Avec ses 1 milliard d’utilisateurs actifs dans le monde, TikTok est la première plate-forme de médias sociaux chinoise à être utilisée dans le monde entier. C’est la star incontestée des réseaux sociaux depuis 1 an. L’application de vidéos courtes continue sa progression et ne cesse de rallier de nouveaux utilisateurs au grand dam de Youtube. Mais comment TikTok traite la vie privée de ses utilisateurs ?

Selon un article de Felix Krause, chercheur spécialisé dans la protection de la vie privée, paru dans iOS Privacy review, le navigateur intégré à TikTok peut suivre chaque bouton ou lien sur lequel vous appuyez et chaque touche que vous tapez. Cela va au-delà de la collecte de données standard à laquelle nous sommes malheureusement habitués de la part des applications de médias sociaux en cette ère du big data.

L’idée que l’une des plus grandes plateformes de médias sociaux au monde ait la capacité de surveiller et d’enregistrer chaque chose que vous tapez fait un peu froid dans le dos.

Vous devez éviter les navigateurs in-app (mais vraiment !)

Le suivi omniprésent est malheureusement la norme dans de nombreux navigateurs in-app. Lors d’un examen antérieur des navigateurs iOS in-app de Facebook et Instagram, M. Krause a découvert les firmes insèrent du code JavaScript dans les sites web que vous visitez, ce qui leur permet de créer des commandes qui alertent de toute votre activité. Grâce à ce code injecté, ces navigateurs peuvent suivre « chaque bouton et lien tapé, les sélections de texte, les captures d’écran, ainsi que toute saisie de formulaire, comme les mots de passe, les adresses et les numéros de carte de crédit », selon M. Krause.

N’oubliez pas que ces applications vous permettent au moins d’ouvrir des liens en utilisant votre navigateur par défaut.

Le navigateur in-app de TikTok va encore plus loin. Il insère un code JavasScript pour suivre toutes vos interactions avec des sites et services, tout comme Facebook et Instagram, mais il peut également suivre vos frappes individuelles qui n’ont rien à voir avec l’application elle même.

Et contrairement à Instagram et Facebook, TikTok ne vous donne pas la possibilité d’ouvrir les liens à l’aide de votre navigateur par défaut. Si vous suivez un lien dans TikTok, vous devez utiliser son navigateur in-app (ou copier le lien et le coller dans votre navigateur par défaut).

Que dit TikTok à propos de l’enregistrement des frappes au clavier ?

TikTok a confirmé l’existence des fonctionnalités découvertes par M. Krause, mais a précisé qu’il ne surveillait ni n’enregistrait activement l’activité des utilisateurs ou les frappes au clavier.

« Comme d’autres plateformes, nous utilisons un navigateur in-app pour offrir une expérience utilisateur optimale, mais le code JavaScript en question n’est utilisé que pour le débogage, le dépannage et le contrôle des performances de cette expérience – comme vérifier la rapidité de chargement d’une page ou si elle se bloque », a déclaré Maureen Shanahan, porte-parole de TikTok, dans une déclaration à Forbes.

Pour faire simple, TikTok admet qu’il peut suivre toutes vos activités et vos frappes au clavier quand il le souhaite. Il a simplement choisi de ne pas le faire et nous demande de croire qu’il ne le fera pas. Plus c’est gros, plus ça passe.

Les problèmes de confidentialité de TikTok

Le bilan général concernant les données des utilisateurs de TikTok n’indique pas qu’il a mérité un quelconque niveau de confiance. La découverte de l’enregistrement des touches est le dernier d‘une série de scandales liés à la protection de la vie privée qui ont touché TikTok

Tous ces scandales découlent des deux problèmes fondamentaux de TikTok en matière de vie privée :

• Il collecte d’énormes quantités de données.
• Elle peut être contrainte de partager toutes ces données avec le gouvernement chinois.

L’excès de données de TikTok

L’idée qu’un navigateur intégré à un service puisse contenir des enregistreurs de frappe de type malware peut être choquante, mais pas si vous lisez la politique de confidentialité de TikTok. Sous la rubrique « Informations que nous recueillons automatiquement », il est non seulement explicitement indiqué que le service peut recueillir des « schémas ou rythmes de frappe », mais aussi les éléments suivants :

• Votre tranche d’âge, votre sexe et vos centres d’intérêt, données que TikTok déduit  » sur la base des informations dont nous disposons sur vous « .
• L’adresse IP de votre appareil
• Votre historique de recherche sur la plateforme
• Votre opérateur mobile
• L’identifiant de votre appareil
• Vos appareils audio connectés
• Le système d’exploitation de votre appareil
• Vos paramètres de fuseau horaire
• Les noms et types de fichiers stockés sur votre appareil

La politique de confidentialité indique également qu’elle « peut également vous associer à des informations recueillies sur des appareils autres que ceux que vous utilisez pour vous connecter à [TikTok] ».

