Face à des levées de boucliers de tous les côtés, TikTok réagit et annonce son projet Clover.
Deux mesures principales sont annoncées. D’une part, l’installation de deux nouveaux centres de données, l’un à Dublin (Irlande), l’autre à Hamar (Norvège), pour compléter celui qu’elle possède déjà à Dublin.
D’autre part, l’entreprise nommera un tiers indépendant pour réaliser des audits de sécurité sur ses installations, ainsi que le respect de la vie privée.
De manière plus générale, l’entreprise compte renforcer les contrôles qu’elle possède déjà, notamment pour s’assurer que ses employés ne puissent accéder à rien d’autre que ce à quoi ils ont droit.
Là encore, TikTok informe qu’elle travaillera avec des tiers pour « intégrer à son approche les technologies les plus innovantes en matière de protection de la vie privée. Il s'agit notamment de la pseudonymisation des données personnelles, de l'agrégation des données et de la protection différentielle de la vie privée ».
La communication de TikTok s’articule cependant autour de l’axe « renforcement », non sur la nouveauté. « Les mesures mises en place par le projet Clover permettront à TikTok de passer du respect des normes du secteur à l'établissement d'une nouvelle norme en matière de sécurité des données en Europe », indique ainsi l’entreprise.
Commentaires (29)
#1
Reformulation : 2023, Tik Tok découvre le RGPD publié en 2016…
#1.1
Pour leur défense, il n’est rentré en application qu’en 2018.
M’enfin, j’ai quand même peur que TikTok ne soit l’épouvantail du moment pour endormir la vigilance envers les autres plateformes.
#1.2
Un épouvantail qui prend beaucoup de place faut dire, et qui attaque principalement les enfants, le tout dirigé par le Gouv. Chinois. Si on arrive pas à les faire plier ce sera difficile de faire plier les autres…
#2
Est-ce bien rentable de faire tous ces investissements alors qu’ils vont se faire interdire ?
#3
Il y à d’autres réseaux sociaux qui ont rapatrié leur donnée européenne vraiment en Europe plutôt que d’avoir des stratégies de contournement à base de complaisance par la commission ?
#4
citation
“D’autre part, l’entreprise nommera un tiers indépendant pour réaliser des audits de sécurité sur ses installations, ainsi que le respect de la vie privée.”
Ce “tiers indépendant” fera le travail bénévolement ?
Parce que s’il dépend de cette entreprise pour ses salaires je ne vois pas en quoi il pourrait s’agir d’un “tiers indépendant” et en quoi je pourrais me sentir rassuré par son existence.
#4.1
Un tiers indépendant c’est un tiers indépendant, je ne vois pas d’où tu sors cette idée de travail bénévolement…
#4.2
C’est la même chose pour tous les tiers indépendants réalisant des audits. C’est une prestation vendue, donc avec facture pour TikTok.
#4.3
Dans ce cas il n’y a pas “d’indépendance” puisque le revenu de cette entreprise est directement liée à TIK TOK alors à moins de quelque chose d’énorme et incachable il y a fort à parier qu’ils ne vont pas tuer la poule aux œufs d’or
#4.4
Pour information, les Commissaires Aux Comptes (Ernst & Young, Mazars, …) qui certifient les comptes des grandes sociétés commerciales sont des tiers indépendants. Ils facturent leurs prestations à la société commerciale qu’ils auditent.
#5
Avec les US on a le Cloud Act, et avec les chinois ?
(d’toute manière, avec ou sans disposition, ils feront comme ça leur chante)
#6
Sans vouloir défendre tiktok, j’ai l’impression qu’on veut l’abattre pour redonner des parts de marché aux réseaux sociaux américains…
#6.1
C’est plus simple de s’attaquer à un nouvel acteur qu’à ceux qui sont déjà établis.
Et quand on lit un article comme celui-ci on se dit que même si les intentions sont mauvaises (ce qui reste à prouver), les actions sont quand même nécessaires.
Peut être que la même énergie devrait être investie sur les autres plateformes, mais ça n’empêche pas que TikTok semble être un mauvais élève.
#7
Comme toujours, lorsque ce genre de firme fait des concessions c’est qu’elles ont déjà les moyens de passer outre ou qu’elles n’en ont plus besoin.
