« Le transfert massif de données vers la Chine est désormais une certitude. Les messages interceptés sont clairs », affirme Claude Malhuret, rapporteur de la commission d’enquête en ouverture de l’audition. Visiblement peu rassuré sur la capacité européenne à contraindre TikTok au respect des règles les plus exigeantes en matière de services numériques, Claude Malhuret s’inquiète de la situation qui pourrait survenir après l’entrée en vigueur du règlement sur les services numériques, le 25 août. Une préoccupation légitime lorsque l’on sait que TikTok présente des difficultés à se mettre en conformité avec le règlement général sur la protection des données (RGPD). Pourtant, le ministre de la transition numérique le répète : « TikTok est soumis aux lois européennes et françaises. Le cadre dont nous disposons est celui du RGPD ».
« Le modèle européen de protection des données n’est pas une faveur que nous demandons mais une exigence »
« Le RGPD est un standard qui n’est pas encore pleinement respecté par TikTok », concède Jean-Noël Barrot tout en désirant afficher une certaine fermeté en rappelant que ces dispositions n’étaient pas des engagements volontaires. « Le modèle européen de protection des données n’est pas une faveur que nous demandons mais une exigence ». Sur la question du traitement et de la protection des données, « TikTok doit traiter les données des Européens en Europe », martèle Jean-Noël Barrot. Traiter les données au sein de l’Union européenne permet notamment de s’assurer de l’effectivité du droit européen et d’éviter de tomber sous le coup de loi extraterritoriale comme la loi chinoise. En effet, l’opposabilité du RGPD peut facilement être mise en échec par des lois extraterritoriales comme le « Cloud act » américain de 2018 ou une loi chinoise de 2017 imposant aux ressortissants chinois de fournir toutes les informations jugées nécessaires par les services de renseignement.
Afin de rassurer, « des promesses ont été faites [par TikTok], des engagements ont été pris notamment en faisant les investissements dans des centres de données européens », affirme Jean-Noël Barrot évoquant notamment des réunions sur le sujet avec Erich Andersen, vice-président de Bytedance, maison mère de TikTok. Des promesses qui doivent se traduire par la mise en œuvre du « projet Clover » visant la construction de centres de données en Europe, notamment en Irlande et en Norvège. Avec « un investissement annuel de 1,2 milliard d’euros », le projet Clover doit permettre « une réduction de l’accès aux données des Européens grâce à un contrôle externe de l’accès aux données, vérifiés par un partenaire européen tiers ». Déjà évoqué devant la commission d’enquête, le projet n’avait pas suffi à convaincre les sénateurs toujours soucieux de l’existence de liens entre TikTok et la Chine. « La France est fermement résolue à ce que les engagements de TikTok dans le cadre de son projet Clover soient conformes aux valeurs défendues » par la législation européenne.
TikTok soumis aux règles du DSA le 25 août ?
Conscient que « le problème du RGPD est celui de la mise en œuvre », Claude Malhuret s’est inquiété d’un contrôle de la mise en œuvre du DSA qui se ferait à l’échelle de l’Etat d’installation. « Est-ce que vous avez les moyens d’être intransigeant ? », s’interroge le rapporteur. Jean-Noël Barrot s’est voulu rassurant, expliquant que « l’application du DSA va éviter cet écueil et rester entre les mains de la Commission européenne ». Une mesure déterminante puisque, contrairement au RGPD où l’équivalent de la Cnil de l’Etat d’installation est compétente, la Commission européenne pourra directement vérifier le respect du DSA. Le règlement sur les services numériques impose notamment le contrôle, par l’exécutif européen, pour les obligations relatives à « l’atténuation et la réduction des risques ». Dans ce cadre, les plateformes devront, chaque année, effectuer un audit indépendant de réduction des risques ou encore fournir les algorithmes de leurs interfaces. « Sur le principe, le règlement sur les services numériques peut nous éviter l’hétérogénéité », confirme Jean-Noël Barrot.
« Quelle est la position du gouvernement français sur le contrôle d’âge et sa très probable inadéquation avec le DSA ? »
« Quelle est la position du gouvernement français sur le contrôle d’âge et sa très probable inadéquation avec le DSA ? », demande Claude Malhuret, manifestement incrédule sur la capacité de TikTok à se mettre en conformité avec les règles européennes d’ici le 25 août et l’entrée en vigueur du règlement sur les services numériques. Pour mémoire, TikTok est interdit aux mineurs âgés de moins de treize ans bien que « 90 % des jeunes de 11 à 12 ans soient sur TikTok », reconnaît Jean-Noël Barrot. En creux, Claude Malhuret cherchait à savoir si la Commission européenne serait capable de prendre les sanctions, qui peuvent aller d’une amende calculée en fonction du chiffre d’affaires à l’exclusion du marché européen, en cas de non-respect du DSA. Néanmoins, « le DSA n’impose pas explicitement la vérification de l’âge, il l’évoque comme un des moyens de réduction du risque systémique que la plateforme fait peser », précise Jean-Noël Barrot.
Malgré cette limite, le ministre délégué a défendu la possibilité pour les Etats membres d’avoir des exigences plus contraignantes que celles du DSA, notamment sur le sujet du contrôle d’âge. Un cas de figure envisageable si la disposition supplémentaire ne rentre pas en contradiction avec le DSA et si la Commission européenne est notifiée en amont. « C’est pour cette raison que le gouvernement a défendu la proposition de loi sur la majorité numérique », explique Jean-Noël Barrot avant de rentrer dans le détail. « La proposition de loi sur la majorité numérique n’empiétait pas sur le règlement sur les services numériques au sens où le règlement régit le contenu des applications, mais ne régit pas les conditions d’inscription, il était donc possible de légiférer en droit français. » En tout état de cause « la Commission européenne pourra demander des comptes » en cas de non-respect du DSA.