TikTok manque à ses obligations en matière de protection de la vie privée : amende de 530 millions d’euros pour transferts de données vers la Chine
En mai 2025, TikTok a reçu une amende record de pas moins de 530 millions d’euros de la part de la Data Protection Commission (DPC) irlandaise. La raison en est que la plateforme a violé le règlement européen RGPD sur deux points. Elle n’a pas suffisamment protégé les données des utilisateurs européens contre un accès depuis la Chine et les utilisateurs n’ont pas été suffisamment informés à ce sujet.
Comment cela a-t-il pu se produire?
Le problème résidait dans la manière dont TikTok traitait les données personnelles des utilisateurs européens. Pendant des années, des employés en Chine ont eu un accès à distance à des données sensibles d’utilisateurs de l’UE, telles que les noms, numéros de téléphone, données de localisation et comportement sur la plateforme. En vertu du RGPD, cela n’est autorisé que si le pays destinataire offre un niveau de protection équivalent à celui garanti au sein de l’UE.
Cependant, TikTok n’a pas été en mesure de garantir un tel niveau de protection. Selon la DPC, les clauses contractuelles utilisées étaient insuffisantes, notamment au regard des lois chinoises relatives au renseignement national et à la cybersécurité, qui sont en contradiction avec les principes européens en matière de protection des données.
La sanction
La sanction se compose d’une amende substantielle de 530 millions d’euros, répartie en deux parties :
- 485 millions d’euros pour violation des règles relatives aux transferts internationaux de données (article 46 RGPD)
- 45 millions d’euros pour manque de transparence envers les utilisateurs (article 13 RGPD)
Conséquences juridiques
TikTok souligne qu’elle a depuis pris des mesures afin de mieux protéger la vie privée des utilisateurs européens. Depuis 2023, l’entreprise a investi dans le projet Clover, une initiative visant à stocker les données personnelles des utilisateurs de l’UE exclusivement sur des serveurs européens, sous un contrôle local strict. Toutefois, l’autorité irlandaise de contrôle a estimé que ce projet intervenait trop tard pour justifier ou corriger les violations antérieures. TikTok a depuis introduit un recours contre la décision. L’entreprise nie avoir jamais transféré des données au gouvernement chinois et affirme n’avoir jamais reçu de demande en ce sens.
Que pouvons-nous en retenir ?
Les transferts internationaux de données nécessitent plus que des formalités juridiques. Des garanties concrètes sont essentielles, en particulier lorsque les données sont transférées vers des pays disposant d’un cadre juridique différent.
La transparence est cruciale. Les utilisateurs ont le droit de savoir clairement qui a accès à leurs données et depuis quel pays.
La confiance est fragile. Même si les données ne sont pas activement utilisées à mauvais escient, un manque de contrôle ou de communication peut entraîner des dommages réputationnels importants.
Le principe de « privacy by design » est essentiel. Il est préférable d’agir de manière proactive plutôt que de tenter de corriger les problèmes après coup. Les mesures de sécurité doivent être intégrées dès le départ, et non ajoutées en réaction à une crise.
Comment NormNest peut vous aider
Souhaitez-vous plus d’informations ou un conseil d’expert ? Prenez rendez-vous sans engagement avec l’un de nos collaborateurs.