Données personnelles des mineurs : TikTok écope de 345 millions d’euros d’amende

Les opinions exprimées dans le présent article ne reflètent que celles de l’auteur et n’engagent pas la Cour de justice de l’Union européenne.

Le 15 septembre 2023, la Data Protection Commission (DPC) a infligé une amende de 345 millions d’euros à TikTok Technology Limited (TTL)1, pour violation du RGPD et, notamment, pour les manquements commis quant au traitement des données des enfants2.

Plébiscitée par diverses autorités nationales chargées de la protection des données, la DPC (Data Protection Commission, la « Cnil irlandaise ») s’est formellement saisie de l’enquête à l’encontre de TTL en vue d’examiner les méthodes de traitement des données des mineurs sur le réseau social TikTok, au regard de l’article 4, paragraphe 2, du RGPD (Règlement général sur la protection des données)3 sur la période allant du 31 juillet 2020 au 31 décembre 2020 (la période pertinente)4. Plus particulièrement, la DPC s’est intéressée à trois méthodes de traitement des données personnelles des utilisateurs mineurs, relatives, premièrement, au paramétrage public par défaut des nouveaux comptes créés, deuxièmement, aux techniques de vérification d’âge des nouveaux utilisateurs au moment de l’inscription et, troisièmement, aux diverses obligations d’information et de transparence, notamment au regard du principe de traitement équitable et transparent des données.

Aux fins d’examiner les manquements reprochés in fine à TTL, la DPC s’est appuyée sur cinq dispositions du RGPD, sur le fondement desquels elle a relevé six manquements avérés. En ce sens, la DPC a constaté la violation de l’article 5, portant sur les principes relatifs au traitement des données à caractère personnel ; de l’article 12, portant sur la transparence des informations et des communications et sur les modalités de l’exercice des droits de la personne concernée ; de l’article 13 portant sur les informations à fournir lorsque les données à carac­tère personnel sont collectées ; de l’article 24, portant sur la responsabilité du responsable du traitement ; et de l’article 25, portant sur la protection des données dès la conception, ainsi que sur la protection des données par défaut.

Sur les manquements relatifs au paramétrage par défaut des profils des mineurs

La DPC a établi les trois manquements, notamment par rapport au paramétrage par défaut des profils, sur le fondement des articles 5, 24 et 25 du RGPD5.

Premièrement, la DPC reproche à TTL d’avoir instauré le profil public comme paramétrage par défaut pour tous les comptes, y compris ceux des mineurs, de sorte que toute personne, membre ou non de la plateforme TikTok, puisse accéder aux contenus médias publiés par lesdits mineurs6. La DPC réfute particulièrement l’argumentation de TTL, qui a eu l’occasion de présenter ses observations lors de la phase d’instruction, selon laquelle les utilisateurs, par une boîte de dialogue pop-up, avaient le choix d’avoir un profil privé ou de passer cette étape au moment de l’inscription et de pouvoir modifier ce choix ultérieurement7. En effet, la DPC considère que cette option, qui dépend d’un choix actif de l’utilisateur, enfreint l’article 25, paragraphes 1 et 2 du RGPD, ainsi que l’article 5, paragraphe 1, sous c, dudit règlement. En outre, la DPC estime que les mesures prises par TTL, postérieurement à la période pertinente, ne sont pas suffisantes pour pallier les manquements constatés. Il convient de rappeler par ailleurs que la DPC avait déjà condamné une autre maison mère de réseaux sociaux, Meta, pour violation de l’article 25, paragraphes 1 et 2, pour autant que le paramétrage par défaut des plateformes, qui permettait de facto l’exploitation et le traitement illicite de certaines données à caractère personnel, n’était pas conforme auxdits articles (voir La rem n°64, p.29).

