Autoriteit Persoonsgegevens, Decision to impose an admi­nis­tra­tive fine du 9 avril 2021 contre TikTok Inc., TikTok Technology Limited et TikTok Information Technologies UK Limited

L’autorité néer­lan­daise de protec­tion des données a ouvert une enquête contre TikTok pour viola­tion, entre le 25 mai 2018 et le 28 juillet 2020 inclus, du devoir d’information auprès des mineurs utili­sant l’application. Dans sa déci­sion y faisant suite, l’AP a dû tran­cher la ques­tion de sa compé­tence avant de se concen­trer sur les ques­tions de viola­tion de devoir d’information et de protec­tion des mineurs.

Concernant la compé­tence de l’AP

L’autorité néer­lan­daise fondait sa compé­tence sur la base de l’art. 55 par. 1 RGPD, c’est-à-dire en vertu du prin­cipe selon lequel toute auto­rité est compé­tente pour les agis­se­ments d’un respon­sable du trai­te­ment sur son terri­toire. TikTok consi­dé­rait au contraire que l’art. 56 par. 1 RGPD, lex specia­lis prévoyant la compé­tence de l’autorité du lieu d’établissement comme auto­rité chef de file, s’appliquait et que, partant, l’autorité de contrôle du lieu de son établis­se­ment prin­ci­pal serait compé­tente, à savoir la Data Protection Commission (DPC), auto­rité de contrôle irlandaise.

Au début de l’investigation de l’AP, TikTok Inc. n’avait pas d’établissement prin­ci­pal dans l’Union euro­péenne au sens de l’art. 4 ch. 16 RGPD, mais dispo­sait unique­ment d’un repré­sen­tant au sens de l’art. 27 RGPD. L’AP a examiné l’établissement posté­rieur de TikTok en Irlande ; elle s’est assuré qu’une tran­si­tion durable avait effec­ti­ve­ment été recher­chée et a acquis la certi­tude que la branche irlan­daise était effec­ti­ve­ment deve­nue, le 29 juillet 2020, respon­sable de la mise en œuvre de déci­sions et de la conduite de certains proces­sus clés. L’entreprise ne se limi­tait donc pas à une démarche pure­ment bureau­cra­tique et arti­fi­cielle pour faire du forum shop­ping, mais s’était bel et bien établie en Irlande au 29 juillet 2020. Partant, pour la période précé­dant cette date (du 25 mai 2018 au 28 juin 2020, date à laquelle la compé­tence a été trans­fé­rée à la DPC), l’AP s’est consi­dé­rée compé­tente pour les trai­te­ments effec­tués par TikTok Inc. sur la base de l’art. 55 par. 1 RGPD.

Concernant la viola­tion de l’obligation d’informer

L’application TikTok traite de nombreuses données au sujet de ses utili­sa­teurs (titu­laires ou non d’un compte) au sens de l’art. 4 ch. 1 RGPD, à l’instar d’adresses IP, de numé­ros de télé­phone, de noms et surnoms, de numé­ros d’identification de péri­phé­riques et ainsi de suite.

Le prin­cipe de trans­pa­rence (art. 5 par. 1 let. a RGPD) requiert que tout trai­te­ment de données soit effec­tué de manière trans­pa­rente. Les personnes concer­nées doivent notam­ment être conscientes des risques, règles, garan­ties et droits rela­tifs au trai­te­ment de leurs données. En outre, elles doivent pouvoir comprendre l’étendue et les consé­quences d’un tel trai­te­ment. De ce prin­cipe découle donc pour le respon­sable du trai­te­ment un devoir d’information (art. 12 RGPD), requé­rant une infor­ma­tion rela­tive au trai­te­ment de données person­nelles trans­mise de façon concise, trans­pa­rente, compré­hen­sible et aisé­ment acces­sible en des termes clairs et simples, surtout lorsqu’il en va de données concer­nant des enfants. Les enfants doivent pouvoir recon­naître que l’information les vise, ce qui implique une adap­ta­tion impor­tante de celle-ci. L’information ne doit pas être trop tech­nique, juri­dique ou spéci­fique dans le langage utilisé. De même, lorsqu’elle est dispo­nible en plusieurs langues, les traduc­tions doivent être justes.

