Depuis un an, NCC Group, société leader en cybersécurité, est le fournisseur indépendant de sécurité du Projet Clover, notre initiative européenne de sécurité des données.
Au cours des dix prochaines années, plus de 12 milliards d'euros vont être investi dans ce programme inédit. Ceci représente un engagement sans précédent pour protéger les données de nos 150 millions d'utilisateurs européens.
NCC Group supervise, vérifie et contrôle, de manière indépendante, nos contrôles et protections des données; surveille les flux de données; fournit une vérification indépendante et signale toute anomalie. Il s'agit d'un niveau de transparence et de contrôle sans égal parmi les plateformes en ligne.
Des protections supplémentaires pour les données de nos utilisateurs européens
Avant la mise en place du Projet Clover, TikTok appliquait déjà des protocoles de sécurité stricts qui garantissaient que les employés ne pouvaient accéder qu'aux données dont ils avaient besoin pour effectuer leur travail, dans des conditions strictes et pour une durée limitée.
Dans le cadre du Projet Clover, TikTok a mis en place des protections supplémentaires pour les données de ses utilisateurs européens. Ces protections comprennent des passerelles de sécurité conçues pour appliquer des protocoles techniques afin que seuls les employés autorisés puissent accéder à certains types de données. Depuis l'été dernier, des mécanismes de sécurité ont été mis en place pour garantir que les données restreintes - telles que les adresses e-mail et IP - stockées dans notre enclave de données européenne- ne puissent être consultées par des employés basés en Chine. NCC Group a été largement impliqué dans le développement de ces passerelles de sécurité, notamment en examinant les règles relatives aux ensembles de données et en inspectant le code des passerelles. Aussi, il inspectera toute mise à jour du code. Le contrôle des flux de données à travers les passerelles de sécurité à débuté.
Tests de sécurité
NCC Group a réalisé des évaluations initiales et des tests de vulnérabilité de l'architecture de sécurité du projet Clover en cours de développement. Ces tests permettent d'identifier les problèmes potentiels et de les résoudre conformément aux recommandations de NCC Group, au fur et à mesure de la mise en œuvre du Projet Clover. Au cours de la période couverte par le présent rapport, NCC Group n'a rencontré aucun incident et n'a découvert aucune vulnérabilité critique. Un résumé de ses conclusions figure dans notre rapport trimestriel concernant la mise en application des directives communautaires. NCC Group poursuivra ces évaluations de sécurité de manière continue.
Enclave de données européennes
Nous avons commencé à stocker par défaut les données des utilisateurs européens dans enclave européenne sécurisée. Ces données sont actuellement hébergées sur des serveurs situés dans des centres de données américains, irlandais et norvégiens. NCC Group a inspecté nos centres de données destinées au Project Clover aux États-Unis et en Irlande.
Technologies d'amélioration de la confidentialité
TikTok travaille également avec NCC Group pour intégrer des technologies d'amélioration de la protection de la vie privée (PET) dans ces procédures déjà robustes. Il s'agit notamment de la pseudonymisation des données autorisées qui peuvent devoir circuler à l'échelle mondiale, de sorte qu'une personne ne puisse pas être identifiée à partir de ces données; de l'agrégation de points de données individuels dans de grands ensembles de données et de la confidentialité différentielle pour empêcher l'établissement d'un lien entre les informations pertinentes et des personnes en particulier. NCC Group procédera à une validation continue de l'efficacité de ses PET au fur et à mesure de leur mise en œuvre.
Stephen Bailey, directeur mondial de la protection de la vie privée, NCC Group :
« Dans le cadre du Projet Clover, nous disposons d'un important réseau d'employés issus de nos équipes de cybersécurité, de protection des données et de sécurité physique de toute l'Europe, qui se réunissent pour collaborer à ce programme complexe et de haut niveau. L'ampleur et la portée de ce programme, ainsi que l'étendue de la surveillance que nous exerçons sur les systèmes de TikTok, sont véritablement sans précédent et nous sommes impatients de continuer à jouer notre rôle dans la mise en œuvre des normes de sécurité des données renforcées que TikTok met actuellement en place ».