“A partir d’ajd, votre compte est hyper-anonymisé. Ah, au fait: pour des raisons évidentes de sécurité, on a rendu obligatoire l’authentification 2FA. Il nous faudrait votre numéro de portable…”
#8
#8.1
N’écoutes pas les autres, tu as 100% raison de penser qu’on ne peut pas être “indépendant” de celui qui paye les factures… puisqu’il y a une relation commerciale (contrat, etc.) qui fixe des obligations.
Dans ‘idée, c’est par exemple l’une des différences entre une “milice de quartier” (payée par le quartier pour le quartier les autres peuvent crever) et une “police municipale” (payée par la commune pour là où il y en a besoin).
#8.3
Quand tu commandes un audit ou une certification, tu ne commandes pas le résultat de l’audit.
Pour coller une norme du genre ISO27000 (exemple au hasard), il faut être accrédité pour le faire. C’est quoi l’intérêt de l’organisme de griller son accréditation et donc son portefeuille client pour un seul client ?
Franchement, si Tiktok, malgré les audits, veut récupérer la data, il saura le faire, ca se contourne et l’auditeur ne vient pas tous les 3 matins… C’est bon pour l’image et la confiance, mais ne fait pas tout. Dans l’agroalimentaire il y a plein de normes, d’audits, de certifications, mais il y a quand même malgré tout des scandales sanitaires fréquents.
Cela dit, comment montrer patte blanche si ce n’est en faisant appel a un auditeur indépendant ? A moins que tu voudrais que l’audit soit commandé par le gouv et payé par le contribuable ? :)
Un peu comme les contrôles des services sanitaires. Sauf que c’est quand même pas un contrôle qui se fait en une petite visite ce type de vérif…
#8.2
Tu es en train de découvrir que les cabinets d’audit indépendants sont toujours payés par le client qui commande l’audit… On part de plutôt loin. Donc aucun audit ne veut absolument rien dire, je me demande pourquoi on fait des audits et des normes…
#9
Peu importe que celui-ci soit rémunéré ou non par la société qui le mandate, ce sont des organismes accrédité en tant que tel.
#10
Et quand les Commissaires Aux Comptes ne font pas bien leur travail, ils font faillite même s’ils sont des grands de l’Audit (exemple Arthur Andersen qui a failli sur l’audit d’Enron).
#11
Déjà il n’y a pas de poule aux oeufs d’or: un contrat d’audit est signé avec un organisme indépendant. La réalisation du contrat ne dépend pas des conclusions de l’audit mais de la réalisation de celui-ci. En gros, même si l’audit ne plait pas à l’audité, il doit payer.
De plus comme dit précédemment, si un cabinet indépendant s’amuse à se faire corrompre, c’est son existence qui est en jeu. Soit tout le contraire de ce que tu crois. En effet: plus un cabinet est côté, plus il coute cher. La poule aux oeufs d’or ne serait donc pas le client mais la réputation.
#11.1
ben tiens sauf que j’ai vu ce que donne une certification ISO9006 pour un organisme qui paye le certificateur (un bien connu agréé et tout et tout a dessus de tout soupçons qui fait tout comme il faut et qu’il est honnête y a pas de problèmes tout est vérifié)
Après 5 ans de vérification annuelle il suffisait que l’organisme ai montré qu’il avait l’intention de commencer à débuter l’action de mettre en œuvre un début d’embryon de solution concernant les remarques bloquantes du certificateur pour que la norme ISO 9006 soit maintenu alors que absolument rien de concret n’avait été réalisé pendant la période.
Si le certificateur n’avait pas été dépendant de l’organisme pour manger cela ne se serait certainement pas passé comme cela.
#11.2
J’espère que tu as dénoncé l’organisme certificateur. Dans ce domaine, le non respect d’une norme est dangereux !
#12
9006 rien que ça ?
Sinon bizarrement je croyais que pour obtenir une certification de ce type, tu contactais un organisme qui t’attribuait au minimum 2 auditeurs indépendants (mais agréés).
Ces auditeurs revenant rarement sur le même lieu.
Donc à ton niveau, vu que tu m’as l’air si bien renseigné, la corruption s’est faite au niveau d’1, de 2, de tous les auditeurs ? ou directement au niveau de l’organisme qui aurait falsifié les rapports des auditeurs ?
As tu été audité toi même, ou est-ce que c’est le copain d’un ami qui a entendu que ?
