B. ACCORDER À TIKTOK JUSQU'AU 1ER JANVIER 2024 POUR SE METTRE EN CONFORMITÉ AVEC SES OBLIGATIONS ET SE MONTRER COOPÉRATIF VIS-À-VIS DES AUTORITÉS
Au regard des recommandations émises par cette commission d'enquête, des risques avérés de l'utilisation de TikTok et des craintes légitimes de l'opinion publique, un délai de six mois (jusqu'au 1er janvier 2024) pourrait être accordé à TikTok pour se mettre en conformité avec ses principales obligations et améliorer sa politique de transparence et de coopération avec les autorités. Faute de cette mise en conformité, il conviendrait d'envisager des mesures plus sévères, soit au niveau des instances européennes, soit au niveau national en cas de risque avéré pour la sécurité de l'ensemble des utilisateurs.
S'il a souvent été mis en évidence que l'entreprise était jeune, en forte croissance, concentrée sur le développement de ses produits et sa stratégie commerciale, les dirigeants de TikTok ne peuvent plus faire preuve d'une « feinte naïveté » à l'égard de leurs utilisateurs, en particulier au regard des travaux menés par cette commission d'enquête, des débats publics et des révélations effectuées depuis plusieurs années déjà par plusieurs médias internationaux.
Pendant cette période de six mois, les mesures suivantes devraient notamment être mises en oeuvre par l'entreprise.
1. Mettre pleinement en oeuvre le RSN
Constat : La réticence de TikTok à appliquer le RGPD doit servir de mise en garde pour le RSN.
a) Le défi de la mise en oeuvre du RSN à brève échéance
Le RSN est salué par tous comme une avancée majeure pour la régulation des plateformes. Toutefois, le véritable défi aujourd'hui est d'arriver à faire respecter cette réglementation, ainsi que l'a souligné Mme Nathalie Loiseau, députée européenne et présidente de la sous-commission « défense et sécurité » du Parlement européen.
Dans ce domaine, TikTok part de loin. Comme l'a indiqué l'ARCOM devant la commission d'enquête, les « moyens consacrés à la croissance de l'activité de TikTok l'ont été au détriment de celle des mécanismes de stabilisation ». Les nombreuses déficiences et les absences de réponse relevées dans le Bilan 2022 de l'ARCOM en attestent. M. Marc Faddoul, chercheur en intelligence artificielle, estime pour sa part que l'entreprise a été « débordée par sa propre croissance et n'investit pas suffisamment dans la modération et la sécurité des utilisateurs - son équipe « Trust & Safety » est particulièrement petite -, ceci pour conserver des marges élevées ».
On ne peut que constater l'insuffisance des moyens de modération (le chiffre communiqué de 40 000 personnes dédiées à la sécurité des contenus va bien au-delà de la seule modération) et le manque d'efficacité de cette politique, les contenus faux tardant à être retirés. Les utilisateurs de TikTok consultent trop souvent des contenus dont ils ignorent l'origine. Si l'objectif d'une absence de contenus faux sur TikTok est certes impossible à atteindre, il doit être exigé des plateformes davantage de transparence et une labellisation des sources des contenus qui circulent. Ces lacunes sont d'autant plus préjudiciables qu'une part croissante de la jeunesse s'informe via l'application TikTok. Selon un récent rapport, 20 % des 18-24 ans au niveau mondial utilisent TikTok pour s'informer, une proportion en hausse de 5 points par rapport à l'année dernière.
En outre, la faiblesse des outils de lutte mobilisés ne permet pas de rassurer quant à la possible utilisation de TikTok comme outil de désinformation. Mme Nathalie Loiseau relève qu'un article de China Daily, organe de propagande du parti communiste chinois, précisait que « les médias numériques chinois et russes devraient combattre ensemble les attaques et les provocations des pays occidentaux et mettre en place un environnement international sain s'agissant de l'opinion publique ».
Le rapport de mai 2023 du Parlement européen sur l'ingérence étrangère considère d'ailleurs que « l'application TikTok, détenue par le conglomérat chinois ByteDance (...) constitue une source de désinformation soutenue par la Chine ».
On peut en effet considérer comme une véritable « dépendance informationnelle » le fait que la jeunesse française s'informe de plus en plus sur une application au moins potentiellement contrôlée par la Chine. Après les dépendances sanitaire, énergétique ou industrielle mis en lumière par les crises récentes, il s'agit donc de davantage veiller à la souveraineté informationnelle du pays.
Le renforcement des outils de lutte contre la désinformation sur TikTok parait d'autant plus urgent que des élections majeures se tiendront l'année prochaine dans plusieurs pays : Taïwan, Royaume-Uni, Ukraine, Russie, élections européennes. Comme le note M. Marc Faddoul, « si la modération laisse encore à désirer aux États-Unis et en Europe, la situation est bien pire en Afrique ou au Moyen-Orient, où les risques de déstabilisations sont pourtant encore plus élevés ». Favorisant la polarisation des opinions publiques, les applications comme TikTok doivent assurer la transparence de leurs algorithmes qui constituent, comme le relève M. Raphaël Glucskmann, les « lois de notre nouvelle agora ».
