Tiktok : la CNIL s’en mêle
Tiktok s’est attiré beaucoup d’attention de la part des responsables politiques et les autorités de protection des données personnelles ne sont pas en reste. La CNIL vient de confirmer une information de Bloomberg indiquant qu’une investigation était encours sur l’application suite à une plainte déposée par un utilisateur au mois de mai.
La CNIL explique que cette plainte portait à l’origine sur le retrait d’une vidéo publiée par un utilisateur du service TikTok. Après instruction, la CNIL explique avoir conseillé à l’utilisateur « d’exercer ses droits au titre du RGPD », ce qui n’avait pas été fait. Mais l’enquête menée par la CNIL se poursuit et a été étendue à plusieurs champs d’application : la CNIL se dit ainsi particulièrement vigilante aux « problématiques d’information des personnes, aux modalités d’exercice des droits, aux flux hors de l’UE, ainsi qu’aux mesures prises à l’égard des mineurs, auprès desquels l’application est très prisée. »
En parallèle de cela, la CNIL confirme qu’elle travaille de concert avec le Comité Européen de Protection des Données (CEPD) sur l’application. Le CEPD avait reçu en décembre 2019 une question du député européen Moritz Körner. Celui-ci s’adressait à la Commission et faisait suite aux inquiétudes du gouvernement américain à l’égard de l’application. Le député européen demandait si le CEPD s’était penché sur la question de TikTok, si la Commission pensait que TikTok présentait « un risque pour la sécurité de l’UE ou de ses pays membres » et enfin s’il y avait des « préoccupations concernant les méthodes de collecte de données de TikTok ».
Le CEPD avait répondu à ces interrogations en juin dans une lettre publiée sur son site. Dans celle ci, le CEPD ne se prononce pas sur les enquetes en cours par les autorités membres du comité, mais on avait appris au début du mois de juillet que l’autorité danoise avait déjà lancé une enquête, et la CNIL confirme aujourd’hui en mener une de son côté.
Là-bas, au Connemara
Le comité expliquait egalement avoir mis en place un groupe de travail visant à mieux coordonner les différentes actions et à disposer d’une meilleure compréhension des activités de Tiktok en matière de collecte des données. La CNIL confirme être impliquée dans le cadre de ce groupe de travail, qui « examine notamment la question de l’établissement de TikTok dans l’Union européenne. » Tiktok a en effet annoncé son intention d’installer son siège social en Irlande afin de pouvoir désigner l’autorité irlandaise comme autorité chef de file. « Tiktok devra néanmoins prouver que son établissement en Irlande remplit les conditions d’un « établissement principal au sens du RGPD » précise la CNIL.
« La notion d’« établissement principal » est définie à l’article 4.16 du RGPD : pour les responsables de traitements, c’est le lieu où sont prises les décisions quant aux finalités et aux moyens du traitement transfrontalier » indique ainsi le site de la CNIL sur cette question. Il ne s’agit donc pas uniquement d’avoir un open space fantôme à Dublin ou un simple datacenter, mais bien que cet établissement soit décisionnaire en matière de traitement des données.
Tiktok avait annoncé au début du mois son intention de construire un datacenter en Europe, plus précisément en Irlande, destiné à héberger les données appartenant aux utilisateurs européens. La société a egalement annoncé en janvier l’ouverture d’un « Trust & Safety Hub » à Dublin, établissement qui sera chargé de l’elaboration des politiques en matière de données et de cooperer avec les autorités, gouvernements et services de police européens. Tiktok veut donc montrer patte blanche en Europe mais les autorités de protection des données veulent rester vigilantes.
