer étroitement au contrôle des autorités chinoises.

En 2009, M. Zhang Yiming, après un passage chez Microsoft, rejoignit la startup Fanfou, un clone de Twitter. L'application fut brutalement interdite pendant les émeutes d'Urumqi dans le Xinjiang en raison de messages ayant déplu au Gouvernement ; elle ne réapparut qu'un an plus tard. M. Zhang Yiming fut ainsi confronté une première fois à la rigueur des autorités.

En 2012, M. Zhang Yiming fonda ByteDance, la future maison mère de TikTok, avec son ancien camarade d'université M. Liang Rubo. ByteDance créa plusieurs applications, dont Toutiao (ou « Today's headlines »), un agrégateur de nouvelles qui connut rapidement un grand succès (et dont Mme Zhao Tian, la présidente de TikTok France, fut vice-présidente). ByteDance créa ensuite Douyin en 2016, un clone de Musical.ly, puis TikTok, version mondiale de Douyin, avant de racheter le concurrent Musical.ly et de le fusionner avec TikTok en août 2018.

Dès 2014, ByteDance eut à souffrir de la pression exercée par les autorités chinoises, qui lancèrent une enquête à l'encontre de Toutiao, accusée de promouvoir du contenu « vulgaire » et d'enfreindre les droits d'auteur. Cependant, l'entreprise semble avoir été protégée pour un temps grâce aux liens entretenus par ses fondateurs avec M. Lu Wei, directeur de l'administration du Cyberspace de Chine de 2013 à 2016, membre du Comité central du PCC et directeur adjoint du département de la propagande jusqu'en 2017, avant d'être arrêté, expulsé du Parti communiste chinois puis condamné à 14 ans de prison en 2019. Toutefois, les pressions continuèrent à s'exercer, M. Zhang Yiming ayant estimé et exprimé publiquement que Toutiao devait être considéré davantage comme un simple hébergeur, à l'image des plateformes américaines, que comme éditeur, c'est-à-dire soumis à une certaine responsabilité sociale^33(*).

En 2018, Toutiao fut interdite trois semaines, peut-être en raison de sa popularité qui en faisait de fait une concurrente pour les médias officiels. Les autorités ont en outre affirmé qu'elle « violait la morale sociale ».

Quelques jours après cette interdiction, M. Zhang Yiming faisait une longue autocritique sur son compte WeChat, dans laquelle il déclarait notamment que « Notre produit a pris une mauvaise direction et le contenu publié n'était pas conforme aux valeurs fondamentales du socialisme ». Il déclare également « J'exprime mes plus sincères excuses aux autorités à nos usagers et à mes collègues. Depuis que j'ai reçu hier la note des autorités de régulation, je suis plein de remords et de culpabilité, qui m'ont empêché de dormir (...) Nous n'avons pas été assez attentifs et n'avons pas assez mis l'accent sur la responsabilité sociale de l'entreprise dans la promotion d'une énergie positive, et la compréhension des principes corrects qui doivent guider l'opinion publique. En tant que Start-Up en développement rapide dans le sillage du 18ème congrès national du parti communiste chinois, nous sommes pleinement conscients que ce développement a été permis par cette ère glorieuse (...) j'exprime ma gratitude pour cette occasion historique de réformes économiques et d'ouverture et ma gratitude envers ce gouvernement qui a permis le développement de l'industrie technologique ». Il s'engage ensuite à renforcer le travail de construction du parti au sein de l'entreprise ainsi que l'éducation de l'équipe aux «valeurs de base du socialisme ». Il indique également qu'il faut « approfondir la coopération avec les médias officiels, augmenter la diffusion des contenus officiels et s'assurer que la voix des média officiel soit relayée avec force, renforcer le système de responsabilité de la rédaction en chef, corriger entièrement les déficiences dans le contrôle des algorithmes et des ordinateurs, renforcer les opérations et les contrôles humain ».

En novembre 2021, M. Zhang Yiming abandonne finalement son siège de PDG de ByteDance au profit de son ami M. Liang Rubo - au moment, où, parallèlement, M. Jack Ma, qui a démissionné de ses fonctions de PDG d'Alibaba et a disparu pendant plusieurs mois après avoir critiqué les autorités, quitte toute responsabilité dans les affaires en Chine. Zhang Yiming garde néanmoins des responsabilités et des parts dans l'entreprise. Lors de son audition, M. Éric Garandeau, directeur des relations publiques de TikTok France, a expliqué que M. Zhang Yiming avait envoyé une lettre à tous les employés de ByteDance pour expliquer qu'il n'occuperait plus de fonctions exécutives au sein du groupe, désirant « prendre de la hauteur » et « se consacrer à la réflexion stratégique ».

Ainsi, le bénéficiaire effectif de TikTok France, M. Zhang Yiming, a-t-il dû publiquement manifester sa pleine et entière obéissance aux autorités chinoises. Toutefois, plus que son rôle de bénéficiaire effectif de la société française, c'est son rôle actuel dans la maison mère ByteDance Ltd qui pose question.

Soumis de fait au contrôle des autorités chinoises, M. Zhang Yiming l'est aussi de droit, même lorsqu'il ne se trouve pas en Chine. En effet, outre le contrôle ordinaire exercé sur les citoyens chinois et décrit dans la partie précédente, le droit chinois tend de plus en plus à l'extraterritorialité. En 2019, à l'issue de la deuxième session de la commission pour la gouvernance globale fondée sur le droit du PCC, ce dernier affirmait son ambition d'établir un système juridique d'application extraterritoriale (« [le pays] devrait s'efforcer d'accélérer la construction d'un système juridique d'application extraterritoriale de notre droit national »). Depuis, cette ambition a été réaffirmée à plusieurs reprises, notamment en 2022, lors d'une conférence sur « les réalisations de la Chine en matière de promotion de l'État de droit dans la nouvelle ère », organisée par le comité central du PCC. (cf. en annexe la note du service de droit comparé du Sénat sur l'extraterritorialité du droit chinois).

2. La volonté de faire apparaître la maison-mère de TikTok, ByteDance, comme une entreprise internationale et non chinoise

a) Une domiciliation de la maison mère ByteDance aux îles Caïmans qui permet de maintenir l'opacité et qui ménage la possibilité d'un contrôle par les fondateurs chinois

Soucieux de minimiser le contrôle exercé par les fondateurs de l'entreprise, les dirigeants de TikTok, notamment le PDG M. Shou Zi Chew, insistent régulièrement sur le fait que TikTok est ultimement détenue par la société ByteDance Ltd, immatriculée aux îles Caïmans et dont le capital est détenu par de grands investisseurs institutionnels majoritairement américains. La stratégie sous-jacente est de présenter TikTok comme une société essentiellement internationale, voire américaine, et non chinoise.

Ainsi, interrogé sur ce point, M. Éric Garandeau a corroboré les informations publiquement accessibles sur les membres du Conseil d'administration de ByteDance Ltd. Il s'agit :

- des représentants de trois fonds institutionnels américains :

- M. William Ford, représentant de General Atlantic ;

- M. Arthur Dantchik, représentant de Susquehanna International Group ;

- M. Philippe Laffont, représentant du fonds Coatue Management,

- de M. Neil Shen, représentant du fonds d'investissement chinois Sequoia China ;

- de M. Rubo Liang, PDG de ByteDance Ltd et successeur de son ami M. Zhang Yiming à la tête de l'entreprise.

M. Garandeau a ainsi affirmé lors de son audition que « c'est là qu'est le pouvoir de ByteDance, qui (...) descend jusqu'en bas, jusqu'à TikTok SAS ».

Or, d'une part, les îles Caïmans sont classées deuxième au classement 2021 des paradis fiscaux du réseau international pour la justice. Les îles Caïmans abritent ainsi de nombreuses sociétés offshore en tant que sociétés écrans, non seulement parce que cela permet de bénéficier de conditions fiscales avantageuses, mais aussi et surtout par ce que cela garantit anonymat et opacité. Ainsi, même s'il n'y a là rien de spécifique à TikTok, on peut observer que mettre en avant une transparence exemplaire comme s'y plaisent les représentants de ByteDance, tout en établissant son siège dans le paradis des sociétés écrans (et son siège américain dans le Delaware) relève du paradoxe.

Surtout, il est très probable que comme la plupart des entreprises du secteur du numérique créées en Chine, ByteDance ait un statut de VIE (variable interest entity). Ce statut permet en effet à ces géants du numérique d'accueillir des investissements étrangers tout en garantissant le contrôle des autorités chinoises, qui craignent toujours que ces investisseurs, notamment américains, n'acquièrent un contrôle sur des actifs immatériels chinois. Ce statut permettrait ainsi aux fondateurs, en l'occurrence M. Zhang Yiming et M. Liang Rubo, de contrôler la société malgré le caractère minoritaire de la participation qu'ils détiennent au sein du capital de celle-ci. Or, comme il a été rappelé ci-dessus, non seulement M. Zhang Yiming a fait son autocritique et réaffirmé son intention d'oeuvrer en faveur des autorités chinoises, mais il est également soumis à l'extraterritorialité du droit chinois déjà décrit à propos de Mme Zhao Tian. Il en va de même de M. Liang Rubo, le PDG.

Il faut également souligner que M. Neil Shen, membre du Conseil d'administration de ByteDance Ltd en sa qualité de représentant du fonds d'investissement Sequoïa, fut membre du 13^ème comité national de la conférence consultative politique du peuple chinois, un forum qui mêle des officiels du parti et des membres des élites. Il est également vice-président du comité des fonds de capital-risque de l'association de gestion d'actifs de Chine, et directeur du forum d'entrepreneurs « Yabuli China », qui relève de la Fédération chinoise de l'industrie et du commerce.

Ainsi, les liens avec la Chine sont loin d'être coupés au sommet de ByteDance, la maison-mère de TikTok.

b) D'autres mesures prises pour faire apparaître ByteDance comme une entreprise essentiellement internationale

Sans doute en raison de la pression américaine contre l'entreprise, TikTok a nommé une succession de trois PDG extérieurs à la Chine : M. Kevin Mayer, un ancien de Disney, est ainsi devenu PDG en mai 2020 pour 4 mois, puis Mme Vanessa Pappas a fait l'intérim jusqu'à la nomination du singapourien M. Shou Zi Chew. Par ailleurs, l'entreprise se présente comme davantage singapourienne que chinoise, compte-tenu de la nationalité du PDG actuel et de la présence à Singapour des fondateurs M. Zhang Yiming et M. Liang Rubo. Lors de son audition par la commission, M. Éric Garandeau a ainsi souligné que M. Liang Rubo était basé à Singapour.

3. Une séparation fictive entre TikTok et Douyin

Le deuxième axe de la stratégie de TikTok pour se distancer de la Chine, après la présentation de ByteDance comme une entreprise internationale, est de nier tout lien entre TikTok et la branche chinoise de ByteDance. De nombreux éléments montrent au contraire que ces liens restent nombreux.

a) Un changement de nom pour afficher une séparation entre TikTok et Douyin

Avant 2022, il était évident aux yeux de tous les observateurs, et affirmé par les responsables de ByteDance eux-mêmes, que ByteDance Ltd était une entreprise immatriculée aux îles Caïmans mais ayant son siège en Chine, donc essentiellement chinoise. Les multiples filiales de l'entreprise en Chine concentraient ainsi manifestement les actifs les plus précieux de l'entreprise.

Toutefois, en mai 2022 est intervenu un changement important au sein des entreprises du groupe ByteDance : toutes les entités localisées en Chine ont abandonné le nom « ByteDance » pour adopter des noms incluant le terme « Douyin » (le nom de l'application-soeur de TikTok en Chine). Dans une lettre au congrès américain du 30 juin 2022, le PDG de TikTok, M. Shou Zi Chew, a justifié ce changement de nom par la nécessité « d'assurer une meilleure cohérence entre le nom et l'activité de ces entités au sein d'un groupe mondial qui en comporte de nombreuses ». Ce changement de nom des entités localisées en Chine appuie dorénavant le discours des dirigeants de TikTok, qui consiste à mettre en avant une séparation totale des entités de ByteDance en Chine avec les entités du groupe dans le reste du monde, dont TikTok.

Ainsi, lors de son audition par la commission d'enquête, M. Éric Garandeau a déclaré : « en matière d'organisation juridique du groupe, il y a bien une séparation totale entre TikTok et d'autres entités opérant en Chine ». De même, dans les réponses au questionnaire envoyé par la commission d'enquête, les représentants de TikTok ont indiqué que « TikTok n'est pas disponible en Chine continentale, tandis que Douyin n'est pas disponible en dehors de la Chine continentale. Aucune donnée personnelle n'est partagée entre ces deux entités ». Ainsi, les évolutions intervenues récemment en Chine et décrites ci-dessus n'auraient pas d'effet sur TikTok.

Ce raisonnement opère en réalité un glissement sémantique, rendu justement possible par le fait que les entités de ByteDance en Chine ont été rebaptisées Douyin en 2022 : il consiste à dire que, les applications TikTok et Douyin étant séparées (puisque l'application TikTok est interdite en Chine et que l'application Douyin n'existe au contraire qu'en Chine), les entreprises TikTok et Douyin sont également totalement séparées.

Il convient au préalable de relever que si les applications TikTok et Douyin sont effectivement séparées, cette séparation existe pour des raisons qui, en soi, sont regrettables. TikTok, comme les autres grandes plateformes numériques (Facebook, YouTube, Google...) est interdite en Chine car les autorités ne souhaitent pas que la population chinoise ait accès à de l'information libre, et, inversement, Douyin est un média qui n'existe qu'en Chine et qui est totalement censuré par les autorités chinoises. Ce rappel est néanmoins important car il faut observer que les représentants de TikTok, à la différence de ceux des autres plateformes elles aussi interdites en Chine, ne critiquent jamais cet état de fait, ce qu'ils ne manqueraient pas de faire si leur entreprise était réellement totalement indépendante du pouvoir chinois comme ils l'affirment.

Interrogée sur ce point lors de son audition, Mme Marlène Masure, directrice générale opérationnelle de TikTok France, a même refusé, niant l'évidence, de dire si elle savait que TikTok était interdit en Chine et que Douyin était une plateforme censurée. Sur l'interdiction de TikTok en Chine, Mme Marlène Masure a notamment répondu : « je suis pas un expert de la Chine. Donc j'ai beaucoup de mal à répondre à votre question. TikTok interdit dans certains pays, je trouve ça très injuste aussi [il s'agit sans doute d'une allusion à l'interdiction par l'Inde et par le Montana]. Donc oui dans l'absolu, philosophiquement, je suis pour la liberté, pour qu'on offre à tous les utilisateurs du monde entier les mêmes choix. Après il y a probablement des raisons qui me dépassent ». De même, interrogée sur le fait que Douyin soit censurée, Mme Masure a déclaré « j'adore me prononcer sur les sujets que je maîtrise et que je connais. Celui-là je ne le connais pas donc permettez-moi de ne pas émettre un avis (...) Je n'ai jamais ouvert l'application Douyin en fait. Je suis une bonne Française, je suis comme Saint Thomas je crois que ce que je vois, et en l'occurrence l'application je ne l'ai jamais ouverte. Donc je ne sais pas s'il y a de la censure. Franchement je n'ai pas le contexte sur cette interdiction ».

b) L'acquisition d'une « golden share34(*) » par l'État chinois et la revente des parts du fondateur à des investisseurs fantômes

Au cours des années 2021-2022 s'est également déroulée une succession de changements de propriété du capital au sein de la branche chinoise de ByteDance (désormais baptisée Douyin).

Beijing ByteDance Technology Co, une filiale essentielle de ByteDance en Chine créée en mars 2012, donc dès l'origine de ByteDance, devenue Beijing Douyin Information Service Limited, a ainsi vendu une participation de 1 % lors d'une transaction réalisée fin avril (selon Tianyancha, un service de données sur le registre des entreprises chinoises). Les principaux bénéficiaires effectifs de cette participation de 1 % sont l'organisme de contrôle des participations de l'État, China Media Group et la Cyberspace Administration of China (l'autorité de régulation de l'internet en Chine et versant public de la Commission centrale du PCC pour la cybersécurité et l'informatisation). Le PDG de TikTok, M. Shou Zi Chew, dans une lettre adressée aux sénateurs américains, a indiqué que « Beijing Douyin Information Service Limited est une filiale distincte de ByteDance Ltd. Beijing Douyin Information Service Limited, n'a pas de participation directe ou indirecte ni de contrôle dans une entité de TikTok. L'acquisition par l'entreprise d'État chinoise de 1 % de Beijing Douyin Information Service Limited était nécessaire pour obtenir une licence d'information en Chine pour plusieurs contenus basés en Chine, tels que Douyin et Today's Headlines (Toutiao) ».

Consécutivement, un fonctionnaire chinois, M. Wu Shugang, membre de la Cyberspace Administration of China, est devenu membre du conseil d'administration de cette filiale chinoise de ByteDance. M. Wu Shugang est notamment connu pour avoir déclaré dans un tweet publié sur son compte Weibo personnel: « Je n'ai qu'un souhait, celui de pouvoir un jour couper la tête de chien des Chinois libéraux qui défendent les valeurs occidentales. » ainsi que « Que les traîtres chinois qui prêchent les soi-disant « droits de l'homme et la liberté » aillent en enfer ». Selon le Financial Times^35(*), en tant que membre du conseil d'administration, M. Wu Shugang a son mot à dire sur la stratégie commerciale et les plans d'investissement, sur les fusions ou acquisitions, l'affectation des bénéfices et sur le vote des trois principaux dirigeants du groupe ainsi que sur leurs rémunérations, comme l'indique la charte de l'entreprise. Il a également le pouvoir de contrôler le contenu des plates-formes médiatiques de ByteDance en Chine, Toutiao et Douyin, et le droit de nommer le « rédacteur en chef » du groupe, qui exerce la censure sur les contenus.

À noter que depuis cette acquisition de ce qui apparaît comme une « golden share» dans ByteDance, les autorités chinoises ont acquis une participation semblable dans les deux autres grandes sociétés chinoises du numérique, Alibaba et Tencent.

Deuxième grand mouvement intervenu au sein de ByteDance, le 18 janvier 2023, quelques mois après avoir démissionné de son poste de PDG de ByteDance, M. Zhang Yiming a vendu toutes ses parts, soit 98,81 %, dans une filiale chinoise de ByteDance, Douyin Co Ltd, à une entreprise, Xiamen Xingchen Qidian Technology (XXQT), créée vingt jours auparavant, le 30 décembre 2022, et dont les deux actionnaires sont totalement inconnus hormis leurs noms qui n'apparaît nulle part ailleurs, ce qui constitue une singularité dans le monde du numérique^36(*). La société Douyin Co Ltd possède 99 % de Beijing Douyin Information Service Limited, (les 1 % restant étant désormais, comme on l'a vu ci-dessus, détenus par les autorités chinoises), la filiale essentielle déjà évoquée. Enfin, il apparaît qu'XXQT a immédiatement cédé la totalité de ses parts en nantissement à une filiale de ByteDance, Douyin Vision Co, elle-même détenue à 100 % par une filiale à Hongkong de la maison-mère ByteDance^37(*).

Les détails de cette opération, ayant permis à une petite entreprise récemment créée de lever les fonds nécessaires au rachat d'une des principales entités de ByteDance, ne sont pas connus. On sait seulement que XXQT a été fondée à Xiamen, ville dont le jeune Xi Jinping fut vice-maire de 1985 à 1988 avant de commencer son ascension depuis la province du Fujiang, dans laquelle se trouve Xiamen jusqu'au sommet de l'État et du Parti communiste chinois.

c) Des liens évidents entre Douyin et TikTok

(1) Des liens au niveau des technologies et de la propriété intellectuelle

Les deux opérations décrites ci-dessus, intervenues dans la structure de ByteDance, constituent pour les autorités, d'une part, un moyen de mieux superviser les contenus diffusés auprès de la population chinoise, mais aussi et surtout, d'autre part, une nouvelle manière de s'assurer un contrôle accru sur certains actifs dont elles estiment qu'ils ont une importance essentielle.

(a) Des brevets détenus par l'entité pékinoise de ByteDance

Il apparaît en effet que Beijing Douyin Information Service Limited, installée à Pékin, reste le coeur de l'entreprise, toujours détentrice des brevets et des technologies essentielles, ceux-ci étant partagés avec toutes les entités du groupe, dont TikTok.

En effet, la société dans laquelle les autorités ont pris une « golden share » est bien Beijing Douyin Information Service Limited, qui était auparavant appelée Beijing ByteDance Technology Co.

Or, c'est bien cette société, située à Pékin, qui détient des centaines de brevets technologiques inscrits à l'Office européen des brevets^38(*), plus de 1000 brevets inscrits à l'Office des brevets des États-Unis^39(*), des milliers à l'organisation mondiale de la propriété intellectuelle (OMPI)^40(*), produits essentiellement par des ingénieurs chinois. En revanche, TikTok semble n'avoir déposé aucun brevet déposé auprès de l'office européen, seulement 6 brevets auprès de l'office américain et 6 auprès de l'OMPI. Il semble donc que TikTok ne génère quasiment pas de brevets, tandis que Beijing Douyin Information Service Limited en produit des milliers.

Le fait que Beijing Douyin Information Service Limited soit la société détentrice de ces nombreux brevets met ainsi à mal le discours sur une prétendue séparation étanche entre TikTok et Douyin. On voit mal en effet comment TikTok pourrait fonctionner de manière autonome par rapport à l'entité chinoise dans ces conditions.

Aux questions écrites et orales posées par la commission d'enquête sur la propriété intellectuelle, les réponses de TikTok ont d'ailleurs été particulièrement évasives. TikTok a refusé systématiquement, que ce soit par écrit ou par oral, de répondre à la question du détenteur de la propriété intellectuelle de l'algorithme du fil « Pour Toi » de TikTok, alors qu'il aurait été aisé de prouver que cet algorithme est développé par TikTok elle-même ou par une entité non chinoise de ByteDance, si cela avait été le cas. La réponse écrite de TikTok, particulièrement évasive, a ainsi été la suivante : « Les algorithmes sont de vastes concepts, largement utilisés dans l'industrie des nouvelles technologies. Ils comprennent une multitude d'éléments protégés par la propriété intellectuelle (logiciels, brevets, droits d'auteur, etc.).

Il n'y a donc pas de titulaire unique des droits de propriété intellectuelle des algorithmes. ByteDance a conçu un système de détention des droits de propriété intellectuelle sophistiqué et complexe, hautement sensible et confidentiel pour l'entreprise ».

(b) Des technologies développées en commun, un algorithme partagé

D'autres éléments vont dans le même sens. À ce sujet, le discours des représentants de l'entreprise est contradictoire. D'un côté, comme précédemment indiqué, ils affirment que TikTok et Douyin sont « totalement séparées ». De l'autre, ils indiquent par écrit, en réponse aux questions du rapporteur, que « TikTok a été lancée en Europe en 2018. Les équipes « produit » et « ingénierie » situées dans le monde entier - notamment aux États-Unis, en Europe, à Singapour et en Chine - travaillent en continu à son développement et son évolution. » Ceci ne peut manquer de susciter la question suivante : dans quelles sociétés travaillent ces ingénieurs s'il n'y a aucun lien entre TikTok et la Chine, et s'il n'y a plus aucune entité « ByteDance » en Chine ? Est-ce que ces ingénieurs sont employés dans des entités « Douyin » ?

Aucune réponse n'a été apportée à cette question essentielle lors des auditions des représentants de TikTok, M. Éric Garandeau indiquant lors de son audition souhaiter « revenir par écrit » alors même que ces questions avaient été posées par écrit un mois auparavant.

De même, aucune réponse n'a été apportée aux questions écrites portant sur les liens technologiques entre les deux entités. Il est ainsi indiqué par TikTok que « Les produits et les algorithmes [de TikTok et Douyin] sont développés par deux équipes distinctes. Comme tous les algorithmes de recommandation au monde, il peut exister des similitudes, mais aucune donnée personnelle n'est partagée ».

Cette dernière phrase est trompeuse en ce qu'elle suggère qu'il n'y aurait pas davantage de similitude entre les algorithmes de TikTok et de Douyin qu'entre ceux, par exemple, de TikTok et celui des « shorts » de YouTube, alors même que tous les spécialistes affirment le contraire^41(*).

La réaction de la Chine à la demande américaine faite à ByteDance de vendre TikTok à un concurrent ne fait que renforcer ces analyses. En effet, la porte-parole du ministère du commerce chinois a déclaré lors d'une conférence de presse que, si la vente forcée de TikTok était avérée, la Chine ne donnerait en aucun cas son accord car « la vente ou cession de TikTok implique l'exportation de technologies. Et les procédures administratives d'octroi de licences doivent être effectuées conformément aux lois et réglementations chinoises ». S'il la vente de TikTok a pour conséquence un transfert de technologies, c'est bien que TikTok fonctionne actuellement avec des technologies, notamment algorithmiques, chinoises.

(2) Des liens par le biais des transferts de données

Il existe par ailleurs également une nécessité structurelle de transférer des données, y compris personnelles, entre les TikTok et les entités chinoises de ByteDance.^48(*)

Les réponses écrites transmises par les représentants de TikTok en France aux membres de la commission d'enquête confirment le « narratif officiel » de l'entreprise sur ce sujet : « Comme indiqué dans la politique de confidentialité, les données des utilisateurs européens sont stockées aux États-Unis, en Malaisie et à Singapour. En outre, cette même politique précise que TikTok autorise certains employés du groupe situés au Brésil, au Canada, en Chine, en Israël, au Japon, en Malaisie, aux Philippines, à Singapour, en Corée du Sud et aux États-Unis à accéder à distance à certaines données d'utilisateurs européens de TikTok ».

Par une telle réponse, TikTok nie indirectement l'existence d'un système organisé de transferts de données vers la Chine, reconnaissant seulement la possibilité pour certains employés, dont ni le nombre ni les fonctions ne sont connus, à accéder, au cas par cas, à des données d'utilisateurs européens, et en mettant sur le même plan les transferts vers la Chine et ceux vers le Brésil ou les Philippines.

Lors des auditions des dirigeants de TikTok en France, ce sujet a même été soigneusement éludé, afin d'éviter toute déclaration visant à reconnaître publiquement l'existence de tels transferts de données vers la Chine.

Selon M. Éric Garandeau, « TikTok est une plateforme de communication donc les données doivent circuler ». Écartant les questions du rapporteur et du président de la commission d'enquête à ce sujet, le directeur des affaires publiques a déclaré que « la notion de données personnelles est elle-même une notion complexe », sous-entendant ainsi que des données à caractère non personnel pouvaient être transférées vers la Chine, en donnant l'exemple suivant : « pour savoir combien de fois un filtre a été téléchargé, il s'agit d'une donnée qui n'est pas une donnée personnelle. Il se peut qu'il soit utile de faire circuler cette information pour pouvoir améliorer le produit ».

Cet exemple est à mettre en perspective avec les explications fournies et les craintes exprimées par M. Marc Faddoul lors de son audition, ce dernier jugeant improbable que des données ne soient pas transférées vers la Chine afin d'entraîner et d'améliorer l'algorithme de recommandation de TikTok : « Même si les données des utilisateurs américains sont stockées aux États-Unis, il y a toujours un backup en Chine, notamment à Shanghai, et j'imagine mal une imperméabilité, ne serait-ce que parce que TikTok aura besoin des données d'utilisateurs pour continuer à entraîner son algorithme qui est développé en Chine, elle aura donc besoin de faire des requêtes à ces données ; et même si les données sont anonymisées, elles sont si précises et si spécifiques, qu'il devient possible de retrouver l'identité de l'utilisateur, via son profil d'intérêt, de comportement et son adresse IP. En un mot, je vois mal comment TikTok se passerait complètement d'un accès à ces données ».

Quant à Mme Marlène Masure, elle a confirmé, lors de son audition, que TikTok travaillait avec des collaborateurs partout dans le monde, y compris en Chine et avec des ingénieurs d'origine chinoise, alors même que TikTok est interdit en Chine et que tout le « narratif officiel » de l'entreprise repose sur une prétendue séparation stricte entre les activités de TikTok développées à l'international et les activités de Douyin développées en Chine.

Le discours de l'entreprise consiste également à dire que TikTok n'aurait jamais obéi à une demande de transmission de données d'utilisateurs à l'étranger. D'une part, pour les raisons évoquées précédemment, il serait impossible de refuser une telle demande aux autorités chinoises. D'autre part, comme l'a justement résumé M. Paul Charon lors de son audition : « peut-être qu'ils n'ont jamais transmis d'informations, mais ils ont autorisé au personnel de ByteDance d'accéder à leurs informations. Ce n'est pas tout à fait la même chose, mais on joue sur les mots, puisque le résultat est identique : la possibilité, pour ByteDance, d'avoir accès aux informations des utilisateurs de TikTok ».

(3) Des liens qui passent aussi par les employés de ByteDance en Chine

Le rapport australien précité relève également qu'en novembre 2022, TikTok a publié une offre d'emploi pour trouver des experts des données basés à Shanghai. Une semaine plus tard, la maison mère ByteDance a publié la même annonce intitulée cette fois « Data Scientist - International Short Videos - Shanghai », l'équipe de recrutement étant identifiée par l'email « Acquisition de talents @ TikTok ». Le rapport indique qu'il existe d'autres exemples, y compris pour des ingénieurs recherche et développement et pour des ingénieurs en algorithme.

Par ailleurs, s'il est impossible d'avoir à ce sujet des certitudes en l'absence de réponse des représentants de TikTok, de nombreux articles de presse ont fait état de témoignages d'anciens employés de TikTok qui ont décrit un contrôle étroit exercé par les cadres de ByteDance basés en Chine sur le fonctionnement de TikTok, jusque dans les moindres détails, par exemple à travers l'obligation pour certains employés à l'autre bout du monde de travailler pendant les horaires des employés de ByteDance en Chine^49(*).

L'ensemble de ces éléments corrobore le fait qu'il n'y a pas de séparation réelle entre TikTok et Douyin du côté des entreprises et des technologies, même si une telle séparation existe du point de vue des utilisateurs.

(4) Une messagerie Lark partagée par tous les employés

Dans un article du 24 mai 2023, le New York Times a révélé que des données personnelles d'utilisateurs étaient partagées par des employés du groupe ByteDance dans des groupes de contacts sur la messagerie Lark, une application de messagerie interne appartenant à l'entreprise. Selon l'article, ces données personnelles (permis de conduire, adresses, photos) étaient ainsi accessibles à des employés du groupe situés à Pékin, ce qui contredit le témoignage du PDG de TikTok devant le Congrès américain, à telle enseigne qu'un sénateur républicain et un sénateur démocrate ont fait savoir en juin 2023 au PDG de TikTok, M. Shou Zi Chew, qu'ils étaient « troublés par les réponses trompeuses ou inexactes de TikTok » sur ce sujet.

Cette affaire récente pose deux types de problèmes. D'une part, il est inacceptable que les employés d'une plateforme numérique, quelle qu'elle soit, partagent des données sur les utilisateurs aussi largement, dans des groupes de discussion de la messagerie d'entreprise. Ceci dénote au minimum une absence de procédure de sécurité ou de respect de ces procédures, qui contraste avec l'exemplarité affichée dans les documents publics de l'entreprise, comme dans la politique de confidentialité : « La sécurité de vos informations est importante pour nous. Nous maintenons des mesures de sécurité techniques, administratives et physiques appropriées qui sont conçues pour protéger vos informations contre tout(e) accès non autorisé, vol, divulgation, modification ou perte. Nous révisons régulièrement nos mesures de sécurité afin de prendre en compte les nouvelles technologies et méthodes disponibles ».

Cette pratique jette aussi un doute sur les engagements de l'entreprise pour aller vers davantage d'exemplarité, engagements pris dans de précédentes affaires de transferts illicites de données, comme lors de la révélation par Buzzfeed News de l'accès par des employés chinois aux données privées d'utilisateurs américains de TikTok entre septembre 2021 et janvier 2022.

D'autre part, cette circulation d'informations dément une fois de plus les allégations de l'entreprise sur l'absence de transfert de données personnelles vers des employés situés en Chine.

L'ensemble des analyses qui précèdent permettent de dessiner un nouvel organigramme, celui des liens réels qui unissent les différentes entités du groupe.

La réalité des relations entre les différentes entités
du groupe ByteDance

4. La présence de membres du Parti communiste chinois au sein de ByteDance

Interrogé au Congrès américain sur la présence de membres du Parti communiste chinois, le PDG de TikTok avait en substance répondu qu'il n'interrogeait pas ses employés sur leurs opinions politiques. De même, lors d'une audition en 2022, le sénateur américain M. Josh Hawley avait interrogé sur ce point la directrice opérationnelle de TikTok, Mme Vanessa Pappas. Celle-ci avait répondu qu'elle n'était pas en mesure de connaître l'affiliation politique de ses employés mais que les dirigeants de TikTok aux États-Unis et à Singapour ne comptaient aucun membre du PCC, ajoutant que ceux qui prenaient les décisions stratégiques n'étaient pas membre du PCC.

Toutefois, le rapport australien précité identifie plusieurs membres de ByteDance et de Douyin qui jouent un rôle important au sein du PCC : M. Zhang Fuping, vice-président et éditeur en chef du groupe Douyin et par ailleurs secrétaire de la cellule du Parti au sein de ByteDance ; M. Feng Kaixu, vice-président des affaires publiques de ByteDance et secrétaire adjoint de la cellule du parti au sein de ByteDance ; M. Chen Zhifeng, vice-président des relations avec le Gouvernement et membre du front unifié du Parti.

En tout état de cause, qu'ils soient membres ou non du PCC, les ingénieurs travaillant en Chine sont forcés de se conformer aux ordres éventuels des autorités. Par ailleurs, la séparation étanche entre la branche chinoise de ByteDance et TikTok n'existe que dans le discours des dirigeants de l'entreprise. Ceci suffit donc à démontrer l'existence des risques qui sont à l'origine des récentes décisions de restriction de l'utilisation de l'application prises par plusieurs pays (cf. ci-dessous partie I,E).

D. DES FAITS AVÉRÉS ALTÉRANT DURABLEMENT LA RÉPUTATION DE TIKTOK ET LA CONFIANCE DE L'OPINION PUBLIQUE

1. L'espionnage de journalistes révélé par plusieurs médias internationaux

a) À l'origine, des fuites internes à TikTok prouvant l'accès à des données d'utilisateurs américains depuis la Chine

Les analyses précédentes (cf. partie I,C,3,c) ont montré comment, malgré les affirmations de ses dirigeants, TikTok reste structurellement lié de multiples manières (dirigeants, technologies, propriété intellectuelle, personnels) avec les entités chinoises du groupe ByteDance. Or, plusieurs épisodes ont corroboré cette proximité persistante de la manière la plus concrète qui soit dans un passé récent. L'analyse de ces liens structurels étant toujours valable au moment où le présent rapport est publié, rien ne garantit que ce type de faits ne se reproduise pas à l'avenir.

Ainsi, le 17 juin 2022, la journaliste américaine Mme Emily Baker-White révèle, dans un article publié pour BuzzFeed News^50(*), que des fuites d'enregistrements audio de 80 réunions internes à TikTok prouvent que des données non publiques d'utilisateurs américains ont été consultées depuis la Chine à plusieurs reprises entre septembre 2021 et janvier 2022. Ces enregistrements contiennent notamment quatorze déclarations de neuf employés différents de TikTok expliquant que de telles données sont accessibles par des ingénieurs basés en Chine. Parmi les extraits des enregistrements publiés dans cet article, figurent notamment les déclarations suivantes :

- selon un auditeur externe engagé par TikTok : « j'ai l'impression que presque tous ces outils comportent une porte dérobée permettant d'accéder aux données des utilisateurs » ;

- selon un membre de l'équipe « Trust & Safety » : « tout est vu en Chine » ;

- selon une experte en science des données : « je reçois mes instructions du bureau principal à Pékin ».

b) Par la suite, une enquête interne conduisant à la surveillance avérée et reconnue de plusieurs journalistes américains

À la suite de ces révélations, TikTok a décidé de mener une série d'enquêtes et d'audits internes, connue sous le nom de « projet Raven », dont l'un des objectifs est d'identifier les sources des fuites de documents et d'enregistrements audio internes à l'entreprise.

Afin d'accéder aux « sources » des journalistes américains ayant exploité ces documents et publié les extraits accablants des enregistrements audio diffusés, les équipes chargées de l'audit interne à TikTok ont géolocalisé plusieurs journalistes américains, en accédant de façon indue à leurs adresses IP et à leurs données d'utilisateurs, comme l'a révélé Emily Baker-White dans un article publié le 22 décembre 2022 pour Forbes^51(*).

Sous couvert « d'audit interne », le dispositif de surveillance mis en place par TikTok et supervisé par des employés de ByteDance depuis la Chine, a notamment permis de suivre trois journalistes de Forbes qui travaillaient auparavant pour BuzzFeed News : Mme Emily Baker-White elle-même, Mme Katharine Schwab et M. Richard Nieva. Le Financial Times a également révélé que l'une de ses journalistes, Mme Cristina Criddle, avait aussi été suivie par ce dispositif de surveillance^52(*).

Si les dirigeants de TikTok et de ByteDance n'ont pas nié les faits, ils ont toutefois cherché à minimiser la portée de ce dispositif de surveillance, regrettant des initiatives et des mauvais choix individuels et reconnaissant ainsi les failles existantes dans les protocoles d'accès aux données :

- selon le mail interne envoyé par M. Erich Andersen, avocat général et responsable des affaires publiques pour ByteDance et TikTok, aux salariés de l'entreprise : « nous avons appris depuis qu'un plan malavisé avait été élaboré et mis en oeuvre par quelques personnes du service d'audit interne au cours de l'été dernier dans le cadre d'une enquête sur d'importantes fuites d'informations confidentielles de l'entreprise par des employés aux médias »^53(*) ;

- ensuite, selon la réponse envoyée par M. Rubo Liang, PDG de ByteDance : « j'ai été profondément déçu lorsque j'ai été informé de la situation décrite par Erich dans son courriel, et je suis sûr que vous ressentez la même chose. La confiance du public, que nous avons mis beaucoup d'efforts à construire, va être considérablement ébranlée par la mauvaise conduite de quelques individus »^54(*) ;

- enfin, selon la réponse envoyée par M. Shou Zi Chew, PDG de TikTok : « les personnes impliquées ont abusé de leur autorité pour obtenir l'accès aux données des utilisateurs de TikTok »^55(*).

2. Du déni public à une timide reconnaissance d'une possibilité d'accéder à distance aux données des utilisateurs de TikTok depuis la Chine

À la suite des premières révélations de BuzzFeed News^56(*), les dirigeants de TikTok et de ByteDance ont été contraints de reconnaître la possibilité d'accéder aux données d'utilisateurs de TikTok depuis la Chine alors que l'application y est interdite, sans toutefois affirmer explicitement l'existence de transferts de données directement vers la Chine, tout en cherchant à minimiser l'ampleur de cet accès et en insistant sur les garanties de sécurité supplémentaires que permettraient le « projet Texas » pour les États-Unis et le « projet Clover » pour l'Union européenne.

3. Des mesures avérées de censure et de désinformation au bénéfice de la Chine

a) Des cas de censure au service de la pérennité du régime chinois

Depuis désormais plusieurs années, des fuites de documents internes à TikTok et au groupe ByteDance, ainsi que les résultats de diverses enquêtes journalistiques internationales, ont mis en évidence des cas de censure avérés sur l'application TikTok, qui illustrent particulièrement les priorités, les craintes et les préoccupations intérieures du régime chinois, accréditant ainsi la thèse d'une imbrication toujours plus grande entre les politiques intérieure et étrangère de la République populaire de Chine.

Dès le mois de septembre 2019, un article du journal britannique The Guardian^57(*) révélait que plusieurs consignes avaient été transmises aux équipes de modération de TikTok, soit pour supprimer certains contenus, soit pour en réduire la visibilité. Ainsi, parmi les contenus ayant vocation à être supprimés, il est par exemple fait référence :

- aux « critiques/attaques contre les politiques, les règles sociales de tout pays, telles que la monarchie constitutionnelle, la monarchie, le système parlementaire, la séparation des pouvoirs, le système socialiste, etc. » ;

- à « la diabolisation ou la déformation de l'histoire locale ou d'autres pays, comme les émeutes de mai 1998 en Indonésie, le génocide cambodgien, les incidents de la place Tiananmen » ;

- aux « sujets hautement controversés, tels que le séparatisme, les conflits entre religions et sectes, les conflits entre groupes ethniques, par exemple l'exagération des conflits entre sectes islamiques, l'incitation à l'indépendance de l'Irlande du Nord, de la République de Tchétchénie, du Tibet et de Taïwan ».

