Les transferts de données de TikTok vers la Chine inquiètent la Cnil irlandaise

La Data Protection Commission (DPC) - l'équivalent de la Commission nationale de l'informatique et des libertés (Cnil) en Irlande - a annoncé le 14 septembre l'ouverture de deux enquêtes sur TikTok, propriété du géant ByteDance. L'une concerne le traitement des données des utilisateurs de moins de 18 ans et l'autre sur le transfert des données personnelles vers la Chine.

des violations du RGPD ?
Les deux enquêtes sont liées car elles portent sur le respect du Règlement général sur la protection des données (RGPD). En effet, la DPC se demande si TikTok respecte les exigences de ce texte lorsqu'il traite les données de mineurs. La façon avec laquelle le réseau social vérifie l'âge de l'internaute est également dans le viseur de l'autorité. En effet, seules les personnes de 13 ans au moins sont autorisées à utiliser l'application de vidéo... à condition que l'âge soit réellement contrôlé.

La DPC souhaite également contrôlé la conformité du RGPD avec les transferts de données personnelles vers la Chine. En effet, le transfert de données vers un pays tiers à l'Union européenne est strictement encadré. Il est considéré comme légal à condition d'assurer un niveau de protection suffisant et approprié.

Pas de décision d'adéquation pour la Chine
En quelques mots, les organismes peuvent fonder leur transfert vers des pays tiers sur une décision d'adéquation adopté par la Commission européenne ou, à défaut, des clauses contractuelles types. Actuellement, la Chine n'est pas dans la liste des pays faisant l'objet d'une décision d'adéquation. Seuls sont concernés l'Andorre, l'Argentine, le Canada, les Îles Féroé, le Guernesey, Israël, l'Île de Man, le Jersey, la Nouvelle-Zélande, la Suisse, l'Uruguay et le Japon. Les Etats-Unis sont récemment sortis de cette liste depuis l'invalidation du Privacy Shield en juillet 2020 par la Cour de justice de l'Union européenne.

En France, la Cnil se pose des questions similaires. Elle a décidé début août 2020 d'ouvrir une enquête. "Les principaux points d’attention relevés par la Cnil sont les problématiques d’information des personnes, celles des modalités d’exercice des droits, les flux hors de l’Union européenne, les mesures prises à l’égard des mineurs, auprès desquels l’application est très prisée", précisait l'autorité chargée de la protection de la vie privée. La procédure est toujours en cours.

La DPC est accusée d'inaction
Les accusations proférées contre TikTok ne sont donc pas nouvelles mais l'ouverture d'une enquête par la DPC est rare. Elle est d'ailleurs régulièrement accusée d'inaction alors qu'elle représente l'autorité principale pour les entreprises étrangères, qui ont pour la plupart leur siège à Dublin. En effet, en vertu du principe du guichet unique, une société traitant des données dans un contexte transfrontalier n'a pour interlocutrice qu'une seule autorité de protection des données, à savoir l'autorité de l'Etat membre dans lequel est situé son établissement principal.

L'Irish Council for Civil Liberties (ICCL), une ONG irlandaise spécialisée dans la défense des droits de l'Homme, vient de publier un rapport chiffrant l'inaction de la DPC. Ainsi, sur 164 dossiers, 98% d'entre eux n'ont pas encore abouti. Cédric O, le secrétaire d'Etat chargé de la Transition numérique et des Communications électroniques, a réagi à ce constat sur Twitter en déclarant que "le principe du pays d’origine est le fondement du marché unique. Cela nécessite que chacun assume ses responsabilités collectives. Sinon, c’est le collectif qui est en risque".

Sélectionné pour vous

Londres et Washington s'accordent sur un "pont de données" pour sécuriser les transferts

La Cnil guide les pharmaciens dans leur mise en conformité au RGPD

Imbroglio autour de la notion d'identité numérique