Deuxièmement, s’agissant du fait que les données à caractère personnel soient accessibles à tous types d’utilisateurs, membres ou non du réseau social, la DPC a estimé qu’il existe un risque élevé d’atteinte aux droits et libertés des mineurs8, de sorte que des individus potentiellement dangereux ou malveillants puissent se prévaloir de la méthode défaillante de traitement des données et entrer en contact avec les mineurs, notamment par la possibilité de commenter sur le contenu multimédia créé et accessible sur le profil public. Par ailleurs, la DPC réfute les arguments de TTL, selon lesquels les mineurs, à partir de 13 ans, ont les connaissances techniques suffisantes pour rendre le profil privé, afin de se protéger. En tout état de cause, la DPC considère les mesures prises postérieurement à la période pertinente insuffisantes et confirme la violation de l’article 24, paragraphe 1, du RGPD, pour manquement à la mise en œuvre de mesures techniques et organisationnelles appropriées pour s’assurer d’un traitement des données conforme au règlement.

Troisièmement, s’agissant du mécanisme « Connexion Famille » qui « permet à un parent possédant un profil TikTok de s’appairer avec celui de son enfant, afin notamment de surveiller ses messages privés ou de contrôler son temps d’écran »9, la DPC considère que TTL n’a pas démontré qu’un examen sérieux et effectif est mené afin d’établir le lien de parenté entre l’enfant et son « gardien » (qui, selon la DPC, serait un terme générique et ambitieux)10. Partant, cela remet en cause les mécanismes effectifs relatifs à la protection du traitement des données à caractère personnel, et ouvre la voie à l’atteinte aux principes d’intégrité et de confidentialité des individus et de leurs données11.

Sur les méthodes de vérification de l’âge des utilisateurs au moment de l’inscription

La DPC a établi, quatrièmement, le manquement aux méthodes de vérification de l’âge des utilisateurs au moment de l’inscription en fondant son analyse sur les articles 24 et 25 du RGPD12. Il y a lieu de relever d’emblée que la DPC partage l’avis de TTL selon lequel il n’existe pas une méthode unique et efficace pour empêcher l’accès à la plateforme TikTok aux mineurs de 13 ans. Toutefois, cela apparaît être un problème sous-jacent et complémentaire de la question du paramétrage public des profils par défaut13. En effet, cette absence d’encadrement sur les bonnes méthodes de traitement des données à caractère personnel au moment de l’inscription, et l’impossibilité technique de garantir la vérification de tous les utilisateurs qui parviennent, parfois, à contourner les règles et barrières techniques, favorisent la mise en danger des utilisateurs mineurs de 13 ans, particulièrement vulnérables, que TTL assimile aux mineurs de 18 ans concernant son évaluation des risques dans le traitement des données. C’est donc selon ces considérations que la DPC a conclu à la violation de l’article 24, paragraphe 1, du RGPD.

Sur les manquements relatifs aux obligations d’information et de transparence

La DPC a fondé son examen relatif aux manquements aux obligations d’information et de transparence sur les articles 5, 12 et 13 du RGPD14.

En effet, cinquièmement, la DPC reproche à TTL d’avoir failli à son obligation découlant de l’article 12, paragraphe 1, du RGPD, ainsi que la violation de l’article 13, paragraphe 1, sous e, pour autant que cette dernière n’a pas fourni aux utilisateurs mineurs les informations essentielles sur les conséquences qu’aurait le paramétrage public par défaut15. En effet, elle aurait été tenue de délivrer ces informations de manière concise, transparente et intelligible, par le biais d’un moyen accessible, avec un langage clair et compréhensible. Par ailleurs, sixièmement, la DPC conclut également à la violation du principe de traitement équitable des données personnelles, tel que prévu à l’article 5, paragraphe 1, sous a du RGPD, conformément aux recommandations du CEPD (Comité européen de la protection des données), aux points 98 à 119 de sa décision du 2 août 202316, ayant donné lieu, en l’espèce, à la décision finale de la DPC17. En substance, la DPC renvoie sans réserve à la décision du CEPD, en ce que ce dernier rappelle, entre autres, que le principe de traitement équitable englobe la nécessité de prendre en compte les possibles conséquences adverses qui pourraient résulter de la manière de traiter les données à caractère personnel, dans la perspective des attentes légitimes des utilisateurs face au contrôleur de ces données18, et notamment en veillant à l’équilibre de rapports de forces19. En effet, il est constant, tel qu’il ressort de la pratique décisionnelle du CEPD, que la manière dont sont présentées les options (notamment concernant le pop-up demandant si l’utilisateur souhaite passer son profil en mode privé) constitue une condition primordiale à prendre en compte. En ce sens, les utilisateurs ne doivent pas se trouver dans une situation où ils seraient indûment poussés à souscrire à une option où plus de données seront collectées et traitées que si les différentes options avaient été présentées de manière égale et neutre20. Cela revêt une importance d’autant plus grande s’agissant des mineurs, considérés comme sujets vulnérables, lorsqu’il existe un risque de porter atteinte à leurs droits alors mêmes qu’ils requièrent une attention particulièrement élevée afin de garantir leurs intérêts et leur protection21.