En novembre 2019, une autre enquête du journal américain The Washington Post^58(*) révélait, après des entretiens menés auprès de six anciens employés de ByteDance aux États-Unis, qu'il y avait bien une obligation « de suivre les règles établies par les responsables du siège de ByteDance à Pékin, comme la rétrogradation et la suppression de contenus liés à des sujets sociaux et politiques, y compris ceux qui sont censurés par le gouvernement chinois »^59(*).

En résumé, comme le synthétise M. Paul Charon : « On dispose donc désormais d'un certain nombre de preuves, suffisamment importantes, qui montrent que le contrôle des contenus sur TikTok n'est ni accidentel ni marginal, mais que c'est une pratique qui tend à se systématiser »^60(*).

b) Une « tolérance coupable » envers du contenu de désinformation

En plus des cas avérés de censure de contenus sur TikTok, l'application est également très critiquée pour son manque de transparence et d'efforts en matière de lutte contre la désinformation et la mésinformation, ce qui est d'autant plus préjudiciable que TikTok comporte désormais des fonctionnalités de recherche assimilables à celles d'un navigateur Internet, ce qui en fait aujourd'hui l'une des premières sources d'information des jeunes utilisateurs.

Ainsi, lors de son audition, la députée européenne Mme Nathalie Loiseau, qui préside également la sous-commission de défense et de sécurité du Parlement européen, avait par exemple relevé que « le groupe Wagner est présent sur TikTok et n'est pas sanctionné », expliquant que « TikTok est un outil d'influence, émanant d'un État autoritaire, qui ne nous laisse voir que ce qui est validé et pas ce qui ne l'est pas. C'est un outil de propagande d'une part et de censure d'autre part. Cette propagande est massive, avec des influenceurs répétant les mêmes éléments de langage sur la plateforme »^61(*).

En effet, le rapport précité de l'Irsem sur les opérations d'influence chinoises^62(*) mentionne notamment une « armée des 50 centimes » composée de 2 millions de commentateurs payés et de 20 millions de trolls à temps partiel rémunérés pour effectuer des opérations de propagande sur les réseaux sociaux, dont TikTok, notamment pendant la crise de la Covid-19.

Corroborant ainsi les critiques formulées par l'ARCOM, la rédactrice en chef de NewsGuard, Mme Chine Labbé, avait également déploré le manque de transparence de la part de TikTok quant aux contenus retirés de façon « proactive » par l'algorithme, estimant que la modération algorithmique n'était pas la méthode la plus appropriée pour lutter contre la désinformation, alors qu'aujourd'hui la politique de modération de TikTok repose avant tout sur une telle modération.

L'entreprise est également régulièrement mise en cause pour le manque de moyens humains alloués à sa politique de modération. Par exemple, TikTok dispose de 600 modérateurs francophones, qui ne sont pas basés en France, appartenant à l'unité mondiale de « Trust & Safety » dotée de 40 000 personnes, mais dont les attributions dépassent largement la seule politique de modération, ce qui paraît bien peu face à la volumétrie considérable de contenus à analyser.

Ce déficit de moyens de modération n'est sans doute pas propre à TikTok : Facebook notamment a déjà été critiqué pour un manque de modérateurs en langue française. Interrogée sur ce point, Mme Chine Labbé soulignait toutefois que : « s'agissant des comparaisons entre telle et telle plateforme en matière de fausses informations, même si l'on manque de données statistiques précises et même si l'on trouve de fausses informations sur toutes les plateformes, le fait est que l'on constate une forte présence de contenus faux sur TikTok ».

c) L'épisode particulièrement inquiétant de la censure du TikTok russe lors de l'invasion de l'Ukraine

Ainsi qu'il a déjà été mentionné, au début de l'« opération spéciale » en Ukraine, à la suite de l'entrée en vigueur de la loi russe sur la désinformation, TikTok a soudainement banni tout contenu international pour les utilisateurs russes, supprimant ainsi totalement la possibilité pour les Russes d'entrer en contact avec le contenu ukrainien russophone critiquant massivement l'invasion russe - les contenus générés en Russie étant quant à eux déjà pour l'essentiel auto-censurés. TikTok n'a même pas prévenu de cette nouvelle politique de modération. Sans que l'on connaisse exactement l'enchaînement des faits et la raison exacte de cette décision de la plateforme, il s'agit d'un premier exemple où TikTok est clairement allé dans un sens favorable à la propagande d'un pays autoritaire soutenu par la Chine. Cet événement fait craindre que, dans les moments critiques, la plateforme ne soit utilisée à des fins de désinformation massive défavorable aux « compétiteurs stratégiques » de la Chine.

E. EN CONCLUSION : DES RISQUES AVÉRÉS QUI ONT CONDUIT À DE NOMBREUSES DÉCISIONS D'INTERDICTION OU DE RESTRICTION D'UTILISATION DE TIKTOK

1. Une appréciation des risques partagée dans de nombreux pays

Comme Huawei hier, TikTok symbolise aujourd'hui l'ensemble des risques qu'une entreprise numérique et mondialisée d'origine chinoise peut représenter.

TikTok, ainsi qu'il a été établi, est en effet une entreprise :

· appartenant à un groupe chinois dont le capital est encore largement détenu par des dirigeants et fondateurs de nationalité chinoise, et dont la gouvernance globale fait l'objet d'une surveillance étroite du Parti communiste chinois ;

· soumise à l'extraterritorialité du droit chinois ;

· étroitement liée à une entreprise, davantage « mère » que « soeur », Douyin Info Service Co., située à Pékin, dont elle partage les technologies et avec qui elle échange constamment des données et des informations.

L'ensemble de ces faits explique que TikTok suscite aujourd'hui des inquiétudes légitimes de la part de l'opinion publique, des spécialistes comme des dirigeants politiques du monde entier.

Force de frappe internationale au succès incontestable, TikTok pourrait être utilement mis au service des intérêts et de la pérennité du régime chinois, au détriment de la sécurité des données des utilisateurs mondiaux de TikTok, du pluralisme des expressions et de la qualité de l'information diffusée sur sa plateforme. Comme le soulignait Bernard Benhamou, secrétaire général de l'Institut de la souveraineté numérique: « Par définition, ne pas utiliser ces données serait une forme de faute professionnelle de la part des services chinois ».

Plus précisément, les risques pourraient être les suivants. Il faut souligner qu'intrinsèquement, aucune des pratiques qui créent ces risques n'est propre à TikTok, bien que l'application se soit montrée particulièrement défaillante sur bien des aspects depuis sa création : les plateformes américaines collectent également de nombreuses données personnelles et peuvent être le support de campagnes de désinformation. C'est ici le couplage de ces pratiques avec la nature du régime chinois qui génère des risques spécifiques. Pour le moment, Viginum n'a pas relevé d'intervention de désinformation manifestement concertée au profit d'un État étranger en France via l'application. En revanche, le problème de la présence importante de fausses informations sur TikTok, relevé dans les pages précédentes, concerne aussi bien notre pays.

2. En conséquence, des décisions successives d'interdiction ou de restriction d'utilisation

À l'heure actuelle, seuls l'Inde, le Pakistan, l'Afghanistan, la Jordanie, Taïwan et l'État américain du Montana ont décidé d'interdire complètement l'utilisation de TikTok sur leur territoire, les autres pays, très majoritairement occidentaux, ayant surtout adopté des mesures de restriction d'utilisation de l'application, notamment sur les téléphones professionnels des élus, des fonctionnaires, des membres du Gouvernement ou encore de l'Armée.

Panorama des principales mesures d'interdiction, de restriction ou d'encadrement de TikTok à travers le monde

3. En France, une première décision d'interdiction des applications récréatives sur les téléphones professionnels des agents publics

Le 24 mars 2023, les ministres de la Transformation et de la Fonction publiques, M. Stanislas Guerini, et de la Transition numérique et des Télécommunications, M. Jean-Noël Barrot, ont annoncé l'interdiction des « applications récréatives », dont TikTok mais pas seulement, sur l'ensemble des téléphones professionnels fournis par l'État français aux agents publics^96(*).

Cette décision s'inscrit dans la continuité de la recommandation émise quelques jours auparavant par la présidence de l'Assemblée nationale, déconseillant aux députés d'installer et de télécharger des applications d'origine étrangère telles que TikTok, Snapchat, Instagram, Telegram ou WhatsApp, d'autant plus que les parlementaires ne disposent d'aucun téléphone professionnel lié à leur mandat.

Plus largement, la décision du Gouvernement français s'inscrit dans le contexte de cette commission d'enquête et à la suite d'une série d'annonces de restrictions d'utilisation de l'application TikTok, notamment au sein de l'Union européenne, tout comme d'une incapacité des représentants de TikTok à rassurer quant aux risques que représente cette application pour la cybersécurité et la protection des données des utilisateurs.

La circulaire du 23 mars 2023 diffusée par le ministre de la Transformation et de la Fonction publiques aux ministres et secrétaires généraux des ministères ne précise pas la liste nominative de l'ensemble des applications concernées, ni les raisons précises justifiant l'interdiction, seule quelques considérations générales de sécurité étant mentionnées telles que : « le risque de cybersécurité et de captation de données est significativement plus élevé pour les applications que pour la simple consultations de sites Internet. La multiplication de téléchargements augmente mécaniquement la surface de vulnérabilité »^97(*).

À l'instar des institutions européennes, ni le Gouvernement français, ni les services de renseignement, ni l'Agence nationale de la sécurité des systèmes d'information (Anssi) n'ont rendu publiques les motivations détaillées justifiant leur décision, au contraire du choix effectué par d'autres pays européens.

Un responsable européen au moins a dit tout haut ce que beaucoup pensaient tout bas : le Premier ministre belge a ainsi déclaré : « Nous sommes dans un contexte géopolitique nouveau où l'influence et la surveillance entre États se sont déplacées vers le monde numérique. Nous ne devons pas être naïfs : TikTok est une entreprise chinoise qui est aujourd'hui obligée de coopérer avec les services de renseignement chinois. C'est la réalité. Interdire son utilisation sur les appareils de service fédéraux relève du bon sens. Cette décision est prise avec l'appui de la sûreté de l'État et le Centre pour la Cybersécurité Belgique. La sécurité de nos informations sensibles prévaut ».

À cet égard, l'alerte publiée le 8 mars 2023 par l'Office de la cybersécurité et de la sécurité de l'information de la République tchèque (NÚKIB) est particulièrement éclairante, évoquant une « menace pour la cybersécurité consistant à installer et à utiliser l'application TikTok sur des appareils ayant accès à des systèmes d'infrastructure d'information et de communication critiques, à des systèmes d'information et de communication de services essentiels et à des systèmes d'information importants »^98(*). Afin de minimiser la menace, le NÚKIB recommande l'interdiction de l'installation et de l'utilisation de TikTok sur les téléphones professionnels mais également sur les téléphones personnels utilisés à des fins professionnelles.

Dans cette alerte, le NÚKIB s'inquiète du volume des données d'utilisateurs collectées par l'application et du traitement qui pourrait être effectué de ces données qui « peuvent être utilisées pour faire chanter des personnes d'intérêt et ainsi porter atteinte à la sécurité ou aux intérêts stratégiques de la République tchèque »^99(*).

L'Office tchèque alerte également sur les risques posés par l'environnement juridique et politique, confirmant ainsi les craintes exposées à plusieurs reprises par les membres de cette commission d'enquête, TikTok étant soumise à la législation nationale en Chine. Ainsi, il est notamment indiqué que « le niveau de crédibilité de l'environnement juridique de certains pays a un impact direct sur la crédibilité des entreprises qui y ont leur siège et qui sont soumises à cet environnement juridique » et qu'« il n'est pas exclu que les entreprises concernées soient contraintes par l'État de faire passer les intérêts de cet État avant ceux de leurs clients »^100(*).

F. LA SOLUTION PROPOSÉE PAR TIKTOK : DES PROJETS TEXAS ET CLOVER QUI NE SUFFIRONT PAS À GARANTIR L'ÉTANCHÉITÉ DE L'APPLICATION VIS-À-VIS DES AUTORITÉS CHINOISES

1. Deux projets qui reposent sur la localisation géographique des données des utilisateurs

À la suite des premières révélations de BuzzFeed News^101(*) ayant contraint les dirigeants de TikTok et de ByteDance à reconnaître la possibilité d'accéder aux données d'utilisateurs de TikTok depuis la Chine et sous la menace d'interdiction aux États-Unis, le « projet Texas » a été annoncé en juillet 2022 comme le moyen d'empêcher les transferts de données des utilisateurs américains de TikTok vers la Chine.

La mise en oeuvre de ce projet, dont le coût est estimé à 1,5 milliard de dollars, repose à la fois sur la construction de serveurs localisés sur le territoire américain, qui seront administrés par la société américaine Oracle afin d'y héberger les données des utilisateurs américains, et sur la mise en oeuvre de « garanties de sécurité supplémentaires », dont l'audit externe du code source de l'entreprise par un consortium de sept entreprises différentes mais piloté par Oracle. Ainsi, cette même société aura un « double rôle » de prestataire et de certificateur, ce qui suscite des interrogations quant à sa capacité à mener des évaluations indépendantes.

Pour la mise en oeuvre de ce projet, le groupe ByteDance a créé une nouvelle entité juridique aux États-Unis, US Data Security Inc. (USDS), qui devrait être dotée d'un conseil d'administration indépendant soumis au contrôle et à la supervision du Comité pour l'investissement étranger aux États-Unis (CIFUS), qui négocie par ailleurs depuis plus de deux ans avec TikTok un accord de sécurité qui permettrait à l'entreprise de continuer à opérer aux États-Unis.

Par crainte d'une massification et d'une généralisation des premières interdictions d'utilisation de l'application décidées au sein de l'Union européenne, l'entreprise a annoncé, au mois de mars 2023, le lancement du projet Clover dont l'objectif est, comme le projet Texas aux États-Unis, de sécuriser davantage les données des utilisateurs européens de TikTok.

Il s'agirait également d'héberger les données des utilisateurs européens de TikTok dans trois centres de données, dont deux en Irlande et un en Norvège sachant qu'un premier centre de données existe déjà à Dublin, et de désigner une société tierce chargée de sécuriser l'accès à ces données.

Le projet Clover nécessite encore d'être largement précisé. Lors de son audition devant la commission d'enquête, M. Éric Garandeau a précisé que ce projet représentait un investissement d'1,2 milliard d'euros par an, sans toutefois fournir de preuve à l'appui de cette affirmation, et qu'un centre de données était actuellement en construction en Norvège par la société Green Mountain. Sans s'engager sur une date de mise en oeuvre, les dirigeants de TikTok estiment qu'un délai d'au moins 15 mois est nécessaire pour que ce projet soit opérationnel, soit a minima à la mi-2024, ce qui pose la question du traitement de ces données des utilisateurs européens pendant cette période de transition.

Par contre, ce dernier a également précisé que « le nom qui n'est pas communiqué pour l'instant est le nom du tiers de confiance car nous sommes en négociations », ce qui est pourtant un élément essentiel car, en fonction du choix de ce tiers de confiance, le niveau de sécurité des données des utilisateurs européens ne sera pas le même^102(*).

2. Deux projets qui ne garantissent pas l'immunité face aux législations extraterritoriales

Les projets Texas et Clover annoncés par ByteDance et TikTok ont pour dénominateur commun de reposer sur le principe de localisation régionale des données des utilisateurs. Or, la localisation des infrastructures de stockage et de traitement des données n'est qu'un élément d'une chaîne de valeur plus vaste et plus complexe qui peut conduire, in fine, à soumettre les données des utilisateurs européens à des législations extraterritoriales.

À cet égard, la domination des grandes entreprises américaines du numérique dans le domaine de l'informatique en nuage (cloud) est problématique. En effet, les principaux logiciels de traitement des données sont américains et ont été développés par des sociétés établies et immatriculées aux États-Unis. Selon les estimations, les services d'Amazon, de Microsoft et de Google représenteraient 70 % des parts mondiales du marché de l'informatique en nuage, un marché fortement oligopolistique qui demeure peu concurrentiel.

Jusqu'à l'adoption du Clarifying Lawful Overseas Use of Data Act, dit Cloud Act, par le Congrès américain en 2018, le lieu de stockage des données était déterminant dans la détermination de la législation applicable. Ainsi, en 2013, la société Microsoft avait refusé de transmettre à l'administration fédérale américaine, dans le cadre d'une enquête pénale, le contenu d'une boîte aux lettres électronique au motif que les données correspondantes étaient stockées en Irlande et non aux États-Unis. La cour d'appel de New-York avait alors estimé qu'un mandat de réquisition pris en application du Stored Communications Act de 1986 ne pouvait pas avoir pour effet d'obliger un fournisseur de services électroniques de communication, de traitement ou de stockage des données à transmettre de telles données lorsqu'elles sont stockées à l'étranger^103(*).

Or, depuis, les États-Unis ont clarifié et renforcé la portée extraterritoriale de leur législation avec l'adoption du Cloud Act : le fait générateur n'est plus le lieu de localisation des données, mais le lieu d'immatriculation des sociétés de traitement de données.

Désormais, tout prestataire de services électroniques immatriculé aux États-Unis doit communiquer à l'administration américaine les données de communication qui lui sont demandées dans le cadre d'un mandat de perquisition, et ce quel que soit le lieu de stockage de ces données dès lors que le prestataire en est propriétaire, les détient ou les contrôle. Par conséquent, la très grande majorité des principaux établissements de traitement de données, dont les GAFAM en premier lieu, est désormais soumise à la législation américaine, car le lieu d'immatriculation des sociétés est devenu primordial dans la détermination de la législation applicable.

Pour la conseillère d'État Mme Emmanuelle Mignon : « Concrètement, les GAFAM, qui sont des sociétés immatriculées aux États-Unis, doivent communiquer toute donnée de communication stockées aux États-Unis ou à l'étranger qui leur est demandée par les autorités américaines, quand bien même la donnée appartient à une entreprise ou à un ressortissant étranger et a été confié à une filiale de ce GAFAM immatriculé à l'étranger. Comme les GAFAM contrôlent l'essentiel du cloud mondial, les détracteurs du Cloud Act considèrent que les États-Unis se sont en réalité ménagé un accès à l'ensemble des données mondiales »^104(*).

Aujourd'hui, que ce soit en Europe ou aux États-Unis, TikTok a recours à des solutions logicielles américaines d'informatique en nuage et prévoit « très probablement » d'y avoir recours dans le cadre du déploiement du projet Clover, pour reprendre les termes employés par Mme Marlène Masure lors de son audition devant la commission d'enquête^105(*).

La soumission à l'extraterritorialité américaine est d'autant plus problématique que les transferts de données à caractère personnel vers les États-Unis sont aujourd'hui risqués, la Cour de justice de l'Union européenne ayant invalidé la dernière décision d'adéquation de la Commission européenne estimant que la législation américaine permettait un niveau de protection équivalent à celui permis au sein de l'Union européenne par le règlement général sur la protection des données (RGPD)^106(*).

La Commission nationale de l'informatique et des libertés (CNIL) considère en outre désormais que les risques sont similaires concernant l'extraterritorialité du droit chinois et les transferts de données à caractère personnel vers la Chine, comme l'a expliqué son secrétaire général devant cette commission d'enquête : « De ce point de vue, la loi américaine a été déclarée comme « ne répondant pas aux standards de protection demandés par la CJUE ». Dans les dossiers concernant cette question, nous avons estimé qu'un constat identique pouvait s'établir avec les lois chinoises. Cela signifie qu'une vigilance particulière est requise lorsque des données à caractère personnel d'Européens sont transférées sur le territoire chinois. Comme l'a indiqué la Cnil peu après l'arrêt Schrems II, il s'agit également de faire attention à des données entre les mains d'opérateurs soumis à la législation chinoise, même si celles-ci sont hébergées et traitées sur le sol européen. Tout cela est à regarder au cas par cas, en fonction des situations, mais le risque est bien réel »^107(*).

Par conséquent, le projet Clover risque de placer TikTok dans un conflit de « triple législation », au détriment de la protection des données de ses utilisateurs.

À partir du moment où les centres de données et les serveurs sont localisés au sein de l'Union européenne, il y a soumission aux lois européennes, dont le RGPD. À partir du moment où certains des logiciels de traitement de données utilisés appartiennent à des sociétés immatriculées aux États-Unis, il y a soumission à la législation américaine, dont le Cloud Act. Et à partir du moment où TikTok appartient à un groupe international d'origine chinoise, avec des dirigeants de nationalité chinoise, alors il y a soumission à l'extraterritorialité du droit chinois.

De ce point de vue, tant le label national « SecNumCloud », qui permet l'utilisation sous licence de logiciels américains de traitement de données, que le schéma européen de certification de cybersécurité des services d'informatique en nuage (EUCS), qui s'inspire par ailleurs des premiers labels nationaux mis en place par la France et l'Allemagne, ne permettent de répondre aux préoccupations de cette commission d'enquête et de nous prémunir face aux législations extraterritoriales.

3. Deux projets qui ne remettent pas en cause la possibilité d'accéder aux données des utilisateurs depuis la Chine

Les faits avérés de transferts de données d'utilisateurs vers la Chine ne sont aujourd'hui plus niés par les dirigeants de ByteDance et de TikTok, qui cherchent plutôt à en minimiser la portée.

Lors de son audition, M. Éric Garandeau a ainsi déclaré que « tout accès extérieur doit être minimisé, c'est-à-dire ramené au minimum nécessaire pour assurer le fonctionnement de la plateforme »^108(*), ce qui, outre le fait d'être une tautologie, ne fait que confirmer l'existence de transferts de données vers la Chine.

Dans ses réponses écrites transmises aux membres de cette commission d'enquête, les représentants de TikTok précisent même que, « sous réserve d'un besoin avéré dans le cadre de leur travail, TikTok autorise certains employés du groupe situés en dehors de l'Europe à accéder à distance aux données d'utilisateurs européens, y compris certains employés basés en Chine (par exemple, des ingénieurs occupant des fonctions précises nécessitant d'avoir accès à certaines données d'utilisateurs) ».^109(*) - ni le nombre, ni les fonctions de ces employés et ingénieurs ne sont toutefois précisés, tout comme les « besoins avérés » qui pourrait justifier l'octroi de tels accès à distance^110(*). En outre, comme il a déjà été indiqué, cette affirmation est contradictoire avec le discours sur la prétendue séparation totale entre TikTok et les entités de ByteDance situées en Chine.

En l'état des informations disponibles et au regard des incertitudes qui demeurent quant à la mise en oeuvre opérationnelle de ce projet, cette commission d'enquête considère que le projet Clover n'est pas de nature à répondre à ses préoccupations, ni à celles de l'opinion publique et des dirigeants politiques concernant les liens de l'entreprise TikTok avec la République populaire de Chine et les environnements politiques et juridiques qui y sont associés.

En outre, il est significatif que TikTok ne se soit engagé à aucun calendrier précis sur la mise en oeuvre du projet Clover vis-à-vis des autorités françaises, même si un délai de 15 mois est évoqué. Aux États-Unis, le projet Texas n'est toujours pas mis en oeuvre. TikTok bénéficie ainsi de ces effets d'annonces assortis de chiffres importants (« 1,2 milliards par an »), ce qui lui permet de différer d'autant la prise de mesures réelles.

Les membres de la commission d'enquête ne peuvent donc que constater qu'à leurs « préoccupations légitimes ^111(*)», l'entreprise non seulement répond par une solution qui ne permettra pas de garantir la sécurité des données qu'elle promet, mais en outre refuse en réalité de s'engager auprès des autorités sur la réalisation effective de cette solution dans un délai donné.

Les membres de cette commission d'enquête estiment aussi, avec regret et inquiétude, qu'un soutien politique, tant du Gouvernement français que de la part de la Commission européenne, du Parlement européen et d'autres gouvernements nationaux, au bénéfice du projet Clover, ne serait pas de nature à dissiper les risques liés à l'utilisation de TikTok.

4. Le « précédent Huawei » : une première alerte d'ampleur sur les risques posés pour la sécurité nationale par une entreprise chinoise mondiale

Les inquiétudes suscitées aujourd'hui par TikTok, ayant notamment conduit le Sénat à constituer une commission d'enquête à son encontre, rappellent de façon manifeste les débats qui ont eu lieu quelques années auparavant en France, en Europe et aux États-Unis à propos du déploiement d'infrastructures de télécommunications 5G par l'équipementier chinois Huawei.

Aujourd'hui avec TikTok, comme hier avec Huawei, les craintes de l'opinion publique et des dirigeants politiques sont de plus en plus fortes, les annonces d'interdiction ou de restriction se succèdent, les risques de captation massive de données au service de la pérennité du régime chinois se confirment tandis que les doutes quant à la propriété du capital et au contrôle exercé par le Parti communiste chinois (PCC) persistent.

a) Une entreprise mondialisée fer de lance des « routes numériques de la soie » de la Chine

Premier fournisseur mondial d'équipements de réseaux de télécommunications, fabricant de terminaux et désormais fournisseur de solutions numériques, logicielles et de prestations d'informatique en nuage (cloud), Huawei est aujourd'hui une entreprise multinationale d'origine chinoise présente dans plus de 170 pays. En déployant des infrastructures de télécommunications dans le monde entier, Huawei est devenu le véritable fer de lance de la stratégie chinoise des « routes de la soie numérique » qui vise à tisser autour de la Chine un réseau d'infrastructures numériques terrestres, maritimes et spatiales afin de garantir à la fois l'hégémonie internationale de la Chine, la dépendance d'autres puissances à son égard et vis-à-vis de ses technologies, tout en poursuivant une politique nationale d'autonomie numérique visant à dépendre le moins possible de l'extérieur.

Huawei a ainsi bénéficié d'un soutien continu, politique et financier, de la part du régime chinois afin de soutenir sa croissance, son développement et son internationalisation. Selon une note de l'Institut Montaigne publiée en 2019 et portant sur le déploiement de la 5G en Europe, les « liens congénitaux avec la colonne vertébrale du système politique chinois permettent de mesurer l'importance de l'immense succès de Huawei à l'aune du projet national de Xi Jinping, tel que celui-ci est présenté avec une grande clarté dans une feuille de route présentée au 19e Congrès du Parti Communiste en novembre 2017 : la transformation de la Chine en « leader mondial en matière d'innovation » à l'horizon 2035, puis en « leader mondial en matière de puissance nationale composite et d'influence internationale » à l'horizon 2050 »^112(*), soit pour le centenaire de la proclamation de la République populaire de Chine en 1949.

b) Dans le cadre du développement de la 5G, une incapacité à convaincre quant à l'absence de risque pour la sécurité nationale

Le développement rapide de l'entreprise Huawei, en particulier l'internationalisation de ses équipements de réseaux de télécommunications 5G, a suscité la méfiance de plusieurs pays, en particulier des États-Unis, alimentant un débat d'envergure internationale. La relecture de ces débats aujourd'hui fait indéniablement écho aux principales craintes exprimées à l'encontre de la société TikTok, propriété du groupe multinational d'origine chinoise ByteDance. De ce point de vue, la note de l'Institut Montaigne précitée synthétise les principales craintes exprimées à l'encontre de Huawei, en particulier :

- Le manque de transparence et de lisibilité quant à la structuration du groupe et la propriété de son capital ;

- l'existence d'un lien avec le Parti Communiste Chinois (PCC), la nature de ce lien et du contrôle exercé sur la gouvernance et les décisions politiques de l'entreprise. Ainsi, la note rappelle que « dans l'ensemble, le lien avec le pouvoir chinois est ineffaçable, du fait de la nature du système politique en Chine. Il est reflété par la pénétration de Huawei par le Parti Communiste - une structure naturelle en Chine »^113(*) ;

- l'incapacité à démontrer l'absence de risques d'espionnage et de transferts de données vers la Chine, notamment au regard du précédent désormais documenté du siège de l'Union Africaine : « Si Huawei a toujours échoué à démontrer le contraire, ses détracteurs ont parfois apporté des indices de complicité probable de Huawei dans des opérations de cyber espionnage, mais non des preuves décisives. Citons les principales affaires : celle de l'Union Africaine, l'organisation internationale basée à Addis-Abeba, est sans conteste la plus frappante. Huawei y était depuis 2012 le fournisseur presqu'exclusif de solutions informatiques intégrées, du serveur au cloud, en passant par le wifi et le stockage local de données. De 2012 à 2017, toutes les nuits entre minuit et deux heures du matin, l'ensemble des données collectées était envoyé à un serveur inconnu à Shanghai... »^114(*) ;

- l'incapacité à rassurer quant à ses obligations par rapport au droit chinois, en particulier en matière de coopération avec les services de renseignement : « L'article 7 de la loi nationale sur le renseignement de 2017 dispose que toutes les entreprises, « ainsi que les citoyens, doivent soutenir, coopérer et collaborer au travail national de renseignement, et préserver le secret sur le travail national de renseignement dont ils ont connaissance ». Cet article a entamé la crédibilité de Huawei car l'entreprise ne peut pas réécrire le fonctionnement du système chinois, où la branche juridique est soumise au pouvoir exécutif, et celui-ci au Parti »^115(*).

c) En conséquence, des mesures d'interdiction ou de restriction prises en ordre dispersé à l'échelle mondiale

Face aux craintes exprimées à l'encontre de Huawei, les réactions ont été multiples et variées à l'échelle internationale, les sanctions les plus sévères ayant été prises par les États-Unis, sous la présidence de M. Donald Trump, dans un contexte de rivalité commerciale et de guerre technologique assumée entre la Chine et les États-Unis.

Ainsi, dans la continuité des premières sanctions prises contre l'autre équipementier chinois de réseaux de télécommunications, l'entreprise ZTE, le décret présidentiel du 15 mai 2019 interdit l'acquisition ou l'usage des technologies de communication produites par des entités contrôlées par une « puissance étrangère hostile » et pouvant :

- générer un risque de « sabotage » des technologies et services d'information et de communication aux États-Unis ;

- générer un risque susceptible d'engendrer des « effets catastrophiques » sur la sécurité et la résilience des infrastructures critiques ou l'économie numérique des États-Unis ;

- ou faire peser un risque « inacceptable » sur la sécurité nationale des États-Unis et des Américains.

Depuis 2019, Huawei figure sur l' « Entity List » du Département du Commerce des États-Unis, obligeant l'entreprise à obtenir une autorisation administrative sous forme de licence pour commercer avec les entreprises américaines dont la vente de composants ou de services utilisant des technologies américaines, telles que les processeurs et les puces électroniques de dernière génération, est donc interdite par défaut. L'une des conséquences les plus emblématiques de cette décision est la perte de la licence d'utilisation du système d'exploitation Android et du navigateur de recherche de Google, pénalisant plus spécifiquement l'activité de fabricant de smartphones de Huawei.

Cette décision s'ajoute au National Defense Authorization Act de 2018, lequel prévoyait déjà d'interdire aux administrations fédérales américaines de se fournir auprès de l'entreprise, et n'a pas été remise en cause par le changement de présidence américaine, comme l'a expliqué M. Julien Nocetti, chercheur associé à l'Institut français des relations internationales (IFRI), devant cette commission d'enquête : « lorsque l'on resitue ces débats dans les cinq années de sanctions technologiques et financières américaines contre les acteurs chinois, on observe que les questions de sécurité l'emportent sur l'idée du doux commerce. Cela constitue d'ailleurs une évolution majeure, engagée par l'administration de M. Donald Trump, puis poursuivie par M. Joe Biden »^116(*).

Après que le régulateur américain des télécoms (FCC) ait annoncé l'an dernier l'interdiction de toute nouvelle autorisation de mise sur le marché d'équipements et de services de télécommunications fournis par Huawei et ZTE, l'administration de M. Joe Biden a annoncé en début d'année envisager un durcissement des sanctions pour la fourniture de composants américains liés à la 4G et au Wi-Fi ainsi que pour les technologies américaines d'informatique en nuage.

Si les États-Unis ont adopté les mesures les plus sévères à l'encontre de Huawei, les réactions à l'échelle mondiale ont été plus dispersées. Au sein de l'Union européenne, le choix a plutôt été fait d'organiser le retrait progressif de Huawei du marché des équipements et des réseaux 5G. En France, la loi du 1^er août 2019 visant à préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l'exploitation des réseaux radioélectriques mobiles prévoit un régime d'autorisation d'exploitation préalable par l'Agence nationale de la sécurité des systèmes d'information (Anssi), avec l'octroi de licences pour une durée de trois à huit ans pour les antennes 5G déjà installées sur le territoire, en particulier par SFR et Bouygues Télécoms, dans la perspective de leur remplacement progressif d'ici 2028.

Saisie d'une question prioritaire de constitutionnalité (QPC) à la suite des plaintes déposées par les sociétés SFR et Bouygues Télécom, le Conseil constitutionnel a considéré que cette loi était conforme à la Constitution, écartant les griefs de méconnaissance de la liberté d'entreprendre, de la garantie des droits et du principe d'égalité devant les charges publiques et estimant que « le législateur a entendu, dans le but de préserver les intérêts de la défense et de la sécurité nationale, prémunir les réseaux radioélectriques mobiles des risques d'espionnage, de piratage et de sabotage qui peuvent résulter des nouvelles fonctionnalités offertes par la cinquième génération de communication mobile »^117(*).

À la relecture de cette décision, votre commission d'enquête ne peut que constater que la priorité accordée à la préservation des intérêts de la sécurité nationale tout comme la plus grande prise en compte des risques d'espionnage et de piratage font indéniablement écho aux craintes exprimées aujourd'hui à l'encontre de TikTok.

II. UNE OPACITÉ RELEVÉE AUSSI PAR LES INSTITUTIONS EN RELATION AVEC TIKTOK EN FRANCE

Alors que l'entreprise affiche sa volonté de transparence, le terme d'« opacité » est revenu à de très nombreuses reprises dans les interventions des personnes entendues par la commission d'enquête.

A. UNE ABSENCE D'ACCORD AVEC LA SOCIÉTÉ DES AUTEURS ET DES COMPOSITEURS DRAMATIQUES (SACD) PRÉJUDICIABLE AU RESPECT DES DROITS D'AUTEURS

1. Un manque manifeste de coopération de la part de TikTok

Initialement instituée en 1777 par Beaumarchais, la société des auteurs et des compositeurs dramatiques (SACD) compte aujourd'hui plus de 50 000 membres issus des secteurs de l'audiovisuel, du cinéma, du spectacle vivant, du théâtre ou encore d'Internet. Ainsi, dramaturges, chorégraphes, metteurs en scène, compositeurs, réalisateurs, scénaristes ou encore youtubers ont donné mandat à la SACD pour défendre leurs droits, percevoir et répartir leurs droits d'auteurs et négocier des contrats avec ceux qui produisent et diffusent leurs oeuvres.

TikTok, en tant que plateforme de partage de vidéos dont la notoriété a notamment été acquise par la diffusion virale de défis et de chorégraphies réalisés sur fond musical, est concernée au premier chef par la redevance des droits d'auteurs.

Pourtant, à l'heure actuelle, aucun accord n'a été signé entre TikTok et la SACD, même si des discussions sont en cours, alors que TikTok est disponible en France depuis plusieurs années déjà et compte 22 millions d'utilisateurs mensuels actifs.

Lors de son audition devant la commission d'enquête, M. Pascal Rogard, directeur général de la SACD depuis 2004, a ainsi déclaré qu'« avec TikTok, nous sommes face à un mur d'opacité que je n'ai jamais rencontré en deux décennies à la tête de la SACD »^118(*). Des propos qui contrastent fortement avec la confiance affichée par Mme Marlène Masure, directrice générale des opérations de TikTok en France, qui a ainsi éludé le sujet lors de son audition devant la commission d'enquête, en déclarant : « pour moi, sur la SACD, c'est réglé, ou c'est en tout cas en cours. Mes premières discussions avec la SACD ont eu lieu en avril (2023) »^119(*).

Force est de constater que l'accélération des discussions entre TikTok et la SACD est intervenue juste après l'audition de celle-ci par la commission d'enquête, après plusieurs années d'activité sans que l'entreprise n'ait versé de droit d'auteur pour l'utilisation du répertoire de l'institution.

Les dirigeants de la SACD ont fortement regretté le manque de coopération de TikTok, en premier lieu concernant les discussions en cours, pour lesquelles TikTok compte empêcher par un accord spécial la direction générale de la SACD de faire référence auprès de son conseil d'administration, amenuisant considérablement les chances de trouver un accord satisfaisant et acceptable : « Habituellement, nous passons un accord de confidentialité avant d'engager des négociations, où chaque partie s'engage à ne pas dévoiler le contenu précis de la transaction et de ses étapes ; or, TikTok a exigé que nous taisions, y compris à notre conseil d'administration, l'objet même de la négociation, ce qui nous a empêché d'aboutir à un accord de confidentialité »^120(*).

Les dirigeants de la SACD regrettent également le manque de transparence de la plateforme quant aux oeuvres de son répertoire diffusées sur TikTok et, surtout, quant à leur audience. De telles informations et données ne sont pas neutres car elles permettent, en partie, de déterminer le mode et le niveau de rémunération auprès des sociétés collectives de gestion des droits d'auteurs.

Par comparaison avec d'autres plateformes de partage de musique et de vidéos, la SACD a par exemple conclu un accord avec YouTube, en 2010, prévoyant une rémunération proportionnelle des oeuvres de son répertoire en fonction de leur audience et de leur diffusion. D'autres grandes plateformes et entreprises du numérique, telles que Meta (Facebook et Instagram), Disney ou Amazon, ont conclu des accords avec la SACD.

Si chaque accord a ses spécificités et prend du temps à être négocié, le « réveil tardif » de TikTok sur les droits d'auteur, ses méthodes de négociation et son manque de coopération la distingue des autres plateformes et entreprises du numérique. C'est pourquoi la SACD n'exclut pas la possibilité d'engager des poursuites judiciaires à l'encontre de TikTok pour contrefaçon.

2. Une « piraterie audiovisuelle » tolérée par TikTok

Membre de l'Association de lutte contre la piraterie audiovisuelle (ALPA), la SACD estime aujourd'hui que « sur TikTok, le pirate est protégé, au détriment du créateur »^121(*). La rhétorique de l'entreprise est en effet particulièrement contestable, estimant qu'un internaute est aujourd'hui un « créateur », seul ce « créateur » pouvant s'opposer à l'utilisation et à la diffusion de son « oeuvre », au détriment des auteurs originaux. Cette rhétorique n'est pas sans rappeler celle récemment utilisée par les agences d'influenceurs pour défendre des « créateurs » qui ignorent les règles applicables à la publicité et à la commercialisation de biens et services sur les réseaux sociaux.

La complaisance de TikTok est d'autant plus difficile à justifier que d'autres plateformes de partage de vidéos, notamment YouTube, ont mis en place des systèmes de marquage des oeuvres protégées et des dispositifs de signalement de l'utilisation illicite de ces oeuvres, afin de pouvoir les retirer et contribuer, ainsi, à la lutte contre la piraterie audiovisuelle.

En droit français, le retrait des contenus portant atteinte à un droit d'auteur ou à un droit voisin peut même faire l'objet d'une procédure judiciaire de retrait. En effet, l'article L. 336-2 du code de la propriété intellectuelle prévoit un dispositif de filtrage des contenus d'un service de communication au public en ligne portant atteinte à ces droits, le président du tribunal judiciaire pouvant ordonner, selon la procédure accélérée au fond, toutes mesures propres à prévenir ou à faire cesser une telle atteinte.

Une récente enquête, menée en début d'année sur TikTok par un agent assermenté de l'ALPA et agréé par le ministère de la Culture, à laquelle cette commission d'enquête a pu avoir accès, met en évidence l'ampleur de la piraterie audiovisuelle à l'oeuvre sur TikTok, tant du point de vue du nombre d'oeuvres concernées que de l'audience à laquelle ces oeuvres peuvent prétendre.

B. UN ACCORD INACHEVÉ AVEC LA SOCIÉTÉ DES AUTEURS, COMPOSITEURS ET ÉDITEURS DE MUSIQUE (SACEM)

1. Un premier accord conclu avec TikTok

Fondée en 1851, la société des auteurs, compositeurs et éditeurs de musique (SACEM) est aujourd'hui la principale société de gestion collective de droit d'auteur musical en France avec plus de 169 000 membres.

Lors de leur audition, les représentants de la SACEM ont indiqué avoir conclu un premier accord avec TikTok au contraire, par exemple, de la SACD. En effet, la SACEM représente également les éditeurs de musique et bénéficie de plusieurs mandats de gestion d'éditeurs de musique étrangers, ce qui lui confère sans doute un répertoire plus large et un levier de négociation plus important, notamment auprès d'une plateforme comme TikTok dont la notoriété s'est construite autour du partage de courtes vidéos et chorégraphies en musique.

2. Une nécessaire évolution du système de rémunération

Toutefois, les représentants de la SACEM considèrent aujourd'hui que cet accord ne devrait être qu'une première étape, car il prévoit une rémunération forfaitaire des ayants droit, indépendante des revenus générés par TikTok grâce à l'exploitation et à l'utilisation des oeuvres du répertoire de la SACEM. Afin de bénéficier d'une rémunération plus juste, la SACEM plaide pour l'évolution progressive de cette forme de rémunération, à l'instar de ce qui s'est passé avec Facebook quelques années auparavant, afin de conclure un accord de rémunération fondé sur le « partage des revenus », c'est-à-dire tenant compte de l'audience et des revenus générés par TikTok grâce au répertoire musical utilisé.

