ByteDance à nouveau sous les projecteurs aux États-Unis. Le groupe chinois est accusé d’avoir collecté, via son application de montage vidéo CapCut, les données biométriques de plus de 200 millions d’utilisateurs sans leur consentement. Une plainte a été déposée le 28 juillet dans l’État de l’Illinois pour violation du Biometric Information Privacy Act (BIPA). Il s’agit de la seule loi américaine portant sur la confidentialité des informations biométriques.

Une politique de confidentialité jugée trop floue

Lancée en 2020, CapCut est une plateforme permettant de monter et d’éditer des vidéos, puis d’y ajouter des filtres. Elle est rapidement devenue l’une des applications les plus téléchargées, dépassant même sa grande sœur TikTok. Elle connaît un succès fulgurant dans de nombreux pays, notamment aux États-Unis. Rien qu’en 2022, 400 millions d’Américains l’ont téléchargée sur leur smartphone, souligne une étude de Sensor Tower.

Ce sont justement trois adeptes de l’application qui ont porté plainte contre ByteDance et CapCut. Ils affirment ne pas avoir été informés de la politique de confidentialité de la plateforme et ne jamais avoir donné leur consentement pour la collecte de certaines de leurs données. Un des plaignants, alors âgé de douze ans, a pu utiliser l’application sans créer de compte. Aucune autorisation parentale n’a été requise.

CapCut aurait ensuite collecté, sans les informer, certaines de leurs données biométriques comme des scans de leurs visages ou leur empreinte vocale. L’application se serait procuré d’autres informations liées à leurs médias, leur localisation, leur date de naissance et leur genre. Elle aurait aussi eu accès à des renseignements poussés sur leurs appareils, dont leur adresse MAC et le numéro de série de leur carte SIM. Toutes ces données auraient servi à diffuser des annonces ciblées.

« Les accusés ont utilisé des logiciels automatisés, des algorithmes propriétaires, l’intelligence artificielle, la reconnaissance faciale et d’autres technologies pour tirer un profit commercial de l’identité des plaignants », souligne le document. Est également pointée du doigt la politique de confidentialité de CapCut. Selon une enquête effectuée par les avocats, elle a été conçue de manière qu’il soit difficile pour les utilisateurs de la comprendre et de donner un « consentement significatif et explicite ».

Des données envoyées en Chine ?

Le transfert des données est un des nombreux points soulevés dans le document. La partie plaignante estime que, puisque ByteDance a son siège à Pékin, la société pourrait être contrainte de partager les données de CapCut avec le gouvernement chinois. Elle cite par ailleurs le témoignage de Yintao Yu, un ancien responsable de la maison-mère. Dans une plainte en date de mai 2023, il accuse l’entreprise chinoise de « servir d’outil de propagande pour le parti communiste chinois » (PCC). Selon lui, ce dernier « avait en permanence un accès suprême à toutes les données de l’entreprise, y compris les données stockées aux États-Unis ».

Cette nouvelle plainte ne risque pas d’arranger le cas de ByteDance. Plusieurs gouvernements occidentaux ont déjà pointé du doigt la manière dont l’organisation chinoise collecte et exploite les données personnelles des utilisateurs de TikTok. Les États-Unis se sont particulièrement penchés sur le sujet, exigeant que les informations soient stockées sur des serveurs situés sur leur territoire.

Malgré les efforts qui ont été faits, le gouvernement américain estime que le data center de ByteDance, situé dans l’État de Virginie, présente encore d’importantes failles de sécurité. Pour cette raison, plusieurs États américains souhaitent interdire l’application. Le Montana a, lui, déjà pris les mesures nécessaires pour que la plateforme ne soit plus accessible à compter du 1er janvier 2024.