La CNIL a sanctionné la société TIKTOK[1], le 29 décembre 2022, pour n’avoir pas respecté la législation française relative à l’utilisation de cookies[2].

Lors de la visite du site TIKTOK.COM, une bannière de consentement était affichée pour avertir l’internaute que des cookies étaient utilisés. Cette bannière contenait notamment un bouton pour accepter les cookies et un bouton intitulé « Gérer les paramètres ». Pour accepter l’utilisation des cookies, un simple clic sur le bouton d’acceptation était suffisant. Pour refuser, l’internaute « devait effectuer au moins trois actions » : cliquer sur « Gérer les paramètres », puis sur « Ouvrir les paramètres de cookies » et enfin sur « Enregistrer ».

La Commission française a rappelé à TIKTOK que le consentement est valablement obtenu uniquement si les internautes ont une « véritable liberté de choix » et si « les modalités qui lui sont proposées pour manifester ce choix ne sont pas biaisées en faveur du consentement ». La CNIL considère que ce n’était pas le cas sur le site TIKTOK.COM, car il était plus difficile de refuser les cookies que de les accepter, ce qui « biaisait l’expression du choix en faveur du consentement ».

La société TIKTOK a toutefois précisé que si l’internaute ne faisait aucun choix, aucun cookie « non essentiel » n’était déposé. La Commission a cependant noté que « le bandeau d’information affiché à l’utilisateur ne contenait aucune information en ce sens » et a expliqué que « si le refus de l’utilisateur de consentir aux cookies peut se déduire de son silence, c’est à la condition que l’utilisateur en soit pleinement informé ».

Par ailleurs, la CNIL reproche également à TIKTOK d’avoir affiché des informations peu explicites sur sa bannière de consentement. TIKTOK indiquait, en effet, que les cookies étaient notamment utilisés « à des fins d’analyse et de marketing » et pour « améliorer votre expérience sur nos sites web ». Ces termes ont été jugés « particulièrement imprécis » par la Commission, car ils ne permettent pas aux internautes « de comprendre quels types de contenus allaient lui être présentés et, le cas échéant, sous quelle forme ».

Une amende de 5 millions d’euros a été prononcée contre TIKTOK, ce qui représente 0,008 % du chiffre d’affaires[3] estimé du groupe.

Lire :

Ma réaction à cette décision

En lisant la délibération, on comprend très vite que cette procédure de la CNIL n’a que peu d’intérêt et relève plus d’un sketch que de la réalité. Dès le premier point, on apprend par exemple que la maison mère de TIKTOK est immatriculée... aux Iles Caïmans.

« Le groupe TIKTOK, qui a des bureaux en Europe, au Moyen-Orient, en Amérique du Nord, en Asie et en Afrique, appartient au groupe de sociétés BYTEDANCE […]. BYTEDANCE LTD, société mère du groupe TIKTOK, est immatriculée aux Iles Caïmans. »

Que peut bien faire le siège d’un grand groupe technologique, sur une île de 60 000 habitants, qui était jusqu’en février 2020, sur la liste des « juridictions fiscales non coopératives »[4] de la Commission européenne ? L’abondance d’eau, utilisée pour refroidir les datacenters du groupe ? Probablement pas.

Ensuite, on apprend que les contrôles de la CNIL ont révélé que, lors de la visite du site TIKTOK.COM, trois cookies étaient directement déposés. La société TIKTOK a affirmé que ces cookies étaient notamment utilisés pour « plafonne[r] la fréquence des publicités diffusées sur la plateforme ». La CNIL leur a répondu que cette finalité ne faisait pas partie des exceptions de consentement. TIKTOK a alors expliqué qu’ils s’étaient trompés et que les informations qu’ils avaient données étaient fausses en raison « d’une erreur involontaire commise lors de la rédaction de la réponse, en raison d’une mauvaise communication interne »

« les sociétés [TIKTOK] expliquent avoir fourni des informations erronées à la [CNIL] s’agissant des finalités des cookies « tt_webid », « tt_webid_v2 » et « ttwid ». Elles précisent que la finalité annoncée comme « plafonnement de la publicité » est en réalité la lutte contre les spams et que la mauvaise information transmise à la CNIL procède « d’une erreur involontaire commise lors de la rédaction de la réponse, en raison d’une mauvaise communication interne ». »

La CNIL acceptera ce tour de passe-passe sans broncher et se contentera d’autres manquements, comme la difficulté du refus et le manque d’information.

Au final, les contrôles ont porté uniquement sur le site TIKTOK.COM et sur un périmètre minuscule ; pas un mot de l’application TIKTOK, qui est pourtant le moyen le plus populaire pour consulter les vidéos de la plateforme. L’amende ridicule est à l’image du reste : sans intérêt pour un groupe qui fait un chiffre de $58 milliards par an. Une amende plus importante aurait dû être prononcée, surtout si on considère que TIKTOK « comptabilisait 13,9 millions de visiteurs uniques en France pour le mois d’août 2021 […], ce qui correspond à près d’un quart de la population française » et que « 38 % des utilisateurs de TIKTOK ont entre 13 et 17 ans ».

Notes et références

  1. La sanction de la CNIL a été émise à l’encontre des sociétés TIKTOK INFORMATION TECHNOLOGIES UK LIMITED, basée au Royaume-Uni, et TIKTOK TECHNOLOGY LIMITED, basée en Irlande. Les sociétés appartiennent au groupe BYTEDANCE LTD, basé aux Îles Caïmans.
  2. L’article 82 de la loi Informatique et Libertés est le principal texte encadrant l’utilisation de cookies en France. Il est la transposition de l’article 5-3 de la directive européenne « ePrivacy » (Directive 2009/136/CE).
  3. La maison mère du groupe TIKTOK, BYTEDANCE LTD, a un chiffre d’affaires estimé de 58 milliards de dollars en 2021.
  4. Les Iles Caïmans étaient sur la liste noire des « juridictions fiscales non coopératives » jusqu’en février 2020 (source : Commission européenne).

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés