Condamnation de TikTok : devoir d’information et protection des mineurs
L’autorité néerlandaise de protection des données a ouvert une enquête contre TikTok pour violation, entre le 25 mai 2018 et le 28 juillet 2020 inclus, du devoir d’information auprès des mineurs utilisant l’application. Dans sa décision y faisant suite, l’AP a dû trancher la question de sa compétence avant de se concentrer sur les questions de violation de devoir d’information et de protection des mineurs.
Concernant la compétence de l’AP
L’autorité néerlandaise fondait sa compétence sur la base de l’art. 55 par. 1 RGPD, c’est-à-dire en vertu du principe selon lequel toute autorité est compétente pour les agissements d’un responsable du traitement sur son territoire. TikTok considérait au contraire que l’art. 56 par. 1 RGPD, lex specialis prévoyant la compétence de l’autorité du lieu d’établissement comme autorité chef de file, s’appliquait et que, partant, l’autorité de contrôle du lieu de son établissement principal serait compétente, à savoir la Data Protection Commission (DPC), autorité de contrôle irlandaise.
Au début de l’investigation de l’AP, TikTok Inc. n’avait pas d’établissement principal dans l’Union européenne au sens de l’art. 4 ch. 16 RGPD, mais disposait uniquement d’un représentant au sens de l’art. 27 RGPD. L’AP a examiné l’établissement postérieur de TikTok en Irlande ; elle s’est assuré qu’une transition durable avait effectivement été recherchée et a acquis la certitude que la branche irlandaise était effectivement devenue, le 29 juillet 2020, responsable de la mise en œuvre de décisions et de la conduite de certains processus clés. L’entreprise ne se limitait donc pas à une démarche purement bureaucratique et artificielle pour faire du forum shopping, mais s’était bel et bien établie en Irlande au 29 juillet 2020. Partant, pour la période précédant cette date (du 25 mai 2018 au 28 juin 2020, date à laquelle la compétence a été transférée à la DPC), l’AP s’est considérée compétente pour les traitements effectués par TikTok Inc. sur la base de l’art. 55 par. 1 RGPD.
Concernant la violation de l’obligation d’informer
L’application TikTok traite de nombreuses données au sujet de ses utilisateurs (titulaires ou non d’un compte) au sens de l’art. 4 ch. 1 RGPD, à l’instar d’adresses IP, de numéros de téléphone, de noms et surnoms, de numéros d’identification de périphériques et ainsi de suite.
Le principe de transparence (art. 5 par. 1 let. a RGPD) requiert que tout traitement de données soit effectué de manière transparente. Les personnes concernées doivent notamment être conscientes des risques, règles, garanties et droits relatifs au traitement de leurs données. En outre, elles doivent pouvoir comprendre l’étendue et les conséquences d’un tel traitement. De ce principe découle donc pour le responsable du traitement un devoir d’information (art. 12 RGPD), requérant une information relative au traitement de données personnelles transmise de façon concise, transparente, compréhensible et aisément accessible en des termes clairs et simples, surtout lorsqu’il en va de données concernant des enfants. Les enfants doivent pouvoir reconnaître que l’information les vise, ce qui implique une adaptation importante de celle-ci. L’information ne doit pas être trop technique, juridique ou spécifique dans le langage utilisé. De même, lorsqu’elle est disponible en plusieurs langues, les traductions doivent être justes.
TikTok compte de nombreux mineurs parmi ses utilisateurs. Partant, l’entreprise a une responsabilité supplémentaire impliquant qu’elle doit être particulièrement attentive au contenu et à la forme de l’information qu’elle fournit aux utilisateurs. Entre le 25 mai 2018 et le 28 juillet 2020, TikTok disposait d’une politique de confidentialité (privacy policy) disponible en anglais uniquement et non pas en néerlandais. L’AP en a conclu une violation du devoir d’information de l’art. 12 par. 1 RGPD et ce malgré les arguments avancés par l’entreprise, à savoir que la population néerlandaise dispose de manière générale d’un bon niveau d’anglais et que l’application envoyait des pop-ups pour contribuer à une meilleure transparence. Le seul fait que la politique de confidentialité soit uniquement disponible en anglais et qu’elle soit non intelligible pour des enfants a en effet suffi à l’AP pour retenir la violation du devoir d’information de TikTok.
Importance de la protection des enfants
Bien que la question du devoir d’information ait été centrale dans la décision de l’AP, l’autorité a soulevé d’autres pratiques de l’entreprise ayant trait à la protection des mineurs. L’autorité a pu constater, durant son enquête, qu’il était particulièrement simple de se connecter en fournissant une fausse date de naissance sur l’application TikTok, ce qui mettait les plus jeunes à risque d’être confrontés à des comportements nuisibles. Cela compte tenu de l’utilisation de l’application par une population jeune comptant des utilisateurs de 6 ans et plus, avec un pic à 12 ans.
L’entreprise aurait par la suite entrepris des mesures pour assurer un blocage plus long en cas de tentative de connexion par une personne n’ayant pas 13 ans. TikTok a également mis en place un meilleur contrôle parental en permettant aux parents de gérer les paramètres de confidentialité du compte de leurs enfants, ce qui, naturellement, ne les dispense pas d’autres mesures de prévention à mener auprès de leurs enfants.
En droit suisse
À la différence du régime prévu aux art. 55 s. RGPD, la compétence du PFPDT est acquise dès qu’un état de fait déploie des effets en Suisse, ce qui est le cas lorsque les données de personnes concernées en Suisse sont traitées (art. 3 nLPD reprenant la théorie des effets consacrée dans la jurisprudence). Le Préposé fédéral n’aurait donc pas eu besoin de passer par la même gymnastique que l’AP pour établir sa compétence.
Aujourd’hui, la LPD ne prévoit pas d’obligation d’informer pour le responsable du traitement privé ne traitant ni données sensibles ni profils de la personnalité et, partant, pas de sanction (art. 14 et 34 al. 1 LPD). La loi révisée instaure cette obligation, assortie d’une sanction pénale aux art. 19 cum 60 nLPD. À l’inverse de ce qui prévaut aujourd’hui, nous estimons donc qu’une condamnation pénale pourrait, une fois la loi révisée entrée en vigueur, être prononcée pour violation du devoir d’informer selon l’art. 60 nLPD.
Et maintenant ?
Quelques mois après la décision de l’AP sanctionnant TikTok Inc. pour n’avoir pas correctement informé les mineurs dont elle traite les données entre le 25 mai 2018 et le 28 juillet 2020 compris, le flambeau est passé à l’autorité irlandaise de protection des données, laquelle a annoncé ouvrir une enquête contre TikTok, d’une part pour s’assurer du respect de la protection des données des mineurs utilisant l’application et, d’autre part, pour enquêter sur les transferts de données à des États tiers. Rendez-vous au prochain épisode…
Proposition de citation : Pauline Meyer, Condamnation de TikTok : devoir d’information et protection des mineurs, 14 décembre 2021 in www.swissprivacy.law/109
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.