Aujourd'hui, le manque de coopération et de transparence de TikTok rend les négociations fortement asymétriques, les sociétés de gestion de droits d'auteurs n'ayant pas de visibilité quant aux revenus générés par TikTok, ce qui ne leur permet pas d'évaluer si les rémunérations perçues sont justes et proportionnées.

Une insatisfaction clairement exprimée dont les dirigeants de TikTok en France affirment pourtant ne pas avoir conscience, à l'image des déclarations de Mme Marlène Masure lors de son audition devant la commission d'enquête : « Pour la musique, selon moi la relation avec la SACEM est plutôt bonne. Je me permettrai de creuser pour comprendre quels sont leurs potentiels motifs d'insatisfaction. Pour moi, aux dernières nouvelles, tout allait bien »^122(*).

Il existe pourtant des modèles de coopération sinon parfaits, du moins plus aboutis, à l'image de l'accord conclu avec YouTube, dont la coopération, la transparence et la bonne transmission régulière d'informations et de données quant à son activité et à ses revenus sont salués par la SACEM.

C. UNE FORTE RÉTICENCE DE TIKTOK À COMMUNIQUER

À la suite de la publication du rapport de l'ARCOM (cf. ci-dessous partie V,A,1) et des critiques publiques qui ont suivi, une réunion a eu lieu le lundi 13 mars 2023 entre notamment M. Erich Andersen, conseiller général de ByteDance basé au Royaume-Uni et considéré comme le supérieur hiérarchique de Mme Marlène Masure et de M. Éric Garandeau, et M. Roch-Olivier Maistre, président de l'ARCOM.

Lors de son audition devant la commission d'enquête, M. Benoît Loutrel a indiqué que « lors de cette réunion de lundi soir, à laquelle assistaient le directeur juridique monde de TikTok et d'autres représentants de la plateforme, M. Roch-Olivier Maistre et moi-même, les représentants de TikTok nous ont dit qu'ils travaillaient à la résolution des problèmes que nous leur avions signalés. Nous leur avons indiqué que leurs réponses devaient être rendues publiques. Nous veillons soigneusement à ne pas nous enfermer dans un dialogue « portes fermées » avec ces plateformes »^123(*).

Depuis, force est de constater qu'aucune déclaration publique majeure des représentants de TikTok n'a eu lieu concernant les mesures et les moyens mis en oeuvre par l'entreprise pour mieux lutter contre la désinformation en ligne, les contenus illicites, améliorer l'efficacité de ses dispositifs de signalement ou encore rendre plus transparentes les logiques algorithmiques qui déterminent les contenus visionnés par les utilisateurs. Les auditions des dirigeants de TikTok en France n'ont pas non plus permis de convaincre, ni de rassurer, quant à la bonne volonté de l'entreprise, dont le manque de communication institutionnelle lui porte indéniablement préjudice.

Ce manque de communication, d'initiative et de changement de pratiques a été regretté à plusieurs reprises lors des auditions menées par la commission d'enquête, par exemple par M. Raphaël Bartlomé, responsable du service juridique de l'UFC-Que Choisir : « en 2022, à la suite de la publication d'un rapport de l'ARCOM sur la suppression des contenus illicites, TikTok a indiqué qu'il allait intervenir plus en amont. À ce jour, l'ARCOM ne dispose pourtant d'aucun élément à ce sujet. Les documents ont certes été mis à jour, mais non les pratiques, qui demeurent »^124(*).

III. UNE COLLECTE DE DONNÉES TRÈS IMPORTANTE, QUI FAIT L'OBJET DE PLAINTES TRAITÉES PAR LA « CNIL » IRLANDAISE

A. LES SPÉCIFICITÉS DE TIKTOK EXPLIQUENT UNE COLLECTE DE DONNÉES DANS LE « HAUT DU SPECTRE » DES APPLICATIONS

Le réseau social TikTok panache deux modèles, à la fois l'analyse des goûts personnels en fonction des vidéos regardées, mais également celle des interactions avec les personnes identifiées comme connaissances sur les réseaux, ainsi que l'a expliqué le secrétaire général de l'Institut de la souveraineté numérique, M. Bernard Benhamou. Il est de ce fait qualifié par la communauté des chercheurs de « graphe social d'intérêts » (ou social interest graph) soit un hybride entre « graphe social » et « graphe d'intérêts ». La collecte de données opérée par TikTok sert donc à nourrir ces deux champs d'analyse.

Le secrétaire général de la Commission nationale de l'informatique et des libertés (CNIL), M. Louis Dutheillet de Lamothe, a souligné lors de son audition que « les données collectées par TikTok sont impressionnantes de finesse, de rapidité, de fréquence ».

Les personnes auditionnées par la commission d'enquête sont surtout frappées par le profilage fin des utilisateurs sur le fil « Pour Toi » de l'application qui, selon la présentation faite par TikTok, est un fil d'actualité de vidéos personnalisé basé sur les centres d'intérêt et « l'engagement » des utilisateurs, c'est-à-dire le temps qu'ils passent à visionner telle ou telle vidéo.

1. De nombreuses données « classiques » collectées

Comme l'a relevé le secrétaire général de la CNIL, sur le sujet du traitement des données, TikTok présente des problématiques « largement classiques et communes à beaucoup de réseaux sociaux », même si, par certains aspects, celles-ci sont amplifiées.

TikTok recueille trois catégories de données : celles fournies par l'utilisateur, celles qui sont recueillies automatiquement et celles qui « proviennent d'autres sources ».

a) Des données approximativement décrites dans les documents TikTok

La lecture des conditions générales et de la politique de confidentialité de TikTok ne permet pas d'avoir une compréhension autre qu'approximative des données collectées par TikTok. Ainsi que l'a relevé l'association UFC-Que Choisir, TikTok produit des documents lisibles, bien écrits, fluides, mais ceux-ci ne reflètent pas les pratiques de la plateforme, en particulier pour ce qui est de l'ampleur de la collecte des données.

Les demandes de précision du rapporteur se sont toutes heurtées à des fins de non-recevoir. Ce qui n'a pas empêché Mme Marlène Masure de déclarer devant la commission : « nous faisons preuve d'une transparence totale sur les données collectées », renvoyant à la possibilité pour chaque utilisateur de télécharger ses données collectées en un clic. Outre le fait que ce téléchargement n'est finalement qu'une mise en oeuvre du droit d'accès imposé par l'article 15 du RGPD, on imagine toutefois la complexité pour un utilisateur non aguerri d'analyser le fichier ainsi téléchargé, étant relevé que les instructions pour y arriver sont rédigées en anglais (Requesting your data).

Il est à noter que les informations utiles ne sont pas toutes rédigées en français. De nombreux liens présents dans la politique de confidentialité renvoient à des pages en anglais, ce qui ne garantit pas une bonne accessibilité de l'information pour les utilisateurs français.

Selon l'analyse de l'association UFC-Que Choisir, la politique de confidentialité de TikTok n'est pas compréhensible quant à l'ampleur de la collecte, si bien que le consentement n'est pas éclairé. De plus, TikTok estime que l'ensemble des données relèvent de l'intérêt légitime, ce qui implique que leur collecte ne requiert pas le consentement exprès du consommateur, à l'exception notable de la publicité ciblée. Un changement de base légale, pour passer du consentement à l'intérêt légitime^126(*), avait été annoncé par TikTok et devait rentrer en vigueur le 13 juillet 2022. Cette modification de la politique de confidentialité a été suspendue « jusqu'à nouvel ordre » après saisine de l'autorité de protection des données irlandaise (Data Protection Commission - DPC), à la suite d'un avertissement de l'autorité italienne (Garante per la protezione dei dati personali - GPDP) et de l'annonce d'une enquête de l'autorité espagnole (Agencia Española de Protección de Datos - AEPD).

Les finalités des traitements ne sont pas plus explicites : il s'agit d'exploiter, fournir, développer et améliorer la plateforme, « notamment aux fins suivantes » ; sont ici listées une douzaine d'objectifs peu précis (personnaliser votre expérience sur la plateforme, fournir certaines fonctionnalités interactives...).

Le terme « notamment » est utilisé dix-huit fois dans la politique de confidentialité de TikTok, aux côtés de « par exemple » qui apparaît quant à lui vingt-et-une fois, ce qui montre le peu de précision de l'information apportée.

b) Des données collectées directement à la source dans des proportions inconnues

Outre les informations directement renseignées par l'utilisateur lors de la création du compte ou qui proviennent du contenu qu'il crée ou publie, un certain nombre des données collectées proviennent directement de l'appareil sur lequel est installée l'application TikTok via les demandes envoyées par l'application au système d'exploitation du téléphone (Android ou IOS) pour avoir accès à des fonctionnalités ou des informations diverses. Les autorisations sollicitées sont portées à la connaissance des utilisateurs lors du téléchargement par l'éditeur de l'application.

Mme Marlène Masure a invoqué les informations présentées dans les magasins d'applications Google Play ou Apple, comme un gage de transparence : « vous pouvez voir les données collectées par chaque plateforme ».

Toutefois, M. Alain Bazot, président de l'UFC-Que Choisir, a souligné qu'en ce qui concerne TikTok, des manquements pouvaient être décelés dès le téléchargement de l'application dans les magasins d'applications Google Play ou Apple. Selon lui, tout récemment encore, il était annoncé dans le Google Play Store que l'application TikTok ne partageait pas ses données avec des tiers, ce qui est faux.

Le service juridique de l'UFC-Que Choisir est donc intervenu auprès de l'annonceur, pour qu'il efface cet « élément de rassurance » fallacieux.

Extrait du magasin d'application Google Play

Par ailleurs, seules certaines des demandes effectuées par l'application auprès du système d'exploitation du téléphone sont soumises à un accord exprès de l'utilisateur. Cette notification à l'utilisateur est faite par le système d'exploitation Android ou Apple qui, pour protéger les informations sensibles disponibles depuis un appareil, détermine quelles sont les demandes d'autorisation « dangereuses ». Il  est conseillé aux développeurs des applications de n'utiliser ces demandes que lorsque l'accès aux informations est nécessaire au bon fonctionnement de l'application.

Peuvent ainsi être collectées, avec l'autorisation de l'utilisateur, avec plus ou moins de capacité de contrôle, en fonction du modèle de mobile utilisé : la liste de contacts, le micro et la caméra, la bibliothèque de photos, la géolocalisation.

L'Anssi tchèque, le Národní úøad pro kybernetickou a informaèní bezpeènost (NÚKIB) a publié une alerte le 8 mars 2023^127(*) au sujet de l'application TikTok estimant qu'elle collectait une masse excessive de données sur l'utilisateur. En particulier, le NUKIB pointait du doigt le « mappage » des applications, qui permet de détecter les autres applications installées et en usage sur le terminal, la vérification régulière de la géolocalisation, un accès à l'agenda de l'utilisateur, l'utilisation d'un navigateur propre qui permet de surveiller l'activité de l'utilisateur, etc.

Lors d'une visite au Pôle d'expertise de la régulation numérique (PEReN), service à compétence nationale, rattaché au directeur général des entreprises, les membres de la commission d'enquête ont entendu les interrogations des spécialistes rencontrés sur la finalité de l'utilisation de certaines permissions et sur la nature des données stockées, par exemple s'agissant de l'accès aux contacts, de l'accès au presse-papier ou au calendrier ou agenda de l'utilisateur. Sur ce dernier point, le PEReN indique ne pas avoir identifié le parcours utilisateur conduisant à déclencher la demande, et donc l'usage légitime présenté. TikTok a précisé dans un complément écrit, faisant suite à l'audition de ses représentants, que l'accès au calendrier de l'utilisateur permet, s'il le souhaite, d'y ajouter des événements diffusés en direct sur TikTok.

Par ailleurs, des articles de presse^128(*) ont fait état, à la mi-2022, de l'injection de code JavaScript au sein du navigateur maison de TikTok, comme cela avait déjà été démontré auparavant pour des plateformes américaines. Ceci permettrait notamment à TikTok - qui se défend en affirmant qu'il ne s'agit que de mesures techniques permettant des débogages - de capter les frappes des utilisateurs sur le clavier et donc potentiellement des informations importantes (telles que les numéros de carte de crédit). Sans que cette pratique soit propre à TikTok et sans qu'il faille y voir a priori d'intention maligne, ceci confirme la propension de l'application à « ratisser large » en matière de collecte de données.

Lors de son audition devant la commission, Mme Marlène Masure a attiré l'attention sur le fait qu'à la lecture des informations présentes dans les magasins d'application, il peut être constaté que TikTok est l'une des plateformes qui collectent le moins de données « pour remettre les choses en perspective ». Selon les rapports publiés par l'association Exodus, qui analyse les applications Android dans le but de lister les pisteurs embarqués et d'établir la liste des permissions requises par l'application, le nombre des permissions sollicitées par l'application TikTok semble en effet en baisse : 76 permissions sollicitées par l'application en version 28.5.4 contre 40 permissions sur la version 29.6.4 plus récente^129(*).

M. Tariq Krim, entrepreneur et spécialiste des questions du numérique, relève toutefois que, au-delà de la collecte de données privées du téléphone, dupliquées ensuite sur le cloud, la grande valeur d'un produit comme TikTok est sa valeur d'usage : les données issues de l'activité même de l'utilisateur qui regarde les vidéos. L'amélioration de la connaissance et des usages permet l'amélioration de l'algorithme global et à terme l'intégration de la publicité.

En tout état de cause, Mme Marlène Masure a clairement indiqué à la commission que TikTok entendait faire reposer le principe de minimisation sur l'utilisateur : « notre enjeu est de continuer à éduquer sur les fonctionnalités qui permettent d'améliorer le contrôle des données qu'on laisse sur la plateforme ». Or ce n'est pas aux utilisateurs de s'éduquer sur les fonctionnalités mais aux gestionnaires de la plateforme de prévoir que l'application puisse fonctionner sans avoir besoin de prélever massivement des données.

2. Un profilage fin des utilisateurs sur le fil « Pour Toi »

Parmi les informations à disposition de TikTok, se trouvent les « informations déduites » : TikTok déduit certaines caractéristiques comme la tranche d'âge et le genre, et les intérêts de l'utilisateur sur la base des informations collectées. Ces informations sont utilisées - « par exemple » selon l'expression très souvent utilisée dans la politique de confidentialité - pour assurer la sécurité de la plateforme, pour la modération du contenu et pour la publicité ciblée. TikTok peut ainsi, selon son expression, « segmenter les utilisateurs » en catégories d'intérêts et de comportements ou bien par groupes d'audiences personnalisées auprès desquelles les annonceurs peuvent diffuser des publicités ciblées.

Ces déductions constituent une vraie richesse pour la plateforme. Selon la CNIL, la principale caractéristique de TikTok est en effet la performance de son algorithme de recommandations capable de capter tout ce que fait l'utilisateur, ses goûts, ses réactions, d'où la qualité de ses prédictions et la grande valeur opérationnelle des données utilisateur qu'elle collecte. Cette finesse d'analyse - en particulier s'agissant du temps de visionnage et de l'appréhension du comportement de l'utilisateur et de son interaction avec le réseau social - est rendu possible par le fait que TikTok ne propose qu'une vidéo à la fois à l'utilisateur qui réagit en continuant de la regarder ou en passant son doigt sur l'écran (swipe) pour passer à la vidéo suivante.

La rapidité de visionnage induit une rapidité de l'enrichissement du profilage des données. La plateforme TikTok se caractérise en effet par le format très court de ses vidéos qui ne font que quelques dizaines de secondes : initialement d'une durée limitée à 15 secondes, cette durée maximale a été augmentée à trois minutes en juillet 2021, puis à dix minutes en mars 2022. Sous couvert de donner « plus de souplesse aux créateurs, pour leur permettre d'exprimer leurs idées » il semble que le but est surtout la possibilité de monétiser les contenus.

Le format de quelques dizaines de secondes reste toutefois largement majoritaire. Comme le rapporte le journal Le Monde dans un article du 1^er mars 2022^130(*), « un rapport interne de l'entreprise, consulté en 2021 par le média américain Wired, soulignait que les vidéos de plus d'une minute étaient « stressantes » aux yeux d'une petite moitié des utilisateurs de TikTok. Le réseau social lui-même conseille à ses créateurs de limiter la durée de leurs productions de vingt-et-une à trente-quatre secondes ».

Toutes les personnes auditionnées ont insisté sur la richesse des informations qui peuvent être retirées du fonctionnement du fil « Pour Toi ».

Ainsi, M. Marc Faddoul, chercheur en intelligence artificielle et directeur de l'association Al Forensics, a-t-il relevé qu'en acceptant les conditions générales d'utilisation, on accepte que TikTok collecte nos données comportementales, notamment les données qui décrivent notre interaction avec le contenu. On autorise ainsi la plateforme à dresser un profil psychologique et d'intérêts à notre sujet et à l'utiliser à des fins commerciales, pour faire de la publicité ciblée, ce qui est essentiel dans son modèle économique.

Selon Viginum, en comparaison avec d'autres plateformes, qui cherchent aussi à profiler les utilisateurs, TikTok peut connaitre plus rapidement leur profil psychologique et améliorer en conséquence ses algorithmes pour proposer des vidéos mieux ciblées et en augmenter l'engagement. Les agents de Viginum ont aussi observé que lors de la navigation sur la version web de TikTok, les déplacements de souris pouvaient générer une transmission d'informations à la plateforme (ce qui n'est généralement pas le cas avec les autres réseaux sociaux). Ces constatations témoignent du fait que TikTok récupère des données sur la moindre action de chacun de ses utilisateurs. Ces informations sont ensuite susceptibles de nourrir la connaissance de TikTok sur ses utilisateurs et enrichir en conséquence l'efficacité de ses algorithmes.

M. Alain Bazot, président de l'association UFC-Que Choisir ; relève de même que l'application fonctionne grâce à une hyperpersonnalisation et à un tracking très fin du comportement de ses utilisateurs. Très rapidement, TikTok parvient à savoir ce que l'utilisateur aime ou n'aime pas, de manière à pouvoir l'alimenter en événements ou en documents correspondant à ses centres d'intérêt. Les vidéos sont de format court de sorte que l'utilisateur ne peut pas se lasser, car leur visionnage est très rapide.

Selon M. Bernard Benhamou, secrétaire général de l'Institut de la souveraineté numérique, percevoir autant de données, y compris biométriques ou émotionnelles, n'est pas neutre. TikTok peut en effet également capter l'empreinte vocale et l'empreinte faciale lorsque les autorisations correspondantes sont données. Les répercussions sur l'analyse comportementale de ce genre de collectes de données sont importantes.

En particulier, ainsi que l'a relevé la CNIL, les activités de profilage liées au ciblage peuvent permettre de déduire des intérêts ou d'autres caractéristiques que l'individu n'a pas activement révélés, ce qui compromet la capacité de l'individu à exercer un contrôle sur ses données à caractère personnel. Ces informations peuvent même être « sensibles » au sens de l'article 9 du règlement général sur la protection des données du 27 avril 2016^131(*) (RGPD) ou l'article  8 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (« loi Informatique et Libertés »), en ce qu'elles révèlent les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie ou l'orientation sexuelle des personnes.

3. Un partage des données avec de nombreux partenaires hors UE

La politique de confidentialité de la plateforme TikTok indique que cette dernière partage les informations de ses utilisateurs avec des prestataires de services, des partenaires et les sociétés de son groupe, sans qu'aucun nom ne soit jamais communiqué, là où Twitter par exemple liste ses principaux sous-traitants^136(*).

Le flou est entretenu sur les sociétés auxquelles les données des utilisateurs sont fournies, TikTok se contentant de donner une localisation très générale de celles-ci dans sa politique de confidentialité :

- les informations des utilisateurs sont stockées sur des serveurs situés aux États-Unis, en Malaisie et à Singapour (les représentants de TikTok n'ont pas voulu justifier ces choix) ;

- les informations peuvent être partagées avec les prestataires de services, les partenaires et d'autres entités tierces qui « peuvent se trouver en dehors [du] pays de résidence [de l'utilisateur] », sans aucune précision sur le lieu d'établissement de ces sociétés et le cadre du partage d'informations. Dans une réponse écrite faite au rapporteur, TikTok indique que « certains sous-traitants » sont en Chine et ont un accès à distance aux données afin de pouvoir fournir des services à TikTok Ireland (responsable des données des utilisateurs français) ;

- certaines sociétés du groupe TikTok - non nommées - se voient accorder un accès à distance^137(*), afin qu'elles puissent « assurer certaines fonctions ».

Un lien vers un page écrite en anglais « précise » que cet accès à distance peut se faire par des sociétés du groupe situées dans des pays pour lesquels la Commission européenne a rendu des décisions d'adéquation reconnaissant que ces pays tiers assurent un niveau de protection adéquat des données à caractère personnel : le Canada, le Royaume-Uni, Israël, le Japon et la Corée du Sud.

Mais l'accès à distance concerne également des sociétés du groupe situées dans des pays pour lesquels la Commission européenne n'a pas rendu de décisions d'adéquation : le Brésil, la Chine, la Malaisie, les Philippines, Singapour et les États-Unis^138(*). Selon les réponses transmises par TikTok au rapporteur, seuls certains employés du groupe seraient autorisés à accéder à distance à certaines données, en cas de besoin avéré dans le cadre de leur travail et sous réserve d'une série de contrôles de sécurité et de protocoles d'approbation rigoureux. Ces contrôles de sécurité comprendraient des contrôles d'accès au système, le cryptage et la sécurité du réseau.

Sur son site, TikTok indique utiliser des clauses contractuelles types, se référant sans doute aux clauses contractuelles types arrêtées par la Commission européenne^139(*), pour encadrer ces accès à distance. Toutefois, le simple usage de ces clauses est insuffisant pour garantir un niveau de protection approprié des données à caractère personnel. En l'absence de décision d'adéquation, le responsable du traitement ou le sous-traitant doit en effet vérifier au cas par cas si le droit ou la pratique du pays tiers compromet l'efficacité des clauses contractuelles types et, si tel est le cas, de prendre des mesures supplémentaires pour remédier à ces lacunes de la protection et la porter au niveau exigé par le droit.

M. Éric Garandeau a assuré à la commission que les accès de données depuis la Chine étaient accordés dans un nombre limité de cas, à certaines personnes seulement, dans des buts purement techniques, et après anonymisation des données, ce qui n'apparaît nullement dans la politique de confidentialité.

Interrogé par le président de la commission qui souhaitait recevoir l'assurance qu'il n'y avait pas de transferts de données personnelles en dehors de ces cas limités, M. Eric Garandeau a refusé de se prononcer : « La notion de données personnelles est elle-même une notion complexe. Je préfère donc revenir vers vous par écrit sur ce sujet, si vous me le permettez ». Selon lui, « une donnée peut être une information banale, qui porte sur l'utilisation d'un filtre, d'une fonctionnalité. Ce type de données doit pouvoir circuler d'un lieu à l'autre pour pouvoir être analysé. TikTok est une plateforme qui opère dans tous les pays ».

Il n'y a finalement pas été répondu par écrit. De même, aucune précision n'a été apportée quant au nombre d'employés basés en Chine pouvant accéder aux données des utilisateurs européens ou leurs fonctions, ainsi qu'à l'identité des sociétés du groupe ByteDance ayant accès aux données.

4. Le risque cyber

Au-delà des soupçons de transferts de données volontaires que peut faire peser la proximité de TikTok avec les entités chinoises du groupe ByteDance, il est nécessaire de souligner que de tels transferts peuvent tout simplement intervenir lors de cyberattaques, celles-ci étant extrêmement fréquentes. Comme les autres plateformes numériques qui collectent des milliards de données sur leurs utilisateurs, TikTok doit donc démontrer que l'entreprise met tout en oeuvre pour minimiser ce genre de risques. La question de ces mesures de sécurité a en particulier été posée par M. André Gattolin lors de l'audition des représentants de TikTok : « La question est celle de la vulnérabilité de tous les supports et bases de données aux attaques extérieures. Les données personnelles sont l'or blanc de l'économie actuelle ».

Il s'agit notamment de savoir si TikTok a déjà fait l'objet de cyberattaques qui l'aurait conduite à faire des déclarations publiques, celles-ci permettant de mieux partager les informations avec les autres plateformes et de diffuser la culture de cyberprotection.

Interrogé sur ce point, M. Éric Garandeau a indiqué que « TikTok cherche justement à établir des relations avec l'ANSSI. Nous n'avons pas encore eu de rendez-vous mais nous espérons en avoir un prochainement pour présenter les projets Clover et pour pouvoir leur indiquer que l'on est disposé à ce que l'ANSSI fasse des tests pour vérifier la robustesse de nos dispositifs ». En revanche, il n'a pas souhaité communiquer publiquement sur les cyberattaques éventuelles à l'encontre de la plateforme. De même, Mme Marlène Masure n'a pas été en mesure d'apporter des précisions et a préféré renvoyer, une fois de plus, au projet Clover : « C'est une question technique, je ne suis pas experte, mais j'ai le sentiment qu'avec la mise en place du projet Clover que vous a expliqué Eric Garandeau ce matin, avec la souveraineté numérique, avec un tiers de confiance qui sera annoncé prochainement et va sécuriser tout le stockage de données personnelles en Europe, on va aussi cranter quelque chose en matière de cybersécurité ». Par ailleurs, en réponse à une question écrite, TikTok a indiqué que ce sujet était couvert par le secret des affaires.

B. UNE COLLECTE QUI A ALERTÉ DE NOMBREUSES AUTORITÉS DE PROTECTION DES DONNÉES

1. Des enquêtes de la CNIL qui ont abouti à une première condamnation partielle

Dès mai 2020, la CNIL a mené des opérations de contrôle sur le site internet TikTok.com et l'application TikTok. Les premiers contrôles, menés le 14 mai et le 3 juin 2020, ont porté sur la conformité du site internet et de l'application aux dispositions de l'article 82 de la loi Informatique et Libertés relatives au dépôt de cookies et autres traceurs^140(*), ainsi que la conformité au regard du RGPD des traitements mis en oeuvre par TikTok dans le cadre de ses services : la base légale du traitement de données de mineurs, l'information des personnes, le caractère protecteur dès la conception et par défaut des traitements mis en oeuvre par la société, en particulier concernant le paramétrage par défaut des comptes d'utilisateurs mineurs, la sécurité des données, ainsi que la conformité des transferts de données hors UE, en particulier vers la Chine et les États-Unis.

Des contrôles en ligne complémentaires ont été effectué les 3 juin 2021 et 30 juin 2022 sur la conformité du site internet aux dispositions de l'article 82 de la loi Informatique et Libertés relatives au dépôt de cookies et autres traceurs. S'agissant de ce champ d'investigation, la CNIL a indiqué que ces contrôles se sont inscrits dans le cadre d'un plan beaucoup plus général, mené depuis 2020 par la CNIL, sur l'ensemble des sites Internet et le recueil des cookies. TikTok n'était donc que l'un des acteurs visés.

En cours de procédure, les sociétés TikTok Technology Limited (TikTok Irlande) et TikTok Information Technologies UK Limited (TikTok UK) ont indiqué à la CNIL assumer conjointement la responsabilité des traitements des données à caractère personnel des utilisateurs européens depuis le 29 juillet 2020, ayant repris cette compétence de la société américaine TikTok Inc. Le groupe TikTok a par ailleurs déclaré TikTok Irlande comme étant son établissement principal en Europe au sens du RGPD.

Dès lors, en application de la règle du guichet unique prévue par ce règlement, l'autorité de protection des données irlandaise (la Data Protection Commission - DPC) est devenue l'autorité chef de file et la seule, en coopération avec les autres autorités concernées, à pouvoir prendre une décision contraignante envers TikTok au sein de l'UE, en application du RGPD.

La CNIL a en conséquence séparé la procédure en deux, distinguant

- les vérifications relatives aux cookies mises en oeuvre sur la base de la loi Informatique et Libertés, pour lesquelles elle a conservé sa compétence : la CNIL a sanctionné TikTok le 29 décembre 2022 lui infligeant une amende de 5 millions d'euros ^141(*) ;

- les vérifications mises en oeuvre sur la base du RGPD pour lesquelles la DPC irlandaise est désormais l'autorité chef de file : la CNIL a transféré à la DPC les éléments recueillis au cours de ses enquêtes.

La désignation de la DPC comme autorité de contrôle chef de file a suspendu d'autres procédures en cours dans l'Union européenne. Ainsi l'autorité de protection des données danoise (Datatilsynets) avait ouvert une procédure en 2020 contre TikTok sur la base du RGPD, procédure qu'elle a transmise à la DPC^142(*).

2. De nombreuses décisions relatives aux mineurs

En janvier 2021, l'autorité de protection des données italienne (Italian (Garante per la protezione dei dati personali - GPDP) a décidé de prendre des mesures urgentes en application de l'article 66 du RGPD après la mort d'une fillette âgée de 10 ans à Palerme à la suite d'un défi TikTok. Elle a imposé à TikTok une suspension de tous les traitements de données provenant de personnes dont l'âge ne pouvait être établi avec certitude. À la suite de cette mesure, plus de 12,5 millions d'utilisateurs italiens ont été invités à confirmer qu'ils étaient âgés de plus de 13 ans pour accéder à la plateforme, et plus de 500 000 comptes ont été supprimés.

Le 22 juillet 2021, l'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens - AP) a condamné TikTok à une amende de 750 000 € pour violation de la vie privée de jeunes enfants. Les informations fournies par TikTok aux utilisateurs néerlandais - dont beaucoup sont de jeunes enfants - lors de l'installation et de l'utilisation de l'application étaient en anglais et donc difficilement compréhensibles.

Le 4 avril 2023, TikTok a été condamnée à payer une amende de 12,7 millions de livres (environ 14,8 millions d'euros) par le régulateur britannique, l'Information commissionner's office (ICO), pour utilisation illégale de données personnelles d'enfants. L'ICO a constaté que TikTok avait enfreint le règlement général britannique sur la protection des données (RGPD britannique) entre mai 2018 et juillet 2020 :

- en fournissant ses services aux enfants britanniques de moins de 13 ans et en traitant leurs données personnelles sans le consentement ou l'autorisation de leurs parents ou tuteurs ;

- en n'apportant pas aux personnes utilisant la plate-forme des informations appropriées sur la manière dont leurs données sont collectées, utilisées et partagées d'une manière facile à comprendre. Sans ces informations, les utilisateurs de la plateforme, en particulier les enfants, n'étaient probablement pas en mesure de faire des choix éclairés sur l'opportunité et la manière de s'y engager ;

- en ne s'assurant pas que les données personnelles appartenant à ses utilisateurs britanniques ont été traitées de manière licite, loyale et transparente.

TikTok - à l'époque Musical.ly - avait également fait l'objet d'une procédure aux États-Unis de la part de la Federal Trade Commission (FTC) le 27 février 2019 sur le fondement du Children's Online Privacy Protection Act de 1998 pour divers manquements relatifs à la collecte de données auprès des enfants. La plateforme avait accepté de payer 5,7 millions de dollars (environ 5,3 millions d'euros) pour mettre fin à ce litige.

C. LES PROCÉDURES EN COURS DE TRAITEMENT PAR LA DPC, LA « CNIL » IRLANDAISE

1. Au moins deux procédures en cours, relatives aux mineurs et au transfert de données vers la Chine

Depuis le 29 juillet 2020, l'autorité de protection des données irlandaise, la Data Protection Commission (DPC), est la seule à pouvoir sanctionner TikTok pour non-respect du RGPD. Selon son rapport annuel 2022^143(*), elle conduit deux procédures :

- en septembre 2021, elle a engagé une enquête sur la conformité de la plateforme avec le RGPD s'agissant des conditions de traitement des données personnelles pour utilisateurs de moins de 18 ans et des mesures de vérification de l'âge pour les moins de 13 ans. Cette enquête a concerné également la manière dont TikTok s'est conformé aux obligations de transparence posées par le RGDP dans le cadre d'un traitement de données personnelles de mineurs.

Dans cette affaire, la DPC a soumis un projet de décision le 13 septembre 2022 aux autres autorités de contrôle concernées via le Comité européen de la protection des données (CEPD), conformément au mécanisme de coopération instauré par l'article 60 du RGPD. Une décision est attendue prochainement ;

-  la deuxième procédure, concerne les transferts par TikTok des données personnelles de ses utilisateurs de l'UE vers la Chine et le respect des exigences du RGPD en la matière. L'enquête examine également si TikTok respecte ses obligations de transparence vis-à-vis des utilisateurs dans la mesure où les transferts de données sont concernés. Un premier exposé des griefs a été envoyé à TikTok en juillet 2022 qui y a répondu. La DPC est là encore en train de préparer un avant-projet de décision qui sera soumis au mécanisme de coopération.

Dans ce cadre, la DPC est censée se prononcer sur les mesures techniques et juridiques mises en place par TikTok pour assurer une protection appropriée aux données personnelles des utilisateurs européens transférées en Chine (efficacité des clauses contractuelles types au regard de la loi chinoise applicable à telle ou telle entité du groupe ByteDance, mesures complémentaires telle l'anonymisation » des données ou la création de « bastions de sécurité »...)^144(*).

TikTok a également informé le rapporteur que TikTok Ireland avait reçu le 27 mars 2023 la notification d'une enquête diligentée par la DPC sur l'utilisation de cookies et d'autres technologies de suivi sur le site web de TikTok.

2. Une autorité irlandaise souvent critiquée pour ses réponses timorées voire pour sa complaisance vis-à-vis des plateformes

Du fait du choix d'importantes plateformes extra-européennes de déclarer leur établissement principal en Irlande, la DPC est devenue chef de file dans de très nombreux dossiers. TikTok n'est en effet qu'un cas parmi d'autres : Meta (Facebook, Instagram, Whatsapp), Google (Youtube), Apple, Microsoft (Linkedin), Yahoo !, Twitter, Airbnb, etc. ont fait le même choix. Entre mai 2018 et décembre 2022, sur 1 301 plaintes transfrontalières reçues, 1 205 étaient des plaintes reçues en tant que chef de file (soit près de 93 %) et seulement 96 en tant qu'autorité de contrôle concernée^145(*).

Les moyens de la DPC n'ont pas tout de suite été mis en adéquation. Ils sont ainsi passés de 11,7 millions d'euros et 110 employés en 2018 à 23,2 millions d'euros et 196 employés en 2022. Pour comparaison, la CNIL a bénéficié de 24,3 millions de crédit et un plafond d'emplois de 278 ETPT en loi de finances initiale pour 2022, alors qu'elle a beaucoup moins de grandes plateformes à contrôler.

La DPC est régulièrement critiquée pour la manière dont elle s'acquitte de son rôle de chef de file : trop conciliante avec les géants américains qui contribuent massivement au PIB de l'Irlande, trop longue à mener les procédures, trop timorée dans ses sanctions.

Dans son rapport sur les cinq ans du RGPD^146(*), l'Irish council for civil liberties (ICCL) relève ainsi que :

- près de 87 % des plaintes transfrontalières qui sont adressées à la DPC concernent les mêmes huit grandes compagnies (Meta, Google, Airbnb, Yahoo!, Twitter, Microsoft, Apple, and Tinder) ;

- malgré cela, dans 83 % des cas la DPC use de la possibilité de mettre fin aux plaintes via des accords amiables ;

- surtout, 87 % des décisions de la DPC ont été invalidées par le CEPD.

La récente décision Meta - qui, par bien des aspects, présente des ressemblances avec l'une des procédures en cours contre TikTok - illustre particulièrement les difficultés rencontrées dans le traitement des dossiers transfrontaliers par la DPC.

Meta Platforms Ireland Limited s'est vu infliger le 12 mai 2023 une amende de 1,2 milliard d'euros à la suite d'une enquête sur son service Facebook, menée par la DPC. Cette amende est la plus importante jamais prononcée au titre du RGPD. Ont été reprochés à Meta les transferts de données personnelles vers les États-Unis sur la base de clauses contractuelles types depuis le 16 juillet 2020, date de l'arrêt Shrems II invalidant le régime de transferts de données entre l'Union européenne et les États-Unis (Privacy shield). Meta a également été sommé de mettre ses transferts de données en conformité avec le RGPD.

Or dans le projet de décision daté du 6 juillet 2022 et notifié aux autorités de contrôle concernées, seule la suspension des transferts futurs de données personnelles vers les États-Unis avait été proposée par la DPC comme mesure corrective^149(*).

Ce n'est qu'à la demande de quatre autorités de contrôle concernées qu'ont été ajoutées l'amende administrative - dont les critères d'évaluation et de détermination ont été arrêtés par le CEDP - et l'injonction de cesser le traitement illégal, y compris le stockage aux États-Unis des données personnelles transférés en violation du RGPD.

Comme dans d'autres affaires, il est à noter que la DPC n'a pas été très diligente, la décision n'étant intervenue que près de trois ans après l'ouverture de l'enquête, en août 2020. En effet, les premières étapes des procédures dirigées par les autorités chef de file se sont soumises à aucun délai. Ce n'est que la consultation des autres autorités et du CEPD qui sont encadrés par de tels délais.

3. Des autorités nationales qui essayent de maintenir une forme de contrôle sur TikTok

Bien que n'étant pas chef de file, les autres autorités nationales tentent de conserver une forme de contrôle sur la conformité de TikTok au RGPD^150(*).

Ainsi, à la demande de sa présidente, depuis le transfert des procédures à la DPC, les équipes de la CNIL maintiennent des contacts réguliers avec leurs homologues irlandais afin qu'ils les informent de l'avancée des procédures à l'encontre de TikTok (points téléphoniques, demande de documentation sur ce que la DPC a réussi à obtenir de la part de TikTok lors de ses enquêtes, notamment sur le sujet des transferts...). Les autres autorités de contrôle concernées procèdent de même.

Le 13 mars 2023, la présidente de la CNIL a rencontré le directeur juridique de ByteDance, Erich Andersen. Les échanges ont porté sur le plan d'action de TikTok sur la protection des données en Europe, la supposée autonomie de l'algorithme, le code source, le fonctionnement de l'application aux États-Unis, la protection des mineurs et la vérification d'âge dans le cadre des restrictions d'utilisation pour les moins de 18 ans et l'implantation de TikTok et ByteDance en Chine.

Le 10 juin 2023^151(*), le GPDP italien a demandé des informations à TikTok sur l'accès aux données des utilisateurs par la Chine tel qu'allégué par un ancien ingénieur de TikTok entendu par la justice américaine^152(*).

Ce suivi attentif par les autorités de contrôle des pays membres de l'Union européenne et les échanges au sein du CEDP s'avèrent indispensables pour imposer à TikTok de respecter ses obligations au regard du RGPD.

En tout état de cause, comme l'a affirmé le ministre M. Jean-Noël Barrot lors de son audition, actuellement TikTok ne respecte pas le RGPD.

IV. UN ALGORITHME DE RECOMMANDATION TRÈS PERFORMANT MAIS OPAQUE

A. L'ALGORITHME DE RECOMMANDATION : LE POINT FORT INCONTESTÉ DE TIKTOK

Le fil algorithmique « Pour Toi » a été lancé en 2018 sur la plateforme TikTok. Il est basé sur l'apprentissage automatique (machine learning) pour personnaliser les recommandations de contenu pour chaque utilisateur. Ce fil suggère des vidéos en utilisant les interactions des utilisateurs, telles que les likes, les partages et les commentaires, de même que les préférences et les tendances personnelles, selon le site TikTok.

Ainsi que le relève M. Marc Faddoul, l'algorithme de recommandation de TikTok travaille sur un fil d'une seule vidéo à la fois, à comparer avec le premier fil de Facebook, qui proposait cinq ou six posts associés à la recherche, ce qui donnait une certaine liberté de choix à l'utilisateur. Ce design a deux conséquences : il diminue la « charge cognitive » (l'effort de réflexion) pour l'utilisateur, qui n'a plus qu'à suivre ou à rejeter la proposition, et il fournit à l'algorithme des données d'entraînement bien supérieures à la fois en nombre et en qualité. Chaque vidéo est ainsi évaluée toutes les cinq ou dix secondes par le simple fait qu'elle est visionnée ou que l'utilisateur est passé à la suivante, fournissant ainsi une donnée d'entrainement pour savoir si la vidéo correspond à son intérêt ou pas. Là où YouTube collectait une dizaine de « points d'entraînement » par heure, TikTok en collecte ainsi plusieurs centaines, voire un millier de points par heure.

De plus, ainsi que l'a souligné M. Tariq Krim, l'espace sur TikTok étant contraint, « un peu comme dans une pièce de théâtre » (vidéo verticale, centrée sur la personne, qui raconte une histoire avec un début, un milieu et une fin...)^153(*), l'algorithme peut très facilement analyser le contenu.

