Bruxelles, le 15 septembre — À la suite de la décision contraignante de l’EDPB en matière de règlement des litiges, l’autorité de protection des données (APD) irlandaise a rendu une décision finale, constatant, en particulier, que TikTok Technology Limited (TikTok) avait violé le principe d’équité du RGPD lors du traitement de données à caractère personnel relatives aux enfants âgés de 13 à 17 ans. La décision de l’EDPB a été rendue le 2 août 2023 et concerne les activités de traitement de TikTok réalisées entre le 31 juillet et le 31 décembre 2020.
Anu Talus, présidente du comité européen de la protection des données, a déclaré: «Les entreprises de médias sociaux ont la responsabilité d’éviter de présenter des choix de manière inéquitable aux utilisateurs, en particulier aux enfants, surtout si cette présentation peut inciter les utilisateurs à prendre des décisions qui portent atteinte à leur vie privée. Les options relatives à la protection de la vie privée devraient être fournies de manière objective et neutre, en évitant tout type de langage ou de conception trompeur ou manipulateur. Par cette décision, le comité européen de la protection des données indique une fois de plus clairement que les acteurs du numérique doivent faire preuve de plus de prudence et prendre toutes les mesures nécessaires pour protéger les droits des enfants en matière de protection des données.»
Dans sa décision contraignante, l’EDPB a analysé les pratiques de conception mises en œuvre par TikTok dans le cadre de deux notifications contextuelles présentées aux enfants âgés de 13 à 17 ans: la notification d’enregistrement et la notification de publication d’une vidéo. L’analyse a révélé que les deux fenêtres contextuelles ne présentaient pas les options de manière objective et neutre à l’utilisateur.
Dans la notification d’enregistrement, les enfants étaient incités à opter pour un compte public en choisissant le bouton de droite intitulé «Skip» («passer»), ce qui a un effet en cascade sur la vie privée de l’enfant sur la plateforme, par exemple en rendant accessibles les commentaires sur le contenu vidéo créé par les enfants.
Dans la notification de publication d’une vidéo, les enfants étaient incités à cliquer sur «Post Now» («publier maintenant»), présenté dans un texte gras et plus foncé situé à droite, plutôt que sur le bouton plus clair «annuler». Les utilisateurs qui souhaitaient rendre leur publication privée devaient d’abord sélectionner «annuler», puis rechercher les paramètres de confidentialité pour passer à un «compte privé». Par conséquent, les utilisateurs étaient encouragés à opter pour des paramètres publics par défaut, TikTok rendant plus difficile de faire des choix favorisant la protection de leurs données à caractère personnel. En outre, les conséquences des différentes options n’étaient pas claires, en particulier pour les utilisateurs mineurs.L’EDPB a confirmé que les responsables du traitement ne devraient pas complexifier les manipulations à effectuer par les utilisateurs pour adapter leurs paramètres de confidentialité et limiter le traitement de leurs données.
L’EDPB a également constaté que, du fait des pratiques en question, TikTok avait violé le principe d’équité prévu par le RGPD. Par conséquent, l’EDPB a chargé l’APD irlandaise d’inclure, dans sa décision finale, une constatation de cette infraction supplémentaire et d’enjoindre à TikTok de se conformer au RGPD en mettant fin à ces pratiques en matière de conception.
L’EDPB a également évalué si les mesures de vérification de l’âge mises en œuvre par TikTok entre le 31 juillet et le 31 décembre 2020 étaient conformes aux exigences de la protection des données dès la conception (article 25, paragraphe 1, du RGPD). L’EDPB a exprimé de sérieux doutes quant à l’efficacité des mesures de vérification de l’âge mises en place par TikTok au cours de cette période, compte tenu notamment de la gravité des risques pour le nombre élevé d’enfants touchés. L’EDPB a notamment constaté que le système de contrôle de l’âge déployé par TikTok pour empêcher les mineurs de moins de 13 ans d’accéder à la plateforme pouvait être facilement contourné et que les mesures appliquées après l’accès des utilisateurs à TikTok n’étaient pas mises en œuvre de manière suffisamment systématique.
Sur la base des éléments disponibles dans le cadre de cette procédure de règlement des litiges, l’EDPB a conclu qu’il ne disposait pas d’informations suffisantes, notamment sur la base de l’état des connaissances, pour évaluer de manière certaine le respect par TikTok de l’article 25, paragraphe 1, du RGPD au cours de cette période. Toutefois, compte tenu des doutes sérieux quant à l’efficacité des mesures choisies par TikTok, l’EDPB a demandé à l’APD irlandaise d’en tenir compte dans sa décision finale.
La décision finale de l’APD irlandaise intègre l’évaluation juridique exprimée par l’EDPB dans sa décision contraignante. Cette décision a été adoptée sur la base de l’article 65, paragraphe 1, point a), du RGPD, après que l’APD irlandaise, en tant qu’autorité de contrôle chef de file, a déclenché une procédure de règlement des litiges concernant les objections soulevées par certaines autorités de contrôle concernées. Ces objections exposaient la portée de la décision de l’EDPB, décrite ci-dessus.
La décision finale de l’APD irlandaise comprend également une évaluation juridique qui n’a pas fait l’objet d’objections de la part des autorités de contrôle concernées, comme la constatation selon laquelle les paramètres publics par défaut étaient contraires aux principes de protection des données dès la conception et par défaut, de minimisation des données et de transparence. Outre un rappel à l’ordre et une ordonnance de mise en conformité, l’ADP irlandaise a infligé à Tiktok une amende de 345 millions d’euros.
Les décisions finales prises par l’APD irlandaise peuvent être consultées dans le registre des décisions prises par les autorités de contrôle et les juridictions sur les questions traitées dans le cadre du mécanisme de contrôle de la cohérence.
Note du rédacteur:
La présente décision est sans préjudice des évaluations que l’EDPB pourrait être appelé à effectuer dans d’autres affaires, y compris celles qui concerneraient les mêmes parties. Les décisions contraignantes de l’EDPB ne traitent que des désaccords sur un projet de décision, qui sont exposés par les autorités de contrôle concernées sous la forme d’objections pertinentes et motivées.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.