Ainsi, afin que la mise en oeuvre du RSN ne reste pas lettre morte, TikTok doit impérativement et immédiatement démontrer son engagement par un investissement fort dans les domaines couverts par le Règlement : détailler publiquement l'ensemble des nouvelles mesures de transparence et de modération qu'elle met en oeuvre afin de répondre aux critiques de l'ARCOM, accroître les effectifs de modération francophone et préciser ceux qui sont dédiés spécifiquement à la lutte contre la désinformation, assurer un retrait proactif des fausses informations.
L'entreprise doit également accomplir un effort en matière de mise en avant de contenus informatifs fiables, comme l'a recommandé Reporters sans frontières (RSF) lors de son audition devant la commission d'enquête. M. Garandeau a indiqué que TikTok avait d'ores et déjà des partenariats avec Génération Numérique et Conspiracy Watch pour lutter contre les fausses informations. Mais il faut aller plus loin. RSF a ainsi lancé plusieurs initiatives d'ampleur sur ce sujet : le Partenariat sur l'information et la démocratie231(*) ou encore la Journalism Trust Initiative (JTI). Celle-ci vise à distinguer le « vrai » journalisme sur la base des processus des entités médiatiques et non pas des contenus. Il s'agit d'une norme qui doit permettre une certification par un organisme d'audit externe et indépendant. France TV, par exemple, a d'ores et déjà obtenu cette certification. Pour montrer sa bonne volonté dans ce domaine de l'information fiable, il apparaît donc nécessaire que TikTok adopte une pratique d'amplification algorithmique des contenus issus de médias qui auront obtenu la certification JTI ou toute autre certification du même niveau de fiabilité.
b) Des régulateurs qui doivent être mobilisés pour l'entrée en vigueur du RSN
Plus globalement, les premiers mois de cette mise en oeuvre seront déterminants car il convient montrer aux très grandes plateformes la réalité des pouvoirs de la Commission européenne et sa détermination à en user. Ils serviront d'exemple aux plus petits acteurs.
Il est donc important de cibler dès l'entrée en vigueur du RSN quelques très grandes plateformes à mettre sous surveillance renforcée :Twitter sans doute, compte tenu de l'effondrement de sa modération et son retrait du code européen de bonnes pratiques contre la désinformation ; mais également TikTok qui ainsi que l'a déclaré Benoît Loutrel, membre de l'ARCOM, doit faire « un effort supplémentaire (...) par rapport à d'autres plateformes (...) pour recréer la confiance légitime ».
Par ailleurs, le RSN comprend un certain nombre d'outils - mesures d'enquête, mesures provisoires, astreintes, sanctions - à la main de la Commission européenne pour faire respecter les obligations qu'il prévoit. Ces outils supposent des processus itératifs d'informations préalables et d'échanges d'observations avec les plateformes forcément chronophages. La sanction ultime - une restriction temporaire de l'accès prononcée par l'autorité judiciaire - n'est accessible qu'à titre subsidiaire, « lorsque tous les pouvoirs pour parvenir à la cessation d'une infraction au présent règlement ont été épuisés ». Il convient donc de mettre en oeuvre rapidement ces outils au risque de n'obtenir une suspension que des années après le début de l'infraction.
C'est pourquoi il apparaît nécessaire de réfléchir dès à présent à la stratégie applicable en la matière afin de déterminer étape par étape le processus de réponse graduée applicable aux fournisseurs de très grandes plateformes en ligne non coopératifs, dans une temporalité en cohérence avec le monde numérique.
Recommandation n° 2 : Demander à TikTok de détailler publiquement les nouvelles mesures de transparence et de modération mises en oeuvre afin de répondre aux critiques de l'ARCOM ; d'accroître les moyens de la modération francophone et de préciser ceux dédiés à la lutte contre la désinformation, d'assurer un retrait proactif des fausses informations, de renforcer la labellisation des contenus issus de médias d'États ou altérés par l'intelligence artificielle, d'assurer la transparence sur la manière dont sont attribués les « bonus » à la visibilité des contenus et inversement sur les techniques d'invisibilisation, enfin d'appliquer un processus d'amplification algorithmique pour les contenus fiabilisés par une certification telle que la Journalism Trust Initiative (JTI).
Recommandation n° 3 : Au niveau européen, organiser, dès le 17 février 2024, une supervision ciblée sur quelques très grandes plateformes, dont TikTok, avec l'aide des régulateurs nationaux volontaires.
Recommandation n° 4 : Demander à la Commission européenne de décider dès aujourd'hui du schéma de « réponse graduée » face à des fournisseurs de très grandes plateformes en ligne non coopératifs.
2. Mettre fin à l'opacité et respecter les acteurs culturels
Constat : TikTok ne rémunère pas ou insuffisamment les ayants droit de ses contenus.
TikTok multiplie les partenariats avec les institutions culturelles prestigieuses grâce sa « force de frappe » financière exceptionnelle. Pour autant, l'application ne rémunère pas les ayants droit producteurs de contenus réutilisés sur la plateforme à la hauteur du chiffre d'affaires qu'ils permettent de générer.
