Relations avec la Chine, espionnage des mineurs… Ce que l’on sait de la collecte de données par TikTok

Connu pour sa popularité auprès des jeunes utilisateurs, le réseau social génère de nombreuses inquiétudes en matière de données personnelles.

Par Antoine Delaunay 

Adulé par les adolescents et les jeunes adultes, le réseau social TikTok est de nouveau sous le feu des projecteurs, après les dernières accusations portant sur les données qu’il collecterait au travers de ses applications mobiles. Déjà condamné aux Etats-Unis par la Federal Trade Commission (FTC), le régulateur américain du commerce, à une amende de 5,7 millions de dollars (4,98 millions d’euros) en 2019 pour sa gestion des données des utilisateurs de moins de 13 ans, il a également été placé sous le radar des instances européennes, en juin.

Bien que basé à Los Angeles et dirigé par Kevin Mayer (ancien cadre de chez Walt Disney), TikTok ne cesse d’éveiller les soupçons en raison de la localisation de sa maison mère, le géant chinois ByteDance. Né à Pékin, ce dernier s’est rendu célèbre en développant notamment l’application Jinri Toutiao, un fil d’actualités personnalisé par intelligence artificielle.

L’application, en fonction des interactions de la personne avec le contenu, choisit quoi lui montrer ensuite

La manière de consommer du contenu sur TikTok diffère fondamentalement de celle d’Instagram, Twitch ou encore Twitter. En effet, l’utilisateur n’a pas besoin de faire de recherche active et de choisir ce qu’il va regarder. C’est l’application qui lance automatiquement les clips vidéo depuis la page d’accueil « For You » (pour vous) et en fonction des interactions de la personne avec le contenu, choisit quoi lui montrer ensuite. Pour cela, les algorithmes derrière TikTok s’abreuvent d’une très grande quantité de données pour parvenir à présenter du contenu, ainsi que des publicités, taillées sur mesure pour chaque utilisateur.

Quelles données sont collectées par TikTok ?

La collecte et l’exploitation de données par la plate-forme sont au cœur du fonctionnement de TikTok, ainsi que de sa façon de présenter des contenus susceptibles de plaire. Bien que cette dernière diffère de YouTube, l’application enregistre, tout comme le site de partage de vidéos détenu par Google, très précisément, le pourcentage de visionnage de chaque vidéo par l’utilisateur, ainsi que ses « likes » et commentaires.

La prochaine mise à jour des téléphones Apple a révélé que TikTok consulte quasi constamment le contenu de la fonction copier-coller

Par ailleurs, la version test de la prochaine mise à jour des téléphones Apple a révélé que l’application consulte quasi constamment le contenu de la fonction copier-coller sans y être autorisé explicitement par l’utilisateur, et ce, même lorsque l’application est simplement ouverte en arrière-plan. Bien que cela puisse paraître anodin, il est courant d’utiliser cette fonctionnalité pour copier des données parfois sensibles : numéros de téléphone, adresses, voire identifiants et mots de passe.

Sur les trente-trois applications à avoir été épinglées en train de fouiner dans les copier-coller des téléphones portables, TikTok s’est illustrée par l’originalité de la raison invoquée pour justifier cette pratique. En effet, un de ses porte-parole a expliqué au Telegraph que « cette fonction a été conçue pour identifier » le spam dans le but de prévenir l’invasion des commentaires répétitifs ou au contenu indésirable.

Ces justifications peuvent laisser dubitatif quand l’on observe la manière dont est combattu le spam par d’autres grands acteurs du Web. Sur la plate-forme de streaming Twitch, elle aussi très prisée par les jeunes internautes, il repose sur un petit programme, communément appelé « bot » (robot), qui va analyser le contenu du message avant de le rendre public. Si ce dernier contient un mot, symbole ou suite de caractères qui a été enregistrée comme indésirable par le modérateur qui a configuré le logiciel, alors il sera simplement bloqué et personne ne pourra le voir. De plus, le programme peut suspendre, temporairement ou définitivement, le droit de commenter des utilisateurs si la fréquence de leurs messages s’apparente à du spam.

Quid des données des mineurs ?

Les conditions d’utilisation de TikTok n’indiquent pas si les données des mineurs sont exploitées différemment de celles des adultes et, bien qu’il est spécifié que l’accès à la plate-forme soit interdit aux moins de 13 ans, rien ne les empêche de consulter les vidéos. De plus, il est clairement écrit dans les conditions d’utilisation que l’entreprise recueille « des informations (…) concernant [l’utilisateur] [s’il] télécharg[e] l’application et [est] actif sur la plate-forme sans créer de compte ».

Il n’est, en effet, pas nécessaire de s’inscrire pour consulter les vidéos sur l’application, mais dès que l’on cherche à poster un commentaire ou une vidéo, une page apparaît pour inviter l’utilisateur à créer un compte. Contrairement à beaucoup de sites, il n’est pas simplement demandé à la personne d’attester qu’il a bien l’âge minimum en cliquant sur « oui ». L’application requiert de rentrer sa date de naissance. Si celle-ci correspond à celle d’une personne de moins de 13 ans, il lui est ensuite impossible de créer un compte depuis l’application installée sur le téléphone, sans pour autant empêcher la consultation de vidéos et de générer des données.

