Des experts internes en matière de protection de la vie privée craignaient que l’absence de politique de conservation des documents de l’entreprise n’enfreigne les lois des États-Unis et de l’Union européenne. Des années plus tard, l’entreprise n’en a toujours pas.
ByteDance, la société mère de TikTok, pourrait avoir enfreint des lois aux États-Unis et dans l’Union européenne parce qu’elle n’a pas de politique interne de conservation des documents, selon sept employés actuels et anciens de ByteDance et des centaines de documents internes et de journaux de discussion examinés par Forbes.
Les documents internes montrent que les experts juridiques et politiques de TikTok ont clairement averti les dirigeants, y compris le responsable de la sécurité mondiale Kim Albarella, que l’absence de politique de gestion des archives internes de ByteDance pourrait menacer sa capacité à opérer aux États-Unis et dans l’UE. L’une d’entre elles, datant du printemps 2023, montre un expert interne en politique de protection de la vie privée exprimant son soulagement que les régulateurs n’aient pas encore remarqué que l’entreprise n’était pas en conformité.
Les employés s’inquiètent du fait que l’entreprise pourrait ne pas être en conformité avec la loi américaine sur la FTC et le règlement européen sur la protection de la vie privée GDPR. Les règles relatives à la conservation et à la suppression des documents de l’entreprise, bien qu’apparemment banales, sont essentielles car elles empêchent les entreprises d’effacer les preuves d’actes répréhensibles de leurs documents et protègent la vie privée des personnes dont les informations sont stockées dans les documents de l’entreprise.
Les sept sources ont déclaré à Forbes que ByteDance n’avait pas de politique de ce type depuis des années, un oubli qui pourrait avoir des conséquences désastreuses pour une entreprise qui fait déjà l’objet d’une enquête du gouvernement américain et qui a été soumise à un examen minutieux au niveau mondial pour ses pratiques en matière de protection de la vie privée. Certains craignent que cela ne mette en péril l’activité de commerce électronique en plein essor de la société, centrée sur TikTok Shop, lancée aux États-Unis en septembre dernier et qui vise un chiffre d’affaires de 17,5 milliards de dollars cette année.
Dans des communications consultées par Forbes, des employés ont expliqué que l’absence de politique de conservation des documents mettait l’entreprise en porte-à-faux avec la norme de sécurité des données de l’industrie internationale des cartes de paiement (PCI), ce qui, en cas de découverte, aurait pu l’empêcher de traiter entièrement les transactions par carte de crédit. Un document datant de fin 2022 indique que TikTok Live a été « lancé sans tenir compte de la conformité PCI ».
Les documents internes examinés par Forbes, dont beaucoup sont protégés par le secret professionnel, révèlent une ruée pour créer et lancer une politique palliative pour les documents spécifiques aux cartes de crédit au début de 2023 afin de s’assurer que l’entreprise était conforme aux exigences. Mais en mars 2023, Mme Albarella a dit à ses employés qu’ils n’allaient pas accélérer la mise en place d’une politique spécifique aux données des détenteurs de cartes et qu’ils allaient plutôt élaborer et lancer une politique globale, comme le montrent les documents. Le problème : son personnel a déclaré que ce processus prendrait un à deux ans pour être opérationnel, et entre-temps, l’entreprise n’était toujours pas conforme, selon les documents.
En réponse à une liste détaillée de questions sur les documents internes, le porte-parole de TikTok, Alex Haurek, a envoyé la déclaration suivante : « Nous pensons que ces affirmations sont basées sur des documents obsolètes, qui ont été principalement préparés par des employés qui ne font plus partie de l’entreprise, qui n’avaient aucune visibilité sur l’ensemble de notre travail dans ce domaine, et qui tentent maintenant de faire avancer un agenda sans tenir compte des faits. » M. Haurek a déclaré que le délai de 1 à 2 ans « était tiré d’un document préparé par un seul ancien employé et n’avait pas été validé ».
En réponse au document interne sur la conformité PCI de TikTok Live, M. Haurek a écrit : « Cette déclaration non autorisée ne reflète pas exactement le statut de conformité PCI de ces produits. Elle a été introduite dans le rapport – après l’examen final – par un employé qui a depuis quitté l’entreprise ». Mike Hughes, porte-parole de ByteDance, a ajouté : « Nous suivons les normes de l’industrie pour les applications soumises aux normes PCI. » Lorsqu’on lui demande directement si ByteDance est aujourd’hui en conformité avec la loi FTC et le GDPR, Hughes écrit : « Nous nous efforçons continuellement de respecter nos obligations légales liées à la gouvernance des données. »
Aucun des deux porte-parole n’a répondu aux questions concernant le ou les pays dans lesquels leurs dossiers d’entreprise étaient stockés.
