swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
S'abonner
-->

TikTok : La souveraineté des données à l’agenda américain

Célian Hirsch et Mallorie Ashton-Lomax, le 3 mars 2025
Dans l’arrêt TikTok v. Garland, la Cour Suprême des États-Unis conclut à l’unanimité que l’interdiction par le Congrès du réseau social TikTok ne cherche pas à restreindre un type de contenu en parti­cu­lier, mais répond à la néces­sité de légi­fé­rer sur les risques liés à un accès aux données person­nelles des Américains par le Gouvernement chinois.

TikTok, Inc. v. Garland, 604 U.S. _​_​_​ (2025)

Le contrôle chinois sur TikTok

TikTok est un réseau social permet­tant de créer, publier, vision­ner, parta­ger et commen­ter de courtes vidéos avec audio et texte. L’application person­na­lise le contenu de chaque utili­sa­teur sur la page « Pour toi » en fonc­tion de ses inter­ac­tions. Aux États-Unis, le réseau social est détenu par TikTok Inc., société améri­caine. Celle-ci appar­tient inté­gra­le­ment au groupe ByteDance Ltd., entre­prise sise en Chine qui détient l’algorithme régis­sant le fonc­tion­ne­ment de l’application. Selon la légis­la­tion chinoise, la société doit coopé­rer avec les services de rensei­gne­ment chinois et garan­tir à l’État l’accès et le contrôle des données person­nelles déte­nues par l’entreprise.

Les inter­ven­tions de l’exécutif et du légis­la­tif américains

En août 2020, le Président Donald Trump publie un Executive Order dans lequel il constate que les appli­ca­tions mobiles déve­lop­pées et déte­nues par des entre­prises chinoises menacent la sécu­rité natio­nale, la poli­tique étran­gère et l’économie des États-Unis. Il ordonne à ByteDance de céder tous ses droits et inté­rêts liés à l’exploitation de TikTok aux États-Unis sous le contrôle du Comité pour l’in­ves­tis­se­ment étran­ger aux États-Unis, ainsi que les données des utili­sa­teurs améri­cains. Le 27 septembre 2020, la justice améri­caine bloque l’interdiction. En 2021, le Président Biden révoque l’in­ter­dic­tion de TikTok par l’ad­mi­nis­tra­tion Trump et ordonne au Secretary of Commerce d’en­quê­ter sur l’ap­pli­ca­tion afin de déter­mi­ner si elle consti­tue une menace pour la sécu­rité natio­nale des États-Unis. Entre 2021 et 2022, ByteDance et le Gouvernement améri­cain négo­cient une conven­tion de sécu­rité natio­nale, sans toute­fois parve­nir à un accord.

Le 14 mars 2024, le Congrès améri­cain adopte le Protecting Americans from Foreign Adversary Controlled Applications Act. Cette loi inter­dit la distri­bu­tion, la main­te­nance et l’hébergement d’une appli­ca­tion contrô­lée par un adver­saire étran­ger (§2(a)(1)). TikTok Inc. et sa société mère, ByteDance Ltd., y sont expres­sé­ment mention­nés. Le pouvoir exécu­tif peut dési­gner d’autres réseaux sociaux comp­tant plus d’un million d’utilisateurs actifs mensuels et mena­çant la sécu­rité natio­nale (§2(g)(2)(B)). La loi prend effet 270 jours après la dési­gna­tion d’une appli­ca­tion concer­née, soit le 19 janvier 2025 pour TikTok. Une appli­ca­tion peut toute­fois conti­nuer à fonc­tion­ner aux États-Unis si elle fait l’objet d’une « cession quali­fiée » (quali­fied dives­ti­ture), soit tout acte juri­dique empê­chant tout contrôle d’un adver­saire étran­ger et toute rela­tion opéra­tion­nelle, notam­ment sur les algo­rithmes et le partage de données (§2(c )(1), §2(g)(6)(A), §2(g)(6)(B)). Le pouvoir exécu­tif peut accor­der une prolon­ga­tion unique de 90 jours à l’application visée par l’interdiction s’il y a des progrès vers une cession quali­fiée (§2(a)(3)).

La procé­dure judi­ciaire contre le Protecting Americans from Foreign Adversary Controlled Applications Act.

