L'autorité irlandaise de protection des données DPC (Data Protection Commission) a infligé une amende de 530 millions d'euros à la plate-forme vidéo TikTok pour violation de la protection des données. TikTok a transféré des données d'utilisateurs européens en Chine et a enfreint les exigences de transparence, a expliqué la DPC dans un communiqué le 2 mai.
Contexte de la procédure contre TikTok
La DPC a agi dans son rôle de chef de file. Autorité de surveillance pour TikTok au sens de la procédure de guichet unique prévue à l'art. 56 RGPD. L'enquête a porté, d'une part, sur la légalité des transferts de données vers des pays tiers en vertu du chapitre V RGPD, en particulier dans les pays sans Décision d'adéquation de la Commission européenne.
D'autre part, l'autorité a examiné si TikTok avait respecté son obligation de transparence selon l'article 13, paragraphe 1, lettre f. RGPD s'est correctement acquitté de ses obligations.
Transferts illégaux de données vers la Chine
Selon les constatations de la DPC, TikTok a notamment violé l'article 46, paragraphe 1, de la loi sur la protection des données. RGPD n'a pas été respectée. La société n'a pas été en mesure de garantir de manière satisfaisante que données à caractère personnel d'utilisateurs de l'EEE bénéficient, en cas d'accès par des employés chinois, d'un niveau de protection équivalent à celui des RGPD est "substantiellement équivalente".
Particulièrement critique : la propre évaluation de TikTok de la législation chinoise a déjà révélé des écarts considérables par rapport aux normes européennes de protection des données - par exemple par la loi antiterroriste chinoise, la loi de contre-espionnage et la loi nationale sur le renseignement.
Bien que TikTok ait créé ce qu'on appelle des Clauses contractuelles types (SCC), la DPC a également constaté qu'aucune mesure de protection supplémentaire efficace n'avait été mise en place pour empêcher ou contrôler l'accès aux données par les autorités publiques chinoises. Les mesures prises dans le cadre de l'arrêt de la CJCE "Schrems II" n'avaient pas été suffisamment documentées ou mises en œuvre. Cela concernait notamment Cryptage des données sensibles en cas d'accès à distance, ainsi que l'absence de protocoles d'accès transparents.
Ce défaut a conduit à la contestation de l'ensemble de la pratique de transmission de TikTok. La DPC a souligné que l'évaluation du droit chinois par TikTok elle-même n'était pas une "essential equivalence" avec le RGPD et qu'il n'existe donc pas de base pour le choix et l'efficacité des mesures de sécurité.
Au cours de la procédure, TikTok a fait référence au programme d'infrastructure en cours "Project Clover", qui prévoit un stockage local des données au sein de l'UE (notamment en Irlande et en Norvège) ainsi que des mécanismes de contrôle indépendants. La DPC a reconnu que ce projet constituait une étape positive. Elle a toutefois continué à conditionner la poursuite des transferts de données vers la Chine à la mise en œuvre complète des mécanismes de protection conformes au RGPD.
Manque de transparence vis-à-vis des utilisateurs
Un élément central de la décision DPC concerne le manquement de TikTok à fournir aux utilisateurs de l'Espace économique européen des informations claires et complètes sur les services transfrontaliers. Traitement de leurs données personnelles. Conformément à l'art. 13, paragraphe 1, point f) RGPD les entreprises sont tenues d'informer de manière transparente les personnes concernées si leurs données sont transférées vers des pays tiers et, le cas échéant, vers quels pays tiers et comment ces transferts sont effectués. Transmission est effectuée.
La directive sur la protection des données de TikTok d'octobre 2021 ne répondait pas à ces exigences sur des points essentiels : les pays tiers concrètement concernés - en particulier la Chine - n'étaient pas explicitement désignés et les circonstances exactes des transferts de données n'étaient pas divulguées. En particulier, il n'était pas clair que les transferts concernaient également des accès à distance aux données par des collaborateurs chinois, qui étaient basés sur des données de la société. Serveur à Singapour et aux États-Unis. Ce manque de Transparence empêchait les utilisateurs d'exercer leurs droits en matière de protection des données en toute connaissance de cause.