Hillary Sale, professeur de leadership et de gouvernance d’entreprise à la Georgetown Law School, a déclaré à Forbes que toute entreprise de la taille de TikTok devrait avoir une politique de conservation, et que ce sont des systèmes que chaque startup devrait mettre en œuvre au fur et à mesure qu’elle grandit. Les entreprises devraient « comprendre comment et quand conserver les documents, et s’assurer que les employés de l’entreprise comprennent cette importance », a-t-elle déclaré lors d’une interview accordée à Forbes.
La conservation des documents de l’entreprise – et l’accès à ces documents par les fonctionnaires du gouvernement américain – est un enjeu majeur pour TikTok, qui est au cœur de négociations pluriannuelles avec le Comité sur les investissements étrangers aux États-Unis. L’année dernière, l’administration Biden a menacé de forcer ByteDance à vendre TikTok sous peine d’interdiction de l’application aux États-Unis. (Confidence : dans une vie antérieure, j’ai occupé des postes politiques chez Facebook et Spotify).
TikTok fait également l’objet d’une enquête criminelle du ministère américain de la justice pour avoir surveillé des journalistes, dont ce reporter, et a reçu une citation à comparaître pour des documents liés à cette enquête à la fin de l’année dernière. Auparavant, Forbes a rapporté que les experts anti-fraude de ByteDance avaient averti l’entreprise qu’elle était incapable de garantir l’exactitude de ses réponses aux demandes des forces de l’ordre, telles que les citations à comparaître, en partie à cause de ses pratiques irrégulières en matière de conservation des données. À l’époque, l’entreprise avait déclaré : » « Ce document a été créé au sein d’un département il y a près de deux ans, n’a jamais été présenté en interne, et est largement inexact, avec des détails obsolètes qui sont rendus non pertinents par les mises à jour régulières de nos pratiques au cours des années qui ont suivi ».
À l’automne 2022, un avocat de TikTok a dit à ses collègues qu’il travaillait avec une équipe de produits sur une fonction de découverte électronique qui permettrait à l’entreprise de mieux répondre aux demandes de dossiers de l’entreprise, mais a averti ses collègues que le processus serait long, selon des documents examinés par Forbes. À l’époque, la tâche d’élaborer une politique avait été confiée à l’équipe de TikTok chargée de la défense des données et de l’assurance de l’accès, mais cette équipe l’a dépriorisée en faveur d’une tâche plus urgente. Le projet a alors été confié à des experts en conformité des données au sein de l’Organisation mondiale de la sécurité (GSO) de l’entreprise.
Toujours en 2022, ByteDance a engagé Redgrave LLP, un cabinet spécialisé dans la gouvernance de l’information d’entreprise, pour l’aider à élaborer une politique de conservation des documents. L’une des premières questions soulevées par les avocats externes était de savoir si la politique devait être rédigée de manière à couvrir uniquement TikTok ou l’ensemble de ByteDance. Dans une conversation datant de la mi-2022, l’ancien responsable mondial de la conformité en matière de sécurité de TikTok a déclaré à Mme Albarella, directrice de la sécurité par intérim de l’entreprise, que la politique devait s’appliquer à l’ensemble de ByteDance, car « le système interne de ByteDance ne peut pas être séparé entre les différents produits ».
Des projets de politique datant du début de l’année 2023 et rédigés par les avocats de Redgrave montrent que, si les avocats souhaitaient à l’origine que le projet de politique couvre tous les documents internes de ByteDance, ils l’ont par la suite restreint pour ne couvrir que les documents appartenant à TikTok. (Redgrave n’a pas répondu à une demande de commentaire).
Cependant, il n’est pas certain qu’une politique de conservation spécifique à TikTok soit déjà en place. Forbes a demandé à TikTok et à ByteDance s’ils disposaient aujourd’hui de politiques de conservation des données complètes et appliquées.
« Comme toute entreprise, nous conservons des enregistrements pour répondre aux obligations légales », a répondu Hughes. Haurek a ajouté : « Nous avons mis en place des politiques et des procédures qui régissent la conservation des informations personnelles des utilisateurs de TikTok. »
Ni l’un ni l’autre n’a répondu à une question complémentaire demandant de préciser si TikTok et ByteDance disposaient aujourd’hui de politiques de conservation des documents d’entrepris
