F. LA SOLUTION PROPOSÉE PAR TIKTOK : DES PROJETS TEXAS ET CLOVER QUI NE SUFFIRONT PAS À GARANTIR L'ÉTANCHÉITÉ DE L'APPLICATION VIS-À-VIS DES AUTORITÉS CHINOISES
1. Deux projets qui reposent sur la localisation géographique des données des utilisateurs
À la suite des premières révélations de BuzzFeed News101(*) ayant contraint les dirigeants de TikTok et de ByteDance à reconnaître la possibilité d'accéder aux données d'utilisateurs de TikTok depuis la Chine et sous la menace d'interdiction aux États-Unis, le « projet Texas » a été annoncé en juillet 2022 comme le moyen d'empêcher les transferts de données des utilisateurs américains de TikTok vers la Chine.
La mise en oeuvre de ce projet, dont le coût est estimé à 1,5 milliard de dollars, repose à la fois sur la construction de serveurs localisés sur le territoire américain, qui seront administrés par la société américaine Oracle afin d'y héberger les données des utilisateurs américains, et sur la mise en oeuvre de « garanties de sécurité supplémentaires », dont l'audit externe du code source de l'entreprise par un consortium de sept entreprises différentes mais piloté par Oracle. Ainsi, cette même société aura un « double rôle » de prestataire et de certificateur, ce qui suscite des interrogations quant à sa capacité à mener des évaluations indépendantes.
Pour la mise en oeuvre de ce projet, le groupe ByteDance a créé une nouvelle entité juridique aux États-Unis, US Data Security Inc. (USDS), qui devrait être dotée d'un conseil d'administration indépendant soumis au contrôle et à la supervision du Comité pour l'investissement étranger aux États-Unis (CIFUS), qui négocie par ailleurs depuis plus de deux ans avec TikTok un accord de sécurité qui permettrait à l'entreprise de continuer à opérer aux États-Unis.
Par crainte d'une massification et d'une généralisation des premières interdictions d'utilisation de l'application décidées au sein de l'Union européenne, l'entreprise a annoncé, au mois de mars 2023, le lancement du projet Clover dont l'objectif est, comme le projet Texas aux États-Unis, de sécuriser davantage les données des utilisateurs européens de TikTok.
Il s'agirait également d'héberger les données des utilisateurs européens de TikTok dans trois centres de données, dont deux en Irlande et un en Norvège sachant qu'un premier centre de données existe déjà à Dublin, et de désigner une société tierce chargée de sécuriser l'accès à ces données.
Le projet Clover nécessite encore d'être largement précisé. Lors de son audition devant la commission d'enquête, M. Éric Garandeau a précisé que ce projet représentait un investissement d'1,2 milliard d'euros par an, sans toutefois fournir de preuve à l'appui de cette affirmation, et qu'un centre de données était actuellement en construction en Norvège par la société Green Mountain. Sans s'engager sur une date de mise en oeuvre, les dirigeants de TikTok estiment qu'un délai d'au moins 15 mois est nécessaire pour que ce projet soit opérationnel, soit a minima à la mi-2024, ce qui pose la question du traitement de ces données des utilisateurs européens pendant cette période de transition.
Par contre, ce dernier a également précisé que « le nom qui n'est pas communiqué pour l'instant est le nom du tiers de confiance car nous sommes en négociations », ce qui est pourtant un élément essentiel car, en fonction du choix de ce tiers de confiance, le niveau de sécurité des données des utilisateurs européens ne sera pas le même102(*).
2. Deux projets qui ne garantissent pas l'immunité face aux législations extraterritoriales
Les projets Texas et Clover annoncés par ByteDance et TikTok ont pour dénominateur commun de reposer sur le principe de localisation régionale des données des utilisateurs. Or, la localisation des infrastructures de stockage et de traitement des données n'est qu'un élément d'une chaîne de valeur plus vaste et plus complexe qui peut conduire, in fine, à soumettre les données des utilisateurs européens à des législations extraterritoriales.
