droitdu.net

Un site utilisant Plateforme OpenUM.ca

TikTok condamné à une amende de 345 millions d’euros pour violation de la vie privée des enfants

3 octobre 2023
Commentaires
Permalien

Le 15 septembre 2023, la Commission irlandaise de protection des données (Data Protection Commission, DPC) a publié sa décision finale sur TikTok Technology Limited qui a été rendu le 1 septembre 2023. Dans cette décision, TikTok a reçu une amende de 345 millions d’euros pour violation du Règlement général sur la protection des données (RGPD), la principale réglementation européenne en matière de protection des données. Il s’agit de l’amende la plus élevée jamais infligée à TikTok et de la cinquième plus grosse amende imposée à une entreprise technologique dans le cadre du RGPD.

La DPC a ouvert une enquête sur TikTok de sa propre initiative, et ce, sur la base de l’article 110 de la loi irlandaise sur la protection des données (Data Protection Act, 2018), et ce, après avoir reçu plusieurs demandes d’assistance mutuelle selon l’article 61 du RGPD de la part d’autorités de contrôle françaises, néerlandaises et d’autres pays européens.

Cette enquête visait à examiner dans quelle mesure, au cours de la période comprise entre le 31 juillet 2020 et le 31 décembre 2020, TikTok a respecté ses obligations en vertu du RGPD en ce qui concerne son traitement des données à caractère personnel relatives aux enfants utilisateurs de la plateforme TikTok. Le DPC a notamment examiné certains paramètres de la plateforme TikTok, y compris les paramètres publics par défaut ainsi que les paramètres associés à la fonction de « jumelage familial » et la vérification de l’âge dans le cadre de la procédure d’enregistrement.

Au cours de l’enquête, le DPC a découvert que TikTok avait illégalement rendu publics par défaut les comptes des utilisateurs âgés de 13 à 17 ans, permettant ainsi à n’importe qui de regarder et de commenter les vidéos qu’ils publiaient. TikTok n’a pas non plus évalué de manière appropriée les risques que des utilisateurs de moins de 13 ans puissent accéder à sa plateforme. Le DPC a également constaté que TikTok incite toujours les adolescents qui s’inscrivent sur la plateforme à rendre leurs comptes et leurs vidéos publiques au moyen de fenêtres « pop-up » dites « manipulatrices ». Le DPC a aussi déclaré que TikTok n’avait pas non plus expliqué aux adolescents les conséquences de la publication de leur contenu et de leurs comptes. De plus, les comptes des mineurs ont pu être associés à des comptes d’adultes non vérifiés au cours du second semestre 2020.

Selon le projet de décision proposé par le DPC le 13 septembre 2022, TikTok a violé les articles suivants du RGPD pendant la période comprise :

  • Article 5 (1)(c) – le principe de la minimisation des données ;
  • Article 5 (1 (f) – le principe de l’intégrité et de la confidentialité ;
  • Article 12 (1) – l’obligation de fournir les informations à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ;
  • Article 13 (1) – l’obligation de fournir les informations lorsque des données à caractère personnel sont collectées auprès de la personne concernée ;
  • Article 24 (1) – l’obligation de mettre en œuvre mesures techniques et organisationnelles appropriées pour s’assurer (et être en mesure de démontrer) que le traitement est effectué conformément au présent règlement ;
  • Article 25 (1) – l’obligation de mettre en œuvre mesures techniques et organisationnelles appropriées (par example, pseudonymisation), qui sont destinées à mettre en œuvre les principes relatifs à la protection des données de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée ;
  • Article 25 (2) – l’obligation de mettre en œuvre mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.

Ce projet de décision a été ensuite soumis à toutes les autorités de contrôle concernées aux fins de l’article 60 (3) du RGPD. Bien qu’il y ait eu un large consensus sur les conclusions proposées par le DPC, des objections au projet de décision ont été soulevées par les autorités de contrôle d’Italie et de Berlin (agissant en son nom propre et au nom du Baden-Württemberg).

Le DPC n’étant pas parvenue à un consensus avec les autorités de contrôle concernées sur l’objet des objections, elle a renvoyé les objections au Comité européen de la protection des données (CEPD) pour qu’il prenne une décision conformément au mécanisme de résolution des litiges prévu à l’article 65 du RGPD.

Le CEPD a rendu sa décision contraignante sur les objections le 2 août 2023, dans laquelle il a ordonné au DPC de modifier sa décision en y incluant une nouvelle constatation de violation de l’article 5 (1)(a) du RGPD (le principe de loyauté) et en étendant le champ d’application de l’ordonnance existante de mise en conformité du traitement, afin d’y inclure une référence aux travaux correctifs nécessaires pour répondre à cette nouvelle constatation de violation. 

Par conséquent, le DPC a statué dans sa décision finale que TikTok avait commis les violations de l’article 5(1)(c) et (f), de l’article 12(1), de l’article 13(1)(e), de l’article 24 (1), de l’article 25(1) et (2) du RGPD pour lesquelles elle a imposé les sanctions suivantes :

  • Réprimande ;
  • Ordonnance enjoignant à TikTok de mettre son traitement en conformité en prenant les mesures spécifiées dans un délai de trois mois à compter de la date de notification de la décision de DPC à TikTok ; et
  • Amende de 345 millions d’euros.

Notons enfin que Tiktok fait toujours l’objet d’une enquête de la part de la Commission irlandaise de protection des données concernant le transfert potentiellement illégal de données d’utilisateurs européens vers la Chine.

Commentaires

Laisser un commentaire

Sur le même sujet

Derniers tweets