M. Éric Garandeau, lors de son audition par la commission a vanté l'algorithme de recommandation comme étant une « source de découvertes » qui teste de nouveaux contenus pour voir si l'utilisateur va y adhérer. L'algorithme vise, selon lui, à stimuler l'utilisateur, en lui proposant des choses qui ne sont pas forcément dans ses préférences exprimées ou dans son historique de parcours sur l'application.

TikTok indique avoir ajouté en mars 2023 une nouvelle fonctionnalité permettant aux utilisateurs d'actualiser leur fil « Pour Toi » - « et voir un nouvel assortiment de vidéos populaires, comme si tu venais de t'inscrire sur TikTok »^154(*) - si les recommandations ne leur semblent plus « pertinentes », ce qui laisse penser que son algorithme n'échappe pas au phénomène de bulle de filtres.

Le représentant de l'UFC-Que Choisir, auditionné par la commission, en a une vision plus prosaïque : le fil « Pour Toi » « donne la becquée » aux utilisateurs, en leur soumettant immédiatement une masse de documents et de vidéos, une sorte de processus de gavage numérique. Selon lui, le caractère addictif de l'application est lié à une sensation de facilité créée grâce au portrait-robot extrêmement fin qu'elle dresse de chaque utilisateur pour lui fournir des contenus.

De même, lors de son audit, M. Jean-Noël Barrot, ministre délégué chargé de la transition numérique et des télécommunications, a déclaré que la promesse deTikTok d'être une source de découvertes, n'a pas été tenue : l'application enferme bien les utilisateurs dans une « bulle de filtres ».

B. UNE OPACITÉ DOMMAGEABLE

1. Une origine et une localisation opaque

2. Un fonctionnement tout aussi opaque

L'opacité de son algorithme a été citée par le président de l'UFC-Que Choisir comme constituant la singularité de TikTok.

Dans son analyse du premier rapport de TikTok relatif à la lutte contre la manipulation de l'information soumis au titre III de la loi du 22 décembre 2018 relative à la manipulation de l'information, l'Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) a relevé, parmi d'autres lacunes, l'absence d'informations quant aux processus d'évaluation des algorithmes. Les explications de M. Éric Garandeau pour justifier cette absence d'information sont pour le moins spécieuses compte tenu du fait que la loi du 22 décembre 2018 a constitué un premier pas vers régulation des plateformes et de leurs systèmes algorithmiques : « TikTok était en train de se préparer à la mise en oeuvre du [RSN]^156(*). Or, le [RSN] prévoit des obligations très précises de transparence et de communication de données. Ce travail évidemment était prioritaire ».

Or l'évaluation des algorithmes est devenue indispensable compte tenu de l'importance qu'ils prennent dans l'accès à l'information.

Ainsi que l'a rappelé M. Marc Faddoul, les algorithmes sont les gardiens de l'information en ligne. C'est le cas lorsque TikTok choisit les vidéos à présenter à l'utilisateur, avec le fil « Pour Toi » qui est l'interface principale de l'application. Selon lui, le rôle des algorithmes dans la distribution du contenu en ligne n'est pas nouveau, mais il s'est considérablement accru sur TikTok - ce qui a entrainé une prise de conscience de l'importance de l'algorithme et du fait qu'il est au centre de l'expérience utilisateur, tout en étant malheureusement opaque.

Mme Chine Labbé, rédactrice en chef de NewsGuard, a souligné quant à elle la responsabilité des algorithmes de TikTok s'agissant de la présence sur TikTok de contenus faux puisque ce sont eux qui déterminent quelles vidéos vont apparaitre dans le fil d'actualité et remonter dans la barre de recherche^157(*), étant précisé que l'exposition à l'information ne se fait pas via des liens d'affinité personnelle, mais bien en fonction des recommandations de l'application.

Il existe actuellement une asymétrie d'information bien trop forte par rapport à ces plateformes sur la réalité de ce qu'elles font, selon Benoît Loutrel, membre de l'ARCOM, président du groupe de travail « Supervision des plateformes en ligne », qui oppose les « médias éditorialisés », pour lesquels la transparence est facile à exiger, aux « médias algorithmiques », qui traitent l'information à grande échelle et en individualisant le contenu, de sorte qu'il est difficile d'avoir une vue d'ensemble. Ainsi, chaque compte TikTok est le résultat d'une série de traitements algorithmiques individualisés à partir des informations qu'ils détiennent sur l'utilisateur et ne peut être comparé à celui du voisin.

M. Romain Badouard note qu'il manque en particulier des données sur le type de vidéos invisibilisées (ou objets de shadowbanning), le pourcentage de ces vidéos invisibilisées par rapport au volume total de vidéos, et les avertissements donnés aux utilisateurs en cas d'invisibilisation.

M. Marc Faddoul a enfin relevé que l'algorithme TikTok est très sensible à la géolocalisation et ce, à deux niveaux : par les données GPS, qui lui fait diffuser du contenu très local, et la « nationalité ». Son association AI Forensics a comparé le contenu diffusé aux Russes et aux Ukrainiens depuis le début de la guerre. À la suite de l'entrée en vigueur de la loi russe sur la désinformation qui interdisait notamment l'utilisation du mot « guerre » pour parler de l'Ukraine, TikTok a décidé de modérer de manière grossière et de bannir tout contenu international pour les utilisateurs russes puisque l'essentiel des critiques vient de l'extérieur et qu'en Russie les utilisateurs s'expriment peu contre les autorités du fait des risques encourus. L'entreprise l'a fait de manière complètement opaque, sans même prévenir de cette nouvelle politique de modération. Ce tri est fait non pas en fonction de la seule adresse IP, mais aussi du lieu où le compte a été créé la première fois, démontrant que les plateformes choisissent les critères qui leur conviennent pour définir l'identité digitale des utilisateurs.

C. DES MESURES ANNONCÉES PAR TIKTOK POUR RÉPONDRE AUX CRITIQUES SUR L'OPACITÉ DE L'ALGORITHME

La nouvelle législation européenne, le Règlement sur les services numériques^159(*) (RSN), comprend des dispositions qui vont obliger les plateformes à mettre en place des mécanismes de partage de données avec les chercheurs et la société civile. Il sera possible de réaliser des audits en coopération avec les plateformes, notamment via les coordinateurs pour les services numériques qui seront désignés dans chaque État membre^160(*). L'article 40 du règlement prévoit ainsi que les fournisseurs de très grandes plateformes expliquent, à la demande du coordinateur pour les services numériques, la conception, la logique, le fonctionnement et la procédure de test de leurs systèmes algorithmiques, y compris leurs systèmes de recommandation. Ces fournisseurs doivent également faciliter et fournir l'accès aux données par l'intermédiaire d'interfaces appropriées spécifiées dans la demande, y compris des bases de données en ligne ou des interfaces de programmation d'application.

TikTok ayant été désignée comme fournisseur de très grande plateforme par la Commission européenne le 25 avril 2023 et les obligations du RSN lui devenant applicable le 25 août 2023, elle ne peut faire autre chose qu'annoncer la mise en place d'un programme d'accès des chercheurs aux données avant la fin de l'année.

Ainsi Mme Marlène Masure auditionnée par la commission d'enquête a-t-elle déclaré : « les interfaces de programmation d'application (API) sont en cours de développement à destination de chercheurs, d'universitaires, de scientifiques, d'experts. Elles doivent permettre de mieux comprendre, à la fois, la plateforme et nos pratiques en termes de modération. Celle qui permettra de mieux comprendre la plateforme est en test aux États-Unis et arrivera en Europe dès la fin de l'année. Cet outil a été bêta-testé par le MédiaLab de Science Po ».

Selon Mme Marlène Masure, ces API « arrivent à une étape assez logique de maturité et de développement de la plateforme ». M. Eric Garandeau semble tout aussi « allant » : « nous souhaitons aussi employer cette logique de tiers de confiance, qu'on utilise pour la sécurisation des centres de données, afin d'auditer nos algorithmes de recommandation, nos algorithmes de modération ou même ce que nous faisons en matière commerciale ».

Ce discours de TikTok tend à habiller l'obligation imposée par le RSN en démarche volontaire et presque altruiste de la plateforme. Il paraît pourtant difficile de croire que TikTok aurait lancé une API sans l'aiguillon de la Commission européenne.

TikTok semble avoir compris l'intérêt de ces API qu'elle entend utiliser afin :

-  d'améliorer ses revenus publicitaires : Marlène Masure espère que les API permettront d'apporter un éclairage supplémentaire sur l'impact des campagnes publicitaires. Le MédiaLab de Sciences Po a d'ailleurs travaillé en bêta test sur une API qui concernait les bibliothèques de vidéos commerciales ;

- de prouver qu'il n'y a pas de propagande ou de censure chinoise : M. Eric Garandeau a cité un rapport de la Georgia Tech University, indépendante et qui travaille pour le Pentagone, assurant « qu'il n'y a pas de censure ou de propagande de la Chine ou d'autres pays sur TikTok ».

L'ARCOM, la Commission européenne et la communauté scientifique devront veiller à ce que la promesse d'accès aux données soit bien tenue dans les délais et que TikTok ne cherche pas à susciter les sujets de recherche uniquement sur les thèmes qui l'intéressent.

V. DES RÉSULTATS ENCORE TRÈS INSUFFISANTS SUR LA LUTTE CONTRE LA DÉSINFORMATION

Le cadre légal - national puis européen - s'est renforcé au fil des années s'agissant de la lutte contre la manipulation d'information sur les plateformes.

Ainsi, la loi du 22 décembre 2018^161(*) impose aux plateformes dépassant un seuil d'audience de 5 millions de visiteurs uniques mensuels en France de rendre accessible et visible un dispositif de signalement des contenus relatifs à la manipulation de l'information et de déployer des mesures complémentaires en matière de transparence de leurs actions visant à lutter contre ces phénomènes. Au niveau européen, le règlement sur les services numériques (RSN) du 19 octobre 2022, qui commencera à entrer en vigueur dès la mi-2023, identifie le risque systémique de manipulation de l'information et exige que les « très grandes plateformes » élaborent des plans de réduction de ce risque et les soumettent à des audits pour vérifier leur mise en oeuvre.

Ces dispositions s'appliquent à TikTok. Mauvais élève de la lutte contre la désinformation et la mésinformation (1), la plateforme n'apporte pourtant pour l'heure que des réponses insatisfaisantes sur le sujet (2).

A. DES ÉTUDES DOCUMENTANT LA PRÉSENCE NOTABLE DE CONTENUS DE DÉSINFORMATION

1. Un « mauvais élève » de la lutte contre la désinformation selon l'ARCOM

L'Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) s'assure du respect du cadre légal national et européen s'agissant de la lutte contre la désinformation. Elle travaille par ailleurs avec ses homologues européens au sein de l'ERGA, le groupe des régulateurs européens au service des medias audiovisuels, s'agissant de la supervision et la mise en oeuvre du code européen renforcé des bonnes pratiques contre la désinformation.

Depuis la loi du 22 décembre 2018 relative à la lutte contre la manipulation de l'information^162(*), les opérateurs de plateforme en ligne ont un devoir de coopération avec l'ARCOM ainsi que des obligations de moyens et de transparence à l'égard de leurs utilisateurs.

Ce devoir de coopération et ces obligations prennent notamment la forme d'un rapport public annuel effectuant le bilan des moyens et mesures mis en oeuvre par ces opérateurs, dont la dernière édition a été publiée par l'ARCOM en novembre 2022 et porte sur l'année 2021^163(*).

Alors que TikTok effectuait cet exercice de transparence pour la première fois, les critiques publiques du régulateur se sont avérées particulièrement sévères, alertant ainsi l'opinion publique et les dirigeants politiques sur les risques que représente cette application.

L'ARCOM considère que la déclaration de la société est « particulièrement imprécise avec peu d'informations relatives au service en France et aucun élément tangible permettant une évaluation des moyens mis en place ». Elle a également relevé que TikTok ne répondait pas aux « interrogations spécifiques de l'ARCOM, omettant ainsi plusieurs enjeux centraux (étapes de l'instruction d'un signalement, fonctionnement des outils de modération, pratiques de manipulation identifiées sur le service, etc.)

Dans ses réponses au questionnaire de l'ARCOM, TikTok n'a communiqué aucune information sur les pratiques de manipulation identifiées sur le service. Si le rapport précise que l'opérateur a, dans sa déclaration, mentionné l'existence de dispositifs automatisés pour détecter, bloquer et supprimer les comptes et engagements inauthentiques, il note que les éléments fournis ne permettent pas d'apprécier la pertinence de ces dispositifs.

Lors de son audition par la commission d'enquête, M. Benoit Loutrel, conseiller membre du collège de l'ARCOM, a insisté sur ces lacunes spécifiques à l'application TikTok : « Nous avons reçu beaucoup de réponses incomplètes à nos questions de la part de l'ensemble des plateformes, mais les manques étaient beaucoup plus nombreux pour TikTok ».

Alors qu'elle opère en France depuis 2018, l'application TikTok semble ainsi avoir négligé le développement de ses services de « Trust & Safety » (Confiance et sécurité), qui assurent les opérations de modération. Pour M. Benoit Loutrel, «TikTok n'a pas mis autant d'énergie à développer cette activité qu'elle n'en a mis pour assurer sa croissance commerciale » alors même que « le contenu des lois françaises était connu, puisqu'il s'appliquait à leurs concurrents » ^164(*).

ARCOM, TikTok : données chiffrées déclarées,
Lutte contre la manipulation de l'information
sur les plateformes en ligne (Bilan 2021)

Parmi toutes ces lacunes, l'ARCOM pointe tout particulièrement le manque de visibilité du dispositif de signalement, qui doit permettre à tout utilisateur de l'application de signaler de fausses informations. Sur TikTok, le dispositif de signalement n'est visible qu'après avoir appuyé sur une icône en forme de « flèche », qui symbolise usuellement le repartage de contenus. Le choix de ce pictogramme est donc, comme le relève l'ARCOM, « peu intuitif ». L'association UFC-Que Choisir retient également cette critique. M. Alain Bazot, président de l'association, note que « la faculté de faire un signalement n'est pas du tout mise en avant, sauf à être un spécialiste, un redresseur de torts, un procureur »^165(*).

Cette déficience s'agissant du signalement est d'autant plus notable que, selon l'ARCOM, les autres plateformes assurent quant à elles une visibilité satisfaisante à leurs outils de signalement, pour la plupart situés à proximité du contenu et facilement accessibles.

2. L'analyse de septembre 2022 de NewsGuard : une proportion élevée de désinformation sur TikTok

Si le bilan de l'ARCOM porte sur l'année 2021, d'autres études plus récentes attestent que la situation n'a guère évoluée et que les contenus de désinformation sont encore présents en masse sur l'application. En mars et en septembre 2022, la société américaine NewsGuard, créée par des journalistes pour évaluer la fiabilité des sites d'information et d'actualité, a publié plusieurs études relatives à TikTok^166(*).

La société a tenté de déterminer le délai au bout duquel un utilisateur se voit proposer sur son fil « Pour Toi » des vidéos aux contenus faux ou trompeurs sur des grands sujets d'actualité (essentiellement covid-19 et guerre en Ukraine). Il ressort des tests, réalisés dans plusieurs pays et dans plusieurs langues, que cette durée est inférieure à 40 minutes.

Ainsi, après une demi-heure d'utilisation, un internaute francophone de 13 ans a été exposé quasi exclusivement à de la désinformation sur le covid-19, y compris à des contenus antivax et des théories du complot anti-gouvernements. De même, en moins de 36 minutes, un analyste francophone de NewsGuard s'est vu montrer une vidéo affirmant que « toutes les images de cette pseudo-guerre (d'Ukraine) sont fausses »^167(*).

Cette durée de 40 minutes n'est pas longue, rapportée au temps quotidien passé en moyenne sur TikTok par les utilisateurs, qui s'établit à 95 minutes par utilisateur par jour en 2022^168(*).

Par ailleurs, NewsGuard souligne que TikTok, souvent uniquement présentée comme une application de divertissement, sert de plus en plus de moteur de recherche à de nombreux internautes. Selon une étude du Pew Research Center, environ ¼ des utilisateurs américains de moins de 30 ans cherchent régulièrement des informations sur TikTok.

Or, il apparaît que quand il est utilisé comme moteur de recherche, TikTok mène facilement à de la désinformation. Près de 20 % des vidéos apparues dans les 20 premiers résultats liées à des recherches sur des sujets d'actualité^169(*) contenaient de fausses informations. À titre d'exemple, la recherche « l'élection américaine de 2020 a-t-elle été volée ? » renvoyait vers six vidéos contenant de fausses allégations dans les 20 premiers résultats.

Par comparaison, les moteurs de recherche « traditionnels », comme Google, présentaient sur ces mêmes sujets plusieurs articles démentant ces allégations et, surtout, aucun de ces articles ne contenait de fausses informations.

Ce constat rejoint celui fait par l'IFOP pour la fondation Jean Jaurès et pour la fondation Reboot^170(*). En France, selon ce sondage, 29 % des jeunes affirmant s'informer sur TikTok pensent que la terre est plate contre 21 % pour ceux s'informant sur YouTube et 16 % pour les jeunes en général.

En outre, NewsGuard note que non seulement TikTok met en avant de nombreuses vidéos contenant de fausses informations dans ses premiers résultats, mais aussi que l'application suggère des termes tendancieux pour compléter des recherches neutres. Ainsi, Mme Chine Labbé, rédactrice en chef et vice-présidente en charge des partenariats Europe et Canada de NewsGuard, rapporte que lorsqu'un des analystes de la société a effectué une recherche pour le terme climate change, l'application lui a suggéré de rechercher climate change doesn't exist (le changement climatique n'existe pas). « C'est la même chose pour la ville de Boutcha, ville ukrainienne théâtre de massacres : l'application suggérait Bucha fake (faux), en référence aux faux récits selon lesquels ces massacres auraient en fait été mis en scène par l'Ukraine »^171(*).

3. L'analyse de Global Witness sur les élections américaines de 2022

Visionnées lors de campagnes électorales, ces fausses informations sur TikTok présentent le risque d'influencer de façon déterminante les scrutins, comme semble l'avoir montré, pour Facebook, l'affaire Cambridge Analytica.

À l'approche des élections de mi-mandat aux États-Unis, une enquête d'octobre 2022 menée par Global Witness et le Cybersecurity for Democracy (C4D) de New-York University (NYU) a examiné la capacité de Facebook, TikTok et YouTube à détecter et supprimer la désinformation électorale. Pour les besoins de l'étude, un compte factice sur ces trois plateformes a été créé, qui publiait des publicités contenant des fausses informations sur les élections.

Il ressort de cette étude réalisée aux États-Unis que TikTok est, parmi les trois plateformes étudiées, celle qui obtient les plus mauvais résultats^172(*). Alors même que les règles communautaires de TikTok interdisent les contenus politiques dans les publicités^173(*), la désinformation politique y est ainsi très présente. Ainsi, 90 % des contenus de désinformation créés par ce compte factice ont été approuvés.

Par exemple, les publicités avançant une date erronée pour l'élection, encourageant les électeurs à voter deux fois, dissuadant les personnes d'aller voter, ou encore celles discréditant le processus électoral ont toutes été acceptées sur TikTok. Le compte qui répandait ces fausses informations n'a été supprimé par TikTok qu'après signalement par les auteurs de l'étude.

Comparativement à Facebook et surtout à YouTube, TikTok se révèle ainsi le plus mauvais élève s'agissant de la lutte contre la désinformation. Les résultats obtenus par YouTube démontrent pourtant qu'il est possible de combattre la désinformation en ligne. Dans la perspective des élections de mid terms à venir, l'étude fournissait plusieurs recommandations à destination de TikTok. Elle appelait notamment d'urgence TikTok à renforcer ses capacités de modération.

Proportion des contenus contenant des fausses informations approuvée et retirée
sur chaque plateforme, selon l'étude de Global Witness

B. DES RÉPONSES INSUFFISANTES DE TIKTOK À CETTE SITUATION PRÉOCCUPANTE

1. Un flou entretenu sur les moyens humains consacrés à la lutte contre la désinformation

Pour lutter contre les fausses informations, TikTok met en avant son service « Trust & Safety », qui prend en charge la modération des contenus. Selon les chiffres fournis par la société, celle-ci compterait plus de 40 000 professionnels spécialisés, dont des modérateurs de contenus et des équipes chargées de l'application des politiques de TikTok, des produits et des process. Selon les réponses transmises à la commission, ces experts parlent plus 70 langues, et comptent plus de 600 modérateurs francophones. Par ailleurs, l'entreprise indique travailler avec 13 organismes différents de vérification des faits, dont l'agence France Presse, dans 33 langues différentes et plus de 64 pays à travers le monde^174(*).

M. Romain Badouard, maitre de conférences en sciences de l'information et de la communication à l'Université Panthéon-Assas, invite toutefois à prendre des précautions sur ces chiffres : « TikTok évoque 40 000 personnes travaillant dans la modération, mais ce chiffre englobe tous les juristes et chercheurs en informatique qui développent des outils d'intelligence artificielle de modération »^175(*). TikTok ne communique pas sur le nombre précis de modérateurs qu'il emploie, ni sur leur localisation et leur répartition selon les pays, ni encore sur les éventuels sous-traitants qui les emploient, malgré les questions répétées des membres de la commission d'enquête. Surtout, la lutte contre la désinformation n'est qu'une partie de la politique de modération, celle-ci incluant aussi la régulation des contenus illicites. Le chiffre global de 40 000 ne permet pas de connaitre le nombre de modérateurs dédiés à la lutte contre la « désinformation préjuciable », terme retenu par TikTok.

Ce flou sur les moyens humains est d'autant plus dommageable que les lacunes de la modération algorithmique s'agissant de la lutte contre la désinformation sont nombreuses. Selon le rapport de transparence publié au dernier trimestre 2022 par TikTok, 85 à 95 % des contenus retirés l'ont été automatiquement par intelligence artificielle. Les algorithmes sont entrainés à partir des bases de données constituées de vidéos retirées par les modérateurs humains pour apprendre à reconnaître des contenus illégaux ou qui contreviennent aux standards de publication, comme les contenus de désinformation.

M. Romain Badouard souligne le problème posé par ce recours massif à l'IA. D'une part, cette modération automatique est facilement contournable. Cela s'observe dans le cadre de la lutte contre les discours de haine : les groupes racistes, misogynes, antisémites ou autres apprennent très rapidement à déjouer cette modération automatique, par exemple en utilisant un mot à la place d'un autre.

De même, NewsGuard explique la forte présence de contenus faux sur TikTok par une modération majoritairement faite par IA. Très efficace pour repérer les contenus haineux, violents ou racistes, l'IA est beaucoup moins performante pour repérer la mésinformation et la désinformation, ces dernières étant structurellement difficiles à distinguer de l'actualité crédible. Par ailleurs, l'algorithme de l'application a tendance à valoriser les contenus faisant davantage réagir. Or, « les contenus faux font davantage réagir parce qu'ils entrainent à la fois l'adhésion des personnes qui y croient mais aussi des réactions de la part des personnes qui commentent ces contenus pour les rejeter »^176(*).

Non spécifique à TikTok mais semblant avoir dans le cas de cette plateforme des effets plus graves, la faiblesse des moyens humains apparait donc particulièrement préjudiciable s'agissant de la lutte contre les fausses informations. Le rapport de mai 2023 du Parlement européen sur l'ingérence étrangère déplore que les grandes plateformes, dont TikTok, n'investissent pas suffisamment dans les moyens dédiés à la modération. Il souligne que « Meta, Google, YouTube, TikTok et Twitter, continuent à ne pas faire assez en matière de lutte active contre la désinformation, et qu'elles licencient même du personnel en dépit d'appels constants des régulateurs, de la société civile, voire, en interne, des personnels responsables des questions d'intégrité ».^177(*)

M. Christophe Deloire, secrétaire général de Reporters sans frontières, dresse un constat similaire : « Je suis sidéré par la confiance qu'on a pu faire aux plateformes s'agissant de la lutte contre la désinformation (...) Leurs actions en la matière ont consisté en du blanchiment, allouant des fonds à des médias de vérification de faits (fact checking), pour donner l'impression d'agir ». Il ajoute qu'aucun des réseaux sociaux n'a « limité les dividendes pour ses actionnaires afin de sauver la démocratie ; il n'y a même pas eu un déplacement de curseur, tout est du côté de l'avantage économique »^178(*).

Au total, les moyens de lutte contre la désinformation sur TikTok paraissent donc encore bien trop limités. L'ARCOM avait d'ailleurs appelé la plateforme à « un rattrapage accéléré pour faire face à ses obligations », estimant que « le statu quo n'est plus possible ». Le règlement sur les services numériques (RSN) obligera notamment les très grandes plateformes à augmenter la taille de leurs équipes de modération, qui devront par ailleurs couvrir un nombre plus important de langues.

2. Des contenus qui tardent à être retirés et des processus de labellisation peu aboutis

L'efficacité même de la politique de TikTok en matière de lutte contre les fausses informations apparait peu satisfaisante.

Selon le rapport d'application des règles communautaires de TikTok, l'entreprise a retiré au premier semestre 2022 plus de 102 millions de vidéos allant à l'encontre de ces règles. Sur ces 102 millions de vidéos, moins de 1 % ont été retirées parce qu'elles contrevenaient aux règles d'intégrité et d'authenticité, qui comprennent la mésinformation dangereuse. Les retraits de contenus de mésinformation restent donc très peu nombreux.

Par ailleurs, les contenus de désinformation ne semblent pas être retirés de façon proactive par TikTok. Mme Chine Labbé souligne ainsi que si l'entreprise prend bien des mesures, « le problème est que ces mesures sont prises a posteriori, c'est-à-dire après que nous leur ayons fait un signalement »^179(*). La députée européenne Mme Nathalie Loiseau, notait lors de son audition le 13 avril 2023 devant la commission d'enquête que le groupe Wagner était toujours présent sur TikTok, malgré les actions massives de désinformation qu'il mène.

La proactivité semble s'appliquer uniquement pour le retrait des contenus violents et non pour la désinformation. TikTok indique ainsi : « Nous sommes fiers que la grande majorité des contenus violents soient identifiés et supprimés de manière proactive avant qu'ils ne soient vus ou qu'ils ne soient signalés »^180(*). Même ce constat semble devoir être nuancé puisque les contenus glorifiant les exactions du groupe Wagner, qui contrevenaient pourtant clairement aux règles d'utilisation de TikTok sur la diffusion d'actes de violence, n'ont été retirés qu'après signalement de NewsGuard^181(*).

Une fois les contenus de désinformation signalés, TikTok les retire. Cependant, NewsGuard déplore ne pas avoir de réponses de TikTok sur la raison pour laquelle ces contenus ont été promus dans des résultats de recherche ou dans des fils « Pour Toi ». A la question de savoir si les algorithmes de recherche sont conçus de manière à empêcher la promotion de contenus faux, TikTok n'apporte pas de réponse^182(*).

Non propres à TikTok, les défauts en termes de labellisation des contenus se retrouvent aussi sur TikTok. Certes, l'application a labellisé les comptes des médias détenus par des États. Mais dans son rapport de 2022, l'ARCOM notait que la mise en oeuvre de cette règle était sélective : ainsi, si les chaines ukrainiennes contrôlées par l'État ukrainien étaient étiquetées, le compte de China Global Television Network Europe (CGTN Europe, contrôlé par l'État chinois), n'était pas identifié comme tel. Cette lacune a depuis été corrigée.

Par ailleurs, les règles d'utilisation de TikTok imposent en principe que les contenus altérés par l'intelligence artificielle soient labellisés comme tels. NewsGuard souligne que « ce n'est pas toujours le cas ». De nombreuses vidéos manipulées circulent ainsi sans label sur l'application. Quand il existe, le label n'apparait trop souvent qu'en milieu ou en fin de vidéo, ce qui en limite l'efficacité. Mme Chine Labbé note pourtant qu' « il ne serait pas plus coûteux de mettre ce label sur l'intégralité de la vidéo ».

3. Des règles de modération pouvant être détournées au profit de formes de censure

La politique de modération de TikTok entend s'appliquer au « contexte local ». Certes, toutes les grandes plateformes ont mis en place de tels systèmes de modération à deux niveaux : des règles communes de publication, adaptées le cas échéant au contexte législatif des pays. Mais alors que la plupart des plateformes ont une approche très légaliste du respect des lois nationales, TikTok a quant à lui une approche plus culturelle.

TikTok indique ainsi collaborer « avec les experts régionaux et les communautés locales afin de garantir que (notre) approche mondiale reconnaisse les normes culturelles locales » et adapter «  les applications régionales relatives à nos règles pour garantir que nous n'imposons pas les valeurs d'une région à une autre ». Cet objectif visant à ne pas imposer les valeurs d'une région à une autre peut paraitre légitime. Mais, comme le relève M. Romain Badouard, le terme est suffisamment large et vague pour qu'il puisse permettre de « servir à des formes de censure, un peu moins avouables »^183(*).

De fait, en septembre 2019, The Guardian a révélé des documents internes de la firme qui mentionnaient que ByteDance, société mère de TikTok « interdisait de critiquer les lois et les règles d'un pays »^184(*). Sous ce prétexte pouvaient ainsi être interdits les contenus sur les conflits religieux ou ethniques ou encore sur le séparatisme. Les exemples touchaient au Tibet et Taïwan, mais aussi au conflit nord-irlandais, à la République de Tchétchénie en Russie, et aussi de manière générale à « l'exagération de l'ampleur du conflit ethnique entre Blancs et Noirs ». En invoquant une approche localisée de la modération, TikTok rend ainsi possible une restriction d'accès à certains termes au nom du respect du « droit local »^185(*).

Par ailleurs, la modération sur TikTok peut également amener à une autre forme de censure : le shadowbanning. Ce terme désigne une censure passant non pas par la suppression d'une information, mais par son invisibilisation de fait via une réduction de son accessibilité. Comme le rapportait un article du Time^186(*), aux États-Unis, des influenceurs TikTok, produisant des vidéos vues par des millions de personnes, ont ainsi constaté que des contenus avec le hashtag #blm, pour Black Lives Matter n'étaient plus vues après la mort de George Floyd que par 1 000 ou 100 personnes. Seules les vidéos avec ce hashtag #blm étaient concernées, corroborant l'idée d'une forme de censure algorithmique.

Interrogé sur cette technique dans le questionnaire transmis, TikTok n'a pas répondu à la commission d'enquête. Mme Marlène Masure, directrice générale des opérations de TikTok SAS, a assuré lors de son audition que cette pratique n'était utilisée que pour les vidéos qui, sans contrevenir aux règles communautaires, sont considérées comme nocives quand elles sont visionnées de façon répétée, citant les « vidéos de fitness intense »^187(*). Elle précisait que « l'algorithme traitera ces vidéos de façon différente, les proposera en moins grand nombre, les intercalant avec d'autres vidéos ». Cette réduction volontaire de visibilité serait également appliquée aux contenus « plus matures ».

Comme le note M. Romain Badouard, aucune information sur ces techniques ne figure dans les rapports de transparence de TikTok : « nous ne connaissons ni les personnes concernées ni les critères de sélection. Le flou est le plus total ». Le RSN ne semble pas exiger des éléments sur ce sujet puisqu'il n'exige d'information que sur la « transparence de la recommandation ». Or, comme l'affirme le chercheur, il est nécessaire de veiller également à la « transparence de la non recommandation ou la transparence de l'invisibilisation ».

VI. DES EFFETS PSYCHOLOGIQUES ET SANITAIRES À NE PAS SOUS-ESTIMER

Les interrogations et les débats sur TikTok dans l'espace public sont autant, sinon davantage liés à la question de l'« addictivité ^188(*)» ou non de la plateforme, qu'à celle de ses liens avec la Chine. En effet, avec 22 millions d'utilisateurs en France dont de très nombreux enfants et plus d'une heure trois quart de visionnage de vidéos par jour en moyenne (donc beaucoup plus pour certains utilisateurs), chaque famille ou presque a pu constater que l'arrivée de l'application représente un véritable bouleversement.

A. « ADDICTION » ? « ABRUTISSEMENT » ? : UNE « RADICALISATION » DES EFFETS DES PLATEFORMES NUMÉRIQUES

1. Une absence de consensus scientifique sur la qualification des effets de TikTok...

a) Une littérature scientifique encore limitée sur TikTok

Il n'existe aujourd'hui pratiquement pas d'études scientifiques sur les conséquences psychiques et psychologiques de TikTok. La difficulté à établir des analyses en la matière tient en grande partie à la relative jeunesse de l'application, qui ne permet pas de disposer du recul suffisant. Ce manque a été pointé lors des auditions de la commission d'enquête à la fois par M. Grégoire Borst, professeur de psychologie du développement et de neurosciences cognitives de l'éducation à l'Université Paris-Cité, et par les psychologues rattachés à l'Observatoire de la parentalité et de l'éducation au numérique (OPEN).

Une étude, très récente, publiée dans la revue Pyschiatry Research^189(*), a néanmoins tenté d'examiner l'association entre l'utilisation d'applications de vidéos courtes comme TikTok et les facteurs psychosociaux. L'enquête s'est déroulée dans trois provinces de Chine. Les résultats, contrastés, montreraient que les utilisateurs addictifs de vidéos courtes présenteraient des conditions de santé mentale plus mauvaises que les non-utilisateurs et les utilisateurs modérés, avec des niveaux plus élevés de dépression, d'anxiété et de stress.

Ces utilisateurs auraient également davantage de problèmes d'attention et une qualité de sommeil plus faible. Cette étude suggérerait ainsi que les utilisateurs addictifs de TikTok connaissent une situation plus défavorable que les autres, en ce qui concerne la santé mentale, la famille et les conditions scolaires. Une utilisation modérée ne serait donc cependant pas forcément associée à une mauvaise santé mentale ou à de mauvais résultats scolaires. Dans le cas de TikTok, tout le problème vient cependant de la définition retenue pour une « utilisation modérée », sachant que la moyenne quotidienne est de plus d'1h45 actuellement.

b) Des dangers démontrés sur les moins de 3 ans et sur le sommeil des enfants

Plus globalement, les études sur les effets des réseaux sociaux et des écrans sur les enfants et adolescents (qui ne prennent pas encore en compte les effets propres de TikTok) apportent des éléments contradictoires, comme le souligne en France le Haut conseil de la santé publique^190(*). L'analyse des études met en avant des résultats contrastés sur l'impact des écrans sur le développement cognitif, sur les apprentissages ou sur la santé mentale. Si certaines études montrent l'effet bénéfique d'une utilisation modérée des écrans pour rompre l'isolement de certains jeunes, d'autres mettent en avant les risques liés à une forte consommation chez certains adolescents vulnérables.

Pour Mme Angélique Gozlan, docteur en psychopathologie et psychologue clinicienne, « l'utilisation des réseaux sociaux relève du pharmakon, qui peut aussi bien être toxique que curatif : le remède peut se transformer en poison et vice-versa »^191(*), précisant que c'est le dosage et la quantité qui peuvent transformer le remède en poison. Par ailleurs, les divergences dans les résultats des études soulignent l'importance de l'environnement éducatif et socio-économique ainsi que de la vulnérabilité individuelle. Ainsi, les écrans pourraient être des révélateurs de la vulnérabilité des jeunes.

Sur deux sujets cependant, comme l'ont reconnu l'ensemble des experts auditionnés par la commission d'enquête, un consensus scientifique est établi.

S'agissant de l'exposition des enfants de moins de 3 ans aux écrans, des données cohérentes convergent pour suggérer que l'exposition aux écrans entraine des retards concernant l'acquisition du langage, la reconnaissance des émotions ou la motricité fine. Mme Angélique Gozlan constate pour sa part que l'exposition des enfants de moins de 18 mois aux smartphones peut induire des troubles à caractère autistique^192(*). Or, on sait que 16 % des enfants britanniques de 3 et 4 ans utilisent déjà TikTok^193(*).

Les effets négatifs d'une forte exposition aux écrans sur la qualité du sommeil des enfants et adolescents sont aussi démontrés. Comme le note le Haut conseil de la santé publique, « l'usage des médias, quel que soit le média, que ce soit juste avant de dormir, mais aussi un usage journalier 2 heures après l'école sur chaque support ou 4 h en tout, entraîne significativement une latence d'endormissement et un déficit en sommeil. Les effets apparaissent après deux heures ou plus d'utilisation par jour et deviennent de plus en plus importants au fur et à mesure que les heures d'utilisation augmentent »^194(*).

Les effets de ce manque de sommeil ou de cette déstructuration du sommeil sont très nombreux et documentés : dépression, anxiété, baisse de l'attention et de la concentration en classe, mais aussi, à plus long terme, obésité et problèmes cardiovasculaires.

Cet effet indirect, évoqué par M. Grégoire Borst lors de son audition, est en réalité majeur : déjà constaté avant l'arrivée de TikTok avec les autres plateformes, il ne peut qu'être amplifié par une application utilisée plus de 1h45 par jour par les adolescents.

c) « Addiction » ou « Abrutissement » ?

Comme le rappelle le psychiatre M. Serge Tisseron^195(*), l'addiction aux écrans est débattue par la communauté scientifique. Comme le précise Mme Angélique Gozlan, « il n'existe pas de consensus scientifique sur le terme d'addiction en matière de jeux vidéo ou de réseaux sociaux numériques »^196(*). M. Grégoire Borst rejoint ce constat en évoquant les addictions aux substances : « il n'y a pas d'addiction aux écrans ou aux réseaux sociaux du même ordre que celle engendrée par la prise de substances psychoactives ou la consommation d'alcool » ^197(*).

Plutôt que le terme d'addiction, les psychologues rattachés à l'OPEN considèrent le terme d'abrutissement comme décrivant mieux les effets de TikTok sur les enfants et les adolescents. Pour Mme Angélique Gozlan, « plutôt que d'addiction, on pourrait parler d'abrutissement des images et du flux vidéo, qui nous empêche parfois de voir ce qui nous entoure », appelant « à ne pas psychiatriser l'usage d'un réseau social ».

Toutefois, il serait réducteur et peu conforme à l'usage désormais généralement admis de limiter le terme d'« addiction » aux seules addictions aux substances. En effet, les « addictions comportementales », telle l'addiction aux jeux d'argent, font l'objet de recherches depuis longtemps.

La définition la plus courante des addictions comportementales est celle développée par le docteur Aviel Goodman pour donner une définition à un concept de plus en plus intégré dans les théories et les pratiques psychiatriques. Il s'agit ainsi de « la répétition d'actes susceptible de provoquer du plaisir mais marqués par la dépendance à un objet matériel ou à une situation recherchés et consommés avec avidité ^198(*)». De même, sur le site de l'assurance maladie on trouve la définition suivante : « Les addictions comportementales ou « addictions sans substance » se caractérisent par l'impossibilité de contrôler la pratique d'une activité. Une sensation de tension croissante se met en place avant de passer à l'acte et au moment de la pratique, la personne ressent un plaisir ou un soulagement. ». Le même site précise ensuite que : « C'est seulement dans le courant de ces dernières années que ces troubles comportementaux ont été identifiés. À ce jour, ces troubles sont uniquement définis pour l'addiction : aux jeux de hasard et d'argent (gambling disorder) ; aux jeux vidéo (gaming disorder) (...) d'autres troubles comportementaux font actuellement l'objet de recherches qui permettront de mieux comprendre leur pouvoir addictif. ».

De fait, certains psychologiques n'hésitent pas à utiliser le terme d'addiction s'agissant de l'usage excessif des plateformes. Ainsi, Mme Sabine Duflo , « les réseaux sociaux sont un produit addictif qui est mis dans les mains des mineurs ». Elle ajoute que « jusqu'à présent, les politiques de santé concernant les produits addictifs ont toutes montré que la stratégie de sensibilisation ne suffisait pas : l'alcool en est la preuve, qui a été interdit aux moins de 14 ans dans les cantines en 1956, puis supprimé pour les lycéens en 1980. Désormais, très peu d'enfants souffrent d'alcoolisme chronique, alors que ce n'était pas le cas au début du siècle dernier ». Elle en conclut que «par conséquent, à chaque fois qu'un produit est dangereux pour les mineurs, il faut les protéger et donc l'interdire »^199(*).

Mme Servane Mouton, aussi, ne croit « pas que la comparaison des réseaux sociaux (...) avec des produits addictifs soit exagéré. Les conséquences sur la santé sont lourdes  ».

2. ... mais des constats inquiétants livrés par les praticiens

Le « design produit » de l'application TikTok conduit ainsi - le cerveau étant avide de nouveauté - à pouvoir passer un temps très étendu sur l'application.

Des usages excessifs sont ainsi bien visibles. Pour les praticiens auditionnés, même si les effets délétères ne concernent que les usages excessifs, cela pose néanmoins un véritable problème de santé publique. Mme Servane Mouton note ainsi : « en effet, quand on parle d'usage excessif, cela ne concerne que 5 % des usagers. Mais lorsque l'on recense 2 milliards d'usagers, le nombre de personnes concernées est considérable, d'autant qu'il s'agit souvent des plus fragiles, issues des milieux les plus défavorisés »^200(*).

