B. UNE COLLECTE QUI A ALERTÉ DE NOMBREUSES AUTORITÉS DE PROTECTION DES DONNÉES
1. Des enquêtes de la CNIL qui ont abouti à une première condamnation partielle
Dès mai 2020, la CNIL a mené des opérations de contrôle sur le site internet TikTok.com et l'application TikTok. Les premiers contrôles, menés le 14 mai et le 3 juin 2020, ont porté sur la conformité du site internet et de l'application aux dispositions de l'article 82 de la loi Informatique et Libertés relatives au dépôt de cookies et autres traceurs140(*), ainsi que la conformité au regard du RGPD des traitements mis en oeuvre par TikTok dans le cadre de ses services : la base légale du traitement de données de mineurs, l'information des personnes, le caractère protecteur dès la conception et par défaut des traitements mis en oeuvre par la société, en particulier concernant le paramétrage par défaut des comptes d'utilisateurs mineurs, la sécurité des données, ainsi que la conformité des transferts de données hors UE, en particulier vers la Chine et les États-Unis.
Des contrôles en ligne complémentaires ont été effectué les 3 juin 2021 et 30 juin 2022 sur la conformité du site internet aux dispositions de l'article 82 de la loi Informatique et Libertés relatives au dépôt de cookies et autres traceurs. S'agissant de ce champ d'investigation, la CNIL a indiqué que ces contrôles se sont inscrits dans le cadre d'un plan beaucoup plus général, mené depuis 2020 par la CNIL, sur l'ensemble des sites Internet et le recueil des cookies. TikTok n'était donc que l'un des acteurs visés.
En cours de procédure, les sociétés TikTok Technology Limited (TikTok Irlande) et TikTok Information Technologies UK Limited (TikTok UK) ont indiqué à la CNIL assumer conjointement la responsabilité des traitements des données à caractère personnel des utilisateurs européens depuis le 29 juillet 2020, ayant repris cette compétence de la société américaine TikTok Inc. Le groupe TikTok a par ailleurs déclaré TikTok Irlande comme étant son établissement principal en Europe au sens du RGPD.
Dès lors, en application de la règle du guichet unique prévue par ce règlement, l'autorité de protection des données irlandaise (la Data Protection Commission - DPC) est devenue l'autorité chef de file et la seule, en coopération avec les autres autorités concernées, à pouvoir prendre une décision contraignante envers TikTok au sein de l'UE, en application du RGPD.
La CNIL a en conséquence séparé la procédure en deux, distinguant
- les vérifications relatives aux cookies mises en oeuvre sur la base de la loi Informatique et Libertés, pour lesquelles elle a conservé sa compétence : la CNIL a sanctionné TikTok le 29 décembre 2022 lui infligeant une amende de 5 millions d'euros 141(*) ;
- les vérifications mises en oeuvre sur la base du RGPD pour lesquelles la DPC irlandaise est désormais l'autorité chef de file : la CNIL a transféré à la DPC les éléments recueillis au cours de ses enquêtes.
La désignation de la DPC comme autorité de contrôle chef de file a suspendu d'autres procédures en cours dans l'Union européenne. Ainsi l'autorité de protection des données danoise (Datatilsynets) avait ouvert une procédure en 2020 contre TikTok sur la base du RGPD, procédure qu'elle a transmise à la DPC142(*).
2. De nombreuses décisions relatives aux mineurs
En janvier 2021, l'autorité de protection des données italienne (Italian (Garante per la protezione dei dati personali - GPDP) a décidé de prendre des mesures urgentes en application de l'article 66 du RGPD après la mort d'une fillette âgée de 10 ans à Palerme à la suite d'un défi TikTok. Elle a imposé à TikTok une suspension de tous les traitements de données provenant de personnes dont l'âge ne pouvait être établi avec certitude. À la suite de cette mesure, plus de 12,5 millions d'utilisateurs italiens ont été invités à confirmer qu'ils étaient âgés de plus de 13 ans pour accéder à la plateforme, et plus de 500 000 comptes ont été supprimés.
Le 22 juillet 2021, l'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens - AP) a condamné TikTok à une amende de 750 000 € pour violation de la vie privée de jeunes enfants. Les informations fournies par TikTok aux utilisateurs néerlandais - dont beaucoup sont de jeunes enfants - lors de l'installation et de l'utilisation de l'application étaient en anglais et donc difficilement compréhensibles.
Le 4 avril 2023, TikTok a été condamnée à payer une amende de 12,7 millions de livres (environ 14,8 millions d'euros) par le régulateur britannique, l'Information commissionner's office (ICO), pour utilisation illégale de données personnelles d'enfants. L'ICO a constaté que TikTok avait enfreint le règlement général britannique sur la protection des données (RGPD britannique) entre mai 2018 et juillet 2020 :
- en fournissant ses services aux enfants britanniques de moins de 13 ans et en traitant leurs données personnelles sans le consentement ou l'autorisation de leurs parents ou tuteurs ;
- en n'apportant pas aux personnes utilisant la plate-forme des informations appropriées sur la manière dont leurs données sont collectées, utilisées et partagées d'une manière facile à comprendre. Sans ces informations, les utilisateurs de la plateforme, en particulier les enfants, n'étaient probablement pas en mesure de faire des choix éclairés sur l'opportunité et la manière de s'y engager ;
- en ne s'assurant pas que les données personnelles appartenant à ses utilisateurs britanniques ont été traitées de manière licite, loyale et transparente.
TikTok - à l'époque Musical.ly - avait également fait l'objet d'une procédure aux États-Unis de la part de la Federal Trade Commission (FTC) le 27 février 2019 sur le fondement du Children's Online Privacy Protection Act de 1998 pour divers manquements relatifs à la collecte de données auprès des enfants. La plateforme avait accepté de payer 5,7 millions de dollars (environ 5,3 millions d'euros) pour mettre fin à ce litige.
* 140 « Toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ».
* 141 Délibération SAN-2022-027 du 29 décembre 2022.
* 142 Selon les informations obtenues de l'ambassade du Danemark en France.