À cet égard, la domination des grandes entreprises américaines du numérique dans le domaine de l'informatique en nuage (cloud) est problématique. En effet, les principaux logiciels de traitement des données sont américains et ont été développés par des sociétés établies et immatriculées aux États-Unis. Selon les estimations, les services d'Amazon, de Microsoft et de Google représenteraient 70 % des parts mondiales du marché de l'informatique en nuage, un marché fortement oligopolistique qui demeure peu concurrentiel.
Jusqu'à l'adoption du Clarifying Lawful Overseas Use of Data Act, dit Cloud Act, par le Congrès américain en 2018, le lieu de stockage des données était déterminant dans la détermination de la législation applicable. Ainsi, en 2013, la société Microsoft avait refusé de transmettre à l'administration fédérale américaine, dans le cadre d'une enquête pénale, le contenu d'une boîte aux lettres électronique au motif que les données correspondantes étaient stockées en Irlande et non aux États-Unis. La cour d'appel de New-York avait alors estimé qu'un mandat de réquisition pris en application du Stored Communications Act de 1986 ne pouvait pas avoir pour effet d'obliger un fournisseur de services électroniques de communication, de traitement ou de stockage des données à transmettre de telles données lorsqu'elles sont stockées à l'étranger103(*).
Or, depuis, les États-Unis ont clarifié et renforcé la portée extraterritoriale de leur législation avec l'adoption du Cloud Act : le fait générateur n'est plus le lieu de localisation des données, mais le lieu d'immatriculation des sociétés de traitement de données.
Désormais, tout prestataire de services électroniques immatriculé aux États-Unis doit communiquer à l'administration américaine les données de communication qui lui sont demandées dans le cadre d'un mandat de perquisition, et ce quel que soit le lieu de stockage de ces données dès lors que le prestataire en est propriétaire, les détient ou les contrôle. Par conséquent, la très grande majorité des principaux établissements de traitement de données, dont les GAFAM en premier lieu, est désormais soumise à la législation américaine, car le lieu d'immatriculation des sociétés est devenu primordial dans la détermination de la législation applicable.
Pour la conseillère d'État Mme Emmanuelle Mignon : « Concrètement, les GAFAM, qui sont des sociétés immatriculées aux États-Unis, doivent communiquer toute donnée de communication stockées aux États-Unis ou à l'étranger qui leur est demandée par les autorités américaines, quand bien même la donnée appartient à une entreprise ou à un ressortissant étranger et a été confié à une filiale de ce GAFAM immatriculé à l'étranger. Comme les GAFAM contrôlent l'essentiel du cloud mondial, les détracteurs du Cloud Act considèrent que les États-Unis se sont en réalité ménagé un accès à l'ensemble des données mondiales »104(*).
Aujourd'hui, que ce soit en Europe ou aux États-Unis, TikTok a recours à des solutions logicielles américaines d'informatique en nuage et prévoit « très probablement » d'y avoir recours dans le cadre du déploiement du projet Clover, pour reprendre les termes employés par Mme Marlène Masure lors de son audition devant la commission d'enquête105(*).
La soumission à l'extraterritorialité américaine est d'autant plus problématique que les transferts de données à caractère personnel vers les États-Unis sont aujourd'hui risqués, la Cour de justice de l'Union européenne ayant invalidé la dernière décision d'adéquation de la Commission européenne estimant que la législation américaine permettait un niveau de protection équivalent à celui permis au sein de l'Union européenne par le règlement général sur la protection des données (RGPD)106(*).