TikTok a fait l’effort de mettre en place un système plus élaboré que la moyenne de contrôle parental

Bien que cette méthode soit possible à contourner, il est quand même important de souligner que TikTok a fait l’effort de mettre en place un système plus élaboré que la moyenne. De plus, la fonctionnalité « connexion famille », lancée en avril 2020, permet à un parent de lier le compte de son enfant au sien. Ce contrôle parental donne notamment la possibilité de restreindre la liste de ceux qui peuvent communiquer par messages privés avec la progéniture ou encore limiter le temps de visionnage par jour. Il est, en revanche, impossible pour le parent de contrôler les vidéos que publie l’enfant avant qu’elle ne soit rendue publique. Il n’a pas non plus le pouvoir de les supprimer a posteriori depuis son propre compte.

Un programme espion ?

L’application a été décortiquée par de nombreux internautes et chercheurs en cybersécurité, souvent avec l’espoir d’y trouver la preuve irréfutable que TikTok subtilise des données sensibles. Ce travail, qui peut être qualifié de rétro-ingénierie, a été effectué sur la version Android de l’application et met en lumière notamment la collecte d’informations comme le numéro IMEI (identifiant unique à chaque téléphone), la résolution de l’écran ou encore les données de géolocalisation ainsi que les noms des réseaux Wi-Fi à portée de l’appareil. Cependant, regarder dans les entrailles d’une application de cette manière ne donne qu’une vision très parcellaire de son fonctionnement, car toute une partie se déroule généralement sur les serveurs de son éditeur.

Ces données sont toutefois accessibles parce qu’Apple et Google les laissent à la merci des développeurs

La collecte de ce type de données est monnaie courante au sein des applications mobiles. Les développeurs utilisent notamment ces informations pour mieux connaître les appareils à travers lesquels se connectent leurs utilisateurs dans le but d’optimiser l’application pour ces derniers. Par ailleurs, elles peuvent également être utilisées à d’autres fins, comme, par exemple, connaître les déplacements quotidiens de l’usager ou bien encore savoir quand il change de téléphone portable. Lorsque ces informations sont couplées avec l’ensemble des autres données collectées, elles peuvent alors permettre de vendre des emplacements de publicité ciblée à prix d’or ou bien encore de les revendre à des entreprises tierces. Ces données sont toutefois accessibles parce qu’Apple et Google les laissent à la merci des développeurs.

Penetrum, une petite entreprise de cybersécurité américaine basé à Oklahoma City, s’est aussi penchée, par la rédaction d’un livre blanc, sur la sécurité de l’application Android de TikTok – dans une version 15.2.3 datée du 5 mars –, qui a connu depuis plusieurs mises à jour. Dans le compte rendu, les chercheurs en sécurité ont constaté que l’appli ne procède pas à suffisamment de vérifications pour s’assurer que les données personnelles transitent bien vers ses serveurs et non des usurpateurs. Elle note, par ailleurs, l’absence totale de chiffrement d’éléments cruciaux à la sécurité de l’application. Ce type de failles, s’il est exploité correctement, peut permettre à des acteurs malveillants de subtiliser des données privées présentes sur le téléphone.

Le document publié par Penetrum montre également que plusieurs des adresses IP présentes dans le code de TikTok sont localisées en Chine. Bien que les auteurs émettent diverses spéculations sur la raison de leur présence, ils ne présentent, cependant, aucune preuve concernant leur utilisation et si des données sont envoyées vers ces dernières.

Une application sous la férule du gouvernement chinois ?

En 2018, Pékin a fait fermer Neihan Duanzi, qui « ne correspond[aient] pas aux valeurs fondamentales du socialisme »

Une partie des suspicions pesant sur TikTok repose sur la nationalité chinoise de sa maison mère, ByteDance. En 2018, Pékin a fait fermer Neihan Duanzi, sa plate-forme de partage de contenu humoristique, en raison de la « vulgarité » de ses contenus qui « ne correspond[aient] pas aux valeurs fondamentales du socialisme ». En outre, l’application Jinri Toutiao a également été affectée par la vague de censure chinoise, contraignant Zhang Yiming, le PDG de ByteDance, à présenter des excuses publiques et à s’engager de soutenir plus activement l’idéologie du Parti communiste. Ces événements ont sans surprise renforcé les craintes que TikTok ne soit sous le joug de l’appareil étatique chinois.

Les dirigeants de ByteDance ont pris la décision, dès le rachat de l’application concurrente Musical.ly et sa fusion avec TikTok en 2016, de maintenir une structure basée aux Etats-Unis, indépendante de sa version chinoise Douyin. La modération est également effectuée depuis des bureaux situés à Los Angeles, Dublin, Singapour, etc., dans le but de ne pas être accusé d’être un programme d’espionnage et de déstabilisation diligenté par Pékin.

Pour affirmer cette séparation, TikTok a, début juillet, emboîté le pas de grandes entreprises de la tech occidentale dans la suspension de leurs services à Hongkong en raison de la nouvelle loi sur la sécurité nationale imposée par la Chine. Cette séparation n’est, par ailleurs, pas aussi franche que les services de communication de TikTok le font paraître. En effet, les conditions d’utilisation du réseau social précisent que les données de ses utilisateurs peuvent être partagées avec les « autres membres, filiales, ou sociétés affiliées [du] groupe » et, par conséquent, transférées vers la Chine.