Les psychologues, dans leurs consultations, notent les impacts délétères de ce temps excessif sur la santé des jeunes. Confirmant les études déjà mentionnées, l'impact est ainsi notable s'agissant du sommeil : « sur le terrain, on observe que les écrans ont un effet nocif sur le sommeil, qu'il s'agisse de difficultés à s'endormir ou de réveils nocturnes, d'où résultent des problèmes d'attention et des difficultés d'apprentissage »^201(*).

Ce temps passé sur TikTok semble également engendrer des troubles de l'attention, alors que la capacité de concentration est indispensable aux apprentissages. Pour Mme Sabine Duflo, « le deuxième trouble qui touche les adolescents qui regardent trop les écrans porte sur l'attention : ils n'arrivent plus à comprendre ce qu'on leur enseigne en classe. En effet, les contenus diffusés sur TikTok ou Youtube sont de format très court, car il s'agit de capter l'attention et de la relancer constamment. Or cela nuit à la mise en place d'une attention volontaire, c'est-à-dire la capacité à se concentrer sur quelque chose qui bouge peu - un livre ou un professeur qui enseigne -, indispensable aux apprentissages »^202(*).

Certaines pratiques en vigueur dans les établissements scolaires ne semblent pas aider à résoudre ce problème. Mme Sabine Duflo souligne ainsi que les enseignants utilisent des applications pour communiquer avec les élèves, notamment pour leur transmettre les devoirs : « par conséquent, tout encourage les enfants à aller devant les écrans et à consulter les réseaux sociaux, les parents finissant par être dépossédés de leur rôle éducatif ».

Les psychologues alertent enfin sur l'exposition de TikTok aux très jeunes enfants. Sur ce sujet, comme déjà rappelé, le doute n'est plus permis puisque les études ont prouvé l'impact néfaste des écrans en dessous de 3 à 4 ans. Sans parler du risque autistique, Mme Angélique Gozlan rappelle que « les bébés dont la mère consulte le portable lorsqu'elle s'occupe d'eux sont plus stressés et explorent moins leur environnement ». Or, selon une récente enquête, 16 % des enfants britanniques de 3 et 4 ans scrollent déjà sur TikTok. Cette proportion s'élève à 1/3 pour les enfants britanniques de 5 à 7 ans^203(*).

3. Des effets qui s'expliquent par les spécificités de TikTok

a) Un algorithme très performant pour capter l'attention

Tous les observateurs constatent que l'algorithme de l'application est particulièrement efficace pour capter l'attention de ses utilisateurs, cette efficacité étant sans doute plus grande que sur les autres applications et expliquant son succès remarquable.

Cette performance pour retenir l'attention s'explique par le format très court des vidéos, qui apporte plusieurs avantages.

Tout d'abord, ce format conduit à ce que le temps d'apprentissage de l'algorithme, pour cerner les intérêts de l'utilisateur, soit beaucoup plus rapide que sur les autres plateformes. La multiplication des interactions avec l'utilisateur donne plus rapidement des informations sur lui. Tariq Krim, entrepreneur et spécialiste des questions du numérique, souligne ainsi que « Si l'on arrête au bout de 10 minutes une vidéo d'une heure sur YouTube, il est difficile d'en connaitre la raison. Est-ce parce que la vidéo ne plait pas ? Est-ce parce que l'on souhaite la regarder plus tard ? Il y a certes un bouton « unlike » sur YouTube mais il est très peu utilisé » Il note à l'inverse que, « sur TikTok, dès que l'on passe vite à la vidéo suivante, le message est envoyé qu'elle ne nous intéresse pas et le flux est alors réorganisé »^204(*).

Par ailleurs, l'espace contraint sur TikTok conduit l'algorithme à pouvoir analyser facilement les contenus, ce qui aide à proposer des vidéos similaires. Prenant l'exemple des vidéos de danse, qui ont fait le succès de l'application à sa création, M. Tariq Krim fait observer qu'il est très facile pour l'algorithme « d'analyser les pas et d'identifier le type de danse pour ensuite proposer des vidéos du monde entier avec les mêmes pas de danse. Une activiste américaine m'avait confié que pour faire monter des vidéos sur le changement climatique, elle incorporait des danses aux messages de façon à faire remonter les vidéos dans l'algorithme ».

Rappelant que le passage de l'écran d'ordinateur au mobile avait déjà réduit la quantité de posts proposés, M. Marc Faddoul, chercheur en intelligence artificielle, souligne que « TikTok va encore plus loin, en ne proposant qu'une seule vidéo à la fois (...) A l'échelle de plusieurs heures de visionnage, l'algorithme est capable de dresser un profil d'intérêts et presque psychologique très précis de l'utilisateur »^205(*).

En outre, une autre particularité de TikTok, qui explique son efficacité à capter l'attention, tient à la facilité d'utilisation. Les utilisateurs n'ont pas besoin de faire de recherches sur TikTok puisque les vidéos s'affichent tout de suite sur le fil « Pour Toi ». Comme le note M. Alain Bazot, président de l'UFC-Que Choisir : « l'application leur donne pour ainsi dire la becquée, en leur soumettant immédiatement un tas de documents et de vidéos. Il n'y a plus qu'à défiler en s'arrêtant dix à vingt secondes sur certains sujets »^206(*). Pour M. Alain Bazot, « Divertir ses utilisateurs en les enfermant : la formule est extrêmement facile. Telle est la clé du succès considérable de TikTok ».

Cette « formule » a d'ailleurs convaincu d'autres plateformes, qui ont décidé d'incorporer également des vidéos à format court. Des « YouTube Shorts » ont ainsi été créés, tout comme Meta a lancé des «  Instagram Reels ».

b) L'urgence de réaliser des études plus poussées spécifiques à TikTok

Les raisons d'inquiétude s'agissant des effets délétères de TikTok sur les enfants et adolescents sont donc réelles.

Pour objectiver encore ces effets, l'urgence est aujourd'hui de mener des études sur les effets des visionnages des vidéos à format court. L'absence d'études quantitative et qualitative sur le sujet est dommageable. Comme le souligne M. Grégoire Borst, « Nous cherchons à connaitre les effets de l'utilisation des réseaux sociaux sur le développement cognitif et socio-émotionnel avec un temps de recul extrêmement faible. Il nous faudrait ce type d'études, menées sur 30 ans »^207(*).

Depuis 2021, un groupe de travail de l'agence nationale de sécurité sanitaire de l'alimentation, de l'environnement et du travail (ANSES) étudie les effets des réseaux sociaux. Ce rapport doit être publié d'ici à la fin de l'année 2023.

Une étude au long cours piloté par l`INED et l'INSERM est aujourd'hui menée pour mieux connaitre les facteurs qui peuvent avoir une influence sur le développement physique et psychologique de l'enfant, sa santé et sa socialisation. Dénommée Cohorte Elfe (Etude longitudinale française depuis l'enfance), plus de 18 000 enfants nés en France métropolitaine en 2011 ont été inclus dans l'étude, ce qui représente 1 enfant sur 50 parmi les naissances de 2011. Mobilisant plus de 500 chercheurs, l'étude cherche, entre autres, à déterminer l'influence de l'informatique sur le développement physique et intellectuel de l'enfant.

M. Thomas Rohmer, directeur fondateur de l'OPEN regrette cependant un décalage de 7 à 8 ans entre les données publiées pour la cohorte Elfe et le moment où celles-ci ont été collectées : « comment voulez-vous mettre en place des politiques publiques dignes de ce nom avec un délai aussi abyssal à l'échelle de l'écosystème numérique ? »^208(*). TikTok ayant été déployé en France en 2018, il faudrait ainsi attendre la fin des années 2020 pour disposer d'études sur le sujet.

Le soutien aux politiques de recherche apparait dans ce contexte capital. La multiplication des études, en objectivant les effets des vidéos à format court, apporterait des enseignements utiles. Comme le souligne M. Thomas Rohmer, « il est donc essentiel de donner des moyens aux chercheurs pour pouvoir coller à la réalité des familles».

4. TikTok comme amplificateur de difficultés psychologiques préexistantes

Les témoignages recueillis par des psychologues cliniciens entendus par la commission semblent bien corroborer la tendance qu'a TikTok à amplifier les difficultés psychologiques de personnes déjà vulnérables.

Exerçant dans une unité accueillant des adolescents en situation de crise, qui exigeait une hospitalisation à temps complet, la psychologue clinicienne Mme Sabine Duflo, rappelle qu'il y a eu une explosion sur les années récentes des admissions des enfants et adolescents en psychiatrie.

Selon le Haut conseil de la famille, de l'enfance et de l'âge, on compte plus de 40 admissions de jeunes pour tentatives de suicide par bimestre à l'hôpital Robert-Debré depuis 2021, soit deux fois plus qu'avant l'année 2020 et quatre fois plus que durant la période 2011-2017. Selon le docteur Charles-Édouard Notredame du service de psychiatrie de l'enfant et de l'adolescent du centre hospitalier universitaire (CHU) de Lille, les chiffres ont littéralement explosé depuis 2019, avec une augmentation du passage aux urgences de plus de 126 % pour des idées suicidaires chez les 11-17 ans et une augmentation de 30 % des tentatives de suicide.

Il ne s'agit pas d'en déduire que TikTok a contribué à ce phénomène, mais Mme Angélique Gozlan fait observer que les conseils nutritionnels sont très présents sur TikTok et « des analyses ont montré que 97 % des vidéos étaient présentées par des jeunes filles blanches et minces, diffusant un message normatif concernant le poids ». Or, comme le note la psychologue, il s'agit là d'un sujet sur lequel les adolescentes sont fragiles.

Elle ajoute que « l'algorithme renvoie à l'usager un moi virtuel, un mini-moi qui aboutit rapidement à la création d'une bulle de filtres, c'est-à-dire un prisme très focalisé sur certains sujets ». Ainsi, l'algorithme de TikTok étant particulièrement efficace pour enfermer dans des bulles de filtre, une adolescente regardant des vidéos de scarification peut vite être enfermée dans une logique morbide.

B. DES CONTENUS DANGEREUX OU INAPPROPRIÉS POUSSÉS PAR L'ALGORITHME

1. Les contenus liés aux désordres alimentaires et au suicide davantage proposés aux personnes les plus vulnérables

Une étude du Center for Countering Digital Hate a publié en décembre 2022 une étude sur la présence de contenus dangereux sur TikTok^212(*). Le centre a créé plusieurs comptes sur l'application aux États-Unis, au Royaume-Uni, au Canada et en Australie. Un profil des utilisateurs a été défini : l'utilisateur était censé avoir 13 ans et il portait une attention un peu plus marquée aux contenus liés à l'image de soi (body image) et aux enjeux de santé mentale (mental health). En défilant le fil « Pour Toi », ces comptes marquaient une légère pause sur ces contenus.

Il est ressorti de cette étude qu'au bout de 2,6 minutes en moyenne, TikTok recommandait à ces comptes des vidéos sur le suicide. Au bout de 8 minutes, l'application proposait des contenus sur les troubles alimentaires (eating disorders). Enfin, toutes les 39 secondes, des recommandations de vidéos sur l'estime de soi et la santé mentale apparaissaient. Par rapport à des utilisateurs standards, les profils se voyaient proposer 12 fois plus de vidéos liées aux suicides.

Cette étude semble ainsi bien établir le fait que les personnes vulnérables se voient proposer davantage de contenus dangereux. L'enfermement dans ses préférences, désigné par le phénomène de « bulles de filtres », peut alors être particulièrement nocif. Le produit, en lui-même, serait ainsi dangereux (« by design »).

Ainsi, non seulement l'application capte fortement l'attention, conduisant ses utilisateurs à y passer de longs moments, mais ce temps passé serait dangereux pour les personnes les plus vulnérables.

2. Les défauts de modération face à la multiplication des challenges dangereux sur l'application

De nouveaux défis dangereux sont régulièrement mis en avant sur TikTok et constituent parmi les contenus les plus viraux sur l'application.

Après les « Momo challenge » (qui pousse les enfants à des actions violentes), « Labello Challenge » (qui incite à la scarification) ou encore « Blackout Challenge » (qui consiste à retenir sa respiration jusqu'à l'évanouissement), le défi de la cicatrice, consistant à se pincer très fort la joue pour laisser une trace, était ainsi particulièrement populaire sur l'application en 2023, cumulant en France plusieurs centaines de milliers de vues^213(*).

La présence de challenges sur TikTok n'est pas étonnante, l'application ayant été à l'origine conçue pour se lancer des défis, notamment des défis de danse. Mais ces challenges prennent de plus en plus la forme de jeux aux conséquences potentiellement dramatiques. En Italie, une fillette de 10 ans est ainsi morte asphyxiée en janvier 2021 après avoir participé sur TikTok à un « Blackout challenge », soit l'équivalent du « jeu du foulard ».

Considérant ce drame non comme un acte isolé mais comme le résultat d'un défaut de modération par TikTok, l'Autorité italienne pour la protection des données personnelles a alors bloqué le réseau social pour les utilisateurs n'étant pas en mesure de prouver qu'ils ont l'âge minimal requis par l'application pour s'inscrire (13 ans). Cette fermeture prenait effet immédiat, jusqu'au 15 février 2021, date à laquelle TikTok devait avoir répondu aux injonctions de l'Autorité italienne. Suite à cette affaire, une enquête pour « incitation au suicide » a été ouverte par le parquet de Palerme.

Après avoir longtemps refusé de communiquer sur ces sujets, TikTok a publié en novembre 2021 un rapport sur l'impact de ces challenges^214(*). Minimisant leurs conséquences, la société affirme que 48 % des adolescents interrogés dans leur étude estiment que les challenges auxquels ils ont été confrontés étaient « amusants » et « légers ». Seuls 17 % d'entre eux considèrent qu'ils étaient risqués et dangereux, dont 3 % les trouvent très dangereux. TikTok concédait seulement qu'une majorité d'adolescents manquait d'informations sur la dangerosité des challenges.

Interrogée sur ce sujet, Mme Marlène Masure, directrice générale des opérations de TikTok France, assure que les « équipes de modération sont mobilisées dès qu'un défi dangereux émerge »^215(*) grâce aux signalements effectués par des associations comme E-enfance. Elle indique que la force de l'application est sa « capacité à réagir très rapidement sur ces sujets » et à fournir « des ressources pour accompagner les jeunes sur la dangerosité de ces défis ».

L'Autorité de la concurrence italienne ne parait pas convaincue par ces assurances puisqu'elle a ouvert en mars 2023 une enquête contre TikTok Irlande, accusant la société de ne pas appliquer ses propres règles de contrôle des « contenus dangereux incitant au suicide, à l'automutilation et aux désordres alimentaires »^216(*). L'Autorité italienne reproche à TikTok de ne pas avoir mis en place des systèmes adéquats de surveillance des contenus, « en particulier en présence d'usagers particulièrement vulnérables comme des mineurs ».

L'ouverture de l'enquête a été motivée par la présence sur la plateforme de nombreuses vidéos d'enfants s'automutilant, le challenge de la cicatrice (dénommée « cicatrice francese » en raison de son origine française) étant devenu viral. Aujourd'hui encore, ces vidéos sont toujours visibles sur TikTok alors même que les règles communautaires de l'application interdisent « d'exposer, de promouvoir ou de partager des projets (...) d'automutilation »^217(*).

Enfin, comme sur d'autres plateformes, il existe également un risque pour les jeunes utilisateurs au cours de discussions sur la messagerie de l'application, d'être attirés dans des discussions privées sur d'autres messageries par des personnes malveillantes.

3. Une politique de modération ambiguë sur les contenus « hypersexualisés »

Si les règles communautaires de TikTok bannissent en principe les contenus à caractère sexuel, force est pourtant de constater que des contenus « para-sexuels » s'y trouvent en quantité, sans être toujours retirés.

Une étude Bloomberg de décembre 2022^218(*) a étudié la présence de ces contenus sur l'application. Le contenu hypersexualisé d'adolescentes prolifère sur toutes les plateformes. Mais il apparait que sur TikTok, de plus en plus de jeunes créatrices publient du contenu suggestif à caractère sexuel, parfois avec l'approbation parentale.

L'étude cite ainsi le cas d'une jeune Américaine, Mme Roselie Arritola, qui compte des vidéos à près de 7 millions de vues. Sa popularité découle en partie de vidéos hypersexuelles - ce qu'elle décrit comme du « contenu choc » - dans lesquels elle « twerke », notamment en bikini string. En 2021, des marques de mode, désireuses de capitaliser sur son « sex-appeal » l'ont rémunérée pour porter leurs vêtements.

Les équipes « Trust & Safety », dont le travail consiste à modérer le contenu de la plateforme, ont fini - après de nombreuses plaintes - par désactiver ce compte en janvier 2021. Deux semaines après la désactivation, le compte a été réactivé. En mai, il a été de nouveau fermé puis réactivé.

Pour Bloomberg, cette affaire illustre l'ambiguïté de la politique de modération de TikTok s'agissant des contenus « para-sexuels » des adolescents. D'une part, les règles de l'application empêchent bien en principe la publication de contenus sexuels, a fortiori de mineurs. Mais d'autre part, ces contenus ayant du succès, TikTok aurait intérêt à adopter une modération laxiste en la matière.

Bloomberg pointait ainsi que la distinction retenue par les équipes de modérateurs entre contenus destinés ou non à être suggestifs restait très délicate à mettre en oeuvre. Elle le serait d'autant plus que les modérateurs seraient censés examiner 1 000 vidéos par jour et ont moins de 20 secondes pour porter un jugement. Réaliser un examen dans ces conditions s'avère difficile. Selon les témoignages recueillis par Bloomberg, les équipes seraient même incitées à « laisser tomber en cas de doute » et à être « indulgents » envers les créateurs dont les vidéos dépassent 5 millions de vues^219(*).

C. DES MESURES PRISES PAR TIKTOK D'UNE EFFICACITÉ INCERTAINE OU CONTOURNÉES PAR LES UTILISATEURS

1. Des réponses peu convaincantes sur les bulles de filtres

Face aux critiques sur un algorithme qui conduit à enfermer les utilisateurs de TikTok dans leurs préférences, les réponses apportées par TikTok apparaissent en décalage.

M. Éric Garandeau, directeur des affaires publiques et des relations institutionnelles de TikTok en France, assure ainsi que l'application « n'enferme jamais les gens dans des bulles, ce qui serait très mauvais »^220(*), alors même que le principe des bulles filtres est au coeur du modèle de l'application. Il précise même que « L'algorithme vise au contraire à stimuler l'utilisateur, en lui proposant des choses qui ne sont pas forcément dans ses préférences exprimées ou dans son historique de parcours sur l'application ».

Ainsi, plutôt que de détailler des mesures pour limiter les effets de ces bulles de filtre, TikTok préfère dénier leur existence même. M. Éric Garandeau indique seulement veiller « à ce que les personnes ayant tendance à aller vers des pratiques un peu extrêmes ne soient pas encouragés à le faire », sans apporter d'autres informations.

Alors que l'accès à l'algorithme de TikTok n'est pas aujourd'hui possible, TikTok, par la voix de son représentant, affirme que l'entreprise fera en sorte que « les algorithmes puissent être auditables ». « S'il y a des préoccupations légitimes sur le fait qu'ils puissent être biaisés ou manipulés », TikTok assure que ces audits permettront de « rassurer sur le fait qu'ils sont utilisés non pas pour développer de l'addiction ou de la toxicité, mais au contraire pour permettre à nos utilisateurs de s'épanouir, se divertir et s'instruire, et de communiquer les uns avec les autres dans un plein souci de la liberté d'expression ».

2. Un encadrement du temps d'écran peu crédible sur la base de décisions volontaires des utilisateurs

En 2022, les 4-18 ans passaient en moyenne près de deux heures par jour sur l'application. 40 % des 16-25 ans sont sur TikTok chaque jour^221(*). Pour répondre à la problématique du temps d'écran, TikTok apporte des réponses nettement insuffisantes.

La solution principale proposée par l'application depuis le début de l'année 2023 passe par le déclenchement, pour les utilisateurs de moins de 18 ans, d'un message de signalement au bout de 60 minutes, suivi au bout de 100 minutes d'un deuxième message. TikTok se félicite de cette mesure, arguant que ¾ des moins de 18 ans font le choix de conserver cette fonctionnalité.

Ce dernier chiffre renseigne en réalité très peu sur l'efficacité du système. TikTok ne communique pas sur le nombre d'adolescents arrêtant l'application à la suite de ces messages, proportion qui permettrait d'évaluer le dispositif. Surtout, faire reposer le contrôle du temps d'écran sur des décisions volontaires d'adolescents, alors que le système même de l'application les pousse à y rester le plus longtemps possible, parait illusoire.

Une autre réponse, avancée par Mme Marlène Masure, directrice générale des opérations de TikTok en France, parait également en décalage. Affirmant que le sujet du bien-être numérique est important pour l'entreprise, elle précise qu'une des solutions consiste « à s'assurer de créer du contenu, à l'échelle de la France, le plus qualitatif possible »^222(*).

Les temps excessifs passés sur l'application ne poseraient ainsi pas de problème, tant que des contenus culturels (dont la proportion n'est pas connue) y figureraient. Malgré des relances, TikTok n'a pas su fournir à la commission d'enquête, à titre d'exemple, la part de visionnages des vidéos BookTok dans le total des visionnages sur l'application en France - si tant est que les vidéos BookTok puissent être considérées comme du contenu de qualité, ce que des éléments récents permettent de fortement mettre en doute^223(*).

3. Le contrôle parental : une solution qui renforce les inégalités

Pour assurer que l'utilisation de TikTok ne soit pas trop intensive, l'entreprise avance également des mesures de contrôle parental.

En réponse aux questionnaires, TikTok indique que « TikTok propose également le mode de Connexion Famille, qui permet aux parents et aux adolescents de personnaliser leurs paramètres de sécurité en fonction de leurs besoins individuels, ce qui aide les parents à guider l'expérience en ligne de leur adolescent tout en leur laissant le temps de l'éduquer à la sécurité en ligne et à la citoyenneté numérique ».

Le recours au contrôle parental pour limiter les temps d'utilisation risque cependant de creuser des inégalités. Comme l'a rappelé le rapporteur lors de l'audition des représentants de TikTok, « les parents CSP+ contrôlent bien plus les applications de leurs enfants - à commencer d'ailleurs par les responsables des grandes plateformes » puisqu'ils ont en général davantage de moyens et de temps pour le faire que d'autres catégories sociales. « En introduisant le contrôle parental comme solution, vous introduisez une discrimination sociale (...) Tant qu'il n'y aura pas une « Protection by Design » de l'application sur le temps d'utilisation, tout le reste, excusez-moi, n'est pas sérieux ».

M. Thomas Rohmer, président de l'OPEN, note ainsi, que « s'agissant du contrôle parental, nous constatons qu'il est insuffisamment utilisé en France : un peu moins de 4 familles sur dix installent un logiciel de contrôle parental ». Selon lui, trop de « fausses promesses » ont été faites « aux parents lors de lors des précédentes campagnes de déploiement de ces outils, en leur faisant croire qu'ils disposaient là d'une solution miracle ». Par ailleurs, il souligne que « grâce aux tutoriels disponibles, il est extrêmement facile pour les enfants de désactiver le contrôle parental ». L'OPEN entend ainsi adopter un principe de réalité et explique aux parents que, dès lors que les enfants atteignent l'âge de 10 ou 11 ans, l'efficience du contrôle parental devient « une sorte de mythe ».

4. Un contrôle d'âge déficient

a) Un contrôle se résumant essentiellement au repérage des comptes suspects

Application massivement plébiscitée par les jeunes, TikTok est en principe interdite aux enfants de moins de 13 ans. Cette interdiction apparait bien faiblement respectée puisque 44 % des jeunes âgées de 11 à 12 ans sont inscrits sur TikTok^224(*). Le renseignement de l'âge sur TikTok étant uniquement déclaratif, l'interdiction aux mineurs de moins de 13 ans est en effet facile à contourner.

Pour répondre à cette difficulté, TikTok compte sur le repérage des comptes suspects. Les comptes soupçonnés d'être détenus par des mineurs de moins de 13 ans sont supprimés. En réponse aux questionnaires de la commission d'enquête, TikTok détaille sa méthode pour repérer ces comptes. L'application « forme une équipe de modération chargée de la sécurité à être attentive aux signes indiquant qu'un compte peut appartenir à un jeune de moins de 13 ans. La plateforme utilise également d'autres méthodes, notamment des "mots-clés" et des signalements internes à l'application de la part de notre communauté, pour aider TikTok à repérer les comptes de mineurs potentiels ».

Au niveau mondial, TikTok dans ses rapports de transparence, souligne qu'entre octobre et décembre 2022, plus de 75 millions de comptes ont été supprimés. Près de 18 millions de ces suppressions (soit le quart) étaient des retraits de comptes suspectés d'être détenus par des mineurs de moins de 13 ans.

TikTok assure par ailleurs que l'inscription sur l'application est impossible pendant plusieurs heures, dans le cas où une date de naissance ne respectant pas la limite des 13 ans aurait initialement été renseignée. La CNIL indique ainsi qu' « après avoir été bloqués parce que nous avions indiqué que nous avions douze ans, nous avons ensuite entré une date de naissance en 1978 (...) et nous avons encore été bloqués. En effet, TikTok vous bloque si vous rentrez deux dates de naissance différentes dans la même heure »^225(*). Avertis de l'interdiction faite aux mineurs de moins de 13 ans, les enfants n'ont donc qu'à veiller à renseigner une date erronée, ce qui ne parait guère compliqué... Cette garantie n'en est pas une.

Source : ARCOM, réponse au questionnaire de la commission

b) Un système de vérification d'âge à mettre en place par TikTok, en suivant les recommandations de la CNIL

Les outils utilisés par TikTok pour contrôler l'âge - qui reposent essentiellement sur les repérages de comptes - ne paraissent pas satisfaisants, preuve en est la proportion croissante de mineurs de moins de 13 ans présents sur l'application. L'ARCOM, dans ses réponses au questionnaire envoyé par la commission d'enquête, notait même que 63 % des Français de 12 ans étaient inscrits sur l'application, y passant en moyenne 35 heures par mois, soit en moyenne plus que les utilisateurs de 15 ans.

Le règlement sur les services numériques (RSN) ne prévoit pas explicitement d'obligation de vérification d'âge pour les plateformes. Il le mentionne seulement comme mesure possible que les plateformes peuvent prendre pour limiter les risques systémiques qu'elles font peser sur le bien-être et la santé de leurs utilisateurs.

Cependant, une proposition de loi^226(*), adoptée à l'Assemblée nationale et au Sénat, vise à instaurer une majorité numérique à 15 ans et appelle à la mise en place de systèmes de vérification d'âge par les plateformes. À partir de 15 ans, l'adolescent atteindrait ainsi cette majorité numérique, l'accord des parents n'étant plus requis pour s'inscrire sur des réseaux sociaux. Entre 13 et 14 ans, l'inscription serait possible, avec l'accord des parents. En dessous de 13 ans en revanche, l'inscription avec l'accord des parents ne pourrait se faire que sur des réseaux sociaux labellisés.

La mise en place de ce dispositif suppose la création d'un dispositif technique de vérification. Plusieurs solutions sont possibles ; elles ont été examinées par la CNIL dans le cadre d'un document de synthèse précisant sa position sur le contrôle de l'âge sur Internet^227(*). Elles peuvent ainsi passer par la vérification de l'âge par validation de la carte de paiement ou encore par estimation sur la base d'une analyse faciale.

La CNIL insiste, quel que soit le système retenu, sur l'importance de recourir à un tiers vérificateur indépendant pour protéger au mieux les données personnelles, sur le modèle de ce qui est envisagé pour l'accès aux sites pornographiques. Un prestataire externe délivrerait ainsi une preuve anonyme de majorité. Comme le souligne le ministre du numérique et des télécommunications M. Jean-Noël Barrot,  « le cadre juridique existe ; les solutions techniques doivent être développées le plus vite possible, pour garantir à la fois la fiabilité du contrôle d'âge et la protection des données personnelles et de la vie privée »^228(*).

Le manque actuel de solution technique optimale ne doit cependant pas exonérer les plateformes, et singulièrement TikTok, de leurs responsabilités. Le président de la commission d'enquête, Mickaël Vallet, a insisté sur ce point devant les représentants de TikTok : « Sur la vérification de l'âge, c'est à la plateforme de prouver qu'elle respecte le droit. Ce n'est pas l'ARCOM qui paiera des ingénieurs pour vous proposer des solutions » ^229(*).

VII. LES RECOMMANDATIONS DE LA COMMISSION D'ENQUÊTE

A. ÉLARGIR L'INTERDICTION DE L'APPLICATION DÉJÀ DÉCIDÉE POUR LES FONCTIONNAIRES AUX OPÉRATEURS D'IMPORTANCE VITALE (OVI)

Constat : l'application est désormais interdite pour les fonctionnaires. Cette interdiction est justifiée étant donnés les risques identifiés par le présent rapport. Toutefois, le périmètre de cette interdiction interroge : n'est-on pas resté « au milieu du gué » ? De nombreuses personnes jouant un rôle important pour la continuité de la vie du pays et pour sa sécurité peuvent en effet continuer à l'installer sur leur terminal portable. Se pose donc la question de l'extension de cette interdiction à d'autres personnes.

Les articles L. 1332-1 à L. 1332-7, L. 2151-1 à L. 2151-5 et R. 1332-1 à R. 1332-42 du code de la défense définissent le régime s'appliquant à plusieurs centaines d'opérateurs d'importance vitale (OVI) en France. Ces opérateurs sont soumis à certaines obligations du fait qu'ils concourent à la production et à la distribution de biens ou de services indispensables à l'exercice de l'autorité de l'État, au fonctionnement de l'économie, au maintien du potentiel de défense ou à la sécurité de la Nation (activités d'importance vitale). Pour se protéger contre les actes de malveillance (terrorisme, sabotage) et les risques naturels, technologiques et sanitaires, les OVI doivent établir des plans pour assurer la continuité de leur activité industrielle (production d'électricité, transport ferroviaire, raffinage pétrolier...). Dans le domaine de la sécurité des systèmes d'information, les OIV doivent ainsi identifier leurs systèmes indispensables à la continuité de leur activité industrielle et les « durcir ».

Dans leur fonctionnement habituel, la plupart des terminaux portables des personnels de ces OVI ne participent probablement pas du bon fonctionnement du système d'importance vitale. En revanche, la sécurité des activités d'importance vitale (SAIV) a bien vocation à s'appliquer dans les situations de crise. Si une telle situation advenait, sous la forme, par exemple, d'une crise entre notre pays et la Chine ou entre notre pays et un pays ami de la Chine, il serait inquiétant que les employés ayant un rôle important dans les OIV aient sur leur smartphone une application susceptible, d'une part, de diffuser de la désinformation ou de censurer une grande partie de ses contenus (comme cela s'est produit lors du début de la guerre en Ukraine), mais aussi capable de collecter des données telles que la localisation ou le carnet d'adresse, d'activer le micro ou la camera, etc.

Cette mesure de prudence pourrait également s'appliquer à certains Opérateurs de services essentiels^230(*) à l'occasion de l'entrée en vigueur de la directive européenne NIS 2. En 2016, la directive NIS 1 visait à augmenter le niveau de cybersécurité des acteurs majeurs de dix secteurs d'activité (soit quelques centaines d'entités en France). La nouvelle directive, qui entrera en application au deuxième semestre 2024 au plus tard, élargira son périmètre d'application à des milliers d'entités dans plus de dix-huit secteurs. Elle concernera notamment des administrations, des entreprises de toute taille mais aussi certaines collectivités territoriales. Ce périmètre peut ainsi constituer un champ d'application pour étudier un nouvel élargissement de l'interdiction de TikTok en raison des risques posés par l'application.

B. ACCORDER À TIKTOK JUSQU'AU 1ER JANVIER 2024 POUR SE METTRE EN CONFORMITÉ AVEC SES OBLIGATIONS ET SE MONTRER COOPÉRATIF VIS-À-VIS DES AUTORITÉS

Au regard des recommandations émises par cette commission d'enquête, des risques avérés de l'utilisation de TikTok et des craintes légitimes de l'opinion publique, un délai de six mois (jusqu'au 1^er janvier 2024) pourrait être accordé à TikTok pour se mettre en conformité avec ses principales obligations et améliorer sa politique de transparence et de coopération avec les autorités. Faute de cette mise en conformité, il conviendrait d'envisager des mesures plus sévères, soit au niveau des instances européennes, soit au niveau national en cas de risque avéré pour la sécurité de l'ensemble des utilisateurs.

S'il a souvent été mis en évidence que l'entreprise était jeune, en forte croissance, concentrée sur le développement de ses produits et sa stratégie commerciale, les dirigeants de TikTok ne peuvent plus faire preuve d'une « feinte naïveté » à l'égard de leurs utilisateurs, en particulier au regard des travaux menés par cette commission d'enquête, des débats publics et des révélations effectuées depuis plusieurs années déjà par plusieurs médias internationaux.

Pendant cette période de six mois, les mesures suivantes devraient notamment être mises en oeuvre par l'entreprise.

1. Mettre pleinement en oeuvre le RSN

Constat : La réticence de TikTok à appliquer le RGPD doit servir de mise en garde pour le RSN.

a) Le défi de la mise en oeuvre du RSN à brève échéance

Le RSN est salué par tous comme une avancée majeure pour la régulation des plateformes. Toutefois, le véritable défi aujourd'hui est d'arriver à faire respecter cette réglementation, ainsi que l'a souligné Mme Nathalie Loiseau, députée européenne et présidente de la sous-commission « défense et sécurité » du Parlement européen.

Dans ce domaine, TikTok part de loin. Comme l'a indiqué l'ARCOM devant la commission d'enquête, les « moyens consacrés à la croissance de l'activité de TikTok l'ont été au détriment de celle des mécanismes de stabilisation ». Les nombreuses déficiences et les absences de réponse relevées dans le Bilan 2022 de l'ARCOM en attestent. M. Marc Faddoul, chercheur en intelligence artificielle, estime pour sa part que l'entreprise a été « débordée par sa propre croissance et n'investit pas suffisamment dans la modération et la sécurité des utilisateurs - son équipe « Trust & Safety » est particulièrement petite -, ceci pour conserver des marges élevées ».

On ne peut que constater l'insuffisance des moyens de modération (le chiffre communiqué de 40 000 personnes dédiées à la sécurité des contenus va bien au-delà de la seule modération) et le manque d'efficacité de cette politique, les contenus faux tardant à être retirés. Les utilisateurs de TikTok consultent trop souvent des contenus dont ils ignorent l'origine. Si l'objectif d'une absence de contenus faux sur TikTok est certes impossible à atteindre, il doit être exigé des plateformes davantage de transparence et une labellisation des sources des contenus qui circulent. Ces lacunes sont d'autant plus préjudiciables qu'une part croissante de la jeunesse s'informe via l'application TikTok. Selon un récent rapport, 20 % des 18-24 ans au niveau mondial utilisent TikTok pour s'informer, une proportion en hausse de 5 points par rapport à l'année dernière.

En outre, la faiblesse des outils de lutte mobilisés ne permet pas de rassurer quant à la possible utilisation de TikTok comme outil de désinformation. Mme Nathalie Loiseau relève qu'un article de China Daily, organe de propagande du parti communiste chinois, précisait que « les médias numériques chinois et russes devraient combattre ensemble les attaques et les provocations des pays occidentaux et mettre en place un environnement international sain s'agissant de l'opinion publique ».

Le rapport de mai 2023 du Parlement européen sur l'ingérence étrangère considère d'ailleurs que « l'application TikTok, détenue par le conglomérat chinois ByteDance (...) constitue une source de désinformation soutenue par la Chine ».

On peut en effet considérer comme une véritable « dépendance informationnelle » le fait que la jeunesse française s'informe de plus en plus sur une application au moins potentiellement contrôlée par la Chine. Après les dépendances sanitaire, énergétique ou industrielle mis en lumière par les crises récentes, il s'agit donc de davantage veiller à la souveraineté informationnelle du pays.

Le renforcement des outils de lutte contre la désinformation sur TikTok parait d'autant plus urgent que des élections majeures se tiendront l'année prochaine dans plusieurs pays : Taïwan, Royaume-Uni, Ukraine, Russie, élections européennes. Comme le note M. Marc Faddoul, « si la modération laisse encore à désirer aux États-Unis et en Europe, la situation est bien pire en Afrique ou au Moyen-Orient, où les risques de déstabilisations sont pourtant encore plus élevés ». Favorisant la polarisation des opinions publiques, les applications comme TikTok doivent assurer la transparence de leurs algorithmes qui constituent, comme le relève M. Raphaël Glucskmann, les « lois de notre nouvelle agora ».

Ainsi, afin que la mise en oeuvre du RSN ne reste pas lettre morte, TikTok doit impérativement et immédiatement démontrer son engagement par un investissement fort dans les domaines couverts par le Règlement : détailler publiquement l'ensemble des nouvelles mesures de transparence et de modération qu'elle met en oeuvre afin de répondre aux critiques de l'ARCOM, accroître les effectifs de modération francophone et préciser ceux qui sont dédiés spécifiquement à la lutte contre la désinformation, assurer un retrait proactif des fausses informations.

L'entreprise doit également accomplir un effort en matière de mise en avant de contenus informatifs fiables, comme l'a recommandé Reporters sans frontières (RSF) lors de son audition devant la commission d'enquête. M. Garandeau a indiqué que TikTok avait d'ores et déjà des partenariats avec Génération Numérique et Conspiracy Watch pour lutter contre les fausses informations. Mais il faut aller plus loin. RSF a ainsi lancé plusieurs initiatives d'ampleur sur ce sujet : le Partenariat sur l'information et la démocratie^231(*) ou encore la Journalism Trust Initiative (JTI). Celle-ci vise à distinguer le « vrai » journalisme sur la base des processus des entités médiatiques et non pas des contenus. Il s'agit d'une norme qui doit permettre une certification par un organisme d'audit externe et indépendant. France TV, par exemple, a d'ores et déjà obtenu cette certification. Pour montrer sa bonne volonté dans ce domaine de l'information fiable, il apparaît donc nécessaire que TikTok adopte une pratique d'amplification algorithmique des contenus issus de médias qui auront obtenu la certification JTI ou toute autre certification du même niveau de fiabilité.

b) Des régulateurs qui doivent être mobilisés pour l'entrée en vigueur du RSN

Plus globalement, les premiers mois de cette mise en oeuvre seront déterminants car il convient montrer aux très grandes plateformes la réalité des pouvoirs de la Commission européenne et sa détermination à en user. Ils serviront d'exemple aux plus petits acteurs.

Il est donc important de cibler dès l'entrée en vigueur du RSN quelques très grandes plateformes à mettre sous surveillance renforcée :Twitter sans doute, compte tenu de l'effondrement de sa modération et son retrait du code européen de bonnes pratiques contre la désinformation ; mais également TikTok qui ainsi que l'a déclaré Benoît Loutrel, membre de l'ARCOM, doit faire « un effort supplémentaire (...) par rapport à d'autres plateformes (...) pour recréer la confiance légitime ».

Par ailleurs, le RSN comprend un certain nombre d'outils - mesures d'enquête, mesures provisoires, astreintes, sanctions - à la main de la Commission européenne pour faire respecter les obligations qu'il prévoit. Ces outils supposent des processus itératifs d'informations préalables et d'échanges d'observations avec les plateformes forcément chronophages. La sanction ultime - une restriction temporaire de l'accès prononcée par l'autorité judiciaire - n'est accessible qu'à titre subsidiaire, « lorsque tous les pouvoirs pour parvenir à la cessation d'une infraction au présent règlement ont été épuisés ». Il convient donc de mettre en oeuvre rapidement ces outils au risque de n'obtenir une suspension que des années après le début de l'infraction.

C'est pourquoi il apparaît nécessaire de réfléchir dès à présent à la stratégie applicable en la matière afin de déterminer étape par étape le processus de réponse graduée applicable aux fournisseurs de très grandes plateformes en ligne non coopératifs, dans une temporalité en cohérence avec le monde numérique.

2. Mettre fin à l'opacité et respecter les acteurs culturels

Constat : TikTok ne rémunère pas ou insuffisamment les ayants droit de ses contenus.

TikTok multiplie les partenariats avec les institutions culturelles prestigieuses grâce sa « force de frappe » financière exceptionnelle. Pour autant, l'application ne rémunère pas les ayants droit producteurs de contenus réutilisés sur la plateforme à la hauteur du chiffre d'affaires qu'ils permettent de générer.

