Les avocats de TikTok alertent depuis longtemps sur les risques de non-conformité aux lois sur les données

Les experts internes en matière de protection de la vie privée expriment depuis longtemps leurs préoccupations quant à l’absence de politique de conservation des documents au sein de l’entreprise. Ils craignent que cela ne viole les lois américaines et européennes. Aujourd’hui, la société mère de TikTok ne semble toujours pas avoir adopté de telle politique.

Un article de Emily Baket-White pour Forbes US – traduit par Lisa Deleforterie

Sept employés (actuels et anciens) de ByteDance, ainsi que des centaines de documents internes et de journaux de discussion examinés par Forbes, suggèrent que la société mère de TikTok pourrait avoir enfreint des lois aux États-Unis et dans l’Union européenne en raison de l’absence d’une politique de conservation des documents internes.

Les documents internes révèlent que les experts juridiques et politiques de TikTok ont clairement averti les dirigeants, y compris le responsable mondial de la sécurité, Kim Albarella, que l’absence de politique de gestion des enregistrements internes chez ByteDance pourrait compromettre sa capacité à opérer aux États-Unis et dans l’Union européenne.

Dans un document du printemps 2023, un expert interne en politique de protection de la vie privée exprime son soulagement et sa satisfaction quant au fait que les régulateurs n’aient pas encore détecté le non-respect de l’entreprise vis-à-vis des normes de conformité.

Les employés s’inquiètent du fait que l’entreprise pourrait ne pas être en conformité avec la loi américaine sur la Federal Trade Commission (Commission fédérale du commerce) et le règlement général sur la protection des données (RGPD) de l’UE. Les règles relatives à la conservation et à la suppression des documents de l’entreprise, bien qu’apparemment banales, sont essentielles car elles empêchent les entreprises d’effacer les preuves d’actes répréhensibles de leurs documents et protègent la vie privée des personnes dont les informations sont stockées dans les documents de l’entreprise.

Les risques liés à l’absence de politique de conservation des données

Les sept sources ont déclaré à Forbes que ByteDance n’avait pas de politique de ce type depuis des années, un oubli qui pourrait avoir des conséquences désastreuses pour une entreprise qui fait déjà l’objet d’une enquête du gouvernement américain et qui a été soumise à un examen minutieux au niveau mondial pour ses pratiques en matière de protection de la vie privée. Certains craignent que cela ne mette en péril l’activité de commerce électronique en plein essor de la société, centrée sur TikTok Shop, qui a été lancée aux États-Unis en septembre dernier et qui vise un chiffre d’affaires de 17,5 milliards de dollars (16,2 milliards d’euros) cette année.

Dans des communications consultées par Forbes, des employés ont expliqué que l’absence de politique de conservation des documents mettait l’entreprise en porte-à-faux avec la norme de sécurité des données de l’industrie internationale des cartes de paiement (PCI DSS), ce qui – si cela avait été découvert – aurait pu interrompre complètement sa capacité à traiter les transactions par carte de crédit. Un document datant de fin 2022 indique que TikTok Live a été « lancé sans tenir compte de la conformité à la norme PCI ».

La préservation des documents de l’entreprise – et l’accessibilité de ces documents par les représentants du gouvernement américain – est un enjeu majeur pour TikTok.

Les documents internes examinés par Forbes, dont beaucoup sont protégés par le secret professionnel, révèlent un empressement pour élaborer et mettre en place une politique provisoire pour les données spécifiques aux cartes de crédit au début de l’année 2023, afin de garantir la conformité de l’entreprise aux exigences. Cependant, en mars 2023, Mme Albarella a demandé à son équipe de ne pas hâter la mise en place d’une politique dédiée aux données des détenteurs de cartes. Comme le montrent les documents, elle a plutôt suggéré d’élaborer et de lancer une politique globale. Le problème : son personnel a déclaré que ce processus prendrait un à deux ans pour être opérationnel, et entre-temps, l’entreprise n’était toujours pas en conformité, selon les documents.

TikTok conteste les allégations et affirme l’obsolescence des documents

En réponse à une liste détaillée de questions sur les documents internes, le porte-parole de TikTok, Alex Haurek, a envoyé la déclaration suivante : « Nous pensons que ces affirmations sont basées sur des documents obsolètes, qui ont été principalement préparés par des employés qui ne font plus partie de l’entreprise, qui n’ont pas eu connaissance de l’ensemble de notre travail dans ce domaine, et qui ont une idée derrière la tête, sans tenir compte des faits ». Il a déclaré que le délai de 1 à 2 ans était « tiré d’un document préparé par un seul ancien employé et qu’il n’avait pas été validé ».