En d’autres termes, TikTok se réserve le droit de surveiller les informations sur les appareils qu’elle peut associer à vous, même si vous n’utilisez pas TikTok sur cet appareil. Il ne s’agit que d’une partie des données collectées par la plateforme, mais cela révèle l’étendue de la surveillance des données de l’entreprise.

TikTok a déjà été confronté à des batailles juridiques pour son approche non-consentie sur la collecte de données. En 2021, l’entreprise a accepté un règlement de 92 millions de dollars pour résoudre un procès en recours collectif qui alléguait qu’elle collectait les données de 89 millions de citoyens américains, y compris des mineurs, sans leur consentement. Ces informations ont ensuite été partagées avec des tiers, dont certains étaient basés en Chine.

L’accès du gouvernement chinois aux données, mythe ou réalité ?

TikTok est détenu par ByteDance, une entreprise multimilliardaire basée en Chine. En vertu de la loi chinoise de 2017 sur le renseignement national, le gouvernement chinois peut contraindre toute entreprise chinoise à partager toute information dont elle dispose sur ses utilisateurs. ByteDance ne peut pas s’y soustraire.

©ByteDance

En réponse aux inquiétudes de Washington, TikTok a commencé à stocker les informations de ses utilisateurs américains dans des centres de données installés aux États-Unis en 2021, les mettant hypothétiquement hors de portée du gouvernement chinois.

Baptisé « Projet Texas », il s’agissait d’une tentative de ByteDance de rassurer les régulateurs américains en leur montrant qu’elle prend au sérieux la confidentialité des données.

Cependant, en 2022, BuzzFeed a rapporté que des fuites audio provenant de plus de 80 réunions internes de TikTok ont révélé que les données des utilisateurs américains ont été consultées à plusieurs reprises par les employés de ByteDance basés en Chine.

Comment protéger votre vie privée ?

Si vous craignez que TikTok ou Meta surveillent votre activité en ligne à l’aide de leurs navigateurs in-app, la meilleure solution est de les éviter complètement. Ce n’est pas aussi difficile que cela peut paraître, car Instagram et Facebook vous permettent encore d’ouvrir les applis à l’aide de votre navigateur par défaut. C’est pas idéal en terme d’expérience utilisateur, mais bon…

Vous pouvez également copier et coller le lien de ces plateformes directement dans votre navigateur. Si vous utilisez un navigateur axé sur la confidentialité (par exemple, Firefox ou UR) et un VPN gratuit, vous pouvez empêcher l’enregistrement de votre activité en ligne.

TikTok rend les choses plus difficiles. En effet, il ne vous donne pas la possibilité d’ouvrir les liens dans votre navigateur par défaut. Pour ouvrir un site web de TikTok dans votre navigateur par défaut, vous devez :

• Touchez le lien et ouvrez-le dans le navigateur intégré de TikTok.
• Trouver un autre lien sur le site web et appuyer longuement dessus dans le navigateur TikTok in-app.
• Vous aurez alors la possibilité de copier ce lien ou de l’ouvrir dans votre navigateur par défaut.

TikTok verra toujours que vous avez visité le site Web, mais il ne pourra pas surveiller votre navigation… En théorie.

C’est pas une solution viable, TikTok étant une plate-forme de zapping, tout doit aller très vite.

Bien que TikTok affirme qu’il utilise l’enregistrement des touches uniquement à des fins de débogage et de contrôle des performances, vous n’avez aucun moyen de savoir quelles sont les données qu’il collecte actuellement sur vous ou qu’il pourrait collecter à tout moment à l’avenir.

Meta a introduit en Europe une option permettant aux utilisateurs d’Instagram et Facebook de naviguer sans publicités, en échange d’un abonnement payant.  Très mal accueillie, cette initiative, lancée en novembre 2023, s’inscrit dans le cadre de la conformité aux exigences du Digital Markets Act (DMA) de l’Union Européenne, qui vise à promouvoir l’équité et la contestabilité sur les marchés numériques.