TikTok compte de nombreux mineurs parmi ses utili­sa­teurs. Partant, l’entreprise a une respon­sa­bi­lité supplé­men­taire impli­quant qu’elle doit être parti­cu­liè­re­ment atten­tive au contenu et à la forme de l’information qu’elle four­nit aux utili­sa­teurs. Entre le 25 mai 2018 et le 28 juillet 2020, TikTok dispo­sait d’une poli­tique de confi­den­tia­lité (privacy policy) dispo­nible en anglais unique­ment et non pas en néer­lan­dais. L’AP en a conclu une viola­tion du devoir d’information de l’art. 12 par. 1 RGPD et ce malgré les argu­ments avan­cés par l’entreprise, à savoir que la popu­la­tion néer­lan­daise dispose de manière géné­rale d’un bon niveau d’anglais et que l’application envoyait des pop-ups pour contri­buer à une meilleure trans­pa­rence. Le seul fait que la poli­tique de confi­den­tia­lité soit unique­ment dispo­nible en anglais et qu’elle soit non intel­li­gible pour des enfants a en effet suffi à l’AP pour rete­nir la viola­tion du devoir d’information de TikTok.

Importance de la protec­tion des enfants 

Bien que la ques­tion du devoir d’information ait été centrale dans la déci­sion de l’AP, l’autorité a soulevé d’autres pratiques de l’entreprise ayant trait à la protec­tion des mineurs. L’autorité a pu consta­ter, durant son enquête, qu’il était parti­cu­liè­re­ment simple de se connec­ter en four­nis­sant une fausse date de nais­sance sur l’application TikTok, ce qui mettait les plus jeunes à risque d’être confron­tés à des compor­te­ments nuisibles. Cela compte tenu de l’utilisation de l’application par une popu­la­tion jeune comp­tant des utili­sa­teurs de 6 ans et plus, avec un pic à 12 ans.

L’entreprise aurait par la suite entre­pris des mesures pour assu­rer un blocage plus long en cas de tenta­tive de connexion par une personne n’ayant pas 13 ans. TikTok a égale­ment mis en place un meilleur contrôle paren­tal en permet­tant aux parents de gérer les para­mètres de confi­den­tia­lité du compte de leurs enfants, ce qui, natu­rel­le­ment, ne les dispense pas d’autres mesures de préven­tion à mener auprès de leurs enfants.

En droit suisse

À la diffé­rence du régime prévu aux art. 55 s. RGPD, la compé­tence du PFPDT est acquise dès qu’un état de fait déploie des effets en Suisse, ce qui est le cas lorsque les données de personnes concer­nées en Suisse sont trai­tées (art. 3 nLPD repre­nant la théo­rie des effets consa­crée dans la juris­pru­dence). Le Préposé fédé­ral n’aurait donc pas eu besoin de passer par la même gymnas­tique que l’AP pour établir sa compétence.

Aujourd’hui, la LPD ne prévoit pas d’obligation d’informer pour le respon­sable du trai­te­ment privé ne trai­tant ni données sensibles ni profils de la person­na­lité et, partant, pas de sanc­tion (art. 14 et 34 al. 1 LPD). La loi révi­sée instaure cette obli­ga­tion, assor­tie d’une sanc­tion pénale aux art. 19 cum 60 nLPD. À l’inverse de ce qui prévaut aujourd’hui, nous esti­mons donc qu’une condam­na­tion pénale pour­rait, une fois la loi révi­sée entrée en vigueur, être pronon­cée pour viola­tion du devoir d’informer selon l’art. 60 nLPD.

Et main­te­nant ?

Quelques mois après la déci­sion de l’AP sanc­tion­nant TikTok Inc. pour n’avoir pas correc­te­ment informé les mineurs dont elle traite les données entre le 25 mai 2018 et le 28 juillet 2020 compris, le flam­beau est passé à l’autorité irlan­daise de protec­tion des données, laquelle a annoncé ouvrir une enquête contre TikTok, d’une part pour s’assurer du respect de la protec­tion des données des mineurs utili­sant l’application et, d’autre part, pour enquê­ter sur les trans­ferts de données à des États tiers. Rendez-vous au prochain épisode…