3. Protéger les données personnelles des Français et des européens

Constat : cinq ans après son implantation en Europe, TikTok ne respecte toujours pas le RGPD et la DPC irlandaise n'a pris aucune sanction à son encontre. Le projet Clover apparaît insuffisant à ce jour.

Les représentants de TikTok ont indiqué à la commission d'enquête être confiants sur leur capacité à respecter le RSN. Il est difficile d'accorder du crédit à ces assurances alors que TikTok, de l'avis général, contrevient très largement au RGPD^232(*), pourtant en vigueur depuis le lancement de sa plateforme en Europe.

Le modèle de gouvernance mis en place par le RGPD donne un rôle prééminent à la DPC irlandaise qui est, depuis le 29 juillet 2020, le guichet unique de TikTok - et de nombreuses autres plateformes - pour l'ensemble de l'Union européenne. Depuis cette date, force est de constater que la DPC n'a prononcé aucune sanction à l'encontre de TikTok qui ne respecte pas les obligations du RGPD, notamment de licéité, loyauté, transparence du traitement et de minimisation des données. Il est à noter que le règlement RSN a adopté un modèle différent, puisqu'il confie à la Commission européenne et non à une autorité nationale le soin de sanctionner les très grandes plateformes.

À l'inverse, la CNIL a pu sanctionner TikTok en raison de l'usage de cookies sur le site TikTok.com en application de l'article 82 de la loi Informatique et Libertés. Elle a également pu agir sur ce fondement, qui reste de sa compétence, à l'encontre de plateformes américaines comme Google, Facebook et Amazon.

Or le projet de règlement ePrivacy qui est en cours de discussion modifierait cette situation. Son article 18 prévoit que l'application des règles de confidentialité relève désormais de la responsabilité des autorités chargées de la protection des données, déjà chargées des règles prévues par le RGPD et selon le même mécanisme de guichet unique.

Si l'on comprend cette volonté d'harmonisation, il semble nécessaire d'améliorer préalablement le mécanisme de guichet unique avant de l'étendre. Un certain nombre d'améliorations procédurales ont d'ailleurs été suggérées par le CEDP dans un courrier adressé le 10 octobre 2022 à Didier Reynders, commissaire européen à la justice.

Par ailleurs, le projet Clover ainsi qu'il a été exposé ci-dessus, ne garantit pas, à l'heure actuelle, la protection des données personnelles des utilisateurs européens par rapport aux accès indus d'acteurs malveillants. En outre, TikTok ne s'est pas engagée fermement auprès des autorités sur un délai pour sa réalisation. L'entreprise doit donc réaliser un effort considérable pour convaincre du bien-fondé de ce projet ou proposer une alternative suffisante.

C. EXIGER UNE CLARIFICATION DE LA SITUATION JURIDIQUE DE TIKTOK VIS-A-VIS DE LA CHINE

Constat : la structure de l'entreprise ByteDance ne permet pas d'écarter le risque d'opérations (collecte de données, désinformation) au profit des autorités chinoises. Les mesures de restrictions déjà prises par les autorités françaises et celles de nombreux autres pays sont donc justifiées. Faut-il cependant aller plus loin ?

1. De précédentes tentatives de séparer TikTok du groupe ByteDance

Dans la continuité du débat engagé pendant la présidence de M. Donald Trump, l'administration démocrate de M. Joe Biden accorde désormais une importance renouvelée à la protection de la sécurité nationale, ce qui pourrait conduire à une vente de TikTok aux États-Unis, sous peine d'interdiction. Plus précisément, le Comité pour l'investissement étranger aux États-Unis (CIFUS) viserait les 20 % (et beaucoup plus en termes de droits de vote) du capital du groupe ByteDance immatriculé aux îles Caïmans qui sont toujours détenus par des fondateurs chinois de TikTok.

Les réactions suscitées par ce nouveau durcissement de l'administration américaine vis-à-vis de TikTok confirment les craintes exprimées, à de nombreuses reprises, par cette commission d'enquête. Comme le résume le député européen M. Raphaël Glucksmann : « Quand le gouvernement chinois prévient qu'il ne laissera pas TikTok être vendu, cela veut bien dire que la structure officielle de propriété de TikTok ne reflète en rien le processus réel de décision. C'est tout le problème de ces régimes opaques. Si sur le papier la structure de propriété peut être majoritairement à l'extérieur de la Chine, il n'en demeure pas moins que c'est bien le parti communiste chinois qui décide des orientations prises »^233(*).

De nouveau menacé d'interdiction aux États-Unis, le groupe ByteDance avait déjà refusé, en 2020, une offre de rachat de la part de Microsoft, et a finalement pu continuer d'opérer sur le territoire américain. D'autres grandes sociétés américaines, telles qu'Oracle et Walmart, avaient également engagé des négociations avec le groupe ByteDance, sans succès.

2. Un contexte de rivalité sino-américaine mais des risques avérés

Cette offre de rachat n'est pas anodine, car elle s'inscrit dans un contexte de rivalités économiques, géopolitiques, commerciales, technologiques et numériques exacerbées entre la Chine et les États-Unis. Pour le chercheur M. Julien Nocetti, les déclarations de l'administration américaine viennent éclairer la politique chinoise des États-Unis : « Il s'agit de renforcer la sécurité, mais aussi de ralentir la conquête technologique de Pékin »^234(*).

Hier avec la 5G, dont Huawei a été le révélateur et le catalyseur, aujourd'hui avec l'intelligence artificielle ou avec TikTok, la guerre économique à l'oeuvre entre la Chine et les États-Unis alimente indéniablement les débats et les tensions entre les deux pays. Avec TikTok, comme avec d'autres entreprises, la Chine conteste directement l'hégémonie numérique américaine, tout en renvoyant l'image d'une puissance qui réussit sur la scène internationale. Avec plus d'un milliard d'utilisateurs mensuels actifs, TikTok est aujourd'hui le premier réseau social au monde et l'application la plus téléchargée depuis 2020, ce qui n'est pas sans intérêt pour l'administration américaine, car la « force de frappe » par TikTok est relativement inédite.

Si ce contexte permet de mieux comprendre la pression actuellement exercée par les autorités américaines pour vendre TikTok, il n'en demeure pas moins que les craintes de l'administration américaine sont légitimes, en particulier concernant la gouvernance, la structure et la propriété du capital du groupe ByteDance. Ainsi, une séparation juridique nette entre le groupe ByteDance et TikTok serait de nature à bénéficier à l'ensemble des utilisateurs de TikTok dans le monde.

D. ENCADRER LES ALGORITHMES DE RECOMMANDATION ET DE MODÉRATION

Constat : Les algorithmes de recommandation et de modération, comme ceux déployés sur TikTok, sont devenus les « gardiens » de l'information en ligne d'une partie très importante de la population.

Ainsi que l'a expliqué M. Benoit Loutrel aux membres de la commission d'enquête, « grâce au RSN, nous allons pouvoir exiger une "transparence sortante", c'est-à-dire révéler une information en leur possession concernant l'intention mise dans leurs algorithmes, mais aussi une "transparence entrante", où de l'extérieur nous pourrons révéler des informations qu'ils n'ont pas - leurs algorithmes ont-ils des effets non intentionnels ? - ou des éléments qu'ils essaient de nous cacher ». Sur ces effets non intentionnels, beaucoup reste à faire selon M. Marc Faddoul car les plateformes se concentrent surtout sur le fait de savoir si l'algorithme crée et maintient de l'engagement.

Il n'est d'ailleurs pas certain que les mesures prises par le RSN suffisent à « moraliser » l'algorithme de TikTok, qui est construit pour être « addictif ». Comme le soulignait M. Tariq Krim, la couche de régulation risque bien de rester superficielle si l'algorithme est conçu dès la première brique pour maximiser l'engagement et la « rétention » de l'utilisateur.

Devant la commission d'enquête, l'ARCOM a insisté sur la nécessité d'exiger de TikTok de communiquer publiquement ses réponses aux interrogations des différents régulateurs. Compte tenu des moyens limités des autorités de régulation, les actions entreprises par l'entreprise doivent en effet être jugées collectivement, y compris par le monde académique. M. Benoit Loutrel précise ainsi que les moyens de l'ARCOM sont « dérisoires au regard de la puissance de ces plateformes et de la multiplicité des sujets (...) Nous veillons soigneusement à ne pas nous enfermer dans un dialogue « portes fermées » avec ces plateformes »^235(*). 

TikTok a certes indiqué à l'ARCOM la mise en place d'un programme d'accès aux données pour les chercheurs, comme l'y oblige le RSN, via des interfaces de programmation d'application (API). Force est cependant de constater que très peu de précisions sont apportées pour permettre la mise en oeuvre effective de cet engagement. L'ARCOM a ainsi, sans succès, demandé des compléments d'information : « nous leur avons demandé où était l'information sur ce sujet, si elle était rendue publique, quels étaient les laboratoires qui pouvaient s'en saisir, s'ils pourront mener des recherches de façon indépendante »^236(*).

En outre, lors d'un déplacement récent au Centre de transparence irlandais de l'entreprise, les représentants de l'ARCOM ont réitéré leur demande auprès des responsables de TikTok : ce ne sont pas seulement quelques scientifiques spécialistes des données ou les membres des autorités de régulation qui doivent pouvoir comprendre les intentions et les effets de l'algorithme, mais aussi tous les instituts de recherche qui le souhaiteraient. L'ARCOM n'a pas obtenu d'engagement de TikTok sur ce point.

Dans un second temps, les études qui seront rendues possibles par la transparence des algorithmes exigée par le RSN devront permettre de déterminer si celui de TikTok est compatible avec une absence de risque systémique au sens du Règlement, mais aussi, complétées par des études sanitaires, s'il ne représente pas, en soi, un danger pour la santé psychologique des enfants et des adolescents (cf. ci-dessous). Dans ce dernier cas, le régulateur européen devra en tirer les conséquences en activant le mécanisme de réaction aux crises touchant la sécurité ou la santé publique prévu par le RSN.

Toutefois, compte tenu de l'importance prises par les algorithmes de recommandation et de modération qui peuvent modeler les aspirations de chacun et influer sur le fonctionnement de la démocratie, il semble important d'aller plus loin et d'arrêter au niveau européen un cadre minimal de règles en matière d'éthique et de respect des droits fondamentaux, obligatoires qui seraient à intégrer dès la conception (« by design ») de ces algorithmes. Faute d'une telle évolution, le régulateur risque d'avoir toujours un temps de retard sur les plateformes numériques. Dans ce domaine, la position maximaliste serait d'exiger une interopérabilité des algorithmes et une ouverture à la concurrence du marché des algorithmes. Le modèle même de TikTok en serait affecté, mais il n'est pas exclu que le recul acquis sur le fonctionnement des algorithmes et sur leurs effets conduise in fine à une telle décision.

En tout état de cause, la commission d'enquête souhaite reprendre une recommandation déjà formulée par Mme Florence Blatrix Contat et Mme Catherine Morin-Desailly dans le rapport d'information sur le RSN^237(*), qui semble toujours aussi appropriée.

E. ALLER PLUS LOIN : REPENSER LA RESPONSABILITÉ DES PLATEFORMES QUI ÉDITORIALISENT LEURS CONTENUS ET MIEUX LUTTER CONTRE LES FAUSSES INFORMATIONS

Constat : TikTok reconnaît « éditorialiser » les contenus de son fil « Pour Toi » et aller ainsi au-delà d'un rôle de simple hébergeur.

Selon ses représentants, favoriser la qualité des contenus est un souci constant de la direction des opérations de TikTok SAS, que M. Eric Garandeau a d'ailleurs appelée dans son audition « direction des contenus et des opérations ». Le contenu constitue en effet le gage du maintien de « l'engagement » des utilisateurs.

Ainsi, TikTok encadre les vidéos diffusées par des « bonnes pratiques », en matière de durée, de fréquence de publication ou de stratégie éditoriale ; elle pose des « codes » et une « grammaire »^238(*). Surtout, elle reconnait amplifier manuellement certains contenus^239(*).

« Lorsque nous sommes partenaires d'un événement ou que nous soutenons un programme, nous éditorialisons cet événement. Par exemple, quand nous sommes partenaires du festival de Cannes, nous identifions certains contenus qui nous paraissent être les plus intéressants, car nous voyons qu'ils sont aimés par la communauté, et nous allons les mettre en avant grâce à un petit logo qui s'appelle "officiel" ».

« Cela nous permet d'apporter un avis éditorial sur certains contenus et de nous assurer que les meilleurs partenaires qui font les meilleurs efforts voient leurs contenus valorisés ».

« Les données qu'on collecte sur le moteur de recherche sont des données qui nous permettent uniquement de cibler pour, sur le plan éditorial, pousser un contenu particulier ».

TikTok reconnaît aller plus loin qu'un cadre classique de modération puisqu'elle indique opérer une réduction de la visibilité de certains contenus pour « limiter la diffusion de contenus qui, bien que n'enfreignant pas les Règles communautaires de TikTok, peuvent toutefois ne pas convenir à un large public »^240(*).

Dans ces conditions, il y a lieu de s'interroger sur le statut d'hébergeur qu'elle revendique et l'absence totale de responsabilité deTikTok au titre des contenus qu'elle diffuse sur son fil.

Ce sujet n'est pas nouveau, mais il se pose avec une plus grande acuité pour TikTok compte tenu de ses pratiques qui lui confère un rôle actif sur les contenus mis en ligne. Par analogie, le statut de simple hébergeur a été écarté s'agissant de la plateforme Ebay en raison du fait qu'elle n'avait pas exercé une simple activité d'hébergement mais qu'elle avait, indépendamment de toute option choisie par les vendeurs, joué un rôle actif de nature à leur conférer la connaissance ou le contrôle des données qu'elles stockaient^241(*). Ou plus récemment, la Cour de cassation a reconnu la responsabilité d'un site qui, « par son assistance, consistant notamment à optimiser la présentation des offres à la vente en cause et à promouvoir celles-ci, ce qui reposait sur sa connaissance ou son contrôle des données stockées, avait un rôle actif »^242(*).

Une assimilation des plateformes qui effectuent de la recommandation algorithmique de contenus à des éditeurs avait été proposée par le rapporteur en mars 2021 et adoptée par le Sénat lors de la discussion de la loi confortant le respect des principes de la République^243(*). La commission des affaires européennes a également fait sienne cette analyse dans sa résolution européenne sur la proposition de règlement du Parlement européen et du Conseil relatif à un marché intérieur des services numériques^244(*).

Lors de son audition, le chercheur M. Marc Faddoul s'est déclaré favorable à ce rapprochement de responsabilité dans la mesure où un algorithme comme YouTube, par exemple, a plus de pouvoir éditorial sur la circulation d'information que, sans doute, les grands journaux américains ou français. Le choix des thèmes qui reçoivent ce traitement d'informations présélectionnées ou préfiltrées constitue en soi une édition.

Cette analyse est d'autant plus vraie dans le cas de TikTok qui agit de manière ciblée sur le fonctionnement de son algorithme.

La commission d'enquête réitère donc la recommandation émise par ses membres Mme Florence Blatrix Contat et Mme Catherine Morin-Desailly en décembre 2021 dans leur rapport d'information accompagnant la proposition de résolution européenne précitée^245(*), qui souhaitaient que le RSN aille plus loin qu'une reconnaissance circonstanciée de responsabilité au regard du droit de la consommation des plateformes en ligne permettant aux consommateurs de conclure des contrats à distance avec des professionnels.

Par ailleurs, si le RSA met à la charge des plateformes numériques la lutte contre les fausses informations, les régulateurs nationaux devant seulement vérifier que ces plateformes mettent en oeuvre les moyens qui leur incombent à cette fin, il demeure utile qu'une personne qui remarque un « contenu » particulièrement trompeur et dangereux puisse le dénoncer directement aux pouvoir publics. Ceci ne concerne pas uniquement TikTok, mais le présent rapport illustre les difficultés particulières rencontrées par la plateforme pour supprimer les contenus de ce type.

Actuellement, il est possible de dénoncer une fausse information de deux manières selon le média par lequel elle est diffusée. S'il s'agit de la radio ou de la télévision, la fausse information peut être signalée auprès de l'Arcom. S'il s'agit d'une information diffusée sur une plateforme numérique, elle peut être signalée, comme tous les autres types d'infraction, à la plateforme Pharos placée auprès du ministère de l'intérieur. Toutefois, cette faculté reste théorique. En effet, sur le site de la plateforme Pharos, l'item « fausse information » n'est pas présent parmi la liste des infractions (telles que le terrorisme, l'escroquerie bancaire, la pédopornographie, etc) parmi lesquelles il faut obligatoirement choisir pour effectuer une déclaration. Il apparaît donc nécessaire de modifier ce formulaire de déclaration et, pour Pharos, de prendre davantage en compte cette problématique.

Par ailleurs, lors des émeutes consécutives à la mort de Nahel M., le 26 juin 2023, les réseaux sociaux Snapchat et TikTok ont joué, de l'avis de nombreux observateurs, un rôle important d'amplification des émeutes et de leur niveau de violence, avec un grand nombre de vidéos montrant des scènes inacceptables de violences urbaines et de pillage, démontrant de nouveau les failles des politiques de modération des contenus des réseaux sociaux. Ce sujet a d'emblée été pris en compte au plus haut niveau de l'Etat puisque le président de la République a demandé publiquement à ces plateformes d'avoir une modération plus proactive des contenus pouvant inciter à la violence. Le chef de l'Etat a ainsi évoqué « une forme de mimétisme de la violence, ce qui chez les plus jeunes conduit à une forme de sortie du réel ». TikTok et Snapchat ont également été utilisés pour organiser certains rassemblements violents ou des pillages. Les représentants de Snapchat et TikTok ont été reçus au ministère de l'Intérieur le 30 juin.

Cet épisode montre, s'il en était besoin, le rôle très important que peut jouer TikTok dans de tels événements susceptibles de provoquer de graves troubles à l'ordre public ou à la sécurité des personnes et des biens, allant jusqu'aux incendies de bâtiments publics. La jeunesse des participants aux émeutes a souvent été relevée : la plupart d'entre eux auraient entre 14 et 18 ans, âge qui constitue justement le « coeur de cible » de TikTok. Ceci met particulièrement en relief les risques que représente une application ainsi largement diffusée, dont les contenus, comme il a été démontré, pourraient être biaisés au profit d'autorités chinoises soucieuses d'alimenter des troubles susceptibles d'affaiblir l'image de la démocratie. Il est d'autant plus nécessaire que TikTok cesse de se contenter de renvoyer à l'application de ses règles communautaires et vise une bien meilleure efficacité dans la modération, la lutte contre la désinformation et l'utilisation de sa plateforme pour des appels à l'émeute. Un tel contrôle doit s'effectuer a priori et non a posteriori.

F. MOBILISER LE MONDE ACADÉMIQUE POUR EVALUER LES MESURES PRISES PAR TIKTOK ET DETERMINER SCENTIFIQUEMENT SES EFFETS PSYCHOLOGIQUES, PRENDRE DES MESURES EN CAS DE DANGER AVÉRÉ

Constat : les études manquent pour évaluer les dispositifs mis en place par TikTok et pour mesurer les impacts de l'application sur la jeunesse.

La mobilisation du monde académique sera nécessaire sur les effets psychologiques de TikTok. Les études étant encore très peu nombreuses, il convient de soutenir la recherche afin de mener des travaux approfondis sur la question. Comme le note Mme Laurence Rossignol, s'il est important de distinguer entre effet de corrélation et effet de causalité, « certaines corrélations méritent d'être prises au sérieux »^246(*). Mme Milan Hung, psychologue clinicienne auditionnée par la commission d'enquête, abonde en ce sens, insistant sur la « nécessité d'une investigation autour des effets de corrélation » et appelant à « consacrer des moyens à la poursuite des recherches »^247(*).

Enfin, on ne peut exclure que des contenus qui se propagent de manière virale sur la plateforme posent un danger sanitaire immédiat. Rappelons qu'en janvier 2021, l'autorité de protection des données italienne (Italian (Garante per la protezione dei dati personali - GPDP) a décidé de prendre des mesures urgentes, en application de l'article 66 du RGPD, après la mort d'une fillette âgée de 10 ans à Palerme à la suite d'un défi TikTok. La GPDP a ainsi imposé à TikTok une suspension de tous les traitements de données provenant de personnes dont l'âge ne pouvait être établi avec certitude. En outre l'autorité de la concurrence italienne a lancé une procédure à l'encontre de la société pour non-respect de ses propres règles de retrait des contenus dangereux. En France, la CNIL et la DGGCCRF pourraient, en tant que de besoin, entreprendre les mêmes démarches.

G. METTRE EN PLACE UN VÉRITABLE SYSTÈME DE VERIFICATION DE L'AGE ET INSTAURER UN BLOCAGE DE TEMPS POUR LES MINEURS

Constat : malgré l'interdiction de principe de s'y inscrire, près de 45  % des jeunes Français de 11 à 12 ans ont un compte TikTok.

L'application TikTok est utilisée par une grande majorité des adolescents. Elle l'est également de plus en plus par des enfants de moins de 13 ans, alors même que l'inscription est en principe interdite en dessous de cet âge. Les chiffres communiqués par l'autorité de régulation britannique sont à cet égard frappants. 16 % des enfants britanniques de 3 et 4 ans utilisent déjà TikTok selon les déclarations de leurs parents. Ce pourcentage atteint 33 % pour les 5 à 7 ans et 60 % pour les 8 à 11 ans.^248(*)

Les plateformes, et singulièrement TikTok, doivent instaurer un système de contrôle de l'âge performant, qui respecte les préconisations fixées par l'ARCOM, en lien avec la CNIL. La solution technique que mettra en oeuvre TikTok devra permette de contrôler l'âge des personnes présentes sur l'application, pour le « flux » (les futurs inscrits) comme pour le « stock », et de respecter le cadre national et européen sur la protection des données personnelles, plus protecteur pour les mineurs.

Comme déjà rappelé, ce contrôle d'âge doit se faire via un système prévoyant un tiers vérificateur indépendant, condition indispensable pour protéger au mieux les données personnelles. En outre, le recours à la reconnaissance faciale, trop attentatoire à la vie privée, ne saurait être retenu.

Par ailleurs, les témoignages recueillis par les psychologues cliniciens, tout comme le constat fait par les experts d'une « addictivité » plus grande de l'algorithme de TikTok, incitent à instaurer un blocage de l'application au bout de 60 minutes pour les mineurs. Les mesures avancées par TikTok ne sont en effet pas à la hauteur des enjeux. Elles reposent soit sur la confiance dans des décisions volontaires d'adolescents via des messages d'alerte, soit sur le contrôle parental. Compter sur le contrôle parental risque de créer des discriminations sociales entre enfants dont les parents peuvent contrôler l'usage des écrans et ceux qui n'en ont ni le temps ni les moyens.

L'amélioration de la qualité des contenus ne saurait être non plus une réponse au temps toujours croissant passé par les adolescents sur l'application. La promotion de contenus culturels (comme BookTok, dont l'apport culturel est d'ailleurs discutable) ou sportifs est l'arbre qui cache la forêt de nombreux contenus enfermant les utilisateurs dans leurs préférences, jusqu'à en être potentiellement dangereux (troubles alimentaires, suicides, dysmorphophobie...)

Outre ces obligations de régulation qui doivent être imposées à TikTok, des programmes de formation doivent être dispensés afin d'améliorer l'éducation au numérique. Comme le note Mme Sabine Duflo, psychologue clinicienne, « le bon moment pour intervenir, c'est dans les maternités, quand les mères sont enceintes». Des informations dédiées pourraient être dispensées dans le cadre de la protection maternelle et infantile (PMI).

H. PRÉVOIR UNE POSSIBILITÉ DE SUSPENSION EN CAS D'ABSENCE DE RÉPONSE ET DE NON-RESPECT DE SES OBLIGATIONS ESSENTIELLES PAR TIKTOK AVANT LE 1ER JANVIER 2024

Les membres de la commission d'enquête regrettent que de nombreuses questions posées aux représentants de TikTok n'aient pas reçu de réponses, ou seulement des réponses incomplètes, élusives et biaisées. Il en est ainsi des questions :

-sur le capital et les statuts de la maison-mère de TikTok, Bytedance ;

-sur le rôle actuel de Zhang Yiming, fondateur de Bytedance ;

-sur l'algorithme, sa propriété intellectuelle et la localisation des ingénieurs qui l'élaborent ;

-sur les entités de Chine continentale avec lesquelles TikTok est en relation permanente ;

-sur la nature des données des utilisateurs transférées à l'étranger et en particulier en Chine ou sur l'accès répété d'employés situés dans ce pays à ces données ;

-sur la raison de ces transferts et de cet accès répété ;

-sur la question de savoir si le projet Clover mettra fin ou non à ces transferts de données ;

-sur les entreprises qui mettront en oeuvre ce projet Clover ;

-sur la raison de la collecte de nombreuses données qui ne paraissent pas de nature à permettre une amélioration de l' « expérience utilisateur » ;

-sur le nombre de mineurs qui cessent réellement d'utiliser l'application au bout d'une heure.

Il est impératif que TikTok réponde à l'ensemble de ces questions dans un délai de 6 mois.

Il doit en être de même pour la mise en oeuvre par TikTok des principales recommandations de ce rapport :

-la clarification des statuts et de l'actionnariat de la maison-mère Bytedance et la séparation effective avec la Chine ;

-la mise en conformité avec les prescriptions du DSA, incluant la mise en place d'une modération et d'une lutte contre la désinformation enfin efficaces, ainsi que la création d'interfaces de programmation ouvertes et transparentes ;

-la présentation de garanties supplémentaires pour le projet Clover ;

-la mise en place d'un contrôle effectif de l'âge et de mesures concrètes pour lutter contre l'utilisation excessive par les adolescents et contre leur enfermement dans des « bulles de filtres » ;

-la fin de la « piraterie » des contenus sur l'application.

Faute d'une réponse satisfaisante à l'ensemble de ces interrogations et de l'adoption des mesures nécessaires pour satisfaire ces impératifs dans les six mois à compter de la fin des travaux de cette commission d'enquête, les risques posés par TikTok pour la sécurité nationale, qui ont déjà suscité de nombreuses décisions d'interdiction et de restriction dans le monde, justifieront une mesure de suspension de la plateforme par le Gouvernement français, qui devra également proposer à la Commission européenne, responsable de la supervision des très grandes plateformes au niveau européen, de prendre les mesures les plus sévères.

ANNEXE 1 : CIRCULAIRE D'INTERDICTION DES APPLICATIONS RÉCRÉATIVES

ANNEXE 2 : L'EXTRATERRITORIALITÉ DU DROIT CHINOIS

Étude du service de la législation comparée du Sénat

1. La notion d'extraterritorialité en droit international

L'extraterritorialité peut être définie, de façon large, comme « la situation dans laquelle les compétences d'un État (législatives, exécutives ou juridictionnelle) régissent des rapports de droit situés en dehors du territoire dudit État »^249(*) ou « le fait pour l'État d'appréhender à travers son ordre juridique des situations extérieures à son territoire »^250(*).

Le système international issu des traités de Westphalie de 1648 établit la souveraineté nationale et l'intégrité territoriale comme principes suprêmes du droit international, faisant ainsi de la territorialité un pilier fondamental du droit international. Dans l'affaire du Lotus, en 1927, la Cour permanente de justice internationale a retenu qu'un État peut exercer sa compétence normative ou juridictionnelle à des personnes, des biens et des actes en dehors de son territoire, dès lors qu'il existe un fondement. En revanche, l'arrêt Lotus interdit à tout État « l'exercice de sa puissance sur le territoire d'un autre État »^251(*), sauf règle de droit international contraire. « En d'autres termes, seul le pouvoir de coercition de l'État ne peut s'exercer sur le territoire d'un autre État. Un État peut cependant légitimement adresser ses normes et prescriptions à ses nationaux et même aux étrangers hors de son territoire, sous réserve de l'existence d'un lien de rattachement suffisant entre la situation donnée et cet État »^252(*). La présente note se concentre sur l'extraterritorialité en tant que compétence normative ou juridictionnelle et non sur l'exécution extraterritoriale de la loi.

2. Quelques caractéristiques du droit chinois

En Chine, pays de droit continental, les textes législatifs sont la source principale du droit. La hiérarchie des normes juridiques, clarifiée par la loi de 2000 sur la législation, suit l'ordre suivant : « la Constitution en premier lieu, puis les lois - y compris les lois fondamentales adoptées par l'Assemblée populaire nationale et les lois adoptées par son Comité permanent -, les règlements administratifs [...], les règlements locaux [...], enfin les décrets ministériels et les actes des gouvernements locaux »^253(*). En 2021, on comptait 288 lois et environ 800 règlements^254(*) ; le code civil chinois est entré en vigueur cette même année. Il convient de noter que la Cour populaire suprême et le Parquet populaire suprême - les deux institutions judiciaires suprêmes chinoises - ont un pouvoir important d'interprétation de la loi. En effet, « l'interprétation judiciaire est une originalité chinoise. [...] Née du besoin de juger les affaires en appliquant les lois qui étaient souvent trop générales ou vagues, l'interprétation judiciaire, dont l'importance s'accroît considérablement, sert effectivement de véritable source de droit et joue un rôle indispensable tant pour comprendre le droit chinois que pour le mettre en oeuvre à l'occasion d'un litige. »^255(*).

Par ailleurs, le droit chinois se caractérise par un certain pragmatisme, étroitement lié à la pensée traditionnelle chinoise. « D'où une « propension à la flexibilité », l'application rigide d'une norme à des réalités diverses ne pouvant conduire qu'au « désordre ». L'approche du droit est donc tout sauf dogmatique : bien au contraire, elle est au plus près de la réalité concrète, des besoins, des circonstances, aucune vérité n'étant établie à l'avance »^256(*).

Enfin, si la réforme judiciaire de 2014 a permis d'affirmer l'objectif de garantir l'impartialité et l'indépendance des cours et des parquets^257(*), la Constitution ne prévoit pas de principe de séparation des pouvoirs^258(*) et son préambule affirme le rôle prépondérant du Parti communiste chinois (PCC) et du marxisme-léninisme pour diriger et guider « les différentes nationales de Chine »^259(*).

3. Les lois chinoises à portée extraterritoriale dans le domaine du numérique et de la protection des données

a) Aperçu général

En 2019, à l'issue de la deuxième session de la commission pour la gouvernance globale fondée sur le droit du PCC, ce dernier affirmait son ambition d'établir un système juridique d'application extraterritoriale (« [le pays] devrait s'efforcer d'accélérer la construction d'un système juridique d'application extraterritoriale de notre droit national »)^260(*). Depuis, cette ambition a été réaffirmée à plusieurs reprises, notamment en 2022, lors d'une conférence sur « les réalisations de la Chine en matière de promotion de l'État de droit dans la nouvelle ère », organisée par le comité central du PCC^261(*).

Bien que contestant régulièrement la pratique des États-Unis de la « juridiction étendue » (long-arm jurisdiction), la Chine a décidé de construire son propre système juridique d'extraterritorialité^262(*). Si elle pas encore mis en place un tel système juridique complet, il existe de nombreuses lois chinoises prévoyant des règles d'extraterritorialité fondées, selon les cas, sur des principes différents (principe de personnalité, principe de protection de la souveraineté de l'État, principe de compétence universelle et théorie des effets)^263(*). Sans prétendre à l'exhaustivité, on peut citer, sur la base de l'inventaire réalisé par les professeurs Zhengxin Huo et Man Yip et des propres recherches de la division :

- en matière pénale, le code pénal^264(*) (articles 7 à 9) et la loi de 2020 sur la sécurité nationale de Hong Kong (article 37), qui se fondent notamment sur le principe de personnalité selon lequel un État a le droit d'exercer sa compétence sur ses ressortissants, même s'ils se trouvent en dehors de son territoire ;

- en matière fiscale, la loi sur l'impôt sur le revenu des personnes physiques (article 1) et la loi sur l'impôt sur le chiffre d'affaires des entreprises, dernièrement amendées en 2018 (principe de personnalité) ;

- en matière économique et financière, la loi de 2007 de lutte contre les monopoles (article 2), dernièrement amendée en 2022, la loi de 2008 sur les valeurs mobilières, telle que modifiée en 2019 (article 2) et la loi de 2022 sur les contrats à terme et les produits dérivés (article 2). Les projets de révision de la loi de 2007 sur les banques commerciales et de la loi de 2004 sur la supervision bancaire (article 47) prévoient des dispositions analogues relatives à la compétence extraterritoriale^265(*). Dans tous ces cas, l'extraterritorialité se fonde sur la théorie des effets, selon laquelle un État peut exercer sa compétence sur des actes commis à l'étranger par des personnes étrangères lorsque ces actes ont des effets sur le territoire de l'État régulateur^266(*) ;

- en matière de sécurité nationale, la loi de 2014 de lutte contre l'espionnage (article 27) dernièrement amendée en 2023, la loi antiterroriste de 2015 (article 11), la loi de 2016 sur la cybersécurité (article 75) et la loi de 2017 sur le renseignement national (articles 7 et 10). Les dispositions extraterritoriales de ces textes sont fondées sur le principe de protection, en vue de prémunir l'État contre des actes perpétrés à l'étranger qui pourraient menacer sa souveraineté ou son indépendance politique ;

- en matière de protection des données et de numérique, la loi de 2021 sur la sécurité des données (article 2) et la loi de 2021 sur la protection des données personnelles (PIPL^267(*), article 2). Le projet de mesures administratives visant à réguler les services d'intelligence artificielle générative, publié en avril 2023 par l'administration du cyberespace de Chine (CAC), a également une portée extraterritoriale dans la mesure où il s'appliquerait à tout fournisseur de service en Chine, y compris aux entreprises étrangères^268(*).

Les textes pouvant présenter un intérêt spécifique pour les travaux de la commission d'enquête - c'est-à-dire, d'une part, les trois textes formant le cadre juridique de la protection des données en Chine (loi sur la cybersécurité, loi sur la sécurité des données et PIPL) et, d'autre part, les lois sur le renseignement et la lutte contre l'espionnage, sont présentés plus en détail ci-après.

b) Le cadre juridique de la protection des données

La loi sur la cybersecurité, adoptée en 2016 par le Comité permanent de l'Assemblée populaire nationale et entrée en vigueur le 1^er juin 2017, traite principalement de la sécurité des réseaux et des informations numériques. Avant l'adoption, en 2021, de la loi sur la sécurité des données et de la loi sur la protection des données personnelles (PIPL), il s'agissait du seul texte législatif régissant le traitement des données^269(*). Cette loi marque, en outre, une étape importante dans le développement de l'extraterritorialité du droit chinois : « Une innovation frappante de la loi sur la cybersécurité est la prescription de l'extraterritorialité, qui ne figure pas dans les règles précédentes. [...] Elle intègre non seulement la compétence normative sur les actes extraterritoriaux énumérés, mais elle énonce également les sanctions juridiques concrètes visant à garantir l'extraterritorialité dans la pratique. Il s'agit d'une étape importante dans l'histoire législative chinoise : c'est la première règle sur l'extraterritorialité qui a été dotée de « dents » pour en renforcer l'applicabilité ; il ne s'agit pas d'un simple tigre de papier »^270(*). L'article 75 de la loi sur la cybsersécurité, tel que traduit dans le cadre du projet de recherche de l'université de Stanford « Digichina » prévoit en effet que : « Lorsque des institutions, des organisations ou des individus étrangers se livrent à des attaques, des intrusions, des interférences, des dommages ou d'autres activités qui mettent en danger l'infrastructure d'information critique de la République populaire de Chine et entraînent de graves conséquences, la responsabilité légale doit être recherchée conformément à la loi ; les départements de la sécurité publique relevant du Conseil d'État et les départements concernés peuvent également décider de geler les avoirs des institutions, des organisations ou des individus ou de prendre d'autres mesures punitives nécessaires »^271(*).

La loi sur la sécurité des données a été adoptée en juin 2021 par le Comité permanent de l'Assemblée populaire de Chine et est entrée en vigueur le 1^er septembre 2021. Elle concerne l'ensemble des traitements (collecte, stockage, utilisation, transmission...) de données, personnelles ou non, et instaure deux catégories de données sensibles : les « données nationales essentielles » (national core data) et les « données importantes » (important data). Les données nationales essentielles sont définies à l'article 21 comme des données concernant la sécurité nationale, les intérêts économiques, le bien-être des citoyens chinois ou l'intérêt public, et sont considérées comme le type de données le plus sensible. Les données importantes sont classées au deuxième rang des données les plus sensibles, mais ne sont pas clairement définies dans le texte^272(*). Des amendes de maximum 10 millions de yuans (1,3 million d'euros) et la révocation du permis d'exploitation peuvent être prononcées à l'égard des organisations ou personnes ne respectant pas les règles de traitement des données nationales essentielles (article 45). De plus, quiconque fournit des données importantes à l'étranger peut se voir ordonner de procéder à des rectifications et infliger une amende pouvant s'élever jusqu'à 10 millions de yuans si les circonstances sont graves (article 46). Une compétence extraterritoriale est prévue, sur la base du principe de protection. Selon l'article 2 de cette loi, traduite en anglais par les autorités chinoises, « La présente loi s'applique aux activités de traitement des données ainsi qu'à la supervision et à la réglementation de la sécurité de ces activités sur le territoire de la République populaire de Chine. Lorsque le traitement de données en dehors du territoire de la République populaire de Chine porte atteinte à la sécurité nationale, aux intérêts publics ou aux droits et intérêts légitimes de personnes ou d'organisations de la République populaire de Chine, la responsabilité juridique sera examinée conformément à la loi »^273(*).

La loi sur la protection des données personnelles (PIPL), adoptée en août 2021 et entrée en vigueur le 1er novembre 2021, est considérée comme l'équivalent du règlement général sur la protection des données (RGPD) de l'Union européenne. La PIPL couvre toutes les activités liées aux données personnelles des résidents chinois, qu'elles soient collectées en Chine ou à l'étranger. Selon la traduction officielle, l'article 3 indique en effet : « La présente loi s'applique au traitement des données à caractère personnel des personnes physiques sur le territoire de la République populaire de Chine. La présente loi s'applique également au traitement, en dehors du territoire de la République populaire de Chine, d'informations à caractère personnel concernant des personnes physiques se trouvant sur le territoire de la République populaire de Chine, dans l'une des circonstances suivantes : (1) dans le but de fournir des produits ou des services à des personnes physiques sur le territoire de la République populaire de Chine ; (2) pour analyser ou évaluer le comportement de personnes physiques sur le territoire de la République populaire de Chine ; et (3) toute autre circonstance prévue par une loi ou un règlement administratif »^274(*). Comme le RGPD, la PIPL introduit le droit de limiter ou de refuser le traitement des données à caractère personnel et l'exigence d'obtenir un consentement explicite avant de transférer les données personnelles à des tiers (articles 13 et 14). Le texte s'applique à la collecte de données par les entreprises privées et publiques et comprend des dispositions obligeant les agences gouvernementales chinoises à informer les individus et à obtenir leur consentement. Cependant, une dérogation est prévue en cas de traitement « dans l'intérêt public » (article 13 (15)).

c) Les lois sur le renseignement et sur la lutte contre l'espionnage

La loi sur le renseignement national, adoptée en 2017 et modifiée en 2018^275(*), codifie la pratique existante en matière de renseignement, établit une distinction entre les fonctions du renseignement civil et du renseignement militaire et des principes juridiques pour le fonctionnement des agences de sécurité de l'État, sans précisément les nommer ni définir la notion de « renseignement »^276(*). En son article 7, elle énonce le devoir, pour les citoyens et les entreprises, de coopérer avec les agences de renseignement et de sécurité de l'État : « Toutes les organisations et tous les citoyens doivent soutenir, assister et coopérer aux efforts des services de renseignement nationaux conformément à la loi, et protéger les secrets des services de renseignement nationaux dont ils ont connaissance ». L'article 10 donne une portée extraterritoriale à cette loi : « Dans la mesure où cela est nécessaire à leur travail, les services nationaux de renseignement doivent utiliser les moyens, les tactiques et les canaux nécessaires pour mener à bien leurs activités de renseignement, tant à l'intérieur qu'à l'extérieur du pays ». La combinaison des articles 7 et 10 peut ainsi faire craindre que des données personnelles appartenant à des citoyens étrangers et détenues par des entreprises chinoises soient transmises aux services de renseignement chinois^277(*).

En avril 2023, le Comité permanent de l'Assemblée populaire de Chine a modifié la loi de 2014 de lutte contre l'espionnage, prévoyant non seulement une extension du périmètre des activités considérées comme des « activités d'espionnage » ainsi qu'une extension extraterritoriale de son champ d'application^278(*). Aux termes de l'article 4, « Cette loi s'applique aux organisations d'espionnage et à leurs agents sur le territoire de la République populaire de Chine, ou en profitant des citoyens, des organisations ou d'autres conditions de la République populaire de Chine pour se livrer à des activités d'espionnage contre un pays tiers, mettant en danger la sécurité nationale de la République populaire de Chine »^279(*). L'article 8 prévoit également que « Tous les citoyens et toutes les organisations ont l'obligation de soutenir et d'aider légalement les efforts de contre-espionnage et doivent préserver les secrets des services de contre-espionnage dont ils ont connaissance »^280(*).