Politique publicitaire européenne de Meta

Selon Meta, ce service d’abonnement sans publicité est une réponse aux directives réglementaires européennes, offrant aux utilisateurs le choix entre une expérience financée par la publicité ou une version payante sans publicités.
Les utilisateurs ont également la possibilité de décider si leurs données peuvent être partagées entre Facebook et Instagram pour une expérience connectée ou gérée séparément pour plus de confidentialité.

Une demande une rançon pour vos données personnelles à pein déguisée

Cependant, cette initiative a suscité une vive réaction de la part des autorités de protection de la vie privée et de diverses organisations de défense des droits numériques.
Un groupe de 28 organisations, dont NOYB, dirigé par l’activiste Max Schrems, a exprimé son opposition à ce modèle, le qualifiant de potentiellement préjudiciable à la protection de la vie privée en Europe.
Ils soutiennent que le modèle payer ou accepter pourrait saper les normes élevées de protection des données établies par le RGPD, en transformant le droit fondamental à la vie privée en un produit de luxe.

Le principal point de contention réside dans le fait que ce service exige des utilisateurs qu’ils paient pour garantir leur vie privée, un précédent qui, selon les critiques, pourrait encourager d’autres entreprises à adopter des pratiques similaires.
Les autorités de protection des données de l’UE sont actuellement en train d’examiner cette question et devraient publier des orientations sur le modèle « consentir ou payer » dans les semaines à venir.

Pour conclure

Cette situation soulève plusieurs questions importantes sur l’avenir de la protection de la vie privée en ligne et le rôle des grandes technologies dans la promotion ou l’entrave à ce droit fondamental. Alors que Meta défend son approche comme étant en conformité avec les directives européennes, les critiques craignent que cela ne marque le début d’une ère où la protection de la vie privée devient un service payant, hors de portée pour de nombreux utilisateurs.

L’issue de ce débat aura des implications significatives non-seulement pour les utilisateurs des services de Meta en Europe, mais aussi pour l’ensemble du paysage numérique, mettant en lumière la tension croissante entre les modèles économiques des technologies et les droits numériques des individus.

Note de transparence :

Cet article n'est pas sponsorisé. Il traite simplement d'un sujet d'actualité pertinent dans le domaine de la protection des données.

Si vous décidez d’essayer un service via le lien fourni, l’équipe recevra une petite commission sans frais supplémentaires pour vous. Cette commission nous permet de continuer à fournir du contenu de qualité et à maintenir ce site indépendant sans bannières publicitaires intrusives, pour une lecture plus agréable sans suivi.

Soyez assuré que notre analyse et nos opinions sont objectifs et basées sur nos recherches et notre expérience dans le domaine de la cybersécurité. Nous sommes indépendants.

Un rapport récent de la Commission Européenne valide le niveau de protection des données en Suisse, aligné sur les normes du RGPD de l’UE.

Dans un développement significatif pour la protection des données personnelles, la Commission Européenne a récemment publié un rapport affirmant que la Suisse continue de fournir un niveau adéquat de protection des données personnelles, conforme aux exigences du Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne.

Cette décision, qui s’inscrit dans le cadre d’une évaluation périodique menée par la Commission, confirme la position de la Suisse, reconnue depuis 2000, comme un pays tiers offrant une protection des données équivalente à celle de l’UE. Le rapport met en lumière les avancées positives du cadre juridique suisse, notamment grâce à la modernisation de la Loi fédérale sur la protection des données, qui s’est davantage alignée sur le cadre de l’UE.

Le rapport de la Commission Européenne souligne également que la décision d’adéquation reste valide et ne nécessite pas de modifications ou d’adaptations à ce stade. Cependant, il est précisé que la Commission continuera de surveiller les développements dans le cadre de la protection des données en Suisse et la mise en œuvre de la décision d’adéquation, et qu’elle pourrait réviser ou suspendre la décision si nécessaire.

Cette décision de la Commission Européenne est un témoignage de l’engagement de la Suisse envers des normes élevées de protection des données, alignant ses pratiques avec les standards internationaux et renforçant la confiance dans les échanges de données transfrontaliers.

Réflexions finales

Ce rapport a des implications positives pour divers services basés en Suisse, y compris les fournisseurs de services VPN.