ByteDance Ltd., TikTok Inc., ainsi que des utili­sa­teurs et créa­teurs de contenu contestent cette loi devant la Cour d’appel du District de Columbia (D.C. Circuit). Le 6 décembre 2024, la Cour d’appel consi­dère à l’unanimité que la loi se justi­fie par des enjeux de sécu­rité natio­nale et ne viole pas la liberté d’expression proté­gée par le First Amendment of the Bill of Rights. Le 16 décembre 2024, les recou­rants saisissent la Cour Suprême.

L’application du First Amendment lais­sée ouverte

À titre limi­naire, la Cour rappelle que toutes les lois ayant un impact sur l’expression ne relèvent pas néces­sai­re­ment du First Amendment (R. A. V. v. St. Paul). Elle recon­naît néan­moins que les dispo­si­tions contes­tées peuvent entrer dans son champ d’application, notam­ment en raison de l’impact qu’aurait l’interdiction d’un réseau social très popu­laire aux États-Unis sur la liberté d’expression de ses utili­sa­teurs. Les Juges laissent toute­fois cette ques­tion ouverte.

La distinc­tion des lois content-based de celles content-neutral

La Cour Suprême distingue les lois fondées sur le contenu (content-based) qui ciblent un type de discours et sont incons­ti­tu­tion­nelles (Reed v. Town of Gilbert), des lois neutres sur le contenu (content-neutral), qui posent moins de risques pour la liberté d’expression (Turner Broadcasting System, Inc. v. FCC I). Dans le premier arrêt cité, la Cour a consi­déré que les règle­ments restrei­gnant les panneaux publi­ci­taires en fonc­tion de leur contenu violent le First Amendment. Elle a ainsi établi le prin­cipe d’un examen rigou­reux de toute régle­men­ta­tion censu­rant les discours en fonc­tion de leur message (content-based). Dans le deuxième arrêt cité, la Cour a jugé que les lois impo­sant des obli­ga­tions de diffu­sion aux câblo-opéra­teurs étaient neutres au regard du contenu et ne violaient pas le First Amendment. En effet, elles ne ciblaient pas spéci­fi­que­ment le contenu, mais visaient à préser­ver la diver­sité de l’in­for­ma­tion (content-neutral). Une loi content-neutral est valide si elle pour­suit un inté­rêt gouver­ne­men­tal impor­tant sans viser la suppres­sion de la liberté d’expression et n’impose pas de restric­tion exces­sive par rapport à cet objec­tif (Turner Broadcasting System, Inc v. FCC II). Si la justi­fi­ca­tion de la loi repose sur le contenu régle­menté ou sur un désac­cord avec le discours trans­mis, elle doit être trai­tée comme une loi content-based (Ward v. Rock Against Racism).

La loi atta­quée est content-neutral

Le Gouvernement améri­cain soutient que la loi est justi­fiée par un motif neutre du point de vue du contenu partagé (content-neutral). En effet, il s’agit d’empêcher le Gouvernement chinois de collec­ter un nombre impor­tant de données person­nelles sensibles de 170 millions d’utilisateurs améri­cains de TikTok.

La Cour Suprême rejoint l’approche du Gouvernement. Elle estime que la loi semble être content-neutral dès lors qu’aucun discours spéci­fique n’est visé par son inter­dic­tion. Les Juges consi­dèrent que la loi n’impose aucune restric­tion ni sanc­tion sur le contenu partagé sur TikTok. En effet, l’interdiction de l’application ne dépend pas de la modi­fi­ca­tion du discours des créa­teurs de contenu.

Le degré d’examen judi­ciaire aux lois content-neutral

La Cour Suprême aborde ensuite le degré d’examen (scru­tiny) appli­cable pour évaluer une loi content-neutral. Les lois favo­ri­sant certains orateurs doivent être exami­nées minu­tieu­se­ment (strict scru­tiny) sous l’angle du First Amendment (Minneapolis Star & Tribune Co. v. Minnesota Comm’r of Revenue). En l’espèce, la loi vise à éviter l’accès par un État adver­saire aux données sensibles de 170 millions d’Américains. Partant, son inter­dic­tion n’est pas “un moyen subtil d’exercer une préfé­rence de contenu” (traduc­tion libre). Les juges doivent donc faire preuve d’une certaine rete­nue lors de l’examen de la loi (inter­me­diate level of scru­tiny). Dans un obiter dictum, la Cour ajoute que bien que le trai­te­ment et l’analyse des données person­nelles soient courants à l’ère numé­rique, la taille de TikTok et sa vulné­ra­bi­lité à une utili­sa­tion par un État adver­saire étran­ger justi­fient un trai­te­ment diffé­ren­cié de cette appli­ca­tion pour des raisons de sécu­rité nationale.

