L'autorité irlandaise de protection des données DPC (Data Protection Commission) a infligé une amende de 530 millions d'euros à la plate-forme vidéo TikTok pour violation de la protection des données. TikTok a transféré des données d'utilisateurs européens en Chine et a enfreint les exigences de transparence, a expliqué la DPC dans un communiqué le 2 mai.
Contexte de la procédure contre TikTok
Dans son rôle d'autorité de contrôle principale pour TikTok, la DPC a agi conformément à la procédure de guichet unique prévue à l'article 56 du RGPD. L'objet de l'enquête était d'une part la légalité des transferts de données vers des pays tiers conformément au chapitre V du RGPD, en particulier vers des pays sans décision d'adéquation de la Commission européenne.
D'autre part, l'autorité a examiné si TikTok avait correctement rempli son obligation de transparence conformément à l'article 13, paragraphe 1, point f) du RGPD.
Transferts illégaux de données vers la Chine
Selon les constatations de la DPC, TikTok a notamment enfreint l'article 46, paragraphe 1, du RGPD. La société n'a pas été en mesure de garantir de manière suffisante que les données à caractère personnel des utilisateurs de l'EEE bénéficient d'un niveau de protection "substantiellement équivalent" à celui du RGPD lorsqu'elles sont accessibles par des employés chinois.
Particulièrement critique : la propre évaluation de TikTok de la législation chinoise a déjà révélé des écarts considérables par rapport aux normes européennes de protection des données - par exemple par la loi antiterroriste chinoise, la loi de contre-espionnage et la loi nationale sur le renseignement.
Bien que TikTok ait utilisé des clauses contractuelles dites standard (CCS), la DPC a également constaté qu'aucune mesure de protection supplémentaire efficace n'avait été mise en place pour empêcher ou contrôler l'accès aux données par les autorités publiques chinoises. Les mesures techniques, organisationnelles et juridiques supplémentaires exigées dans le cadre de l'arrêt "Schrems II" de la CJCE n'avaient pas été suffisamment documentées ou mises en œuvre. Il s'agissait notamment du cryptage des données sensibles en cas d'accès à distance et de l'absence de protocoles d'accès transparents.
Cette lacune a conduit à la contestation de l'ensemble des pratiques de transmission de TikTok. La DPC a souligné que l'évaluation du droit chinois par TikTok elle-même ne permettait pas d'établir une "équivalence essentielle" avec le RGPD et qu'il manquait donc une base pour le choix et l'efficacité des mesures de sécurité.
Au cours de la procédure, TikTok a fait référence au programme d'infrastructure en cours "Project Clover", qui prévoit un stockage local des données au sein de l'UE (notamment en Irlande et en Norvège) ainsi que des mécanismes de contrôle indépendants. La DPC a reconnu que ce projet constituait une étape positive. Elle a toutefois continué à conditionner la poursuite des transferts de données vers la Chine à la mise en œuvre complète des mécanismes de protection conformes au RGPD.
Manque de transparence vis-à-vis des utilisateurs
Un élément central de la décision DPC concerne le manquement de TikTok à fournir aux utilisateurs de l'Espace économique européen des informations claires et complètes sur le traitement transfrontalier de leurs données à caractère personnel. En vertu de l'article 13, paragraphe 1, point f), du RGPD, les entreprises sont tenues d'informer de manière transparente les personnes concernées si leurs données sont transférées vers des pays tiers et, dans l'affirmative, de quelle manière ce transfert est effectué.
La directive sur la protection des données de TikTok d'octobre 2021 ne répondait pas à ces exigences sur des points essentiels : les pays tiers concrètement concernés - en particulier la Chine - n'étaient pas explicitement désignés, et les circonstances exactes des transferts de données n'étaient pas non plus divulguées. En particulier, il n'a pas été précisé que les transferts concernaient également des accès aux données à distance par des collaborateurs chinois, qui accédaient à des serveurs à Singapour et aux États-Unis. Ce manque de transparence a empêché les utilisateurs d'exercer leurs droits en matière de protection des données en toute connaissance de cause.
