TikTok a six mois pour se mettre en conformité mais le régulateur irlandais n’exclut pas une nouvelle amende puisque l’entreprise chinoise a délibérément menti au cours de la procédure. (Photo: Shutterstock)

TikTok a six mois pour se mettre en conformité mais le régulateur irlandais n’exclut pas une nouvelle amende puisque l’entreprise chinoise a délibérément menti au cours de la procédure. (Photo: Shutterstock)

Le régulateur irlandais de la protection des données (DPC) inflige une amende record à TikTok pour des manquements au RGPD concernant la transparence et la légalité des transferts de données des utilisateurs européens vers la Chine. La plateforme, qui a lancé son project Clover en 2023 pour se rapprocher des standards européens, a six mois pour se conformer.

530 millions d’euros, c’est le montant de l’amende infligée par la Data Protection Commission (DPC) irlandaise à TikTok, à l’issue d’une enquête portant sur la légalité et la transparence de ses transferts de données personnelles d’utilisateurs européens vers la Chine. Une sanction salée qui souligne la détermination des autorités européennes à faire respecter les règles du RGPD face aux géants numériques.

L’enquête de la DPC s’est penchée sur deux manquements distincts, chacun donnant lieu à une amende spécifique. D’un côté, 45 millions d’euros ont été infligés pour défaut de transparence sur les transferts de données, en violation de l’article 13(1)(f) du RGPD. De l’autre, 485 millions d’euros sanctionnent des transferts jugés illégaux vers la Chine, en infraction avec l’article 46(1) du même règlement.

Le premier manquement s’étend du 29 juillet 2020 au 1er décembre 2022, période durant laquelle la politique de confidentialité de TikTok ne mentionnait pas explicitement la Chine comme destination des données personnelles, ni ne détaillait la nature du traitement – notamment l’accès à distance par des employés basés en Chine. La DPC a considéré que l’entreprise avait rectifié cette lacune dans sa politique mise à jour en décembre 2022.

«La politique de confidentialité de TikTok en 2021 ne nommait pas les pays tiers, y compris la Chine, vers lesquels les données personnelles étaient transférées», souligne la DPC. «Elle ne précisait pas non plus que le traitement comprenait un accès à distance par du personnel basé en Chine.»

Ce n’est qu’en décembre 2022 que TikTok a modifié sa politique pour y inclure ces informations, mettant fin à cette période d’infraction.

Un niveau de protection jugé insuffisant

La part la plus lourde de l’amende, soit 485 millions d’euros, repose sur un constat plus grave: TikTok n’a pas démontré que les transferts de données vers la Chine offraient un niveau de protection «essentiellement équivalent» à celui garanti dans l’UE, comme l’exige le RGPD en l’absence de décision d’adéquation.

«TikTok n’a pas vérifié, garanti ni démontré que les données personnelles des utilisateurs de l’Espace économique européen, consultées à distance par du personnel en Chine, bénéficiaient d’un niveau de protection essentiellement équivalent à celui garanti au sein de l’Union européenne», a déclaré Graham Doyle, commissaire adjoint de la DPC.

TikTok n’a notamment pas suffisamment évalué les risques liés à l’accès potentiel par les autorités chinoises, dans un cadre juridique considéré comme incompatible avec les normes européennes. Le régulateur fait ainsi référence à des lois chinoises comme la loi sur la sécurité nationale ou la loi contre l’espionnage.

L’enquête a aussi révélé que TikTok avait transmis à la DPC des informations incorrectes: bien que l’entreprise ait affirmé ne pas stocker de données d’utilisateurs européens sur des serveurs chinois, elle a reconnu en février 2025 que des données avaient bel et bien été stockées en Chine, avant d’être supprimées. Ce revirement tardif pourrait donner lieu à de nouvelles sanctions.

La DPC ordonne à TikTok de se mettre en conformité dans un délai de six mois, sous peine de suspension de ses transferts de données vers la Chine. Une échéance serrée qui pourrait contraindre la plateforme à revoir en profondeur ses pratiques de traitement et d’hébergement des données, notamment dans le cadre de son projet de localisation des données, dit «Project Clover».

12 milliards sur dix ans

Cette initiative majeure lancée en 2023 pour renforcer la sécurité et la confidentialité des données des utilisateurs européens prévoit 12 milliards d'euros d’investissements sur dix ans pour mettre en place une infrastructure de données plus sécurisée et conforme aux normes européennes.

Objectifs principaux du Project Clover

- Stockage local des données: TikTok s'engage à stocker par défaut les données des utilisateurs européens dans une enclave européenne dédiée, hébergée dans des centres de données situés en Norvège, en Irlande et aux États-Unis.

- Contrôles d'accès renforcés: des passerelles de sécurité strictes sont mises en place pour garantir que les employés basés en Chine n'ont pas accès aux données sensibles, telles que les numéros de téléphone ou les adresses IP, stockées en Europe.

Surveillance indépendante: TikTok a fait appel au NCC Group, une société européenne spécialisée en cybersécurité, pour superviser et vérifier de manière indépendante les contrôles et protections des données. Le NCC Group est chargé de surveiller les flux de données, de fournir une vérification indépendante et de signaler toute anomalie. 

- Technologies de protection de la vie privée: le projet intègre des technologies avancées de protection de la vie privée, telles que la pseudonymisation et l'agrégation des données, pour renforcer la sécurité des informations personnelles.  

En avril 2025, TikTok a annoncé que tous les bâtiments de son centre de données en Norvège, situé à Hamar, sont désormais opérationnels. Ce centre joue un rôle clé dans le stockage sécurisé des données des utilisateurs européens.

De plus, TikTok prévoit d'investir 1 milliard d'euros pour construire un nouveau centre de données en Finlande, renforçant ainsi son infrastructure européenne et répondant aux exigences de localisation des données.

Articles Associés