La Commission nationale de l'informatique et des libertés (CNIL) considère en outre désormais que les risques sont similaires concernant l'extraterritorialité du droit chinois et les transferts de données à caractère personnel vers la Chine, comme l'a expliqué son secrétaire général devant cette commission d'enquête : « De ce point de vue, la loi américaine a été déclarée comme « ne répondant pas aux standards de protection demandés par la CJUE ». Dans les dossiers concernant cette question, nous avons estimé qu'un constat identique pouvait s'établir avec les lois chinoises. Cela signifie qu'une vigilance particulière est requise lorsque des données à caractère personnel d'Européens sont transférées sur le territoire chinois. Comme l'a indiqué la Cnil peu après l'arrêt Schrems II, il s'agit également de faire attention à des données entre les mains d'opérateurs soumis à la législation chinoise, même si celles-ci sont hébergées et traitées sur le sol européen. Tout cela est à regarder au cas par cas, en fonction des situations, mais le risque est bien réel »107(*).
Par conséquent, le projet Clover risque de placer TikTok dans un conflit de « triple législation », au détriment de la protection des données de ses utilisateurs.
À partir du moment où les centres de données et les serveurs sont localisés au sein de l'Union européenne, il y a soumission aux lois européennes, dont le RGPD. À partir du moment où certains des logiciels de traitement de données utilisés appartiennent à des sociétés immatriculées aux États-Unis, il y a soumission à la législation américaine, dont le Cloud Act. Et à partir du moment où TikTok appartient à un groupe international d'origine chinoise, avec des dirigeants de nationalité chinoise, alors il y a soumission à l'extraterritorialité du droit chinois.
De ce point de vue, tant le label national « SecNumCloud », qui permet l'utilisation sous licence de logiciels américains de traitement de données, que le schéma européen de certification de cybersécurité des services d'informatique en nuage (EUCS), qui s'inspire par ailleurs des premiers labels nationaux mis en place par la France et l'Allemagne, ne permettent de répondre aux préoccupations de cette commission d'enquête et de nous prémunir face aux législations extraterritoriales.
3. Deux projets qui ne remettent pas en cause la possibilité d'accéder aux données des utilisateurs depuis la Chine
Les faits avérés de transferts de données d'utilisateurs vers la Chine ne sont aujourd'hui plus niés par les dirigeants de ByteDance et de TikTok, qui cherchent plutôt à en minimiser la portée.
Lors de son audition, M. Éric Garandeau a ainsi déclaré que « tout accès extérieur doit être minimisé, c'est-à-dire ramené au minimum nécessaire pour assurer le fonctionnement de la plateforme »108(*), ce qui, outre le fait d'être une tautologie, ne fait que confirmer l'existence de transferts de données vers la Chine.
Dans ses réponses écrites transmises aux membres de cette commission d'enquête, les représentants de TikTok précisent même que, « sous réserve d'un besoin avéré dans le cadre de leur travail, TikTok autorise certains employés du groupe situés en dehors de l'Europe à accéder à distance aux données d'utilisateurs européens, y compris certains employés basés en Chine (par exemple, des ingénieurs occupant des fonctions précises nécessitant d'avoir accès à certaines données d'utilisateurs) ».109(*) - ni le nombre, ni les fonctions de ces employés et ingénieurs ne sont toutefois précisés, tout comme les « besoins avérés » qui pourrait justifier l'octroi de tels accès à distance110(*). En outre, comme il a déjà été indiqué, cette affirmation est contradictoire avec le discours sur la prétendue séparation totale entre TikTok et les entités de ByteDance situées en Chine.
En l'état des informations disponibles et au regard des incertitudes qui demeurent quant à la mise en oeuvre opérationnelle de ce projet, cette commission d'enquête considère que le projet Clover n'est pas de nature à répondre à ses préoccupations, ni à celles de l'opinion publique et des dirigeants politiques concernant les liens de l'entreprise TikTok avec la République populaire de Chine et les environnements politiques et juridiques qui y sont associés.
En outre, il est significatif que TikTok ne se soit engagé à aucun calendrier précis sur la mise en oeuvre du projet Clover vis-à-vis des autorités françaises, même si un délai de 15 mois est évoqué. Aux États-Unis, le projet Texas n'est toujours pas mis en oeuvre. TikTok bénéficie ainsi de ces effets d'annonces assortis de chiffres importants (« 1,2 milliards par an »), ce qui lui permet de différer d'autant la prise de mesures réelles.