#13
Ta question me fait penser à la preuve d’enjeu dans les cryptomonnaies. Tu considères l’existence d’un double enjeu pour l’entreprise auditée et pour l’organisme d’audit, et tu en déduis que la simple existence de ce double enjeu suffit pour conclure que c’est un système qui fonctionne bien.
Je trouve pour ma part qu’il y a là une faiblesse dans les modalités de preuve qui fondent ton raisonnement : c’est à dire que le double-enjeu t’amène à supposer l’existence d’une telle preuve très probable, mais sans jamais la fournir réellement. Tu utilises l’enjeu pour glisser de la probabilité à la certitude, en oubliant volontairement que le périmètre de l’enjeu est plus réduit que celui de la preuve de conformité qui est l’objet d’un audit.
Donc je complète mon exemple : une milice de quartier peut être assurée par des mercenaires. Il y en a de nombreux groupes sur terre, et certains avec une bonne réputation. Cela reste des mercenaires, et en tant que miliciens de quartier ils s’engagent à ne pas sortir du quartier. Cela leur interdit de mener une action qui pourrait être nécessaire juste à côté, donc pas d’indépendance factuelle : un criminel peut commettre presque tous les crimes sous leur nez, pourvu d’être hors du quartier.
Le double enjeu est bien respecté ! Le quartier avec les mercenaires est bien protégé, donc ils seront payés, et leur réputation ne sera pas entachée, donc ils continueront de trouver du travail. Reste le crime réellement commis sous leur nez, mais comme c’est hors-enjeu tu t’en fiches. Je pense que tu as tort. Exemple dans le monde réel : quand des criminels traversent une frontière pour sortir d’une juridiction, ce qui a mené les pays à construire des partenariats transfrontaliers (accords d’extradition, Europol, Interpol, etc.).
Pour revenir à la situation des audits, on sait déjà dans le domaine fiscal que les entreprises désireuses d’échapper au fisc ont su faire preuve de créativité depuis plus d’un siècle (et je ne parle pas de fraude, mais bien de ce qu’il est légal de faire). Affirmer que les entreprises feront de même avec les données est une supposition très raisonnable car tout comme les chiffres des bilans comptables les données sont immatérielles, donc ça n’a rien à voir avec des audits sanitaires/vétérinaires qui portent sur des choses matérielles.
Je ne vois pas ce que vient faire le smiley là-dedans… L’un des principes posés à la Révolution était la séparation des pouvoirs. Par exemple cet article de la Déclaration des Droits de l’Homme et du Citoyen de 1789 :
« Article 12 - La garantie des droits de l’homme et du citoyen nécessite une force publique ; cette force est donc instituée pour l’avantage de tous, et non pour l’utilité particulière de ceux à qui elle est confiée. »
Vu qu’en France, « Toute personne a droit au respect de sa vie privée », on peut considérer que c’est un droit de l’homme qu’une entreprise comme TikTok (ou autre) respecte correctement les dispositions applicables aux données personnelles.
Dans ce domaine on a déjà des structures comme les DPD et la CNIL, la deuxième étant déjà payée par le contribuable, non ? Est-ce qu’il faut aller plus loin dans ce domaine ou pas ? Je ne suis pas devin. Mais en tout cas, être accrédité à ceci ou cela ne signifie pas être indépendant.
#13.1
Je passe tes exemples/comparatifs venus d’ailleurs.
Oui, il y a une faiblesse de moralité, ca n’enlève rien à l’indépendance de la structure.
Un audit porte sur des éléments factuels, qu’il soit dans l’IT ou pas.
Comme je le disais, ce n’est pas parce que tu contournes un système d’audit que l’audit en lui même est biaisé. Donc Tiktok pourra toujours contourner, malgré des audits bien fait.
Bah oui, on peut demander à la CNIL de s’en occuper, faudra juste multiplier par 100 les effectifs et le budget, et encore je suis gentil je pense…
#14
Bel oxymore. Et 100% HS pour ce qui est de la non-indépendance dont je parlais.
#15
Mouais, beaucoup d’audit auxquels j’ai assisté il y avait commande de la prestation ET du résultat. Ce n’est pas dit clairement, mais tu sens bien qu’il y a une bonne dose de gentleman-agreement derrière.
Maintenant tik-tok et la cabinet d’audit … ben, il va falloir lire les résultats et regarder à quelle vitesse tout ça sera publié.
#16
On a trouvé un champion en effet :)