En réponse au document interne sur la conformité PCI de TikTok Live, M. Haurek a écrit : « Cette déclaration non autorisée ne reflète pas exactement le statut de conformité PCI de ces produits. Elle a été introduite dans le rapport – après l’examen final – par un employé qui a depuis quitté l’entreprise ». Mike Hughes, porte-parole de ByteDance, a ajouté : « Nous suivons les normes de l’industrie pour les applications soumises aux normes PCI ». Lorsque Forbes lui a demandé directement si ByteDance était aujourd’hui en conformité avec la loi FTC et le RGPD, M. Hughes a écrit : « Nous nous efforçons continuellement de respecter nos obligations légales liées à la gestion des données ».

Aucun des deux porte-parole n’a répondu aux questions concernant le ou les pays dans lesquels leurs dossiers d’entreprise étaient stockés.

Hillary Sale, professeure de leadership et de gouvernance d’entreprise à la Georgetown Law School, a déclaré à Forbes que toute entreprise de la taille de TikTok devrait avoir une politique de conservation, considérant cela comme un système essentiel à la croissance de chaque start-up. « Les entreprises devraient être conscientes du moment et de la manière de conserver les documents, et veiller à ce que les membres de l’équipe comprennent l’importance de cette démarche », a-t-elle déclaré lors d’une interview accordée à Forbes.

La préservation des documents d’entreprise – et l’accessibilité de ces documents par les fonctionnaires du gouvernement américain – est un enjeu majeur pour TikTok, qui est au cœur de négociations pluriannuelles avec le Comité pour l’investissement étranger aux États-Unis. L’année dernière, le gouvernement Biden a menacé de forcer ByteDance à vendre TikTok sous peine d’interdiction de l’application aux États-Unis.

On ne sait toujours pas si une politique de conservation spécifique à TikTok a été mise en place.

Le réseau social fait également l’objet d’une enquête criminelle du département de la Justice des États-Unis pour avoir surveillé des journalistes, et a reçu une citation à comparaître pour des documents liés à cette enquête à la fin de l’année dernière. Auparavant, Forbes a rapporté que les experts anti-fraude de ByteDance avaient averti l’ entreprise qu’elle était incapable de garantir l’exactitude de ses réponses aux demandes des forces de l’ordre, telles que les citations à comparaître, en partie à cause de ses pratiques irrégulières en matière de conservation des données. À l’époque, l’entreprise avait déclaré : « Ce document a été créé au sein d’un département il y a près de deux ans, n’a jamais été présenté en interne, et est largement erroné, avec des détails obsolètes devenus non pertinents en raison des mises à jour régulières de nos pratiques au cours des années qui ont suivi ».

À l’automne 2022, un avocat de TikTok a informé ses collègues qu’il travaillait avec une équipe produit sur une fonction de découverte électronique qui permettrait à l’entreprise de mieux répondre aux demandes de documents de l’entreprise, mais il les a averti que le processus serait long, selon des documents examinés par Forbes. À l’époque, la responsabilité d’élaborer une politique avait été confiée à l’équipe de TikTok chargée de la défense des données et de l’assurance de l’accès, mais cette équipe l’a dépriorisée en faveur d’une tâche plus urgente. Le projet a alors été confié à des experts en conformité des données au sein de la Global Security Organization (GSO) de l’entreprise.

Toujours en 2022, ByteDance a fait appel à Redgrave LLP, un cabinet spécialisé dans la gouvernance de l’information d’entreprise, pour l’aider à élaborer une politique de conservation des documents. L’une des premières questions soulevées par les avocats externes était de savoir si la politique devait être rédigée de manière à couvrir uniquement TikTok ou l’ensemble de ByteDance. Dans une conversation datant de la mi-2022, l’ancien responsable mondial de la conformité en matière de sécurité de TikTok a dit à Mme Albarella que la politique devait s’appliquer à l’ensemble de ByteDance, car « le système interne de ByteDance ne peut pas être dissocié entre les produits ».

Des projets de politique rédigés par les avocats de Redgrave au début de l’année 2023 montrent qu’ils envisageaient initialement de couvrir tous les documents internes de ByteDance, mais ont ensuite restreint la portée pour se concentrer uniquement sur les documents appartenant à TikTok. (Redgrave n’a pas répondu à une demande de commentaire.)

Pourtant, il n’est pas certain qu’une politique de conservation des données propre à TikTok ait été mise en place. Forbes a demandé à TikTok et à ByteDance s’ils disposaient aujourd’hui de politiques de conservation des données complètes et appliquées.

« Comme toute entreprise, nous conservons des enregistrements pour répondre aux obligations légales », a répondu M. Hughes. M. Haurek a quant à lui ajouté : « Nous avons mis en place des politiques et des procédures qui régissent la conservation des informations personnelles des utilisateurs de TikTok ».

Ni l’un ni l’autre n’a répondu à une question complémentaire demandant de préciser si TikTok et ByteDance ont aujourd’hui des politiques de conservation des documents d’entreprise.

À lire également : ByteDance, la société mère de TikTok, se lance dans la biologie, la chimie et la pharmacie