TikTok Ireland et TikTok UK ont écopé chacun d’une amende de 2,5 millions d’euros pour le manque d’information sur les cookies utilisés sur le site du service et l’asymétrie dans la présentation entre la possibilité de les accepter et la possibilité de les accepter. Cette sanction par la CNIL s’ajoute aux différents déboires actuels du réseau social en Europe.
Alors que le PDG de la multinationale, Shou Zi Chew, est venu à Bruxelles en début de semaine pour calmer les inquiétudes européennes, la CNIL vient d’infliger sa plus grosse amende en Europe à TikTok.
L’audience du 29 décembre [PDF] a été publiée jeudi. Celui-ci décrit les différentes vérifications de la CNIL ayant conduit à cette décision. La sanction n’est pas aussi élevée qu’elle aurait pu l’être – la CNIL aurait pu aller jusqu’à 10 millions d’euros soit 2% du chiffre d’affaires annuel mondial – mais elle marque néanmoins un premier avertissement sérieux pour le réseau social le plus populaire chez les jeunes en journée.
Cependant, il n’est pas de la même hauteur que ceux récemment infligés à Microsoft, Google et Facebook. L’autorité administrative rappelle à l’issue de son traitement que sa décision peut faire l’objet d’un recours devant le Conseil d’Etat jusqu’à fin avril.
Refus complexe de cookies « non essentiels »
La sanction de TikTok s’explique notamment parce que la CNIL a constaté que le bandeau concernant les cookies sur son site internet n’offrait pas à l’internaute « facilement et en un seul clic » un moyen de refuser le dépôt de cookies non essentiels. Ceci pourrez vous intéresser : Pouvons-nous choisir un nom de domaine pour représenter notre site ?. . La CNIL précise qu’au moins trois actions (un premier clic sur « Gérer les paramètres », puis un clic sur « Ouvrir les paramètres des cookies » et un clic sur « Enregistrer ») doivent être effectuées pour ce faire.
Ce n’est que le 28 février 2022 que TikTok a ajouté un bouton « Rejeter tout » à sa bannière… ainsi qu’un message mal formulé « Vous pouvez gérer les cookies à tout moment », qui a depuis été corrigé le 15 juillet 2022 après un nouveau contrôle de la CNIL.
TikTok a expliqué à l’autorité que son site « ne s’appuyait pas sur le consentement implicite de ses utilisateurs pour l’utilisation de cookies non essentiels et qu’aucun cookie non essentiel n’était placé sur les terminaux des utilisateurs avant qu’ils ne cliquent sur le bouton ‘Accepter tout' » Mais la CNIL note que cette information n’a pas été fournie dans le bandeau relatif aux cookies et que le silence de l’utilisateur ne pourra valoir un refus que s’il a été parfaitement informé.
La CNIL estime que l’utilisateur « n’avait pas la possibilité de refuser des opérations de lecture et/ou d’écriture avec le même degré de simplicité qu’il devait les accepter », ce qui, selon elle, est contraire au considérant 42 du RGPD, qui stipule que « le consentement ne doit pas être considéré comme donné librement si la personne concernée ne dispose pas d’une réelle liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.
Trois cookies imposés par le site sans information préalable
Suite à ces vérifications, la CNIL a également constaté que le site TikTok déposait plusieurs cookies, dont ceux nommés « tt_webid », « tt_webid_v2 » et « ttwid ». Ils étaient présents dès leur arrivée sur le site, après avoir navigué sans accepter les cookies, après avoir explicitement refusé les cookies et après avoir retiré leur consentement. Sur le même sujet : L’impact de l’accessibilité aux technologies pour les personnes handicapées.
TikTok a expliqué à l’autorité qu’il utilise ces cookies à des fins de « sécurité et de détection des fraudes (c’est-à-dire pour identifier les bots) », « limiter la fréquence d’affichage des plus populaires sur la plateforme », test pour comparer deux versions d’un même page et anti-spam.
Cette dernière fonctionnalité a d’ailleurs fait l’objet d’une discussion entre l’entreprise et l’autorité, puisque TikTok avait d’abord évoqué « la limitation de la fréquence des publicités diffusées sur la plateforme ». La CNIL a donc réagi en qualifiant ces cookies de gestion publicitaire comportementale, mais TikTok s’est corrigé, arguant « d’une erreur involontaire commise lors de la rédaction de la réponse due à une mauvaise communication interne ». Elle a finalement expliqué à l’autorité que cette fonctionnalité était davantage une question de lutte contre le spam.
La CNIL a, « en l’absence de doctrine stabilisée dans l’Etat » sur certaines de ces fonctions, préféré ne retenir aucune infraction liée à la nécessité d’obtenir le consentement.
Contestations de TikTok
Si, selon la CNIL, l’entreprise a elle-même coopéré lors des différents contrôles, TikTok a contesté devant l’autorité le montant des amendes, les qualifiant de « disproportionnées et injustifiées par rapport aux circonstances de l’affaire et à la nature des infractions alléguées ». . L’entreprise s’est même aventurée à expliquer qu’un rappel à l’ordre suffirait. Ceci pourrez vous intéresser : Amazon Prime Day 2022 : Plus que quelques heures pour en profiter, voici la sélection des meilleures offres encore en stock !.
L’entreprise a également demandé que cette décision ne soit pas rendue publique. L’autorité en a décidé autrement « au vu de la gravité des violations en cause, de l’étendue du traitement et du nombre de personnes concernées ». La CNIL insiste dans sa considération que 38% des utilisateurs de TikTok ont entre 13 et 17 ans. Comme c’est très souvent le cas, cette considération n’identifiera plus nominativement les différentes sociétés du groupe à l’issue d’un délai de deux ans après la publication.
Cette première décision est peut-être le début d’une longue série d’accusations contre TikTok en Europe. En novembre dernier, Ursula von der Leyen confirmait que plusieurs procédures visaient à assurer la conformité de TikTok au RGPD.