TikTok Condamné par l'Autorité Britannique pour Collecte Illégale de Données de Mineurs

L’équivalent britannique de la CNIL a condamné en avril dernier l’application TikTok à une amende de 12,7 millions de livres – un peu moins de 15 millions d’euros – pour avoir collecté et utilisé les données personnelles de mineurs de moins de treize ans sans avoir préalablement recueilli le consentement des parents.

Suite à la sortie de l’Union Européenne, le RGPD a cessé d’avoir un effet direct sur le sol britannique. Compte tenu de l’importance de cette question, le Royaume-Uni a adopté sa propre réglementation, très proche du texte européen, appelée UK-GDPR. Le 28 juin 2021, la Commission européenne a adopté deux décisions confirmant l’adéquation du cadre juridique britannique par rapport au RGPD et à la directive sur la protection des données dans le secteur répressif. Cependant, le 9 mars dernier, le gouvernement britannique a annoncé un projet de réforme visant à assouplir les règles de collecte et de traitement des données personnelles. Le cadre actuel est donc susceptible de changer.

Selon la loi actuelle en Angleterre, l’âge de la majorité numérique est fixé à treize ans. Avant cet âge, les informations personnelles des mineurs ne peuvent être collectées et traitées sans consentement parental. Une enquête menée par l’autorité de régulation anglaise entre mai 2018 et juillet 2020 à l’encontre de TikTok a révélé une série de violations.

Le réseau social est accusé d’avoir autorisé l’accès à des enfants de moins de treize ans sans obtenir de consentement parental. Cependant, les griefs envers l’application ne se limitent pas à cela. TikTok est également critiqué pour ne pas avoir géré les données des utilisateurs de manière licite, équitable et transparente, et pour ne pas avoir respecté son devoir d’information. Plus précisément, lorsqu’il s’agit d’enfants, on attend du responsable du traitement qu’il fournisse des informations appropriées, claires et facilement compréhensibles sur la collecte et l’utilisation des données. Toutefois, cette information n’a pas été fournie par le réseau social. En outre, le premier avis de l’ICO, publié en septembre 2022, signalait une violation supplémentaire, à savoir la collecte et le traitement de données sensibles (par exemple, concernant l’origine ethnique, les opinions politiques, les croyances religieuses, l’orientation sexuelle et les données de santé). Cependant, la décision de l’ICO n’a finalement pas retenu cette violation.

Liens utiles

En savoir plus

Qu'est-ce que l'ICO ?

L’ICO (Information Commissioner’s Office) est l’autorité de régulation britannique en matière de protection des données et de la vie privée. Elle est responsable de la supervision et de l’application des lois sur la protection des données, telles que l’UK-GDPR, et veille à ce que les organisations respectent les règles en matière de confidentialité et de traitement des informations personnelles. L’ICO a également pour mission d’informer et de conseiller les organisations et les citoyens sur leurs droits et responsabilités en matière de protection des données.

Est-ce que le RGPD s'applique au Royaume Uni ?

Suite au Brexit, le RGPD européen ne s’applique plus directement au Royaume-Uni. Cependant, le Royaume-Uni a adopté sa propre version du RGPD, appelée UK-GDPR (United Kingdom General Data Protection Regulation). L’UK-GDPR est très similaire au RGPD européen et vise à assurer un niveau équivalent de protection des données personnelles pour les citoyens britanniques. Ainsi, bien que le RGPD européen ne s’applique plus directement, les règles en matière de protection des données au Royaume-Uni restent étroitement alignées sur celles de l’Union européenne.