Comment TikTok remplit-il ses engagements en matière de protection des données aux États-Unis ?

J'ai du mal à tenir ma promesse.

Les dirigeants de TikTok se sont engagés publiquement à protéger volontairement les données des utilisateurs américains et ont invité des ingénieurs et des tiers à certifier que les algorithmes de l'application diffusent du contenu sans interférence de la Chine, où est basée la société mère ByteDance. Jusqu'à présent, TikTok a eu du mal à tenir ces promesses.

TikTok a créé une unité spéciale indépendante, baptisée Projet Texas, chargée de surveiller les recommandations de contenu et de données aux États-Unis sur son application. Selon des employés actuels et anciens de TikTok, ainsi que des documents internes consultés par le Wall Street Journal, les responsables ont parfois demandé à leurs employés de partager des données avec des collègues d'autres services de l'entreprise et avec des employés de ByteDance, sans passer par les voies officielles. Ces données incluaient parfois des informations personnelles telles que les adresses électroniques, les dates de naissance et les adresses IP des utilisateurs.

Pendant ce temps, les employés de ByteDance en Chine mettent à jour l'algorithme de TikTok si fréquemment que les employés du projet Texas ont du mal à tester chaque modification et craignent de ne pas détecter les problèmes s'ils le font.

TikTok a promis de fournir aux employés du projet Texas des ordinateurs portables et des logiciels appartenant à sa propre filiale plutôt qu'à ByteDance, mais pour beaucoup d'entre eux, les nouveaux appareils tardent à arriver. Certains employés craignent que le matériel et les outils appartenant à ByteDance ne soient pas sécurisés.

Les difficultés rencontrées par TikTok au sein de son unité Project Texas illustrent le défi auquel l'entreprise est confrontée pour protéger les données américaines sur une application de médias sociaux mondiale.

Les responsables du projet Texas ont promis des changements. Dans une note interne consultée par le Wall Street Journal en décembre, ils ont informé les employés de leur intention de déployer de nouveaux outils pour le partage de données et la communication entre collègues. Ils leur ont également rappelé les règles relatives au partage de données.

Un porte-parole de TikTok a déclaré que l'algorithme américain de l'application est hébergé chez son partenaire américain, Oracle. Il est entraîné sur les données des utilisateurs américains et supervisé par le personnel d'une unité officiellement appelée TikTok US Data Security, ou USDS. « Au cours de l'année écoulée, nous avons pris la décision sans précédent d'accorder à Oracle un accès complet à notre code source et à nos algorithmes », a précisé le porte-parole.

Les problèmes liés au traitement des données constituent la dernière source d'inquiétude pour les employés de TikTok, dont certains craignent que le géant des réseaux sociaux ne respecte pas son engagement à protéger les utilisateurs américains. Des employés de TikTok avaient déjà dénoncé le suivi par TikTok des utilisateurs ayant consulté du contenu homosexuel, ainsi que la nomination de plusieurs cadres dirigeants du siège de ByteDance à Pékin à des postes clés chez TikTok aux États-Unis.

Projet Texas - un projet ambitieux

TikTok a lancé le projet Texas pour apaiser les législateurs américains préoccupés par ses liens avec le gouvernement chinois et instaurer un climat de confiance avec ses plus de 150 millions d'utilisateurs américains.

TikTok est en pourparlers depuis plusieurs années avec le Comité sur les investissements étrangers aux États-Unis (CFIUS), un comité exécutif, afin de déterminer si l'application peut rester sur le territoire américain, mais aucun accord n'a encore été trouvé. TikTok a affirmé à plusieurs reprises ne pas partager de données avec le gouvernement chinois.

Le projet Texas est un défi de taille : TikTok doit séparer les données des utilisateurs américains du reste de l’entreprise afin que les contenus et les recommandations de données destinés aux États-Unis restent hors de portée de Pékin. Les données américaines ne quitteront cette unité que dans de rares cas et sous forme agrégée.

TikTok a lancé une campagne pour présenter le projet Texas aux législateurs, aux organisations de la société civile et aux utilisateurs. L'entreprise a publié une vidéo sur le projet Texas, avec des animations et une musique entraînante, destinée aux jeunes.

Le PDG de TikTok, Shou Zi Chew, a également vanté ce projet lors d'une audition au Congrès en mars 2023. « En résumé, il s'agit de données américaines, stockées sur le sol américain par une entreprise américaine et supervisées par du personnel américain », a déclaré M. Chew. Plus récemment, grâce à des victoires juridiques et au lobbying des soutiens américains de TikTok, la pression exercée sur l'entreprise par Washington s'est atténuée.

TikTok a commencé à travailler sur le projet Texas début 2021 et a cessé de collecter les données des utilisateurs américains début 2023. Dans les mois précédant le témoignage de Chew à Washington, TikTok a imposé une séparation stricte entre cette unité, qui compte environ 2 000 employés, et le reste de TikTok.

Les employés de Project Texas ne sont autorisés à partager des données utilisateur en dehors de leur unité que si ces données sont agrégées et essentielles au fonctionnement de l'application TikTok, et ils ne peuvent pas enregistrer de données utilisateur sur leurs propres ordinateurs.

Cette situation a placé de nombreux membres de l'équipe du Texas Project dans une position délicate : ils dépendaient d'outils qui ne fonctionnaient qu'avec des données téléchargeables sur leurs ordinateurs. Sans possibilité de sauvegarder ces données, ils ne pouvaient pas effectuer leur travail.

D'après des personnes au fait des discussions, certains employés ont fait part de ces inquiétudes à leurs responsables. Ils craignaient qu'en interrompant leur travail, l'entreprise ne les place sous un plan d'amélioration des performances. Or, poursuivre leur activité professionnelle constituerait une infraction au règlement.

Renforcement supplémentaire de la sécurité des données

L'application TikTok fonctionne dans le monde entier, sauf en Chine, où ByteDance propose une version différente. L'algorithme qui la fait fonctionner est développé par ByteDance à Pékin.

D'après des sources proches de TikTok, des responsables de l'unité ont indiqué en interne qu'ils devaient parfois partager des données américaines protégées avec ByteDance pour l'entraînement des algorithmes ou avec des employés extérieurs au Projet Texas. Parallèlement, les employés du Projet Texas chargés d'examiner le logiciel de TikTok ont ​​pour consigne de vérifier le code source afin de déceler toute trace d'ingérence chinoise avant d'autoriser les mises à jour.

Les employés du projet Texas se sont rapidement retrouvés face à une montagne de code à examiner chaque matin. Sous la pression de l'urgence, la tâche s'est avérée impossible sans renforts, selon des sources proches du dossier. Parallèlement, l'algorithme de TikTok intégrait de plus en plus de mises à jour que l'équipe du projet Texas n'avait pas encore analysées.

TikTok a déclaré qu'Oracle, entreprise basée au Texas et à l'origine du nom de l'unité, surveille toutes les données sortant du Projet Texas et examine chaque ligne de code des algorithmes de l'application afin de détecter toute modification suspecte. Cependant, selon des sources proches du dossier, Oracle ne surveille pas les données que les employés échangent entre eux via la messagerie interne de TikTok.

Dans une note de service adressée aux employés en décembre, les responsables du projet Texas ont indiqué qu'ils prévoyaient de lancer une version spéciale du système de messagerie interne de ByteDance réservée aux employés, ce qui, espéraient-ils, empêcherait ByteDance d'accéder aux données du projet Texas.

Nguyen Khanh (selon le Wall Street Journal)