Les membres de la commission d'enquête ne peuvent donc que constater qu'à leurs « préoccupations légitimes 111(*)», l'entreprise non seulement répond par une solution qui ne permettra pas de garantir la sécurité des données qu'elle promet, mais en outre refuse en réalité de s'engager auprès des autorités sur la réalisation effective de cette solution dans un délai donné.
Les membres de cette commission d'enquête estiment aussi, avec regret et inquiétude, qu'un soutien politique, tant du Gouvernement français que de la part de la Commission européenne, du Parlement européen et d'autres gouvernements nationaux, au bénéfice du projet Clover, ne serait pas de nature à dissiper les risques liés à l'utilisation de TikTok.
4. Le « précédent Huawei » : une première alerte d'ampleur sur les risques posés pour la sécurité nationale par une entreprise chinoise mondiale
Les inquiétudes suscitées aujourd'hui par TikTok, ayant notamment conduit le Sénat à constituer une commission d'enquête à son encontre, rappellent de façon manifeste les débats qui ont eu lieu quelques années auparavant en France, en Europe et aux États-Unis à propos du déploiement d'infrastructures de télécommunications 5G par l'équipementier chinois Huawei.
Aujourd'hui avec TikTok, comme hier avec Huawei, les craintes de l'opinion publique et des dirigeants politiques sont de plus en plus fortes, les annonces d'interdiction ou de restriction se succèdent, les risques de captation massive de données au service de la pérennité du régime chinois se confirment tandis que les doutes quant à la propriété du capital et au contrôle exercé par le Parti communiste chinois (PCC) persistent.
a) Une entreprise mondialisée fer de lance des « routes numériques de la soie » de la Chine
Premier fournisseur mondial d'équipements de réseaux de télécommunications, fabricant de terminaux et désormais fournisseur de solutions numériques, logicielles et de prestations d'informatique en nuage (cloud), Huawei est aujourd'hui une entreprise multinationale d'origine chinoise présente dans plus de 170 pays. En déployant des infrastructures de télécommunications dans le monde entier, Huawei est devenu le véritable fer de lance de la stratégie chinoise des « routes de la soie numérique » qui vise à tisser autour de la Chine un réseau d'infrastructures numériques terrestres, maritimes et spatiales afin de garantir à la fois l'hégémonie internationale de la Chine, la dépendance d'autres puissances à son égard et vis-à-vis de ses technologies, tout en poursuivant une politique nationale d'autonomie numérique visant à dépendre le moins possible de l'extérieur.
Huawei a ainsi bénéficié d'un soutien continu, politique et financier, de la part du régime chinois afin de soutenir sa croissance, son développement et son internationalisation. Selon une note de l'Institut Montaigne publiée en 2019 et portant sur le déploiement de la 5G en Europe, les « liens congénitaux avec la colonne vertébrale du système politique chinois permettent de mesurer l'importance de l'immense succès de Huawei à l'aune du projet national de Xi Jinping, tel que celui-ci est présenté avec une grande clarté dans une feuille de route présentée au 19e Congrès du Parti Communiste en novembre 2017 : la transformation de la Chine en « leader mondial en matière d'innovation » à l'horizon 2035, puis en « leader mondial en matière de puissance nationale composite et d'influence internationale » à l'horizon 2050 »112(*), soit pour le centenaire de la proclamation de la République populaire de Chine en 1949.