Il s’ensuit que selon le CEPD, tel que repris par la DPC, TTL aurait, par ses manquements, délibérément incité les utilisateurs à opter, sciemment ou non, à l’option d’utilisation de TikTok en mode public, dans l’objectif de maximiser les engagements sur la plateforme, ainsi que la collecte de données. Ce faisant, les utilisateurs s’exposaient automatiquement au traitement extensif de leurs données, au détriment du choix de la protection de leurs droits fondamentaux, d’autant plus qu’il s’agit de mineurs vulnérables qui méritent une attention particulière22. Dès lors, et au regard de tout ce qui précède, la DPC a ordonné à TTL, au titre de l’article 58, paragraphe 2, sous b, du RGPD, de se conformer aux dispositions du RGPD quant aux méthodes de traitement des données ; elle a formulé une réprimande au titre de l’article 58, paragraphe 2, sous d, du RGPD ; et elle a imposé trois amendes administratives d’un montant total de 345 millions d’euros, ventilées tel que TTL s’acquittera d’un montant de 100 millions d’euros au titre de la violation des articles 5, paragraphe 1, sous c, et 25, paragraphes 1 et 2 du RGPD, pour le premier manquement ; de 65 millions d’euros au titre de la violation des articles 5, paragraphe 1, sous f, et 25 paragraphe 1, du RGPD, pour le troisième manquement ; et de 180 millions au titre de la violation des articles 12, paragraphe 1 et 13, paragraphe 1, sous e, pour le cinquième manquement23.

AAH

  1. Décision de la DPC du 1erseptembre 2023, IN-21-9-1 (décision de la DPC).
  2. Par « enfants », le RGPD entend toute personne de moins de 18 ans révolus. Une sous-distinction est également opérée, s’agissant des mineurs de moins de 16 ans (là où le Data Protection Act de 2018 entend 13 ans en lieu et place de 16 ans) et ceux entre 16 et 18 ans. Dans la présente contribution, il sera fait référence aux personnes mineurs de manière globale, sauf dans le cas de considérations spécifiques.
  3. Selon l’article 4, paragraphe 2, du RGPD, il est entendu par « traitement » toute opération ou tout ensemble d’opérations effectuées ou non, à l’aide de procédés automatisés, et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
  4. Décision de la DPC, point 31.
  5. Décision de la DPC, points 104 à 182.
  6. Décision de la DPC, point 172.
  7. Décision de la DPC, point 76.
  8. Décision de la DPC, point 176.
  9. Reynaud Florian, « TikTok condamné à une amende de 345 millions d’euros en Europe pour ne pas avoir protégé les données de ses utilisateurs », Le Monde (Pixels), 15 septembre 2023.
  10. Décision de la DPC, point 181.
  11. Décision de la DPC, point 182.
  12. Décision de la DPC, points 183 à 221.
  13. Décision de la DPC, point 208.
  14. Décision de la DPC, points 221 à 278.
  15. Décision de la DPC, point 276.
  16. EDPB (European Data Protection Board), « Binding Decision 2/2023 on the dispute submitted by Irish SA regarding TikTok Technology Limited (art. 65 GDPR) », August 2, 2023 (décision du CEPD).
  17. Ces considérations ne faisaient pas partie de la décision préliminaire de la DPC, elles ont été intégrées dans les manquements finaux suite à la décision du CEPD et les sollicitations des autorités de contrôle nationale ayant intervenu.
  18. Décision du CEPD, point 103.
  19. Décision CEPD, point 107.
  20. Décision du CEPD, point 105.
  21. Voir plus particulièrement le point 38 du préambule du RGPD : « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel. »
  22. Décision du CEPD, point 117.
  23. Décision de la DPC, points 284 et 418.
Assistant juriste à la Cour de justice de l’Union européenne