TIKTOK – La CNIL questionnée dans le cadre d’une commission d’enquête du Sénat
Le Sénat français a débuté, le 8 mars 2023, une commission d’enquête concernant l’application TIKTOK afin de comprendre les données traitées par l’application ainsi que l’influence qu’exerce l’éditeur via cette application.
Sous la présidente de Mickaël Vallet, sénateur de la Charente-Maritime, cette commission a auditionné, le 3 avril 2023, trois membres de la CNIL : Louis Dutheillet de Lamothe pour, secrétaire général, Bertrand Pailhès, directeur des technologies et de l’innovation et Karin Kiefer, directrice de la protection des droits et des sanctions. L’objectif était de connaître le rôle de la CNIL vis-à-vis de TIKTOK et de comprendre la nature des traitements de données réalisés, dont les transferts de données vers la Chine.
Concernant le rôle de la CNIL de manière générale, le secrétaire général de la Commission a expliqué que la CNIL était compétente pour garantir la protection des données, conformément au RGPD, et pour garantir la protection des terminaux, conformément à la législation française associée à la directive ePrivacy.
Concernant le rôle de la CNIL vis-à-vis de TIKTOK, on apprend que la CNIL avait entamé, début 2020, une procédure de contrôle, via l’envoi de formulaires papier, mais qu’en juillet 2020, l’éditeur de TIKTOK, la société BYTEDANCE, a opéré une réorganisation et a choisi d’installer son établissement principal en Irlande.
Suite à cette réorganisation, et en application du principe du guichet unique du RGPD, la Commission irlandaise de protection des données (DPC) devenait l’unique Commission compétence pour instruire les procédures relatives à la conformité des traitements de TIKTOK au sein de l’Union européenne. La CNIL devenait, elle, incompétente et devait transférer les investigations et contrôles réalisés à la DPC pour lui permettre de réaliser la procédure.
Par ailleurs, on apprend également, qu’au jour de l’audition, deux instructions étaient menées par la DPC :
- une instruction sur le traitement de données de mineurs, pour laquelle un projet de décision a été envoyé au Centre européen pour la protection des données (EDPB) et pour laquelle une décision définitive est attendue mi-2023 ;
- une instruction sur les transferts de données vers la Chine, pour laquelle un projet de décision est espéré mi-2023.
Concernant les traitements de données réalisés par TIKTOK, le secrétaire général de la CNIL a expliqué que l’application collecte « un nombre impressionnant de données sur ses utilisateurs, d’une très grande finesse et d’un caractère intrusif très grand », en précisant qu’une partie de ces données étaient fournies par l’utilisateur lui-même.
Ces données, « qui intéressent tant les publicitaires et les scientifiques » ont la particularité de concerner un public particulièrement jeune, public qui est connu pour être moins prudent, moins conscient des conséquences des partages de données, et moins au courant de leurs droits.
Concernant les transferts de données réalisés par TIKTOK, le secrétaire général de la CNIL explique que l’arrêt Shrems II de la Cour de justice de l’Union européenne avait jugé que les lois étasuniennes ne permettaient pas de garantir un niveau de protection des données adéquat et que, selon la CNIL, « le même constat peut être fait avec la législation chinoise ».
« Nous, CNIL, considérons que la loi chinoise n’est pas conforme aux standards de l’arrêt Shrems II de la CJUE »
Ce constat repose sur une étude de l’EDPB, mise à la disposition des commissions européennes, et sur les constatations réalisées par la Commission.
Ce sera toutefois à la Commission irlandaise de juger si les transferts de données réalisés par TIKTOK sont conformes, en prenant en compte les éventuelles mesures techniques complémentaires prises par l’éditeur.
Voir :