Données personnelles des enfants : TikTok condamné à 345 millions € d’amende pour violation du RGPD
Ce qu'il faut retenir
TikTok a été condamné par la DPC irlandaise à une amende de 345
millions d’euros pour violation du RGPD concernant les données de
mineurs.
Le 1er septembre 2023, la société TikTok Technology Ltd, exploitant de l’application de partage de vidéos TikTok, et filiale de la société chinoise ByteDance a été condamnée à une amende de 345 millions d’euros par la Data Protection Commission (DPC), l’autorité de contrôle irlandaise, équivalente de la CNIL. (1)
Cette décision fait suite à une enquête de la DPC ouverte en septembre 2021 portant sur la période de juillet à décembre 2020. La DPC a relevé plusieurs violations, par la société TikTok, du Règlement général sur la protection des données (RGPD) concernant les données de mineurs.
La décision de la DPC sanctionne principalement deux manquements au RGPD :
- Les comptes créés par les utilisateurs, y compris les jeunes âgés entre 13 et 17 ans, étaient publics par défaut. Cela signifie que les vidéos mises en ligne et les commentaires notamment, étaient visibles par toute personne, inscrite ou non sur TikTok. Par ailleurs, des enfants de moins de 13 ans ont pu s’inscrire sur TikTok, sans consentement parental, en violation du RGPD. (2)
- La fonctionnalité “Family Pairing” (Connexion Famille), permettant à un parent, également inscrit sur TikTok, de lier son compte à celui de son enfant afin d’avoir un droit de regard sur ses messages privés et le temps passé sur l’application, n’était pas associée à la vérification que le compte parent correspond effectivement à un parent ou tuteur de l’enfant.
Par ailleurs, selon la DPC, TikTok utilisait des “dark patterns” pour inciter les utilisateurs à sélectionner des options plus intrusives lors de leur inscription et au moment de mettre des vidéos en ligne, en violation des principes de licéité, loyauté et transparence. (3)
TikTok dispose d’un délai de trois mois pour se mettre en conformité.
Cette décision de l’autorité irlandaise de la protection des données fait suite à une décision rendue par l’Information Commissioner’s Office (ICO), l’autorité de protection des données britannique, à l’encontre de la société TikTok le 4 avril 2023, concernant également les données personnelles de mineurs. Dans cette affaire, l’ICO avait relevé qu’au Royaume-Uni, plus d’un million d’enfants de moins de 13 ans étaient inscrits sur TikTok en 2020, en violation de ses conditions d’utilisation et sans l’accord parental, tel que requis par la loi britannique sur la protection des données. La société TikTok avait été condamnée à une amende de 12,7 millions de livres. (4)
(1) In the matter of TikTok Technology Ltd - Decision of the Data Protection Commission made pursuant to section 111 of the Data Protection Act, 2018 and articles 60 and 65 of the General Data Protection Regulation, 1st September 2023
(2) Voir art. 8 RGPD. En France, l’âge en dessous duquel le consentement parental est requis pour une inscription sur internet est de 15 ans.
(3) Les “dark patterns” sont des interfaces conçues pour tromper ou manipuler les utilisateurs.
(4) ICO fines TikTok £12.7 million for misusing children’s data, 4th April 2023
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Septembre 2023