Au cours de la procédure, TikTok a révisé sa politique de confidentialité et a soumis à la DPC une nouvelle version datée de décembre 2022. L'autorité a estimé que cette nouvelle version répondait aux exigences de l'article 13, paragraphe 1, point f). RGPDLa DPC a fait preuve d'une grande prudence dans l'identification des pays tiers, en précisant le mode d'accès et l'emplacement des serveurs. Le constat fait par la DPC Violation concernait ainsi la période du 29 juillet 2020 au 1er décembre 2022, au cours de laquelle TikTok n'a pas suffisamment respecté ses obligations de transparence.
Conseil de lecture : Infractions à la DMA - L'UE inflige 700 millions d'euros d'amendes à Apple et Meta
Informations erronées pendant la procédure
Un aspect particulièrement grave de la décision concerne la politique d'information déficiente de TikTok vis-à-vis du DPC pendant la procédure en cours. Dans le cadre de l'enquête, TikTok avait assuré à plusieurs reprises qu'aucune donnée à caractère personnel d'utilisateurs de l'EEE n'était stockée sur des serveurs en Chine. Ces assurances constituaient une base essentielle pour l'évaluation des flux de données par le DPC.
En avril 2025, TikTok a toutefois informé la DPC qu'elle avait déjà constaté en février 2025 qu'une quantité limitée de données d'utilisateurs de l'EEE avait été stockée sur des serveurs en Chine, contrairement aux assurances données précédemment. TikTok a expliqué que cela était dû à une erreur interne et à un malentendu dans la classification interne des données. Les données concernées ont depuis été supprimées.
La DPC a pris cette divulgation a posteriori très au sérieux. La décision souligne que la fourniture d'informations inexactes ou trompeuses dans le cadre des procédures de contrôle constitue un obstacle sérieux à un contrôle efficace. De telles informations erronées peuvent non seulement saper la confiance de l'autorité, mais aussi fausser considérablement l'évaluation des risques en matière de protection des données.
L'autorité a donc annoncé une procédure séparée pour examiner si le comportement de TikTok en ce qui concerne la notification tardive de la conservation des données justifie d'autres mesures de surveillance. Si un comportement intentionnel ou une négligence grave étaient constatés, cela pourrait conduire à des sanctions supplémentaires.
Une amende de plusieurs millions contre TikTok
La DPC a imposé une Amende d'un montant total de 530 millions d'euros :
- 485 millions d'euros pour violation de l'article 46(1) RGPD (transfert illégal de données),
- 45 millions d'euros pour violation de l'article 13, paragraphe 1, point f) RGPD (manque de Transparence).
TikTok a également été contraint, dans un délai de six mois à compter de l'expiration du délai de réclamation, de supprimer toutes les opérations de traitement impliquant la RGPD de se mettre en conformité. Dans le cas contraire, tous les transferts de données vers la Chine risquent d'être suspendus.
Évaluation de la procédure contre TikTok
La décision de la DPC a une portée qui dépasse largement le cadre de TikTok. Elle souligne les normes strictes pour les transferts internationaux de données depuis l'UE - en particulier vers les pays sans Décision d'adéquation. Les entreprises sont tenues de procéder à des évaluations juridiques approfondies et de prendre des mesures techniques et organisationnelles garantissant un niveau de protection des données équivalent.
En outre, l'importance d'une information transparente des utilisateurs est à nouveau soulignée. Les directives relatives à la protection des données doivent être claires, complètes et compréhensibles - en particulier en cas d'utilisation transfrontalière. Traitement.
Enfin et surtout, cette décision montre que des informations incomplètes ou trompeuses fournies aux autorités de surveillance peuvent avoir des conséquences importantes. La DPC examine déjà d'autres mesures réglementaires contre TikTok en raison de la divulgation tardive du stockage de données EEE en Chine.
🌍 Vous souhaitez réaliser un Transfer Impact Assessments (TIA) et évaluer le niveau de protection des données dans le pays destinataire et prendre les mesures nécessaires ? Alors, prenez contact avec nous ! Nous vous proposons une solution sur mesure.
German 
English 
Italian 
French