En pratique, cela signifie que les fournisseurs de services VPN en Suisse sont censés respecter des normes de protection des données personnelles comparables à celles en vigueur dans l’UE. Cela inclut, entre autres, des exigences en matière de sécurité des données, de transparence sur la manière dont les données sont traitées, et de droits des individus concernant leurs données personnelles.

Data center en Suisse

Cependant, il est important de noter que bien que la législation suisse sur la protection des données soit alignée sur le RGPD, chaque fournisseur de services VPN peut avoir sa propre politiques de confidentialité. Il est donc recommandé aux utilisateurs de se renseigner spécifiquement sur les termes et conditions et de sécurité des données de chaque fournisseur pour savoir si ce sont des VPN sans log ou non.

Beaucoup de personnes font encore l’amalgame entres les deux. Pour autant, il est important de comprendre les outils à notre disposition pour protéger nos données et notre vie privée en ligne. Les pare-feu (firewall) et les réseaux privés virtuels (VPN), bien qu’ils servent tous deux à améliorer la sécurité, leurs fonctions et leurs applications sont distinctes.

Qu’est-ce qu’un pare-feu ?

Un pare-feu est un dispositif de sécurité qui surveille et contrôle le trafic entrant et sortant de votre réseau selon des règles prédéfinies.

Il agit comme un filtre entre votre appareil ou réseau et l’internet, bloquant ou permettant le passage des données en fonction de ces règles. Les pare-feu peuvent être matériels ou logiciels, et ils sont essentiels pour protéger les réseaux contre les accès non-autorisés et les menaces telles que les virus et les tentatives de piratage.

Les pare-feu fonctionnent en inspectant les paquets de données entrants et sortants, en analysant des éléments tels que l’origine, la destination, le type de données, l’adresse IP et le numéro de port. Ils décident ensuite, en fonction des règles établies, si ces paquets doivent être autorisés à passer ou être bloqués.

Qu’est-ce qu’un VPN?

Un VPN, en revanche, est un service qui crée un tunnel chiffré pour vos données internet, assurant ainsi une transmission sécurisée et privée.

En utilisant un VPN, votre activité en ligne est masquée et protégée des regards indiscrets, y compris de votre fournisseur d’accès internet ou des administrateurs réseau. Un réseau privé virtuel masque également votre adresse IP réelle, la remplaçant par celle du serveur VPN, ce qui peut vous aider à contourner les restrictions géographiques et à accéder à un contenu bloqué.

Le fonctionnement d’un VPN commence par l’application sur votre appareil, qui crypte vos données avant qu’elles ne quittent votre ordinateur ou téléphone. Ces données chiffrée voyagent ensuite à travers le tunnel sécurisé jusqu’au serveur VPN, où elles sont décryptées et envoyées à leur destination finale. De cette manière, même si quelqu’un interceptait vos données, elles seraient indéchiffrables.

Quand utiliser un pare-feu ou un VPN ?

Utilisez un pare-feu si vous souhaitez protéger votre réseau d’entreprise ou domestique contre les accès non autorisés et surveiller le trafic pour détecter les comportements suspects. Les pare-feu sont particulièrement utiles pour bloquer le trafic malveillant et contrôler l’accès à certaines applications ou sites web.

Utilisez un VPN si vous êtes souvent connecté à des réseaux Wi-Fi publics et non-sécurisés, si vous avez besoin d’accéder à du contenu géo-restreint, ou si vous souhaitez simplement une couche supplémentaire de confidentialité et de sécurité pour votre activité en ligne. Un VPN est également utile pour les personnes qui voyagent fréquemment et qui ont besoin d’accéder à des contenus ou des services restreints dans certains pays.

Peut-on utiliser un pare-feu et un VPN ensemble ?

Oui, et c’est même recommandé pour une sécurité optimale.

Un pare-feu et un VPN offrent des types de protection complémentaires. Le pare-feu sert de barrière première contre les menaces externes et le trafic non autorisé, tandis que le VPN sécurise vos données et protège votre vie privée en ligne.

Veuillez noter que certains firewall peuvent bloquer les connexions VPN, nécessitant des ajustements dans les règles du pare-feu pour permettre le trafic VPN.

Réflexions finales

Comprendre la différence entre un pare-feu et un VPN vous permettra de choisir les outils appropriés pour votre sécurité en ligne. Un pare-feu protège votre réseau contre les intrusions et les menaces externes, tandis qu’un VPN sécurise et privatise votre activité en ligne où que vous soyez.

Ensemble, ils forment une combinaison puissante pour protéger vos données et votre vie privée dans le monde numérique.