Recommandation n° 5 : Exiger de TikTok la négociation d'un accord satisfaisant et équitable avec la société des auteurs et compositeurs dramatiques (SACD) afin de lutter plus efficacement contre la piraterie audiovisuelle et les atteintes quotidiennes aux droits d'auteur à l'oeuvre sur la plateforme. De même, demander à TikTok de faire évoluer le premier accord négocié avec la société des auteurs, compositeurs et éditeurs de musique (SACEM) afin de rémunérer plus justement les éditeurs de musique dont les oeuvres originales contribuent au succès de la plateforme.
3. Protéger les données personnelles des Français et des européens
Constat : cinq ans après son implantation en Europe, TikTok ne respecte toujours pas le RGPD et la DPC irlandaise n'a pris aucune sanction à son encontre. Le projet Clover apparaît insuffisant à ce jour.
Les représentants de TikTok ont indiqué à la commission d'enquête être confiants sur leur capacité à respecter le RSN. Il est difficile d'accorder du crédit à ces assurances alors que TikTok, de l'avis général, contrevient très largement au RGPD232(*), pourtant en vigueur depuis le lancement de sa plateforme en Europe.
Le modèle de gouvernance mis en place par le RGPD donne un rôle prééminent à la DPC irlandaise qui est, depuis le 29 juillet 2020, le guichet unique de TikTok - et de nombreuses autres plateformes - pour l'ensemble de l'Union européenne. Depuis cette date, force est de constater que la DPC n'a prononcé aucune sanction à l'encontre de TikTok qui ne respecte pas les obligations du RGPD, notamment de licéité, loyauté, transparence du traitement et de minimisation des données. Il est à noter que le règlement RSN a adopté un modèle différent, puisqu'il confie à la Commission européenne et non à une autorité nationale le soin de sanctionner les très grandes plateformes.
À l'inverse, la CNIL a pu sanctionner TikTok en raison de l'usage de cookies sur le site TikTok.com en application de l'article 82 de la loi Informatique et Libertés. Elle a également pu agir sur ce fondement, qui reste de sa compétence, à l'encontre de plateformes américaines comme Google, Facebook et Amazon.
Or le projet de règlement ePrivacy qui est en cours de discussion modifierait cette situation. Son article 18 prévoit que l'application des règles de confidentialité relève désormais de la responsabilité des autorités chargées de la protection des données, déjà chargées des règles prévues par le RGPD et selon le même mécanisme de guichet unique.
Si l'on comprend cette volonté d'harmonisation, il semble nécessaire d'améliorer préalablement le mécanisme de guichet unique avant de l'étendre. Un certain nombre d'améliorations procédurales ont d'ailleurs été suggérées par le CEDP dans un courrier adressé le 10 octobre 2022 à Didier Reynders, commissaire européen à la justice.
Par ailleurs, le projet Clover ainsi qu'il a été exposé ci-dessus, ne garantit pas, à l'heure actuelle, la protection des données personnelles des utilisateurs européens par rapport aux accès indus d'acteurs malveillants. En outre, TikTok ne s'est pas engagée fermement auprès des autorités sur un délai pour sa réalisation. L'entreprise doit donc réaliser un effort considérable pour convaincre du bien-fondé de ce projet ou proposer une alternative suffisante.
Recommandation n° 6 : En matière d'application du RGPD, mieux encadrer le mécanisme de coopération entre l'autorité de contrôle chef de file et les autorités de contrôle concernées, en particulier en fixant des délais pour réduire la durée des procédures transfrontalières et en incluant les procédures de règlement amiable dans son champ.
Recommandation n° 7 : Maintenir la possibilité pour les autorités de contrôle concernées de contrôler et de sanctionner le respect du futur règlement ePrivacy, en particulier en matière de cookies.
Recommandation n° 8 : Demander à TikTok d'apporter aux autorités nationales et européennes une démonstration plus précise et plus convaincante que les données des utilisateurs européens de TikTok seront protégées par le projet Clover.
Recommandation n° 9 : À défaut, proposer une alternative avec des garanties de sécurité supplémentaires suffisantes pour protéger les données des législations extraterritoriales, en désignant un « opérateur de confiance » immatriculé sur le territoire de l'UE et en recourant à des logiciels de traitement de données développés par des sociétés européennes également immatriculées sur le territoire de l'UE. Exiger de TikTok un délai précis pour la mise en oeuvre de ces garanties afin d'éviter toute annonce dilatoire similaire à celles des projets Texas et Clover, ce délai ne pouvant être supérieur à un an.
* 231 Signé par 50 pays pour mettre en oeuvre des garanties démocratiques dans l'espace global de la communication et de l'information. Le Forum sur l'information et la démocratie est l'organisme d'application de ce partenariat, qui a émis des propositions dont certaines ont été retenues pour l'élaboration du RSN.
* 232 Il appartiendra cependant à la DPC irlandaise de se prononcer sur cette question dans les procédures en cours.