Au cours de la procédure, TikTok a révisé sa politique de confidentialité et a soumis à la DPC une nouvelle version datée de décembre 2022. Selon l'autorité, cette nouvelle version répondait aux exigences de l'article 13, paragraphe 1, point f), du RGPD, car elle ne se contentait pas de désigner nommément les pays tiers, mais précisait également le type d'accès et l'emplacement des serveurs. La violation constatée par la DPC concernait donc la période du 29 juillet 2020 au 1er décembre 2022, pendant laquelle TikTok n'a pas suffisamment respecté ses obligations de transparence.
Conseil de lecture : Infractions à la DMA - L'UE inflige 700 millions d'euros d'amendes à Apple et Meta
Informations erronées pendant la procédure
Un aspect particulièrement grave de la décision concerne la politique d'information déficiente de TikTok vis-à-vis du DPC pendant la procédure en cours. Dans le cadre de l'enquête, TikTok avait assuré à plusieurs reprises qu'aucune donnée à caractère personnel d'utilisateurs de l'EEE n'était stockée sur des serveurs en Chine. Ces assurances constituaient une base essentielle pour l'évaluation des flux de données par le DPC.
En avril 2025, TikTok a toutefois informé la DPC qu'elle avait déjà constaté en février 2025 qu'une quantité limitée de données d'utilisateurs de l'EEE avait été stockée sur des serveurs en Chine, contrairement aux assurances données précédemment. TikTok a expliqué que cela était dû à une erreur interne et à un malentendu dans la classification interne des données. Les données concernées ont depuis été supprimées.
La DPC a pris cette divulgation a posteriori très au sérieux. La décision souligne que la fourniture d'informations inexactes ou trompeuses dans le cadre des procédures de contrôle constitue un obstacle sérieux à un contrôle efficace. De telles informations erronées peuvent non seulement saper la confiance de l'autorité, mais aussi fausser considérablement l'évaluation des risques en matière de protection des données.
L'autorité a donc annoncé une procédure séparée pour examiner si le comportement de TikTok en ce qui concerne la notification tardive de la conservation des données justifie d'autres mesures de surveillance. Si un comportement intentionnel ou une négligence grave étaient constatés, cela pourrait conduire à des sanctions supplémentaires.
Une amende de plusieurs millions contre TikTok
La DPC a infligé une amende d'un montant total de 530 millions d'euros :
- 485 millions d'euros pour violation de l'article 46, paragraphe 1, du RGPD (transfert illégal de données),
- 45 millions d'euros pour violation de l'article 13, paragraphe 1, point f), du RGPD (manque de transparence).
TikTok a également été contraint de mettre toutes les opérations de traitement en conformité avec le RGPD dans les six mois suivant l'expiration du délai de recours. Dans le cas contraire, tous les transferts de données vers la Chine risquent d'être suspendus.
Évaluation de la procédure contre TikTok
La décision de la DPC a une portée qui dépasse largement le cadre de TikTok. Elle souligne les critères stricts pour les transferts internationaux de données depuis l'UE - en particulier vers les pays sans décision d'adéquation. Les entreprises sont tenues de procéder à des évaluations juridiques approfondies et de prendre des mesures techniques et organisationnelles garantissant un niveau de protection des données équivalent.
En outre, l'importance d'une information transparente des utilisateurs est à nouveau soulignée. Les politiques de protection des données doivent être claires, complètes et compréhensibles - en particulier en cas de traitement transfrontalier.
Enfin et surtout, cette décision montre que des déclarations incomplètes ou trompeuses aux autorités de surveillance peuvent avoir des conséquences importantes. La DPC examine déjà d'autres mesures réglementaires contre TikTok en raison de la divulgation tardive du stockage de données EEE en Chine.
🌍 Vous souhaitez réaliser un Transfer Impact Assessments (TIA) et évaluer le niveau de protection des données dans le pays destinataire et prendre les mesures nécessaires ? Alors, prenez contact avec nous ! Nous vous proposons une solution sur mesure.
French 
German 
English 
Italian