Recevez chaque jour toute l'actualité du numérique

x

Les ingénieurs de TikTok auraient accès aux données privées des utilisateurs américains

Vu ailleurs Malgré les déclarations publiques de TikTok, les ingénieurs de l'entreprise chinoise pourraient accéder aux données des utilisateurs américains du réseau social bien qu'elles soient stockées aux Etats-Unis, d'après une enquête journalistique.
Twitter Facebook Linkedin Flipboard Email
×

Les ingénieurs de TikTok auraient accès aux données privées des utilisateurs américains
Les ingénieurs de TikTok auraient accès aux données privées des utilisateurs américains © Unsplash

Les employés de ByteDance – maison mère du réseau social TikTok – auraient eu accès aux données des utilisateurs américaines, révèle une enquête menée par BuzzFeed News publiée le 17 juin.
 

Des enregistrements de réunions internes

Le média a eu accès à plus de 80 enregistrements de réunions internes dans lesquelles 9 employés de l'entreprise chinoise racontent avoir pu décortiquer des informations non publiques entre septembre 2021 et janvier 2022. Ces allégations ne sont pas vraiment surprenantes mais tranchent avec le discours tenu par TikTok depuis plusieurs mois lorsqu'il souhaitait rassurer les utilisateurs sur les risques de divulgation de leurs données personnelles aux autorités chinoises. 

C'est d'ailleurs cette crainte que mettait en avant le gouvernement Trump lorsqu'il voulait obliger ByteDance à céder ses opérations aux Etats-Unis à une entreprise américaine sous peine d'interdire l'application. Un feuilleton qui s'était finalement soldé par la suspension de l'accord de ByteDance avec Oracle et Walmart. Bien en deçà des promesses du gouvernement Trump, il ne portait pas sur un rachat mais sur un contrat d'hébergement cloud. En effet, stockées sur le sol américain, les données des utilisateurs américains devaient en théorie être protégées de toute prédation de Pékin.
 

La crainte d'une campagne d'influence

Les craintes des autorités américaines sont de deux ordres : que le Parti communiste chinois puisse accéder aux données des Américains via ByteDance et que l'algorithme de l'application influence les utilisateurs en mettant en avant certaines vidéos. Le sénateur américain Ted Cruz avait ainsi qualifié TikTok de "cheval de Troie que le Parti communiste chinois peut utiliser pour influencer ce que les Américains voient, entendent et finalement pensent".

Face à cette défiance, TikTok a déclaré à plusieurs reprises dans des articles de blog et des déclarations publiques qu'il stockait physiquement les données de ses utilisateurs américains dans un data center situé en Virginie, avec des sauvegardes à Singapour. La société affirme que de cette façon, les données ne seraient pas soumises aux lois chinoises, dont certaines obligent les entreprises nationales à divulguer des données aux autorités, à la manière du CLOUD Act aux Etats-Unis.

Ces déclarations seraient donc fausses. Puisque bien qu'hébergées sur le sol américain, les données seraient accessibles depuis la Chine.

Un accord avec Oracle pour stocker les données aux Etats-Unis

Hasard du calendrier, ou pas, le même jour que la publication de cette enquête, TikTok a annoncé que "100% du trafic des utilisateurs américains" était désormais acheminé vers les data centers d'Oracle aux Etats-Unis. La sauvegarde est toujours opérée à Singapour mais "à mesure que nous poursuivons notre travail, nous prévoyons de supprimer les données privées des utilisateurs américains de nos propres centres de données et de basculer entièrement vers les serveurs cloud Oracle situés aux États-Unis".

Cependant, d'après les enregistrements consultés par BuzzFeed, le statut des données stockées exclusivement sur le sol américain n'est pas très clair. Le responsable des opérations produits et utilisateurs de TikTok précisait ainsi que "les identifiants uniques" ne seront pas considérés comme des informations protégées dans le cadre de l'accord avec Oracle.

Ce qu'il entend par "identifiant unique" dans cette circonstance n'est pas clair. Il pourrait faire référence à un identifiant pour un compte TikTok spécifique ou pour un appareil. Les identifiants uniques d'appareils sont généralement utilisés par les entreprises technologiques – telles que Google et Facebook – pour lier le comportement d'un utilisateur à travers les applications.

Dans tous les cas, affirme BuzzFeed, Oracle donne à TikTok "une flexibilité considérable dans la manière dont son data center sera géré". En effet, le responsable de la cyberdéfense mondiale et des données de TikTok a clairement indiqué que si Oracle fournirait l'espace de stockage physique des données, TikTok contrôlerait la couche logicielle. "Il est presque incorrect de l'appeler Oracle Cloud, parce qu'ils nous donnent juste du métal nu, et ensuite nous construisons nos machines virtuelles dessus", a-t-il déclaré.

Deux enquêtes au niveau européen

Les Etats-Unis ne sont pas les seules à s'inquiéter du sort des données personnelles transitant sur l'application. En septembre dernier, la Data Protection Commission (DPC) – l'équivalent de la Commission nationale de l'informatique et des libertés (Cnil) en Irlande – a annoncé l'ouverture de deux enquêtes sur TikTok. L'une concerne le traitement des données des utilisateurs de moins de 18 ans et l'autre sur le transfert des données personnelles vers la Chine. Elles sont toujours en cours. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.