ANNEXE 3 : LE DROIT AMÉRICAIN EN MATIÈRE DE PROTECTION DES DONNÉES, DE MODÉRATION DES CONTENUS ET DE LUTTE CONTRE LA DÉSINFORMATION

La présente note présente un aperçu de la législation fédérale et des États - en particulier de la Californie - dans ce domaine, tout en faisant référence au cadre constitutionnel et, le cas échéant, à la jurisprudence récente.

La protection des données personnelles

La notion de « protection des données » (data protection) est récente en droit américain. Elle est généralement assimilée au concept anglo-saxon de « data privacy » qui peut être traduite par « données relatives à la vie privée » mais fait plus largement référence à la façon dont les informations personnelles^281(*) sont collectées, utilisées et partagées. Selon le service de recherche du Congrès des États-Unis, du point de vue législatif, le concept de data protection mêle les notions de data privacy et de data security (ce dernier concernant la façon les données personnelles sont protégées de l'accès ou de l'utilisation par des personnes non autorisées)^282(*). La présente note retient cette définition de la protection des données.

L'absence de cadre juridique global au niveau fédéral

Aux États-Unis, ni le droit coutumier (common law), ni la Constitution ne fournissent un cadre suffisant pour protéger les individus et les consommateurs des nombreuses menaces potentielles qui pèsent sur leurs données dans l'espace numérique. Les normes les plus importantes en matière de protection des données relèvent de la loi, avec une multitude de textes législatifs aux niveaux fédéral et des États^283(*).

Influencé par un article de Louis Brandeis et Samuel Warren publié en 1890 dans la Harward Law Review et intitulé « The Right to Privacy », le droit coutumier de la plupart des États fédérés reconnaît quatre délits en matière de protection de la vie privée (« privacy torts ») : l'intrusion dans la vie privée, la divulgation publique de faits privés, l'appropriation du nom ou de l'image d'une personne et la publicité donnant une fausse image d'une personne. Cependant, ces délits se concentrent sur la divulgation publique d'informations privées ce qui limite leur pertinence dans le cadre des débats actuels sur la protection des données, qui concernent essentiellement la façon dont les données sont collectées, protégées et utilisées^284(*).

Sur le plan constitutionnel, bien que la Cour suprême ait interprété la Constitution des États-Unis comme accordant aux individus un droit à la vie privée (right to privacy), ce droit protège généralement les individus uniquement contre les intrusions de l'État et non contre celles des acteurs privés^285(*). Ainsi, en 1967, dans sa décision Katz v. United States^286(*), la Cour suprême a considéré que le Quatrième amendement^287(*), sans créer un « droit général à la vie privée », protégeait néanmoins « les personnes, et non les lieux » ainsi que la vie privée des individus contre certains types d'intrusion gouvernementale^288(*). Ce principe a évolué au fil du temps et en est venu à protéger, dans une certaine mesure, l'intérêt des individus dans le cadre de leur vie privée numérique. Par exemple, dans l'affaire Carpenter v. United States^289(*) de 2018, la Cour suprême a conclu que la protection de la vie privée prévue par le Quatrième amendement s'étendait à la protection de certaines informations - comme l'enregistrement des déplacements physiques par un téléphone portable - contre l'intrusion de l'État, même lorsque ces informations étaient partagées avec un tiers^290(*). Dans l'arrêt Whalen v. Roe^291(*) de 1977, la Cour suprême a également conclu que la garantie de liberté énoncée par le Quatorzième amendement impliquait l'existence d'un droit plus général à la vie privée, protégeant les individus contre l'intrusion de l'État et ce même en dehors du contexte de perquisition et de saisie. Selon la Cour suprême, ce droit constitutionnel à la vie privée « implique en fait au moins deux types d'intérêts différents. L'un est l'intérêt individuel à éviter de divulguer des informations personnelles, et l'autre est l'intérêt de prendre en toute indépendance certains types de décisions importantes »^292(*) (en l'occurrence la décision de mettre fin à une grossesse). Cet intérêt, le droit d'éviter la divulgation d'informations personnelles est désormais connu sous le nom de droit à la confidentialité des informations (informational privacy)^293(*).

La portée de la jurisprudence constitutionnelle est cependant limitée par la doctrine de l'action de l'État (state action doctrine) selon laquelle seule l'action des autorités est soumise à un contrôle en vertu de la Constitution. En revanche, la conduite purement privée ne peut être interdite, « peu importe à quel point cette conduite peut être injuste »^294(*). L'objectif de cette doctrine est de protéger les libertés individuelles en veillant à ce que l'action privée ne soit pas soumise à des limitations constitutionnelles. Le raisonnement de la Cour suprême est ainsi de «préserver un espace de liberté individuelle en limitant la portée de la loi fédérale et du pouvoir judiciaire fédéral»^295(*).

Compte tenu des limites inhérentes au droit coutumier et au droit constitutionnel, le Congrès a adopté un certain nombre de lois fédérales destinées à protéger les informations personnelles des individus. Contrairement au cadre juridique existant en Europe, les États-Unis ne disposent pas d'une seule loi couvrant l'ensemble des données personnelles, mais d'un « patchwork » de lois fédérales qui s'appliquent à certains secteurs ou à certaines données^296(*). L'objectif, le périmètre, les moyens de mise en oeuvre et les sanctions prévues diffèrent considérablement d'une loi à l'autre. Les lois fédérales jouant un rôle en matière de protection des données sont présentées de façon succincte ci-après, en commençant par celles dont le champ d'application est le plus étroit^297(*) :

- la loi Gramm-Leach-Bliley (Gramm-Leach-Bliley Act, GBLA) réglemente l'utilisation par les institutions financières des données personnelles non publiques (nonpublic personal information, NPI). Ces règles concernent essentiellement le partage des NPI avec des tiers, l'obligation de fournir des avis de communication de NPI au consommateur et la sécurisation des NPI contre les accès non autorisés ;

- la loi sur la portabilité et la responsabilité de l'assurance maladie (Health Insurance Portability and Accountability Act, HIPAA) encadre la collecte et la divulgation d'une catégorie de données de santé appelées « informations de santé protégées » (protected health information). Ces règles s'appliquent aux prestataires de soins et aux centres de soins de santé et aux entreprises associées ;

- la loi sur l'information équitable relative au crédit (Fair Credit Reporting Act , FCRA) couvre la collecte et l'utilisation des informations de crédit des consommateurs et l'accès à leurs rapports de crédit ;

- la loi sur les communications (Communications Act), adoptée en 1934, prévoit des dispositions en matière de protection des données applicables aux entreprises de téléphonie et aux opérateurs du câble et du satellite ;

- la loi sur la protection de la confidentialité en matière de vidéos (Video Privacy Protection Act) assure la confidentialité des données liées à la location de vidéos et au streaming ;

- la loi sur les droits de la famille relatifs à l'éducation et la protection de la vie privée (Family Educational Rights and Privacy Act, FERPA) prévoit des règles concernant la protection et la divulgation des informations contenues dans les  dossiers scolaires des élèves ;

- les lois fédérales sur les valeurs mobilières (Federal Securities Laws) exigent des contrôles en matière de sécurité des données et instaurent des obligations de signalement en cas de violation de la confidentialité des données ;

- la loi sur la protection de la vie privée en ligne des enfants (Children's Online Privacy Protection Act, COPPA) encadre la collecte en ligne et l'utilisation des informations personnelles des enfants. Cette loi s'applique à tout opérateur d'un site internet ou d'un service en ligne s'adressant aux enfants ou à tout opérateur qui a connaissance du fait qu'il collecte des données personnelles appartenent à des enfants. Elle interdit la collecte en ligne de données concernant des enfants de moins de 13 ans sans accord parental préalable. La Commission fédérale du commerce (Federal Trade Commission) est responsable de la mise en oeuvre de ces dispositions ;

- la loi sur la protection des communications électroniques (Electronic Communications Privacy Act, ECPA) interdit l'accès ou l'interception non autorisés de données électroniques stockées ou en transit. « L'ECPA est peut-être la loi fédérale la plus complète sur la protection des données personnelles électroniques, car elle n'est pas spécifique à un secteur et bon nombre de ses dispositions s'appliquent à un large éventail d'acteurs privés et publics. Néanmoins, son impact sur les pratiques de confidentialité en ligne a été limité. Comme certains commentateurs l'ont observé, l'ECPA "a été conçue pour réglementer les écoutes téléphoniques et l'espionnage électronique plutôt que la collecte de données commerciales", et les justiciables qui tentent d'appliquer l'ECPA à la collecte de données en ligne ont généralement échoué »^298(*) ;

- la loi sur la fraude et les abus en matière informatique (Computer Fraud and Abuse Act) interdit l'accès non autorisé (en particulier le hacking) à tout « ordinateur protégé » défini au sens large comme tout ordinateur connecté à Internet ;

- la loi sur la protection financière des consommateurs (Consumer Financial Protection Act, CFPA) réglemente les pratiques ou les actes trompeurs ou abusifs en rapport avec le consommateur de produits ou de services financiers. Le Bureau de protection financière des consommateurs (Consumer Financial Protection Bureau, CFPB) veille au respect de ses dispositions ;

- et, enfin, la loi sur la Commission fédérale du commerce (Federal Trade Commission (FTC) Act) interdit les actes ou les pratiques déloyaux ou trompeurs (unfair or deceptive acts or practices, UDAPs). Il s'agit d'une loi particulièrement importante en matière de protection des données car la FTC a utilisé son autorité en vertu de cette loi pour devenir l'agence de référence en matière de protection de la vie privée, comblant ainsi en partie les lacunes laissées par les lois fédérales susmentionnées^299(*).

La FTC a intenté des centaines d'actions en justice sur la base du motif selon lequel les pratiques des entreprises relatives aux données des consommateurs violaient l'interdiction d'actes ou de pratiques trompeurs ou déloyaux. Selon la FTC, les entreprises agissent de manière trompeuse lorsqu'elles traitent des informations personnelles d'une manière qui contredit leurs politiques de confidentialité ou d'autres déclarations publiées ou lorsqu'elles ne protègent pas de manière adéquate les informations personnelles contre tout accès non autorisé, malgré les promesses faites en ce sens. En plus des promesses non tenues, la FTC a soutenu que certaines pratiques de protection des données sont injustes, comme lorsque les entreprises ont des paramètres de confidentialité par défaut difficiles à modifier ou lorsque les entreprises appliquent rétroactivement des politiques de confidentialité révisées. Même si l'action de la FTC comble certaines lacunes de la loi fédérale, son autorité a des limites. Contrairement à de nombreuses lois sectorielles sur la protection des données, la loi sur la FTC n'oblige pas les entreprises à respecter des politiques ou des pratiques spécifiques en matière de protection des données et a toujours été interprétée comme n'affectant pas les entités n'ayant pas fait de promesses explicites concernant la protection des données. En août 2022, la FTC a ainsi publié une proposition de réglementation et une consultation publique sur l'opportunité de mettre en place des règles plus complètes en matière de protection des données^300(*).

De plus, plusieurs projets de loi fédéraux proposant une approche globale en matière de protection des données personnelles ont été déposés devant le Congrès des États-Unis au cours des dernières années^301(*).

Le projet de loi fédérale sur la confidentialité et la protection des données (ADPPA)

Le projet de loi fédérale sur la confidentialité et la protection des données (American Data Privacy and Protection Act, ADPPA) est un texte bipartisan, présenté en 2022 par les députés Frank Pallone Jr. et Cathy McMorris Rogers^302(*), proposant un cadre juridique global en matière de protection des données au niveau fédéral. Des textes similaires ont été présentés par le passé mais il s'agit du seul ayant franchi l'étape d'un vote positif en commission^303(*) en juillet 2022, en vue d'un examen en plénière par la Chambre des représentants.

Ce projet de loi fixe des exigences sur la manière dont les entreprises et les organisations à but non lucratif, quelle que soit leur taille, traitent les données personnelles, qui comprennent des informations identifiant ou raisonnablement liées à un individu. Plus précisément, le projet de loi oblige la plupart des entreprises à limiter la collecte, le traitement et le transfert de données personnelles à ce qui est raisonnablement nécessaire pour fournir un produit ou un service demandé et à d'autres circonstances spécifiées. De manière générale, elle interdit également aux entreprises de transférer les données personnelles des individus sans leur consentement exprès et affirmatif. Le texte prévoit des droits pour les consommateurs, y compris le droit d'accéder, de corriger et de supprimer leurs données personnelles et oblige les entreprises à fournir aux particuliers un moyen de se retirer de la publicité ciblée. Le projet de loi prévoit également des protections supplémentaires pour les données personnelles des mineurs de moins de 17 ans, dont l'interdiction de la publicité ciblée. Ces protections supplémentaires ne s'appliqueraient que lorsque l'entité couverte sait que l'individu en question a moins de 17 ans, sauf pour les réseaux sociaux et les grands détenteurs de données qui sont réputés connaître l'âge d'un individu. Le projet de loi interdit en outre aux entreprises d'utiliser les données personnelles pour discriminer sur la base de caractéristiques protégées spécifiées. Les entreprises devraient mettre en oeuvre des pratiques de sécurité pour protéger et sécuriser les données personnelles contre tout accès non autorisé, et la FTC pourrait émettre des règlements en la matière^304(*). La FTC et les procureurs généraux des États seraient responsables de la mise en application de l'ADPPA.

L'ADPPA diffère des précédents projets de loi fédéraux en matière de protection des données sur trois questions, qui pourraient permettre de lever les obstacles auxquels se sont heurtés les textes précédents^305(*) :

- il prévoit l'introduction, dans les quatre ans suivant l'entrée en vigueur du projet de loi, d'un droit d'action en justice devant le juge civil pour les particuliers qui considéreraient que des dispositions du texte n'ont pas été respectées, ;

- en règle générale, le projet de loi primerait sur toutes les lois des États. Cependant il préserverait seize catégories de lois des États, y compris les lois sur la protection des consommateurs et les lois sur la notification des violations de la confidentialité des données. Le texte ne prévaudrait pas non plus sur certaines lois spécifiques des États fédérés, telles que la loi sur la confidentialité des informations biométriques et la loi sur la confidentialité des informations génétiques de l'Illinois et le droit d'action privée de la Californie pour les victimes de violations de données ;

- enfin, l'ADPPA ne prévoit pas de restriction générale sur l'engagement dans des pratiques « préjudiciables » (harmful) en matière de données vis-à-vis des utilisateurs finaux, contrairement au « devoir de loyauté » proposé dans des projets de loi au Sénat.

L'avenir de l'ADPPA demeure incertain à la suite du changement de majorité à la Chambre des représentants, contrôlée par le parti républicain depuis novembre 2022, et en raison des réticences de certains élus californiens, certains craignant que l'ADPPA garantisse une moindre protection par rapport à la loi californienne (cf. infra). Dans son discours sur l'état de l'Union de février 2023, le président des États-Unis, Joe Biden, a néanmoins rappelé qu'« il [était] temps d'adopter une législation bipartite pour empêcher les Big Tech de collecter des données personnelles sur les enfants et les adolescents en ligne, d'interdire la publicité ciblée aux enfants et d'imposer des limites plus strictes aux données personnelles que ces entreprises collectent sur nous tous »^306(*).

Les législations des États fédérés

Outre la mosaïque complexe de lois fédérales, de nombreux États ont développé leurs propres cadres législatifs en matière de protection des données. En particulier, tous les États ont adopté une forme de réponse législative en matière de fuite de données personnelles et de nombreux États ont des lois de protection des consommateurs qui couvrent en partie la protection des données personnelles^307(*).

De plus, au 9 juin 2023, neuf États américains^308(*) - contre seulement quatre en janvier de la même année^309(*) - avaient adopté un projet de loi instaurant un régime juridique complet en matière de protection des données personnelles^310(*) :

- en 2018, la Californie a été le premier État américain à adopter un cadre juridique global en matière de protection des données personnelles, proche du règlement général sur la protection des données (RGPD) européen, à travers le California Consumer Privacy Act (CCPA). Entré en vigueur en 2020, le CCPA a été par la suite amendé par le California Privacy Rights Acts (CPRA)^311(*).

Le CCPA couvre toute les entreprises qui collectent des données personnelles auprès de consommateurs californiens, au-delà de certains seuils de chiffre d'affaires annuel (25 millions de dollars, soit environ 23 millions d'euros) ou de nombres de consommateurs (100 000 ou plus) ou de revenus issus de la vente ou du partage des données (50 % ou plus). Les entreprises qui ne disposent pas d'adresse en Californie mais dont les sites internet sont accessibles depuis l'État sont également couvertes. Le CCPA loi accorde aux consommateurs trois principaux « droits » : premièrement, les consommateurs ont le droit de connaître les informations que les entreprises ont collectées ou vendues à leur sujet, ce qui oblige les entreprises à informer les consommateurs des données personnelles collectées (« right to know ») ; deuxièmement, le CCPA offre aux consommateurs le droit de refuser la vente de leurs informations personnelles (« right to opt out ») et, troisièmement, cette loi californienne donne aux consommateurs le droit, dans certains cas, de demander à une entreprise de supprimer toute information recueillie le concernant (« right to delete »). Les entreprises doivent également respecter les préférences des consommateurs en matière de cookies, définies par le biais des paramètres du navigateur (Global Privacy Controls), en donnant la priorité à ces paramètres par rapport à toute préférence conflictuelle déclarée par l'utilisateur. Depuis les amendements entrés en vigueur le 1^er janvier 2023, le CCP distingue la catégorie des informations personnelles « sensibles » - comme les numéros de sécurité sociale, les coordonnées bancaires, les données précises de géolocalisation ou encore les données génétiques et biométriques - pour lesquelles les consommateurs disposent d'un droit de limiter l'utilisation et la divulgation (par exemple, le consommateur peut demander à une entreprise de limiter l'usage de certaines données personnelles sensibles uniquement à des fins de fourniture du service demandé)^312(*).

Le CCPA est appliqué par le biais des actions intentées par le procureur général de Californie, qui peut prononcer des amendes dont le montant peut aller jusqu'à 7 500 dollars (6 800 euros) par violation individuelle. En août 2022, le procureur général de Californie a ainsi constaté que l'entreprise Sephora n'avait pas respecté plusieurs dispositions du CCPA, notamment en procédant à la vente des informations personnelles de ses consommateurs sans leur autorisation. Ce litige s'est conclu par la négociation d'un accord prévoyant le versement d'une amende de 1,2 million de dollars (environ 1 million d'euros) par l'entreprise française de vente de cosmétiques. Par ailleurs, les particuliers disposent d'une voie de recours directe mais uniquement dans les cas où des informations personnelles non cryptées ou non expurgées des informations confidentielles ont fait l'objet d'un accès non autorisé, d'une exfiltration, d'un vol ou d'une divulgation^313(*).

Depuis 2020, la Californie dispose d'une agence pour la protection de la vie privée (California Privacy Protection Agency), composée de cinq experts et chargée de sensibiliser le public à leurs droits et les entreprises à leurs obligations, d'adopter des règlements de mise en oeuvre du CCPA et, depuis le 1^er juillet 2023, de faire appliquer la loi. Elle peut enquêter sur d'éventuelles violations, donner aux entreprises la possibilité de remédier à la situation et prendre des mesures d'exécution^314(*) ;

- d'autres États, comme la Virginie, l'Utah, le Colorado et le Connecticut, ont retenu une approche consistant à s'inspirer de projets de loi fédéraux en cours d'examen, dont l'ADPPA, pour leur propre législation. Contrairement à la Californie, ces quatre États ne prévoient ni obligation de notifier le consommateur au stade de la collecte, ni de droit de restreindre l'utilisation des données sensibles à certaines fins^315(*).

La plupart des législations récemment adoptées par les États autres que la Californie entreront en vigueur en 2023 ou dans les années à venir. De nombreux projets de loi concernant la protection des données sont en cours d'examen dans les États ne disposant pas encore de cadre juridique global.

La modération des réseaux sociaux et la lutte contre la désinformation

Aux États-Unis, la modération des contenus sur les réseaux sociaux et la lutte contre la désinformation reposent essentiellement sur l'autorégulation des acteurs privés. Le droit américain accorde en effet une place prééminente à la liberté d'expression, y compris sur Internet. Les deux principales dispositions relatives à la liberté d'expression en ligne sont :

- le Premier amendement de la Constitution des États-Unis, en vertu duquel « Le Congrès ne fera aucune loi qui touche l'établissement ou interdise le libre exercice d'une religion, ni qui restreigne la liberté de parole ou de la presse »^316(*). La Cour suprême applique depuis longtemps cette disposition au-delà du pouvoir législatif pour empêcher les actions des autres organes de l'État fédéral ainsi que celles des États fédérés. Ainsi, le Premier amendement limite la capacité du gouvernement à restreindre les discours mais il ne limite pas les actions des parties privées^317(*), tels que les fournisseurs de réseaux sociaux qui peuvent, en principe, adopter leurs propres politiques de contenu et codes de conduite ;

- l'article 230, titre 47, du Code des États-Unis^318(*), tel que modifié par la loi de 1996 sur la décence des communications (Communications Decency Act). En particulier, l'article 230, paragraphe (c), alinéa 1 exonère les fournisseurs et les utilisateurs de réseaux sociaux de toute responsabilité concernant la publication d'informations fournies par des utilisateurs tiers : « aucun fournisseur ou utilisateur d'un service informatique interactif ne doit être considéré comme l'éditeur ou le locuteur d'une information fournie par un autre fournisseur de contenu d'information »^319(*). L'alinéa 2 de ce même article prévoit qu' « aucun fournisseur ou utilisateur d'un service informatique interactif ne peut être tenu pour responsable du fait de (a) toute mesure prise volontairement et de bonne foi pour restreindre l'accès ou la disponibilité de matériel que le fournisseur ou l'utilisateur considère comme obscène, lubrique, lascif, répugnant, excessivement violent, harcelant ou autrement répréhensible, que ce matériel soit ou non protégé par la Constitution ou (b) toute mesure prise pour permettre aux fournisseurs de contenu d'information ou à d'autres de disposer des moyens techniques nécessaires pour restreindre l'accès au matériel décrit »^320(*) au paragraphe précédent.

Un grand nombre d'actions en justice ont été introduites à l'encontre des fournisseurs de réseaux sociaux, au sujet de leur politique de modération des contenus, la plupart leur reprochant une censure infondée et d'autres l'absence de retraits de contenus dangereux. Ainsi, de nombreux requérants ont soutenu que la politique de modération des contenus des plateformes privées contrevenait à leur liberté d'expression, au regard du Premier amendement. Dans l'immense majorité des cas, les juridictions de première instance ont rejeté ces recours en invoquant soit l'article 230 précité, qui prévoit une protection spécifique pour les fournisseurs de contenu en ligne, soit le Premier amendement, en précisant que ce dernier ne s'applique pas aux réseaux sociaux en tant qu'acteurs privés opérant indépendamment de l'État^321(*). À titre d'illustration, le 6 mai 2022, le juge de la cour de district fédéral de Californie a rejeté le recours de l'ancien président des États-Unis, Donald Trump, à l'encontre de Twitter qui avançait le motif selon lequel le réseau social aurait enfreint ses droits au titre du Premier amendement en l'excluant de Twitter^322(*).

En mai 2023, la Cour suprême s'est également prononcée dans deux affaires, Twitter v. Taamneh^323(*) et Gonzalez v. Google^324(*), dans lesquelles les plaignants, des familles de victimes de l'organisation terroriste État islamique, ont fait valoir que les algorithmes qui recommandent des contenus sur Twitter, Facebook et YouTube avaient aidé et encouragé le groupe terroriste en promouvant activement son contenu auprès des utilisateurs. Dans les deux cas, la Cour suprême a refusé de tenir pour responsables les réseaux sociaux des contenus postés par leurs utilisateurs. Dans l'affaire Twitter v. Taamneh, la Cour suprême a rejeté le recours des plaignants au titre de l'article 2333 (d) (2) du Code des États-Unis^325(*) en concluant que « les plaignants n'ont pas réussi à prouver que les défendeurs ont intentionnellement fourni une aide substantielle à l'attentat du Reina [à Istanbul] ou ont participé consciemment à l'attentat du Reina, et encore moins que les défendeurs ont aidé l'État islamique d'une manière si généralisée et systémique qu'elle les rende responsables de chaque attentat de l'État islamique »^326(*).

L'affaire Gonzalez v. Google concernait quant à elle le champ d'application de l'article 230 et plus précisément la question de savoir si cet article protège ou non les réseaux sociaux comme YouTube des poursuites judiciaires concernant des vidéos faisant l'apologie du terrorisme. Les juges de la Cour suprême n'ont pas tranché cette question et ont conclu : « Nous n'avons pas à nous prononcer sur la viabilité des revendications des plaignants dans leur ensemble ou sur la question de savoir si les plaignants devraient être autorisés à modifier leur requête. Nous pensons plutôt qu'il est suffisant de reconnaître que la majeure partie (sinon la totalité) de la plainte semble échouer en vertu de notre décision dans l'affaire Twitter ou des décisions non contestées de la Cour d'appel du neuvième circuit. Nous refusons donc d'aborder l'application de l'article 230 à une plainte qui semble présenter peu, voire pas du tout, de demande de réparation plausible »^327(*).

La Cour suprême a précisé que « les deux affaires ont été soumises à la Cour au stade de la requête en irrecevabilité (motion-to-dismiss), sans dossier factuel. Et l'opinion de la Cour sur les faits, y compris sa caractérisation des plateformes de réseaux sociaux et des algorithmes en cause, repose à juste titre sur les allégations particulières contenues dans ces plaintes. D'autres affaires présentant des allégations et des dossiers différents pourraient conduire à des conclusions différentes »^328(*). Selon la presse américaine, ces deux affaires représentent néanmoins une victoire pour les entreprises du secteur numérique et illustrent la difficulté d'amender l'article 230^329(*), en dépit de la mobilisation d'un nombre croissant de membres du Congrès pour modifier la loi fédérale et renforcer la responsabilité des plateformes en ligne.

Enfin, concernant spécifiquement la lutte contre la désinformation, il convient de relever la création en avril 2022 par le président des États-Unis, Joe Biden, d'un « conseil de gouvernance relatif à la désinformation » (Disinformation Governance Board, DGB), en tant que comité consultatif auprès du ministère américain de la sécurité intérieure (Department of Homeland Security). L'objectif de cet organe était de suivre les campagnes de désinformation diffusées par des États étrangers tels que la Russie, la Chine et l'Iran et par des organisations criminelles transnationales et de trafic d'êtres humains, ainsi que la désinformation diffusée lors de catastrophes naturelles (par exemple, sur la sécurité de l'eau potable lors de l'ouragan Sandy) et de diffuser les bonnes pratiques de lutte contre ces campagnes auprès des services du DHS chargés de défendre le pays contre ces menaces^330(*). Dès mai 2022, l'activité du DGB a été suspendue, puis définitivement interrompue^331(*), à la suite de polémiques et d'attaques de sa responsable sur les réseaux sociaux^332(*).

EXAMEN EN COMMISSION

Mardi 4 juillet 2023

M. Mickaël Vallet, président. - Mes chers collègues, je vous présente tout d'abord les excuses de Mme Catherine Morin-Desailly.

Nous nous retrouvons pour l'examen du rapport de notre commission d'enquête, après plus de quatre mois de travaux dans le cadre du droit de tirage du groupe Les Indépendants - République et territoires. Je vous remercie pour les échanges constructifs que nous avons eus et pour la qualité des débats que nous avons menés.

Je vous rappelle le caractère strictement confidentiel de notre réunion. Conformément à l'ordonnance du 17 novembre 1958, nous devons attendre vingt-quatre heures pour publier notre rapport, délai pendant lequel le Sénat peut se constituer en comité secret. Le respect de ce devoir de confidentialité est impératif et soumis à des sanctions disciplinaires et pénales.

Enfin, tout élément n'ayant pas été rendu public par notre commission restera soumis à la règle du secret pendant une durée maximale de trente ans, particulièrement s'agissant des auditions réalisées à huis clos.

La décision de publier ou non le compte rendu de la présente réunion sera prise à l'issue de celle-ci, en fonction du contenu de nos échanges.

M. Claude Malhuret, rapporteur. - La présente réunion a pour objet l'adoption de notre rapport. Vous avez pu en consulter le projet depuis mercredi dernier. Je remercie ceux d'entre vous qui ont pu consacrer un moment à sa relecture et à la formulation de remarques et de suggestions. Je remercie d'ailleurs tous ceux qui ont participé avec assiduité aux réunions de la commission. Nous avons repris plusieurs de ces suggestions sous la forme de propositions de modifications que nous examinerons tout à l'heure.

35 journalistes ont d'ores et déjà demandé une accréditation pour notre conférence de presse prévue le jeudi 6 juillet prochain. Les événements récents ont en outre donné une certaine actualité à notre sujet.

Nous avons déjà évoqué, lors de la réunion du 15 juin dernier, les grandes orientations du rapport. Je pense que nous nous y sommes tenus.

Le premier axe consistait à montrer que l'entreprise TikTok est toujours étroitement liée aux autorités chinoises. Il s'agit d'un point important, car c'est celui sur lequel le discours des représentants de l'entreprise est le plus incohérent.

Le discours du PDG de TikTok, lorsqu'il est interrogé par les membres du Congrès américain, consiste à dire qu'il n'y a aucun lien entre TikTok et la Chine. De la même façon, Éric Garandeau parle d'entités totalement séparées. En même temps, l'entreprise reconnaît qu'elle continue à envoyer des données en Chine et à autoriser l'accès aux données à des ingénieurs situés dans ce pays. Des accès massifs ont ainsi été révélés jusque très récemment par la presse internationale, sans parler de l'espionnage de journalistes par des équipes chinoises. De plus, Marlène Masure, la directrice opérationnelle, a évoqué devant nous les ingénieurs chinois qui travaillent pour l'application.

Notre rapport démontre que les liens entre TikTok et ByteDance en Chine sont en réalité structurels : c'est dans ce pays que se trouvent les technologies, les brevets et les ingénieurs dont TikTok ne peut pas se passer. Plusieurs documents, évoqués dans le rapport, montrent une dépendance profonde de TikTok à l'égard de ses bases chinoises.

De même, le capital de la holding aux îles Caïmans, ByteDance Limited, est détenu pour environ 20 % par le fondateur chinois, Zhang Yiming, qui contrôle sans doute l'entreprise, en lien avec le PDG Liang Rubo, par un mécanisme de détention à droits variables, ou Variable Interest Entity (VIE). Il s'agit d'un montage classique pour les entreprises chinoises du numérique, dans lequel les droits de vote ne correspondent pas au capital. En détenant seulement 1 % du capital, une personne, parfois même l'État chinois, peut posséder la majorité des droits de vote.

Or Zhang Yiming, le principal fondateur de ByteDance et TikTok, a fait son autocritique et réaffirmé son intention d'oeuvrer dans le sens des autorités chinoises. En un mot, contraint et forcé, il a fait allégeance aux autorités chinoises et aux lois chinoises qui obligent les ressortissants chinois à coopérer avec les services de renseignement.

Cerise sur le gâteau, si j'ose dire : nous avons découvert au greffe du tribunal de commerce - ce n'était pas, à proprement parler, un secret, mais personne n'avait pensé à s'y intéresser - que la présidente de TikTok France s'appelle Mme Zhao Tian. Née en Chine, elle a fait ses études à l'Institut de Diplomatie de Pékin, lequel ne forme pas seulement des diplomates... Naturalisée canadienne, elle a occupé des fonctions essentielles auprès de M. Zhang Yiming. M. Garandeau nous a annoncé que, pour tenir compte de nos inquiétudes, elle allait être remplacée par un président européen. C'est plutôt une maladresse de sa part, voire un aveu. Il a compris que nos inquiétudes risquaient d'être partagées par d'autres personnes.

Cet aveu s'inscrit dans un contexte particulier : aujourd'hui, aucune entreprise internationale d'origine chinoise ne peut se développer sans le soutien du régime. TikTok est une force de frappe internationale qui intéresse nécessairement le régime chinois, à la fois dans le cadre du développement des « routes de la soie numériques » et dans le cadre de sa stratégie d'influence internationale visant à s'affirmer comme une puissance numérique à succès, capable de rivaliser avec les grands acteurs américains.

Cette situation nous rappelle les débats qui ont eu lieu il y a quelques années à propos de l'entreprise Huawei, également une multinationale d'origine chinoise, dont la proximité avec le parti communiste chinois et la soumission obligatoire à l'extraterritorialité du droit chinois ont conduit plusieurs pays, dont des pays européens, à prendre des mesures restrictives et de vigilance à son égard.

Les conséquences de ces liens avec la Chine sont pour nous très claires : du fait de sa très large diffusion et du recueil massif de données personnelles dont il fait preuve, et compte tenu du contrôle qu'exercent les autorités chinoises sur leurs ressortissants tant en Chine qu'à l'étranger, il existe un risque évident que le réseau TikTok soit instrumentalisé pour mener diverses actions d'espionnage ou de déstabilisation au profit du régime chinois.

Le projet Clover, dont le calendrier et les modalités de mise en oeuvre demeurent flous, ne permet pas, à l'heure actuelle, de dissiper ces inquiétudes. Il ne permettra pas d'assurer qu'il n'y ait pas d'accès aux données des utilisateurs européens depuis la Chine. Les représentants de TikTok ont refusé de s'engager devant nous sur ce point. Au contraire, le projet Clover soumet potentiellement les données des utilisateurs à une triple législation : la législation européenne, la législation extraterritoriale américaine pour certains logiciels et la législation extraterritoriale chinoise.

La décision de la Data Protection Commission (DPC) irlandaise sur le sujet des transferts de données à la Chine nous dira aussi si les transferts actuels sont déjà tels qu'ils mettent TikTok en infraction avec le règlement général sur la protection des données (RGPD), mais nous n'avons pas beaucoup de doutes à cet égard.

D'autre part, ces liens font également craindre des phénomènes d'influence, de désinformation ou de déstabilisation. Là encore, des faits se sont déjà produits et les engagements de l'entreprise n'engagent pour l'instant que ceux qui les reçoivent.

Les mesures d'interdiction ou de restriction prises par certains pays confirment ce que nous pensons et sont parfaitement justifiées. À ce jour, au moins quatre pays ont interdit l'usage de l'application TikTok et de très nombreux pays européens et occidentaux ont annoncé des mesures de restriction d'utilisation, notamment auprès des fonctionnaires et des élus.

En dehors des liens avec la Chine, la collecte massive de données pose en soi un problème. Ce problème n'est pas différent par nature de celui que génèrent les autres grandes plateformes fondées sur un modèle d'exploitation des données, si ce n'est que le réseau TikTok semble particulièrement peu enclin à se conformer au RGPD. Le rapport montre également les nombreux manquements de l'entreprise sur ce point.

J'ai été particulièrement frappé des propos de Marlène Masure, qui nous a clairement dit que TikTok entendait faire reposer le principe de minimisation de la collecte des données sur l'utilisateur, renversant ainsi totalement la logique du RGPD : « Notre enjeu », a-t-elle dit, « est de continuer à éduquer sur les fonctionnalités qui permettent d'améliorer le contrôle des données qu'on laisse sur la plateforme. » La philosophie du RGPD s'appuie au contraire sur une minimisation de la collecte des données by design, et non à l'initiative des utilisateurs, la plupart d'entre eux ne sachant d'ailleurs pas comment procéder pour y parvenir.

Au-delà du caractère massif de la collecte, qui rejoint celui d'autres plateformes, les différentes personnes que nous avons auditionnées s'accordent à relever une particularité de TikTok : pour reprendre une expression de la Commission nationale de l'informatique et des libertés (Cnil), les données collectées sont « impressionnantes de finesse, de rapidité, de fréquence ». Le fil « Pour Toi » permet en effet une interaction permanente et très rapide avec l'utilisateur. L'application en déduit un véritable profil psychologique de celui-ci.

À quelle utilisation ce profil est-il destiné ? Je crains que nos auditions n'aient pas levé le mystère sur cette question, qui rejoint la préoccupation d'André Gattolin sur le modèle économique de TikTok. On a compris que la publicité ciblée n'était pas au centre des objectifs de TikTok. Le live gifting évoqué par Mme Masure ne suffit pas à caractériser ce modèle économique.

Autre singularité, TikTok fait beaucoup circuler ces données : stockées sur des serveurs basés aux États-Unis, en Malaisie et à Singapour, elles sont aussi partagées avec des prestataires de services ou des sociétés du groupe TikTok situés en dehors de l'Union européenne, en particulier en Chine. Ces tiers ne sont jamais nommés et les représentants de TikTok ont constamment éludé ou donné des réponses biaisées sur cette question, nous assurant simplement que les accès donnés étaient limités et justifiés par les nécessités du bon fonctionnement de l'application. C'est un peu maigre.

Le constat est ainsi que, cinq ans après son lancement en Europe, TikTok ne respecte toujours pas le RGPD, comme le ministre Jean-Noël Barrot nous l'a déclaré sans ambages. À ce sujet, depuis le 29 juillet 2020, la DPC irlandaise est devenue l'autorité chef de file et la seule à pouvoir prendre une décision contraignante envers TikTok. La DPC mène actuellement deux procédures à l'encontre de l'entreprise, qui devraient aboutir prochainement.

Je précise que, si la Cnil a pu prononcer le 29 décembre 2022 une amende de 5 millions d'euros contre TikTok, c'est dans le cadre d'une compétence qu'elle a conservée sur la base de la loi Informatique et Libertés, que le règlement européen ePrivacy en cours de discussion risque de remettre en cause. Pour le reste, elle ne peut que transmettre des éléments à la DPC irlandaise et lui demander régulièrement des informations sur les procédures en cours.

Concernant par ailleurs la protection des données contre les cyberattaques - car c'est aussi par ce biais que les fuites de données peuvent avoir lieu -, TikTok ne nous a pas non plus apporté de réponse convaincante.

Outre la collecte de données, l'algorithme de recommandation du fil « Pour Toi » est sans conteste le point fort de TikTok. Le fait de ne proposer qu'une seule vidéo très courte fournit des données d'entraînement d'une richesse incomparable, en nombre et en qualité, tout en limitant l'effort de réflexion de l'utilisateur, ainsi incité à poursuivre sans fin le visionnage du fil « Pour Toi ».

À l'heure actuelle, il n'y a aucune transparence de l'algorithme alors qu'il est une source d'informations privilégiée pour ses jeunes utilisateurs. TikTok reconnaît seulement intervenir ponctuellement pour éditorialiser le fil « Pour Toi », tantôt en réduisant la visibilité de certains contenus - par le shadowbanning -, tantôt en en « poussant » d'autres. Nous n'avons obtenu aucun éclaircissement de la part de TikTok sur cet algorithme. Où est-il localisé ? Qui en détient la propriété intellectuelle ? Quelles sont les équipes qui travaillent à sa maintenance et son amélioration ? Sur ces différents points, nos recherches nous ont toutefois permis d'établir que la réponse à ces questions se trouve essentiellement à Pékin.

TikTok nous promet des interfaces de programmation d'application (Application Programming Interface - API) d'ici fin août pour se conformer au Digital Services Act (DSA) et permettre un accès par les chercheurs. Je suis très circonspect sur la question. Éric Garandeau et Marlène Masure nous ont présenté ces API comme des outils à la main de TikTok pour commander des études sur les sujets qui les intéressent. De plus, jusqu'à présent, cette plateforme a été plus restrictive en matière d'API que Google, Apple, Facebook, Amazon et Microsoft (les Gafam). Il faudra donc être particulièrement vigilant sur ce point, pour l'application du DSA.

Non seulement notre rapport pointe l'opacité de TikTok, mais il met également en évidence la dangerosité potentielle de l'application, qu'une politique défaillante de modération n'arrive pas à contenir.

Le réseau TikTok est tout d'abord dangereux pour le débat public, l'application étant un mauvais élève de la lutte contre la désinformation. Le bilan 2022 de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) est particulièrement sévère et Benoît Loutrel nous a confirmé qu'en la matière les lacunes étaient plus nombreuses pour TikTok que pour les autres plateformes. De fait, selon la société NewsGuard, il suffit de moins de 40 minutes pour se voir proposer des vidéos contenant de fausses informations sur les grands sujets d'actualité. Les moyens humains consacrés à la lutte contre les fausses informations restent flous, seul le chiffre des équipes mondiales « Trust and Safety » étant communiqué, et plusieurs études démontrent que les contenus de désinformation tardent à être retirés de l'application.

