TikTok s’est vu infliger une amende de 12,7 millions de livres sterling (~ 15,7 millions de dollars) pour avoir enfreint U./K. la loi sur la protection des données, y compris les règles destinées à protéger les enfants.

Le chien de garde de la vie privée, le Bureau du commissaire à l’information (ICO), annoncé aujourd’hui qu’il a constaté que le site de partage de vidéos « n’en faisait pas assez » pour vérifier qui utilisait sa plate-forme et n’avait pas pris suffisamment de mesures pour retirer les enfants mineurs qui utilisaient le service.

Selon l’ICO, TikTok comptait environ 1,4 million d’utilisateurs britanniques mineurs au cours d’une période de deux ans, entre mai 2018 et juillet 2020 – sur laquelle son enquête était centrée – contrairement aux conditions de service stipulant que les utilisateurs doivent avoir 13 ans ou plus.

Le régime de protection des données du Royaume-Uni fixe un plafond à l’âge auquel les enfants peuvent consentir au traitement de leurs données à 13 ans, ce qui signifie que TikTok aurait dû obtenir le consentement parental pour traiter légalement ces données de mineurs (ce que la société n’a pas fait).

«Nous avons infligé une amende à TikTok pour avoir fourni des services à des enfants britanniques de moins de 13 ans et traité leurs données personnelles sans le consentement ou l’autorisation de leurs parents ou tuteurs. Nous attendons de TikTok qu’il poursuive ses efforts pour effectuer des vérifications adéquates afin d’identifier et de retirer les enfants mineurs de sa plateforme », nous a déclaré un porte-parole d’ICO.

De plus, l’ICO a constaté que TikTok avait enfreint les exigences de transparence et d’équité du règlement général sur la protection des données (RGPD) du Royaume-Uni – en ne fournissant pas aux utilisateurs des informations appropriées et faciles à comprendre sur la collecte, l’utilisation et le partage de leurs données.

« Sans ces informations, les utilisateurs de la plate-forme, en particulier les enfants, ne seraient probablement pas en mesure de faire des choix éclairés sur l’opportunité et la manière de s’y engager », a noté l’ICO dans un communiqué de presse annonçant la sanction en cas d’utilisation abusive des données des enfants.

Commentant dans un communiqué, John Edwards, le commissaire britannique à l’information, a ajouté :

Des lois sont en place pour s’assurer que nos enfants sont aussi en sécurité dans le monde numérique qu’ils le sont dans le monde physique. TikTok n’a pas respecté ces lois.

En conséquence, on estime qu’un million de moins de 13 ans se sont vu accorder l’accès à la plateforme de manière inappropriée, TikTok collectant et utilisant leurs données personnelles. Cela signifie que leurs données peuvent avoir été utilisées pour les suivre et les profiler, livrant potentiellement un contenu nuisible et inapproprié lors de leur prochain défilement.

TikTok aurait dû savoir mieux. TikTok aurait dû faire mieux. Notre amende de 12,7 millions de livres sterling reflète le grave impact que leurs échecs ont pu avoir. Ils n’ont pas fait assez pour vérifier qui utilisait leur plate-forme ou pris des mesures suffisantes pour retirer les enfants mineurs qui utilisaient leur plate-forme.

TikTok a été contacté pour commenter l’application de l’ICO. La société nous a dit qu’elle réexaminait la décision d’envisager les prochaines étapes.

Dans un communiqué, un porte-parole de TikTok a déclaré :

TikTok est une plateforme pour les utilisateurs âgés de 13 ans et plus. Nous investissons massivement pour aider à garder les moins de 13 ans hors de la plate-forme et notre équipe de sécurité forte de 40 000 personnes travaille 24 heures sur 24 pour aider à garder la plate-forme sûre pour notre communauté. Bien que nous ne soyons pas d’accord avec la décision de l’ICO, qui concerne la période de mai 2018 à juillet 2020, nous sommes heureux que l’amende annoncée aujourd’hui ait été réduite à moins de la moitié du montant proposé l’année dernière. Nous continuerons d’examiner la décision et envisageons les prochaines étapes.

TikTok affirme avoir pris un certain nombre de mesures pour résoudre les problèmes pour lesquels il est condamné à une amende aujourd’hui. Bien qu’il continue à déployer une barrière d’âge dans laquelle les utilisateurs sont invités à saisir leur date de naissance afin de créer un compte (ce qui signifie que, s’ils sont mineurs, ils peuvent mentir pour contourner la mesure).

Cependant, il dit qu’il complète cela avec des systèmes renforcés et une formation pour son équipe de modération de sécurité pour rechercher des signes qu’un compte peut être utilisé par un enfant de moins de 13 ans afin qu’il puisse signaler les comptes et les envoyer pour examen. Il affirme également qu’il répond rapidement aux demandes des parents de supprimer un compte mineur – et utilise d’autres informations fournies par les utilisateurs, telles que des mots clés et des rapports intégrés à l’application, pour aider à faire apparaître des comptes potentiels mineurs.

TikTok suggère en outre d’avoir amélioré la transparence et la responsabilité dans ce domaine – affirmant qu’il produit des rapports réguliers sur le nombre d’utilisateurs mineurs supprimés de la plate-forme (au cours des trois derniers mois de 2022, il a déclaré que le chiffre s’élevait à plus de 17 millions de comptes présumés mineurs supprimés à l’échelle mondiale ; mais il ne rapporte pas ces données par pays) ; ainsi que d’offrir un jumelage familial pour aider les parents à garder un œil sur l’utilisation des enfants.