La loi peut atteindre ses objectifs

Les Juges examinent ensuite l’ob­jec­tif de la loi contes­tée. TikTok collecte de nombreuses données person­nelles de ses utili­sa­teurs. Le Gouvernement améri­cain soutient que le Gouvernement chinois pour­rait utili­ser ces données afin d’effectuer du chan­tage et mener des acti­vi­tés d’espionnage indus­triel. TikTok et les recou­rants avancent qu’il est peu probable que le gouver­ne­ment chinois l’utilise pour collec­ter des infor­ma­tions à des fins d’es­pion­nage, car la Chine dispose de moyens plus effi­caces pour obte­nir les infor­ma­tions pertinentes.

Lors de l’exa­men de la consti­tu­tion­na­lité de la loi, la Cour Suprême accorde une large marge d’appréciation (substan­tial defe­rence) aux analyses pros­pec­tives du Congrès. En l’espèce, la Chine a mené des efforts impor­tants pour collec­ter des données, notam­ment sur les ressor­tis­sants améri­cains, pour soute­nir ses opéra­tions de rensei­gne­ment et de contre-rensei­gne­ment. Bien que le Gouvernement chinois n’ait pas encore utilisé sa rela­tion avec ByteDance Ltd. pour accé­der aux données de TikTok, les recou­rants n’ont pas démon­tré que cette possi­bi­lité est dérai­son­nable sur la base d’in­dices concrets.

Les recou­rants soulignent que d’autres réseaux sociaux, collec­tant des données dans des propor­tions simi­laires à TikTok, ne sont pas concer­nés par la mesure. La Cour Suprême rejette cet argu­ment, expli­quant que le Gouvernement améri­cain n’a pas l’obligation de résoudre « tous les aspects d’un problème d’un seul coup » (Williams-Yulee v. Florida Bar ; traduc­tion libre).

La Cour Suprême se penche ensuite sur la condi­tion de néces­sité de la mesure et consi­dère que la loi sert direc­te­ment le but visé par le Gouvernement. Selon son critère d’examen, une loi content-neutral est admise « si elle répond à des inté­rêts gouver­ne­men­taux impor­tants non liés à la suppres­sion de la liberté d’ex­pres­sion et si elle n’en­trave pas la liberté d’ex­pres­sion plus qu’il n’est néces­saire pour répondre à ces inté­rêts » (Turner II ; traduc­tion libre). En l’espèce, la loi n’impose pas une inter­dic­tion abso­lue. En effet, l’en­tre­prise peut pour­suivre ses acti­vi­tés à condi­tion de procé­der à une cession quali­fiée. Cette loi est donc néces­saire pour empê­cher le trai­te­ment de données des utili­sa­teurs de TikTok par le Gouvernement chinois.

Les recou­rants proposent une série de mesures alter­na­tives, notam­ment des exigences en matière de divul­ga­tion, des restric­tions en matière de partage des données et l’ac­cord de sécu­rité natio­nale proposé précédemment.

Aux yeux de la Cour Suprême, les mesures propo­sées ignorent la large marge de manœuvre dont dispose le Gouvernement améri­cain pour choi­sir des solu­tions légis­la­tives content-neutral, tant que celles-ci ne sont pas exces­si­ve­ment larges pour atteindre les objec­tifs visés (Ward v. Rock Against Racism). La Cour conclut qu’il n’est pas de son ressort de revoir l’appréciation du Gouvernement vis-à-vis d‘une loi content-neutral, à condi­tion que sa poli­tique repose sur des consta­ta­tions factuelles raison­nables et des preuves substan­tielles (Turner Broadcasting System Inc, v. FCC II)). La Cour note égale­ment que la loi béné­fi­cie d’un soutien bipar­ti­san fort, ce qui renforce ainsi sa crédibilité.