b) Dans le cadre du développement de la 5G, une incapacité à convaincre quant à l'absence de risque pour la sécurité nationale
Le développement rapide de l'entreprise Huawei, en particulier l'internationalisation de ses équipements de réseaux de télécommunications 5G, a suscité la méfiance de plusieurs pays, en particulier des États-Unis, alimentant un débat d'envergure internationale. La relecture de ces débats aujourd'hui fait indéniablement écho aux principales craintes exprimées à l'encontre de la société TikTok, propriété du groupe multinational d'origine chinoise ByteDance. De ce point de vue, la note de l'Institut Montaigne précitée synthétise les principales craintes exprimées à l'encontre de Huawei, en particulier :
- Le manque de transparence et de lisibilité quant à la structuration du groupe et la propriété de son capital ;
- l'existence d'un lien avec le Parti Communiste Chinois (PCC), la nature de ce lien et du contrôle exercé sur la gouvernance et les décisions politiques de l'entreprise. Ainsi, la note rappelle que « dans l'ensemble, le lien avec le pouvoir chinois est ineffaçable, du fait de la nature du système politique en Chine. Il est reflété par la pénétration de Huawei par le Parti Communiste - une structure naturelle en Chine »113(*) ;
- l'incapacité à démontrer l'absence de risques d'espionnage et de transferts de données vers la Chine, notamment au regard du précédent désormais documenté du siège de l'Union Africaine : « Si Huawei a toujours échoué à démontrer le contraire, ses détracteurs ont parfois apporté des indices de complicité probable de Huawei dans des opérations de cyber espionnage, mais non des preuves décisives. Citons les principales affaires : celle de l'Union Africaine, l'organisation internationale basée à Addis-Abeba, est sans conteste la plus frappante. Huawei y était depuis 2012 le fournisseur presqu'exclusif de solutions informatiques intégrées, du serveur au cloud, en passant par le wifi et le stockage local de données. De 2012 à 2017, toutes les nuits entre minuit et deux heures du matin, l'ensemble des données collectées était envoyé à un serveur inconnu à Shanghai... »114(*) ;
- l'incapacité à rassurer quant à ses obligations par rapport au droit chinois, en particulier en matière de coopération avec les services de renseignement : « L'article 7 de la loi nationale sur le renseignement de 2017 dispose que toutes les entreprises, « ainsi que les citoyens, doivent soutenir, coopérer et collaborer au travail national de renseignement, et préserver le secret sur le travail national de renseignement dont ils ont connaissance ». Cet article a entamé la crédibilité de Huawei car l'entreprise ne peut pas réécrire le fonctionnement du système chinois, où la branche juridique est soumise au pouvoir exécutif, et celui-ci au Parti »115(*).
c) En conséquence, des mesures d'interdiction ou de restriction prises en ordre dispersé à l'échelle mondiale
Face aux craintes exprimées à l'encontre de Huawei, les réactions ont été multiples et variées à l'échelle internationale, les sanctions les plus sévères ayant été prises par les États-Unis, sous la présidence de M. Donald Trump, dans un contexte de rivalité commerciale et de guerre technologique assumée entre la Chine et les États-Unis.
Ainsi, dans la continuité des premières sanctions prises contre l'autre équipementier chinois de réseaux de télécommunications, l'entreprise ZTE, le décret présidentiel du 15 mai 2019 interdit l'acquisition ou l'usage des technologies de communication produites par des entités contrôlées par une « puissance étrangère hostile » et pouvant :
- générer un risque de « sabotage » des technologies et services d'information et de communication aux États-Unis ;
- générer un risque susceptible d'engendrer des « effets catastrophiques » sur la sécurité et la résilience des infrastructures critiques ou l'économie numérique des États-Unis ;
- ou faire peser un risque « inacceptable » sur la sécurité nationale des États-Unis et des Américains.
Depuis 2019, Huawei figure sur l' « Entity List » du Département du Commerce des États-Unis, obligeant l'entreprise à obtenir une autorisation administrative sous forme de licence pour commercer avec les entreprises américaines dont la vente de composants ou de services utilisant des technologies américaines, telles que les processeurs et les puces électroniques de dernière génération, est donc interdite par défaut. L'une des conséquences les plus emblématiques de cette décision est la perte de la licence d'utilisation du système d'exploitation Android et du navigateur de recherche de Google, pénalisant plus spécifiquement l'activité de fabricant de smartphones de Huawei.
