TikTok aurait collecté des données sur ses utilisateurs via une faille d’Android

TikTok aurait récupéré les adresses MAC de milliers d’utilisateurs à l’aide d’une faille du système d’exploitation Android, selon une enquête du Wall Street Journal. Ces identifiants uniques sont utilisés par les appareils électroniques lors de connexion à des réseaux, et sont utilisés pour la publicité ciblée car ils permettent de facilement reconnaître (et donc traquer) un appareil mobile.

Alors que Donald Trump menace de bannir TikTok des Etats-Unis sur fond d’accusations de transmission des données utilisateurs au gouvernement chinois, le Wall Street Journal révèle que l’application de création et de partage de vidéo a secrètement collecté des données sur ses utilisateurs.

RÉCUPÉRATION DE L’ADRESSE MAC

Dans une enquête publiée mardi 11 août 2020, le quotidien américain explique que TikTok a tout bonnement contourné une règle de sécurité du système Android de Google afin de récupérer des identifiants uniques, les adresses MAC, de millions d’appareils mobiles sur lesquels tournait l’application. Pour parvenir à ce résultat sans se faire découvrir, TikTok a dû ajouter une couche supplémentaire de chiffrement dans le code de son application.

Une fois collectée, cet identifiant permet de traquer les utilisateurs en ligne. L’adress MAC est notamment utilisée pour la publicité ciblée, car il est difficile de les changer et elle permet donc d’identifier les smartphones même lorsque les utilisateurs changent leurs paramètres de confidentialité. En collectant en secret ces identifiants chez ses utilisateurs, TikTok passe outre leur volonté de refuser d’être pistés.

L’application de ByteDance aurait collecté cette adresse MAC pendant au moins 15 mois, selon le Wall Street Journal. Cette pratique abusive de collecte des données aurait cessé en novembre dernier lors d’une mise à jour de TikTok. La très populaire application de partage de vidéo ne réfute pas ces informations, mais elle se dit désormais engagée à protéger la confidentialité et la sécurité de sa communauté. Elle assure que sa version actuelle ne collecte pas les adresses MAC et ajoute n’avoir jamais transmis de données utilisateurs au gouvernement chinois.

Source: L’Usine Digitale

Si votre entreprise a subi une violation de données (si des données personnelles ont été, de manière accidentelle ou illicite, divulguées ou vous avez constaté un accès non autorisé à des données) vous devez le signaler à votre DPO, et en l'absence de DPO à la CNIL dans les 72 heures si cela est susceptible de représenter un risque sécuritaire pour les droits et libertés des personnes concernées.
De plus, si ces risques sont élevés pour ces personnes, vous devrez les en informer.