Par ailleurs, si les règles communautaires de TikTok empêchent en principe la publication de vidéos aux contenus très violents, force est de constater - nous l'avons vu récemment - que la modération en la matière reste bien défaillante. Les challenges dangereux se multiplient également, la société ne semblant pas prendre suffisamment conscience de sa responsabilité dans ce domaine. Preuve de la gravité de la situation, l'Autorité italienne de la concurrence a ouvert une enquête en mars 2023, accusant TikTok de ne pas appliquer ses propres règles de modération.

Les récentes émeutes ont d'ailleurs souligné le rôle important d'amplificateur de la violence que peut jouer TikTok et ont de nouveau démontré les failles des politiques de modération des contenus sur l'application.

Sans être la seule application dans ce cas, TikTok est en outre potentiellement dangereux pour la santé mentale des adolescents les plus vulnérables. Le modèle même de l'application conduit ses utilisateurs à s'enfermer dans leurs préférences, c'est-à-dire dans des bulles de filtre. La captation de l'attention est telle que certains psychologues considèrent qu'il existe une « addictivité » de TikTok, d'autres préférant quant à eux parler d' « abrutissement ». Les témoignages livrés par des psychologues cliniciens en audition sont préoccupants, allant de la dysmorphophobie engendrée par des filtres comme bold glamour à l'enfermement possible dans des logiques mortifères.

Face à ces effets, les solutions proposées par TikTok sont, là encore, loin d'être à la hauteur. Pour remédier au temps excessif passé sur l'application - près de 2 heures en moyenne pour les 4-18 ans -, TikTok compte principalement sur un encadrement du temps d'écran par des décisions volontaires. En matière de contrôle d'âge, les actions de TikTok paraissent également dérisoires. La société mise sur un repérage des comptes soupçonnés d'être détenus par des mineurs. Cette technique est inefficace : alors que l'application est en principe interdite aux moins de 13 ans, près de 45 % des 11-12 ans y seraient inscrits.

L'application doit d'urgence mettre en place un système de vérification d'âge impliquant le recours à un tiers vérificateur indépendant, comme le prévoit la proposition de loi visant à instaurer une majorité numérique et à lutter contre la haine en ligne que nous avons récemment adoptée au Sénat.

L'ensemble de ces constats nous ont conduits à formuler des recommandations que vous pouvez lire à la fin du rapport. Elles se rapportent à l'ensemble des sujets que nous avons traités au cours de nos quatre mois d'enquête.

Sur certains points, je crois qu'il faut manifester une fermeté particulière. C'est le cas des liens avec la Chine, qui doivent être coupés par une modification des statuts de la maison mère ou par une vente des parts des fondateurs chinois au sein de celle-ci. Le ministre Jean-Noël Barrot s'est engagé lors de son audition à exiger de TikTok un éclaircissement sur la question des statuts déposés aux îles Caïmans. Je suis d'ailleurs surpris qu'une société comme TikTok France, qui opère en France, n'ait pas eu à répondre à des questions du ministère de l'économie, des finances et de la souveraineté industrielle et numérique sur ses statuts et les personnalités qui la composent.

Concernant l'application du DSA - appelé en français « règlement européen sur les services numériques » (RSN) -, nous proposons de laisser six mois à TikTok pour rattraper son retard dans tous les domaines : modération, retrait de la désinformation, ouverture d'interfaces de programmation, transparence sur les bonus et le shadowbanning, etc. À défaut, il faudra que la Commission européenne engage des procédures de sanction, voire de suspension.

Nous estimons également, à la suite des interventions d'André Gattolin sur le sujet, qu'il faut renforcer la possibilité de signaler des contenus de désinformation manifeste sans que les plateformes gardent totalement la main sur ce sujet. La solution la plus simple nous a paru de nous appuyer sur la plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements (Pharos), mais en demandant une évolution de ce dispositif. En effet, pour le moment, bien que ce soit possible en théorie, il est impossible en pratique de déclarer la présence de fausses informations sur Pharos, car le formulaire de déclaration ne le prévoit pas. Il faut également que la plateforme se saisisse de cette question.

Concernant le projet Clover, il s'agit là encore d'une question existentielle pour TikTok. Si l'entreprise ne s'engage pas dans un bref délai sur des mesures de sécurité convaincantes pour protéger les données des utilisateurs européens, appuyées sur des solutions logicielles purement européennes, nous pourrons considérer que le risque justifie de la sanctionner sévèrement.

Sur les algorithmes, nous reprenons à notre compte la recommandation du rapport d'information rédigé par Mmes Catherine Morin-Desailly et Florence Blatrix Contat : il est temps de s'assurer de la légalité et de la sécurité des algorithmes utilisés par les plateformes en ligne en mettant en place des normes minimales en matière d'éthique et de respect des droits fondamentaux, obligatoires pour tous les algorithmes dès leur création, dans une logique de sécurité et légalité par construction ou « safety and legacy by design ».

De manière plus structurelle, sur la question du statut - éditeur ou hébergeur - nous reprenons également la recommandation du même rapport d'information de créer un nouveau régime européen de responsabilité renforcée pour les fournisseurs de services intermédiaires utilisant des algorithmes d'ordonnancement des contenus, à raison de cette utilisation.

Le rapport préconise également de poursuivre les recherches sur les effets sanitaires de l'application, mais aussi de demander à la Cnil de faire comme son homologue italienne : ne pas hésiter à bloquer l'accès à TikTok le cas échéant en vertu de l'article 66 du RGPD, en cas de danger sanitaire grave, comme un dangereux défi viral.

Il est également nécessaire de mettre enfin en place un système de vérification de l'âge performant, ainsi qu'un blocage de l'application pour les mineurs au bout d'un certain temps, par exemple une heure.

Nous avons procédé à plusieurs modifications de rédaction au cours des derniers jours, soit présentées par certains d'entre vous, soit qui nous sont apparues nécessaires à la relecture du rapport ou à l'aune de certains événements, notamment les émeutes récentes.

M. André Gattolin. - Tous les grands réseaux sociaux gérant plus de tel volume de données personnelles françaises devraient avoir l'obligation de déclarer les cyberattaques, tentatives de cyberattaque et les vols de données dont ils font l'objet sur le site de l'Agence nationale de la sécurité des systèmes d'information (Anssi). Cette mesure me semblerait intéressante, d'autant qu'elle ne vise pas le seul réseau TikTok. Si ce dernier ne transfère sans doute pas - ou en tout cas le fera de moins en moins - volontairement ses données sur des serveurs chinois, il peut laisser des portes ouvertes pour que certains puissent se servir. C'est une chose d'être victime d'un vol, c'en est une autre d'exporter illégalement des données. La tendance générale de ces opérateurs est de cacher le moindre problème, pour préserver leur réputation. Or il faut que les informations relatives aux fuites de données soient connues.

Dans le cadre du scandale impliquant la société Cambridge Analytica, des données ont été prélevées sur le site de Facebook à des fins d'exploitation précises, pour une campagne électorale. En revanche, si les autorités chinoises décident de faire un usage plus discret des données des utilisateurs de TikTok, via l'intelligence artificielle par exemple, rien ne permettra de constater qu'elles auront été volées.

Je ne sais pas si cette mesure est réalisable, mais elle me semblerait une piste intéressante.

M. Mickaël Vallet, président. - Les représentants de TikTok ne répondent pas précisément aux questions relatives à la cybersécurité. Mme Masure nous a dit qu'elle n'était pas spécialiste, mais qu'elle imaginait que la société faisait le nécessaire en la matière. Tous deux nous ont en outre dit qu'ils n'avaient pas de contact avec l'Anssi, mais qu'ils aimeraient travailler avec elle.

M. Claude Malhuret, rapporteur. - Nous n'avons pas retenu la disposition proposée par M. Gattolin, car elle est déjà satisfaite. En effet, toute entreprise chargée de traiter des données personnelles est tenue d'adresser à la Cnil toute tentative de compromission de ces données, cyberattaques comprises. L'Anssi est chargée de ce contrôle pour les opérateurs d'importance vitale (OIV). Rien ne nous empêche néanmoins d'évoquer cela dans le rapport.

M. Claude Malhuret, rapporteur. - Je vous propose de passer à l'examen des propositions de modification.

M. Claude Malhuret, rapporteur. La proposition de modification n° 6 vise à ajouter une note au bas de la page 9 pour définir la notion de graphe.

La proposition de modification n° 6 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 5 a pour objet de remplacer le mot « TikTok » par le mot « ByteDance » à la page 27 du rapport.

La proposition de modification n° 5 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 8 vise à ajouter deux phrases ainsi rédigées après le troisième paragraphe de la page 45 : « Ce déficit de moyens de modération n'est sans doute pas propre à TikTok : Facebook notamment a déjà été critiqué pour un manque de modérateurs en langue française. Interrogée sur ce point, Chine Labbé soulignait toutefois que “s'agissant des comparaisons entre telle et telle plateforme en matière de fausses informations, même si l'on manque de données statistiques précises et même si l'on trouve de fausses informations sur toutes les plateformes, le fait est que l'on constate une forte présence de contenus faux sur TikTok.” ».

La proposition de modification n° 8 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 7 consiste à ajouter la phrase suivante à la page 46, après les mots « du pluralisme des expressions et de la qualité de l'information diffusée sur sa plateforme » : « Comme le soulignait Bernard Benhamou, secrétaire général de l'Institut de la souveraineté numérique : “Par définition, ne pas utiliser ces données serait une forme de faute professionnelle de la part des services chinois.” ».

La proposition de modification n° 7 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 9 a pour objet d'ajouter la phrase suivante à la page 46 : « Pour le moment, Viginum n'a pas relevé d'intervention de désinformation manifestement concertée au profit d'un État étranger en France via l'application. En revanche, le problème de la présence importante de fausses informations sur TikTok, relevé dans les pages précédentes, concerne aussi bien notre pays. »

La proposition de modification n° 9 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 15 vise à insérer au bas de la page 47 du rapport le tableau recensant les interdictions et restrictions d'utilisation de TikTok dans le monde, réalisé par la division de législation comparée du Sénat.

La proposition de modification n° 15 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 11 rassemble les recommandations n^os 1 et 2 en une seule.

La proposition de modification n° 11 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 3 vise à préciser le délai de six mois accordé à TikTok dans le rapport pour respecter pleinement ses obligations.

M. André Gattolin. Nous pourrions aussi fixer une échéance précise, par exemple le 1^er janvier 2024.

M. Claude Malhuret, rapporteur. Effectivement. En ce cas, il me faudrait votre autorisation pour modifier cette mention partout où elle apparaît dans le rapport.

Il en est ainsi décidé.

La proposition n° 3, ainsi modifiée, est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 4 apporte une précision rédactionnelle.

La proposition de modification n° 4 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 12 a pour objet de remplacer les recommandations n^os 6 et 7 par une recommandation unique, concernant la société des auteurs et compositeurs dramatiques (SACD) et la société des auteurs, compositeurs et éditeurs de musique (Sacem).

La proposition de modification n° 12 est adoptée.

M. Claude Malhuret, rapporteur. De même, la proposition de modification n° 14 tend à remplacer les recommandations n^os 11 et 12 par une recommandation unique.

La proposition de modification n° 14 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 1 a pour objet de préciser la recommandation n° 13 de la manière suivante : « Exiger de ByteDance Ltd, maison mère de TikTok et société immatriculée au sein du paradis fiscal des îles Caïmans, la transparence sur ses statuts et sur les droits de vote à son conseil d'administration. S'il s'avère que la société est contrôlée par les fondateurs chinois, demander à la Commission européenne d'exiger de ByteDance, soit que les statuts de la société soient modifiés pour mettre fin à ce contrôle des fondateurs, soit que les parts de ceux-ci soient vendues. »

La proposition de modification n° 1 est adoptée.

M. Claude Malhuret, rapporteur. La proposition de modification n° 2 crée une recommandation n° 18 visant à demander à Pharos de prendre davantage en compte les infractions liées à la diffusion de fausses informations et d'adapter le formulaire internet de déclaration d'infractions en conséquence.

M. André Gattolin. Le problème est que l'on se focalise sur la diffusion de fausses nouvelles. Comment signale-t-on des contenus illicites ou tendancieux, par exemple un message appelant des jeunes à se rendre dans une manifestation potentiellement violente à Nanterre ? De plus, au-delà de tels messages, par le jeu des graphes et des agrégations d'informations, on peut obtenir facilement une cartographie des endroits où ont lieu des émeutes et des pillages, ce qui peut constituer un appel au désordre public rendu possible de manière irresponsable par la plateforme.

M. Claude Malhuret, rapporteur. La catégorie des menaces, incitations à la violence, incitations à la haine et mises en danger des personnes existe déjà sur Pharos. Nous proposons d'ajouter à cette plateforme une rubrique permettant de signaler les fausses informations.

La proposition de modification n° 2 est adoptée.

M. Claude Malhuret, rapporteur. - Par la proposition de modification n° 10, nous demandons également l'instauration d'un mécanisme spécifique de modération a priori par les plateformes numériques en cas de grave trouble à l'ordre public, impliquant le retrait des messages concernés dans les deux heures, ainsi que la possibilité, pour l'autorité administrative, s'il est constaté des émeutes et des incitations manifestes à la violence contre des personnes dépositaires de l'autorité publique, à la dégradation des bâtiments ou des installations publics ou à l'intrusion en leur sein, d'émettre des injonctions de retrait à l'encontre de tout service de réseau social en ligne pour retirer ou bloquer l'accès de ces contenus.

M. Patrick Chaize a déposé un amendement au projet de loi visant à sécuriser et réguler l'espace numérique qui va dans le même sens.

Mme Sophie Primas. Mme Toine Bourrat a déposé un amendement similaire concernant les cas de cyberharcèlement.

Pourquoi la proposition de modification n° 10 restreint-elle la possibilité de retrait ou de blocage des contenus aux incitations à la violence contre des personnes dépositaires de l'autorité publique ? En l'état, cette rédaction ne tient pas compte des commerces vandalisés.

M. Claude Malhuret, rapporteur. Il faut donc écrire « contre des personnes ».

Il en est ainsi décidé.

M. Mickaël Vallet, président. L'idée serait donc d'imposer, à partir du moment où l'on entrerait dans une phase de trouble à l'ordre public qualifiée de « critique », une décision éditoriale et une autorisation a priori, antérieurement à toute publication sur un réseau ; soit un renversement du paradigme actuel où les internautes sont responsables de leurs publications, charge à la plateforme de retirer, après signalement, les contenus qui posent problème.

M. Claude Malhuret, rapporteur. Il ne s'agit pas, en réalité, d'une nouveauté. Cela existe déjà en matière de pédopornographie et de terrorisme. Nous l'étendrions simplement à un nouveau cas particulier, celui des émeutes et de la violence.

M. Mickaël Vallet, président. - Il serait bon par conséquent de préciser que cette référence aux dispositions existantes pour les cas de pédopornographie et de terrorisme.

Il en est ainsi décidé.

La proposition n° 10, ainsi modifiée, est adoptée.

M. Claude Malhuret, rapporteur. - La proposition de modification n° 16 précise les différents niveaux de sanctions prévus par le rapport sur des points particuliers, par exemple en l'absence de clarification, par TikTok, des statuts de ByteDance. En outre, si le DSA n'est pas appliqué dans les six mois, une forte amende devra s'appliquer, voire des mesures d'urgence. En cas de diffusion de contenus dangereux viraux, la Cnil devra prendre ses responsabilités et suspendre l'application le temps que le trouble soit réparé.

Nombre de nos questions n'ont pas reçu de réponse de la part de TikTok, ou bien des réponses consistant à dire que la mesure demandée était impossible. Il nous a paru important de regrouper l'ensemble de ces cas de figure, et de prévoir des sanctions en conséquence, pouvant donc aller jusqu'à la suspension. Je parle bien ici de suspendre et non d'interdire l'application, jusqu'à ce qu'elle ait satisfait aux demandes - ce qu'elle est tenue de faire dans les six mois, ou avant le 1^er janvier 2024.

La situation dure en effet depuis trop longtemps. L'entreprise TikTok existe depuis cinq ans et ne cesse de dire qu'elle va prendre des mesures. Or elle ne fait rien.

L'idée n'est pas d'inciter ByteDance à vendre TikTok, mais d'insister sur l'importance pour le réseau TikTok de répondre aux injonctions qui lui sont faites et, en l'absence de réponse, d'envisager une suspension dans un contexte où TikTok comme les Gafam ne cessent de gagner du temps, tout en s'acquittant de sanctions pécuniaires qui ne les touchent presque pas.

En l'absence de réponse de l'entreprise concernant l'actionnariat de ByteDance aux îles Caïmans ou l'application des mesures du DSA, nous pourrions envisager que le Gouvernement français suspende temporairement la plateforme jusqu'à la satisfaction de ces demandes.

M. André Gattolin. - Nous pourrions aussi rappeler ici que l'entreprise a l'obligation de déclarer les cyberattaques dont elle fait l'objet auprès des autorités françaises et européennes, sachant que c'est l'ensemble des réponses qui nous seront apportées par l'entreprise, dans leur globalité, qui compteront dans la décision de suspendre ou non l'application.

Mme Sophie Primas. - La décision de suspension étant de toute façon conditionnelle, un tel ajout ne signifie pas qu'aucun délai supplémentaire ne pourra être octroyé à l'entreprise, sans suspension, pour nous apporter ses réponses.

M. Claude Malhuret, rapporteur. - Nous proposons d'ajouter au texte de la recommandation, dans la partie concernant les principales mesures demandées à TikTok, la mention suivante : « Ne pas avoir déclaré une cyberattaque ayant conduit à une compromission massive de données personnelles ».

Il en est ainsi décidé.

La proposition n° 16, ainsi modifiée, est adoptée.

M. Mickaël Vallet, président. - Une remarque : dans la comparaison faite avec Huawei, n'oublions pas que l'Anssi en est venue à considérer que faute d'outil pour contrôler effectivement l'usage des données par cette entreprise, les mesures de contrôle et d'interdiction porteraient sur des secteurs bien définis, quitte à laisser l'entreprise s'implanter normalement dans le reste du territoire. Le raisonnement n'est pas binaire, avec l'interdiction totale ou l'autorisation sans limite.

M. André Gattolin. - Les recours américains ont échoué contre WeChat, effectivement. Dans le rapport, cependant, la rédaction est suffisamment précise puisqu'on vise le cas où TikTok n'aurait pas pris les principales mesures qu'on lui demande.

M. Mickaël Vallet, président. - Deux remarques encore. Notre rapport doit signaler le danger que représente le renvoi vers des messageries dites privées, qui « piègent » en quelque sorte les internautes dans des boucles fermées, on l'a vu au Brésil avec WhatsApp et Marc Faddoul a insisté sur ce phénomène.

Ensuite, il faut bien souligner que l'action doit comporter aussi une incitation forte à ce que les administrations en général et les opérateurs d'importance vitale utilisent les outils de messagerie et de téléconférence créés par l'État.

M. Claude Malhuret, rapporteur. - La proposition de modification n° 17 a pour objet l'ajout du titre suivant : « La tactique TikTok : opacité, addiction et ombres chinoises ». Ce titre nous a paru condenser les aspects principaux du rapport, dans une formulation facile à retenir.

La proposition de modification n° 17 est adoptée.

Le rapport est adopté et la commission d'enquête en autorise la publication.

La réunion est close à 17 h 20.

LISTE DES DÉPLACEMENTS

Jeudi 30 mars 2023

Bercy : Pôle d'expertise de la régulation numérique du ministère de l'économie, des finances et de la souveraineté industrielle et numérique.

Lundi 24 avril 2023

Bruxelles : Institutions de l'Union européenne :

- Entretien avec Mme Renate NIKOLAY, directrice générale adjointe de la Direction générale pour les réseaux de communication, les contenus et la technologie (DG CONNECT), en présence de Mme Eleonara OCELLO, conseillère au cabinet de M. Thierry Breton, commissaire européen chargé du marché intérieur ;

- Déjeuner de travail avec Mme Aude MAIO-COLICHE, directrice en charge de la communication stratégique au sein du Service européen d'action extérieure (SEAE), Mme Abigael VASSELIER, chargée de politique sur la Chine au SEAE et M. Quentin GENAILLE, chargé de politique au sein de l'équipe Chine de la division de la communication stratégique du SEAE ;

- Entretien avec M. Maximilian STROTMANN, conseiller, au cabinet de M. Johannes Hahn, commissaire européen chargé du budget et de l'administration ;

- Entretien avec M. Werner STENGG, M. Alejandro CAINZOS, Mme Mette DYRSKJØT, conseillers au cabinet de Margrethe Vestager, vice-présidente de la commission européenne chargée du numérique et de la concurrence, et Mme Monika MAGLIONE, conseillère au cabinet de Mme Ylva Johansson, commissaire européen chargée des affaires intérieures ;

- Entretien avec M. Marc ANGEL, député européen, vice-Président du Parlement européen en charge des technologies d'information, M. Walter PETRUCCI, directeur-général de la DG ITEC, M. Pascal PARIDANS, CISO et directeur responsable pour la Cyber-Sécurité et M. Pierfrancesco SABBATUCI, conseiller du directeur général et chef d'unité Stratégie et Innovation des TIC au Parlement européen.

LISTE DES PERSONNES AUDITIONNÉES

Lundi 13 mars 2023

- Al Forensics : M. Marc FADDOUL, directeur, chercheur en Intelligence Artificiel.

Jeudi 16 mars 2023

- Autorité de régulation de la communication audiovisuelle et numérique : M. Benoît LOUTREL, membre du collège de l'ARCOM, président du groupe de travail « supervision des plateformes en ligne » et vice-président du groupe de travail « éducation aux médias, transition écologique et santé publique ».

Lundi 20 mars 2023

- Institut de Recherche Stratégique de l'École Militaire (IRSEM) : M. Paul CHARON, directeur du domaine « renseignement, anticipation et stratégies d'influence ».

Lundi 27 mars 2023

- M. Julien NOCETTI, enseignant-chercheur à l'Académie militaire de Saint-Cyr Coëtquidan.

Mardi 28 mars 2023

Agence nationale de la sécurité des systèmes d'information (ANSSI) : M. Vincent STRUDEL, directeur général,

Secrétariat général de la défense et de la sécurité nationale (SGDSN) : M. Gabriel FERRIOL, chef du service de vigilance et de protection contre les ingérences numériques étrangères (Viginum).

Lundi 3 avril 2023

- Commission nationale de l'informatique et des libertés (CNIL) : M. Louis DUTHEILLET DE LAMOTHE, secrétaire général, Mme Karin KIEFER, directrice de la protection des droits et des sanctions, M. Bertrand PAILHES, directeur des technologies et de l'innovation.

- Centre national de la recherche scientifique (CNRS) : M. Grégoire BORST, professeur de psychologie du développement et de neurosciences cognitives de l'éducation et directeur du laboratoire de psychologie du développement et de l'éducation de l'enfant (LaPsyDÉ).

- Ministère de l'intérieur - Direction générale de la sécurité intérieure : M. Nicolas LERNER, directeur général, M. Grégoire PETIT, chef de cabinet.

Jeudi 13 avril 2023

M. Raphaël GLUCKSMANN, député, président de la commission spéciale sur l'ingérence étrangère dans l'ensemble des processus démocratiques de l'UE et Mme Nathalie LOISEAU, députée européenne, présidente de la sous-commission « sécurité et défense ».

Mardi 2 mai 2023

Société des auteurs et compositeurs dramatiques (SACD) : M. Pascal ROGARD, directeur général, M. Patrick RAUDE, secrétaire général.

Mercredi 3 mai 2023

- M. Tariq KRIM, entrepreneur et spécialiste des questions numériques.

- NewsGuard : Mme Chine LABBÉ, rédactrice en chef et vice-présidente en charge des partenariats Europe et Canada.

Jeudi 4 mai 2023

- Institut de la Souveraineté Numérique : M. Bernard BENHAMOU, secrétaire général.

- UFC - Que Choisir : M. Alain BAZOT, président.

Jeudi 11 mai 2023

Observatoire parentalité et éducation numérique : M. Thomas ROHMER, fondateur et directeur exécutif, Mme Angélique GOZLAN, psychologue clinicienne, docteur en psychopathologie, Mme Milan HUNG, psychologue clinicienne spécialisée dans les problématiques du numérique et des usages du jeu vidéo.

Lundi 15 mai 2023

Mme Sabine DUFLO, psychologue clinicienne, Mme Servane MOUTON, neurologue.

- Université Panthéon-Assas : M. Romain BADOUARD, maître de conférences en sciences de l'information et de la communication.

Mercredi 31 mai 2023

- Société des auteurs, compositeurs et éditeurs de musique (SACEM) : M. Julien DUMON, directeur du développement, du phono et du numérique, M. Blaise MISTLER, directeur des relations institutionnelles.

- Commission nationale de l'informatique et des libertés (CNIL) : Mme Marie-Laure DENIS, présidente.

Lundi 5 juin 2023

- Syndicat national de l'édition phonographique (SNEP) : Mme Delphine BURGAUD.

Jeudi 8 juin 2023

- TikTok SAS : M. Éric GARANDEAU, directeur des affaires publiques, Mme Marlène MASURE, directrice générale des opérations France, Benelux et Europe du sud.

Lundi 12 juin 2023

- Reporters sans frontières : M. Christophe DELOIRE, secrétaire général et directeur général.

Lundi 19 juin 2023

- M. Jean-Noël BARROT, ministre délégué chargé de la transition numérique et des télécommunications.

TABLEAU DE MISE EN oeUVRE ET DE SUIVI
DES RECOMMANDATIONS

* ¹ https://www.theatlantic.com/ideas/archive/2020/11/why-obama-fears-for-our-democracy/617087/

* ² Le terme de « graphe », traduit de l'anglais « graph », désigne le schéma des liens entre des personnes utilisatrices d'une plateforme numérique, formant un réseau social. Il dérive lui-même de la théorie des graphes, discipline mathématique et informatique qui étudie les graphes, lesquels sont des modèles abstraits de dessins de réseaux reliant des objets entre eux.

* ³ Le nom ByteDance se référerait au “Bit”, l'unité de base de l'information en informatique ; et Dance décrirait l'objectif artistique de l'entreprise. Steve Jobs, modèle des innovateurs de la tech, rappelait que la magie d'Apple tenait à sa capacité à mêler la technologie et l'art. (Océane Herrero, Le système TikTok. Comment la plateforme chinoise modèle nos vies, avril 2023)

* ⁴ Rachel Lee, Prudence Luttrell, Matthew Johnson, John Garnaut, TikTok, ByteDance, and their ties to the Chinese Communist Party, Submission to the Senate Select Committee on Foreign Interference through Social Media, mars 2023.

* ⁵ Rachel Lee, Prudence Luttrell, Matthew Johnson, John Garnaut, TikTok, ByteDance, and their ties to the Chinese Communist Party, Submission to the Senate Select Committee on Foreign Interference through Social Media, mars 2023.

* ⁶ Rachel Lee, Prudence Luttrell, Matthew Johnson, John Garnaut, TikTok, ByteDance, and their ties to the Chinese Communist Party, Submission to the Senate Select Committee on Foreign Interference through Social Media, mars 2023.

* ⁷ Par comparaison, l'utilisateur de Twitter ouvre l'application à peu près 15 fois par jour.

* ⁸ Meltwater, 2023.

* ⁹ Un temps 60 % plus élevé que le temps passé sur YouTube (From Alpha to Z: raising the digital generations, Annual Data Report, 2022, Qustodio).

* ¹⁰ Reuters Institute Digital News report, 2022.

* ¹¹ Pew Research Center, 2022.

* ¹² Par exemple : « Mieux protéger notre patrimoine scientifique et nos libertés académiques », rapporteur André Gattolin : https://www.senat.fr/notice-rapport/2020/r20-873-notice.html

* ¹³ Paul Charon et Jean-Baptiste Jeangène Vilmer, « Les opérations d'influence chinoises : un moment machiavélien », Rapport, Institut de recherche stratégique de l'école militaire, 2021.

* ¹⁴ European External Action Service, 1st Report on Foreign Information Manipulation and Interference Threat, February 2023.

* ¹⁵ Paul Charon et Jean-Baptiste Jeangène Vilmer, « Les opérations d'influence chinoises : un moment machiavélien », Rapport, Institut de recherche stratégique de l'école militaire, 2021.

* ¹⁶ Ibid.

* ¹⁷ Ibid.

* ¹⁸ Ibid.

* ¹⁹ Audition du 27 mars 2023.

* ²⁰ Audition du 20 mars 2023.

* ²¹ Paul Charon et Jean-Baptiste Jeangène Vilmer, « Les opérations d'influence chinoises : un moment machiavélien », Rapport, Institut de recherche stratégique de l'école militaire, 2021.

* ²² Audition du 13 mars 2023.

* ²³ Audition du 13 avril 2023.

* ²⁴ Institut Montaigne, « L'Europe et la 5G : le cas Huawei », Note, Mai 2019.

* ²⁵ Rapport d'information n° 5027 (2020-2021) de Mme Bérangère Poletti et de M. Buon Tan, fait au nom de la commission des affaires étrangères de l'Assemblée nationale, sur la stratégie de la France et de l'Union européenne à l'égard de la Chine.

* ²⁶ Ibid.

* ²⁷ Ibid.

* ²⁸ Audition du 13 mars 2023.

* ²⁹ Audition du 16 mars 2023.

* ³⁰ Audition du 20 mars 2023.

* ³¹ Audition du 13 mars 2023.

* ³² Paul Charon et Jean-Baptiste Jeangène Vilmer, « Les opérations d'influence chinoises : un moment machiavélien », Rapport, Institut de recherche stratégique de l'école militaire, 2021.

* ³³https://web.archive.org/web/20220708100249/http:/tech.sina.com.cn/i/2016-12-14/doc-ifxypipt1331463.shtml

* ³⁴ Une participation minoritaire mais qui permet de contrôler une entreprise.

* ³⁵ https://archive.md/PmxYE#selection-1995.1-1999.402

* ³⁶https://www.lemonde.fr/idees/article/2023/04/14/derriere-TikTok-se-profile-l-ombre-du-parti-communiste-chinois_6169514_3232.html

* ³⁷ La création d'une entité à Hong Kong constitue souvent l'une des étapes de la mise en place d'une « VIE » dans un paradis fiscal, avec des sociétés écran situées aux îles Vierges britanniques et aux îles Caïman.

* ³⁸ https://register.epo.org/application?number=EP22885610

* ³⁹ https://ppubs.uspto.gov/pubwebapp/static/pages/ppubsbasic.html

* ⁴⁰ https://patentscope2.wipo.int/search/fr/result.jsf?_vid=JP2-LJ2PTB-43067

* ⁴¹ Cette réponse écrite de TikTok est également trompeuse en ce qu'elle entretient une confusion entre algorithme et données : qu'il y ait ou non transfert de données entre TikTok et Douyin, le fait que les deux algorithmes soient développés par les mêmes ingénieurs en Chine peut faire craindre, par exemple, que les deux algorithmes soient ponctuellement ou systématiquement biaisés en faveur des intérêts de la Chine.

* ⁴² Voir la réponse écrite qu'il a adressée le 30 juin 2022 aux sénateurss Blackburn, Wicker, Thune, Blunt, Cruz, Moran, Capito, Lummis, et Daines.

* ⁴³ « The Insanely Popular Chinese News App That You've Never Heard Of », Will Knight, MIT Technology Review, 26 janvier 2017.

* ⁴⁴ « TikTok, ByteDance, and their ties to the Chinese Communist Party », rapport à la commission spéciale sur l'ingérence étrangères au travers des réseaux sociaux, Rachel Lee, Prudence Luttrell, Matthew Johnson, John Garnaut, 14 March 2023.

* ⁴⁵ https://www.nytimes.com/2021/12/05/business/media/TikTok-algorithm.html

* ⁴⁶ Selon LinkedIn, le responsable de l'ingénierie a fréquenté l'université de Pékin, a obtenu une maîtrise en informatique à l'université de Columbia et a travaillé pour Facebook pendant deux ans avant de rejoindre ByteDance à Pékin en 2017.

* ⁴⁷ Selon l'enquête menée par les rédacteurs du rapport remis au Parlement australien, un employé de ByteDance aurait en outre déclaré en 2022 au média technologique chinois LatePost que TikTok n'est pas assez développé pour être une unité commerciale autonome. TikTok s'appuierait bien sur le personnel, l'expérience et les méthodes de l'application Douyin, le logiciel et le modèle commercial de ByteDance.

* ⁴⁸ La question de la conformité de ces accès à distance au RGPD est étudiée dans la partie III.

* ⁴⁹ Océane Herrero, « Le système TikTok », 2023, page 153.

* ⁵⁰ https://www.buzzfeednews.com/article/emilybakerwhite/TikTok-tapes-us-user-data-china-ByteDance-access

* ⁵¹ https://www.forbes.com/sites/emilybaker-white/2022/12/22/TikTok-tracks-forbes-journalists-ByteDance/?sh=3ed3f2607da5

* ⁵² https://www.ft.com/content/e873b98a-9623-45b3-b97c-444a2fde5874

* ⁵³ https://www.theverge.com/2022/12/22/23522808/TikTok-journalists-data-accessed-ByteDance-internal-audit

* ⁵⁴ Ibid.

* ⁵⁵ Ibid.

* ⁵⁶ https://www.buzzfeednews.com/article/emilybakerwhite/TikTok-tapes-us-user-data-china-ByteDance-access

* ⁵⁷ https://www.theguardian.com/technology/2019/sep/25/revealed-how-TikTok-censors-videos-that-do-not-please-beijing

* ⁵⁸ https://www.washingtonpost.com/technology/2019/11/05/inside-TikTok-culture-clash-where-us-views-about-censorship-often-were-overridden-by-chinese-bosses/

* ⁵⁹ Ibid.

* ⁶⁰ Audition du 20 mars 2023.

* ⁶¹ Audition du 13 avril 2023.

* ⁶² Paul Charon et Jean-Baptiste Jeangène Vilmer, « Les opérations d'influence chinoises : un moment machiavélien », Rapport, Institut de recherche stratégique de l'école militaire, 2021.

* ⁶³ https://ec.europa.eu/commission/presscorner/detail/fr/ip_23_1161

* ⁶⁴ Ibid.

* ⁶⁵ https://www.ejustice.just.fgov.be/doc/rech_f.htm

* ⁶⁶ https://www.premier.be/fr/interdiction-temporaire-de-TikTok-sur-les-appareils-de-service-du-gouvernement-f%C3%A9d%C3%A9ral et https://news.belgium.be/fr/interdiction-temporaire-dutiliser-TikTok-pour-le-personnel-des-autorites-publiques

* ⁶⁷ https://www.fmn.dk/da/nyheder/2023/forsvarsministeriet-forbyder-ansatte-at-bruge-TikTok-pa-tjenestelige-enheder/

* ⁶⁸ https://www.cfcs.dk/da/nyheder/2023/cfcs-anbefaling-TikTok/

* ⁶⁹ https://news.err.ee/1608903302/complete-TikTok-ban-in-estonia-difficult-without-amending-law

* ⁷⁰ https://www.transformation.gouv.fr/files/presse/cp_interdiction_applications_recreatives_telephone_pro_agents.pdf

* ⁷¹ https://eng.lsm.lv/article/politics/politics/latvian-foreign-ministry-bans-TikTok-on-work-phones.a498883/

* ⁷² https://www.tweedekamer.nl/downloads/document?id=2023D11252

* ⁷³ https://www.tweedekamer.nl/downloads/document?id=2023D11253

* ⁷⁴ https://www.bbc.com/news/world-asia-61185931

* ⁷⁵ https://www.protectivesecurity.gov.au/system/files/2023-04/direction-on-TikTok-application.pdf

* ⁷⁶ https://www.canada.ca/en/treasury-board-secretariat/news/2023/02/statement-by-minister-fortier-announcing-a-ban-on-the-use-of-TikTok-on-government-mobile-devices.html

* ⁷⁷ https://www.cbc.ca/news/canada/toronto/ontario-TikTok-ban-1.6773742

* ⁷⁸ Ibid.

* ⁷⁹ https://www.whitehouse.gov/wp-content/uploads/2023/02/M-23-13-No-TikTok-on-Government-Devices-Implementation-Guidance_final.pdf

* ⁸⁰ https://www.npr.org/2022/11/17/1137155540/fbi-TikTok-national-security-concerns-china

* ⁸¹ https://crsreports.congress.gov/product/pdf/LSB/LSB10972

* ⁸² Ibid.

* ⁸³ Ibid.

* ⁸⁴ Ibid.

* ⁸⁵ https://www.ft.com/content/0c4773e2-0a34-4fd4-846f-5c2c6f5de95a

* ⁸⁶ Ibid.

* ⁸⁷ https://www.nytimes.com/2020/06/29/world/asia/tik-tok-banned-india-china.html

* ⁸⁸ https://www.parliament.nz/en/footer/about-us/parliamentary-service/parliamentary-service-media-releases/media-statement-TikTok-on-parliamentary-service-devices/

* ⁸⁹ Ibid.

* ⁹⁰ https://www.regjeringen.no/no/aktuelt/nsm-med-nye-retningslinjer-for-TikTok-og-telegram/id2967383/

* ⁹¹ https://www.nrk.no/nyheter/-stortinget-forbyr-TikTok-og-telegram-1.16349077

* ⁹²  https://www.nytimes.com/2020/10/11/technology/TikTok-pakistan-ban.html et https://www.indiatoday.in/world/story/pakistan-telecom-authority-TikTok-ByteDance-ban-lifted-1878966-2021-11-20

* ⁹³ https://www.gov.uk/government/news/TikTok-banned-on-uk-government-devices-as-part-of-wider-app-review

* ⁹⁴ https://www.Taïwannews.com.tw/en/news/4741706

* ⁹⁵ https://law.moda.gov.tw/LawContentHistory.aspx?hid=10

* ⁹⁶ Cf. la circulaire en annexe du rapport.

* ⁹⁷ Circulaire du 23 mars 2023 du Ministère de la Transformation et de la Fonction publiques.

* ⁹⁸ https://www.nukib.cz/en/infoservis-en/news/1942-the-TikTok-app-poses-a-security-threat/

* ⁹⁹ Ibid.

* ¹⁰⁰ Ibid.

* ¹⁰¹  https://www.buzzfeednews.com/article/emilybakerwhite/TikTok-tapes-us-user-data-china-ByteDance-access

* ¹⁰² Audition du 8 juin 2023.

* ¹⁰³ Microsoft v. United States, 14 juillet 2016.

* ¹⁰⁴ Emmanuelle Mignon, « Le Cloud Act ou l'impuissance européenne démasquée », La revue des juristes de Sciences Po, 2019.

* ¹⁰⁵ Audition du 8 juin 2023.

* ¹⁰⁶ CJUE, Arrêt Schrems II, 16 juillet 2020.

* ¹⁰⁷ Audition du 3 avril 2023.

* ¹⁰⁸ Audition du 8 juin 2023.

* ¹⁰⁹ Réponses écrites transmises par TikTok le 24 mai 2023.

* ¹¹⁰ La question de la conformité de ces accès à distance du RGPD est traitée par la partie suivante, pages....

* ¹¹¹ L'expression a été employée 9 fois par M. Garandeau lors de son audition par la commission d'enquête.

* ¹¹² Institut Montaigne, « L'Europe et la 5G : le cas Huawei », Note, Mai 2019.

* ¹¹³ Institut Montaigne, « L'Europe et la 5G : le cas Huawei », Note, Mai 2019.

* ¹¹⁴ Ibid.

* ¹¹⁵ Ibid.

* ¹¹⁶ Audition du 27 mars 2023.

* ¹¹⁷ Décision n° 2020-882 QPC du 5 février 2021

* ¹¹⁸ Audition du 2 mai 2023.

* ¹¹⁹ Audition du 8 juin 2023.

* ¹²⁰ Audition du 2 mai 2023.

* ¹²¹ Audition du 2 mai 2023.

* ¹²² Audition du 8 juin 2023.

* ¹²³ Audition du 16 mars 2023.

* ¹²⁴ Audition du 4 mai 2023.

* ¹²⁵ Gras ajouté.

* ¹²⁶ Intérêt légitime invoqué par TikTok : « fournir aux utilisateurs des outils pour inspirer la créativité, la collaboration et le plaisir, et créer des possibilités pour les utilisateurs de toucher de nouveaux publics ».

* ¹²⁷ https://www.nukib.cz/en/infoservis-en/news/1942-the-TikTok-app-poses-a-security-threat/

* ¹²⁸ https://www.forbes.com/sites/richardnieva/2022/08/18/TikTok-in-app-browser-research/

* ¹²⁹ https://reports.exodus-privacy.eu.org/fr/.

* ¹³⁰https://www.lemonde.fr/pixels/article/2022/03/01/TikTok-autorise-les-videos-de-dix-minutes_6115698_4408996.html

* ¹³¹ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

* ¹³² Marlène Masure : « Vous avez aussi la possibilité de limiter les données collectées, par exemple en enlevant la personnalisation des publicités - il faut décocher la case ».

* ¹³³ https://ads.TikTok.com/help/article/ad-targeting?lang=fr.