Enfin, en réponse au dernier argu­ment des recou­rants, la Cour Suprême souligne que la poli­tique du gouver­ne­ment n’impose pas une cession de l’entreprise. Elle rappelle que ByteDance Ltd. a déjà refusé de cesser de collec­ter les données person­nelles des utili­sa­teurs aux États-Unis. L’entreprise conti­nue égale­ment de les trans­mettre en Chine pour entraî­ner son algo­rithme. La Cour rejette donc le recours dès lors que « la cession [de TikTok] est néces­saire pour répondre aux préoc­cu­pa­tions de sécu­rité natio­nale bien étayées concer­nant les pratiques de collecte de données de TikTok et ses rela­tions avec un adver­saire étran­ger » (traduc­tion libre).

Note

Le premier jour de sa prési­dence, Donald Trump a accordé la prolon­ga­tion légale du délai de 90 jours au réseau social, afin qu’un accord puisse être trouvé. Cette négo­cia­tion s’inscrit dans un cadre de tensions entre les États-Unis et la Chine, notam­ment en raison des hausses des droits doua­niers pour les impor­ta­tions chinoises vers les États-Unis.

D’un point de vue plus juri­dique, les Juges font ici preuve d’une certaine rete­nue vis-à-vis de l’intervention du légis­la­teur, car la loi est consi­dé­rée content-neutral. Ainsi, le simple risque d’utilisation des données par le Gouvernement chinois suffit pour justi­fier la loi.

En Europe aussi, l’utilisation de TikTok est criti­quée en raison de l’accès aux données par le Gouvernement chinois. Le person­nel du Parlement et de la Commission euro­péens n’a plus accès à TikTok depuis 2023. Au Royaume-Uni, TikTok est inter­dit sur les appa­reils élec­tro­niques du Gouvernement.

La crainte qu’un gouver­ne­ment étran­ger ait accès à des données person­nelles par des entre­prises privées semble rela­ti­ve­ment récente aux États-Unis. En effet, peu d’entreprises étran­gères collec­taient aupa­ra­vant autant de données d’Américains. En revanche, en Europe, cette crainte existe depuis de nombreuses années, notam­ment à cause des Big Tech améri­caines. En effet, le Gouvernement améri­cain béné­fi­cie d’un large accès aux données des entre­prises améri­caines (et étran­gères, cf. déjà le large accès aux données Swift révélé en 2006). En parti­cu­lier, depuis 2018, le US CLOUD Act permet aux auto­ri­tés améri­caines d’accéder à des données stockées par des entre­prises améri­caines, même si elles sont héber­gées à l’étranger. En raison de ce large accès par le Gouvernement améri­cain, la CJUE a inva­lidé les accords de trans­fert de données entre l’UE et les États-Unis en 2015 (Schrems I) et à nouveau en 2020 (Schrems II ; l’EU-US Data Privacy Framework (2022) et le Swiss-US Privacy Shield Framework (2024) ont été conçus pour répondre à ces préoc­cu­pa­tions). Alors que les États-Unis se montraient à l’époque critiques de ces déci­sions judi­ciaires, ils se retrouvent désor­mais direc­te­ment concer­nés par la souve­rai­neté des données vis-à-vis des entre­prises étran­gères. Partant, la souve­rai­neté des données devient un enjeu aussi améri­cain qu’européen.



Proposition de citation : Célian Hirsch / Mallorie Ashton-Lomax, TikTok : La souveraineté des données à l’agenda américain, 3 mars 2025 in www.swissprivacy.law/341


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • TikTok : une analyse technique helvétique des risques de sécurité
  • Condamnation de TikTok: devoir d'information et protection des mineurs
  • L’accès aux données d’examen
  • Toute personne a le droit de savoir à qui ses données personnelles ont été communiquées : une analyse…
Derniers articles
  • Les modèles de prix confidentiels soumis au principe de la transparence ?
  • Transparence à géométrie variable : le malaise vaudois
  • Votre carte d’identité comme carte de fidélité RGPD
  • Les limites du secret d’affaires : Analyse des recommandations du PFPDT par le TAF
Abonnement à notre newsletter
swissprivacy.law