Bien qu’il ait été constaté que la plate-forme de médias sociaux a enfreint le RGPD britannique pour des raisons de légalité, de transparence et d’équité sur une période de deux ans, elle ne fait face qu’à une pénalité à deux chiffres – bien en deçà du maximum théorique (jusqu’à 4 % de chiffre d’affaires) – donc le règlement semble assez généreux pour TikTok.

Le chiffre est également nettement inférieur à la moitié du montant initialement proposé par l’ICO, en septembre, lorsque le régulateur a publié une conclusion provisoire indiquant qu’il pourrait infliger une amende à l’entreprise jusqu’à 27 millions de livres sterling (29 millions de dollars) pour ce qui était alors une gamme d’infractions présumées. .

La raison de la réduction substantielle du montant de l’amende est une décision du régulateur de ne pas poursuivre une conclusion provisoire liée à l’utilisation illégale de données de catégorie spéciale à la suite des représentations de TikTok.

Dans le cadre du GDPR, les données de catégorie spéciale font référence à des catégories d’informations particulièrement sensibles, telles que l’orientation sexuelle, les croyances religieuses, l’affiliation politique, l’origine raciale ou ethnique, les données de santé, les données biométriques utilisées pour l’identification – où la barre pour le traitement licite est plus élevée que pour données personnelles; et si le consentement est la base sur laquelle on s’appuie, la norme de consentement explicite est plus élevée.

Cela signifie que l’année dernière, l’ICO avait soupçonné TikTok de traiter ce type d’informations sans base légale. Mais l’entreprise a réussi à le persuader d’abandonner cette préoccupation.

On ne sait pas exactement pourquoi l’ICO a abandonné la ligne d’enquête sur les données de catégorie spéciale. Mais en réponse aux questions de fr.techtribune.net, un porte-parole du régulateur a suggéré que cela se résumait à un manque de ressources — nous disant :

Nous avons pris en considération les représentations de TikTok et avons décidé de ne pas poursuivre la conclusion provisoire relative à l’utilisation illégale de données de catégorie spéciale. Cela ne signifie pas que l’utilisation de données de catégorie spéciale par les entreprises de médias sociaux n’est pas importante pour l’ICO. Mais nous devons être stratégiques quant à nos ressources et, dans ce cas, le commissaire a exercé son pouvoir discrétionnaire pour ne pas donner suite à la conclusion provisoire liée à l’utilisation illégale de données de catégorie spéciale. Cette infraction potentielle n’a pas été incluse dans le montant final de l’amende fixée à 12,7 M£, et c’est la principale raison pour laquelle l’amende provisoire a été réduite à 12,7 M£. Le montant de cette amende a été fixé conformément à notre politique d’action réglementaire.

L’ICO a une histoire d’inaction face aux violations systématiques de l’industrie de la publicité comportementale – et son incapacité à nettoyer l’industrie de la technologie publicitaire de suivi et de ciblage peut compliquer sa capacité à poursuivre des plates-formes individuelles qui reposent également sur le suivi, le profilage et ads-microtargeting pour monétiser un service « gratuit ».

La protection des données des enfants a certainement été un domaine prioritaire pour l’organisme de surveillance britannique. Ces dernières années, suite à la pression des groupes de campagne et des parlementaires britanniques, il a défini un code de conception adapté à l’âge qui est lié à la conformité GDPR (et donc au risque d’amendes pour ceux qui ignorent les normes recommandées). L’application active du Code de confidentialité et de sécurité des enfants a débuté en septembre 2021. Bien qu’il soit juste de dire qu’il n’y a pas encore eu de tsunami d’application, mais l’ICO a entrepris un certain nombre d’enquêtes.

Le Royaume-Uni n’étant plus membre de l’Union européenne, l’application du RGPD par l’ICO est réservée au Royaume-Uni – et il convient de noter que l’activité de TikTok fait toujours l’objet d’une enquête dans l’UE sur la manière dont elle traite les données des enfants.

La Commission irlandaise de protection des données (DPC) a ouvert une enquête sur le traitement par TikTok des données des enfants en septembre 2021. Cette enquête paneuropéenne est en cours – et nous comprenons que le comité européen de la protection des données devrait prendre une décision contraignante pour régler les désaccords entre DPA sur le projet de décision de l’Irlande, il pourrait donc y avoir encore de nombreux mois pour que le processus se déroule. Également en cours dans l’UE : Une enquête de la DPC sur les transferts de données de TikTok vers la Chine puisque le GDPR régit également les exportations de données (ce qui est bien sûr un sujet très brûlant en ce qui concerne TikTok ces jours-ci).

Un point de comparaison : l’année dernière, le réseau social rival Instagram a été condamné à une amende de 405 millions d’euros pour avoir utilisé à mauvais escient les données des enfants dans le cadre de l’application du RGPD par l’UE. Bien que, dans ce cas, la sanction reflète l’activité de traitement de données transfrontalière dans le bloc des 27 États membres – alors que l’application de TikTok par l’ICO est menée au nom des seuls utilisateurs britanniques, d’où une partie de la différence de taille entre les sanctions imposées.