Cette décision s'ajoute au National Defense Authorization Act de 2018, lequel prévoyait déjà d'interdire aux administrations fédérales américaines de se fournir auprès de l'entreprise, et n'a pas été remise en cause par le changement de présidence américaine, comme l'a expliqué M. Julien Nocetti, chercheur associé à l'Institut français des relations internationales (IFRI), devant cette commission d'enquête : « lorsque l'on resitue ces débats dans les cinq années de sanctions technologiques et financières américaines contre les acteurs chinois, on observe que les questions de sécurité l'emportent sur l'idée du doux commerce. Cela constitue d'ailleurs une évolution majeure, engagée par l'administration de M. Donald Trump, puis poursuivie par M. Joe Biden »116(*).
Après que le régulateur américain des télécoms (FCC) ait annoncé l'an dernier l'interdiction de toute nouvelle autorisation de mise sur le marché d'équipements et de services de télécommunications fournis par Huawei et ZTE, l'administration de M. Joe Biden a annoncé en début d'année envisager un durcissement des sanctions pour la fourniture de composants américains liés à la 4G et au Wi-Fi ainsi que pour les technologies américaines d'informatique en nuage.
Si les États-Unis ont adopté les mesures les plus sévères à l'encontre de Huawei, les réactions à l'échelle mondiale ont été plus dispersées. Au sein de l'Union européenne, le choix a plutôt été fait d'organiser le retrait progressif de Huawei du marché des équipements et des réseaux 5G. En France, la loi du 1er août 2019 visant à préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l'exploitation des réseaux radioélectriques mobiles prévoit un régime d'autorisation d'exploitation préalable par l'Agence nationale de la sécurité des systèmes d'information (Anssi), avec l'octroi de licences pour une durée de trois à huit ans pour les antennes 5G déjà installées sur le territoire, en particulier par SFR et Bouygues Télécoms, dans la perspective de leur remplacement progressif d'ici 2028.
Saisie d'une question prioritaire de constitutionnalité (QPC) à la suite des plaintes déposées par les sociétés SFR et Bouygues Télécom, le Conseil constitutionnel a considéré que cette loi était conforme à la Constitution, écartant les griefs de méconnaissance de la liberté d'entreprendre, de la garantie des droits et du principe d'égalité devant les charges publiques et estimant que « le législateur a entendu, dans le but de préserver les intérêts de la défense et de la sécurité nationale, prémunir les réseaux radioélectriques mobiles des risques d'espionnage, de piratage et de sabotage qui peuvent résulter des nouvelles fonctionnalités offertes par la cinquième génération de communication mobile »117(*).
À la relecture de cette décision, votre commission d'enquête ne peut que constater que la priorité accordée à la préservation des intérêts de la sécurité nationale tout comme la plus grande prise en compte des risques d'espionnage et de piratage font indéniablement écho aux craintes exprimées aujourd'hui à l'encontre de TikTok.
* 101 https://www.buzzfeednews.com/article/emilybakerwhite/TikTok-tapes-us-user-data-china-ByteDance-access
* 102 Audition du 8 juin 2023.
* 103 Microsoft v. United States, 14 juillet 2016.
* 104 Emmanuelle Mignon, « Le Cloud Act ou l'impuissance européenne démasquée », La revue des juristes de Sciences Po, 2019.
* 105 Audition du 8 juin 2023.
* 106 CJUE, Arrêt Schrems II, 16 juillet 2020.
* 107 Audition du 3 avril 2023.
* 108 Audition du 8 juin 2023.
* 109 Réponses écrites transmises par TikTok le 24 mai 2023.
* 110 La question de la conformité de ces accès à distance du RGPD est traitée par la partie suivante, pages....
* 111 L'expression a été employée 9 fois par M. Garandeau lors de son audition par la commission d'enquête.
* 112 Institut Montaigne, « L'Europe et la 5G : le cas Huawei », Note, Mai 2019.
* 113 Institut Montaigne, « L'Europe et la 5G : le cas Huawei », Note, Mai 2019.
* 114 Ibid.
* 115 Ibid.
* 116 Audition du 27 mars 2023.