Après plusieurs semaines de rumeurs, le couperet est tombé : TikTok est bien sanctionné par la Data Protection Commission (DPC), l'équivalent irlandais de la Commission nationale de l'informatique et des libertés (Cnil), pour avoir enfreint plusieurs obligations du Règlement général sur la protection des données (RGPD).
Une amende de 530 millions d'euros
La filiale de ByteDance écope d'une amende record de 530 millions d'euros, répartie de la façon suivante : une amende de 45 millions d'euros pour violation de l'article 13(1)(f) du RGPD (obligation d'information sur les transferts de données) et une amende de 485 millions d'euros pour violation de l'article 46(1) du RGPD (obligations encadrant le transférer des données en dehors de l'Union européenne).
L'autorité irlandaise a ainsi jugé que les transferts de données personnelles des utilisateurs de TikTok vers la Chine ont enfreint le RGPD. "TikTok n'a pas vérifié, garanti et démontré que les données personnelles des utilisateurs de l'EEE, consultées à distance par le personnel en Chine, bénéficiaient d'un niveau de protection essentiellement équivalent à celui garanti au sein de l'UE", a détaillé Graham Doyle, le commissaire adjoint de la DPC. En ne remplissant pas cette obligation, le réseau social "n'a pas abordé l'accès potentiel des autorités chinoises aux données personnelles de l'EEE en vertu des lois chinoises antiterroristes, de contre-espionnage et autres lois identifiées par TikTok comme s'écartant sensiblement des normes de l'UE".
Le projet "Clover" ne convainc pas
L'autorité précise avoir pris en compte les changements en cours apportés par TikTok dans le cadre de son projet "Clover", un plan d'investissement de 12 milliards d'euros dédié à la construction de data centers sur le territoire européen afin d'y stocker les données des Européens. Or, malgré ces changements, la DPC a jugé approprié, nécessaire et proportionné d'ordonner la suspension des transferts de données et d'exiger de TikTok qu'il mette ses opérations de traitement en conformité avec le RGPD après "un délai de six mois à compter du délai de recours contre la décision finale".
TikTok est également condamné pour ne pas avoir respecté l'obligation de transparence. En effet, en 2021, sa politique de confidentialité ne mentionnait pas les pays tiers, dont la Chine, vers lesquels les données personnelles étaient transférées. De plus, elle ne précisait pas que le traitement incluait l'accès à distance aux données personnelles stockées à Singapour et aux États-Unis par du personnel basé en Chine.
Une nouvelle politique de confidentialité conforme
Depuis, le réseau social a mis à jour sa politique de confidentialité. Cette nouvelle politique identifie les pays vers lesquels les données des utilisateurs européens sont transférées et précise qu'elles sont stockées sur des serveurs aux Etats-Unis et à Singapour. Il est également indiqué que les données peuvent faire l'objet d'un accès à distance par les entités du groupe TikTok situées au Brésil, en Chine, en Malaisie, aux Philippines, à Singapour et aux Etats-Unis. Cette nouvelle politique de confidentialité est désormais conforme, conclut la DPC.
TikTok a annoncé son intention de faire appel de cette décision. "Cette décision risque de créer un précédent aux conséquences considérables pour les entreprises et les secteurs entiers à travers l'Europe qui opèrent à l'échelle mondiale", a dénoncé la firme chinoise.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
