TikTok condamné à 530 millions d'euros pour des transferts de données illégaux vers la Chine

La Commission irlandaise de protection des données (DPC) a infligé une amende historique de 530 millions d’euros (environ 600 millions de dollars) à TikTok Technology Limited (TTL) à la suite d’une enquête approfondie sur la gestion des données personnelles des utilisateurs de la plateforme TikTok dans l’EEE vers la République populaire de Chine (« Chine »).

La pénalité imposée, l’une des plus importantes jamais infligées en vertu du Règlement général sur la protection des données (RGPD), fait suite à une enquête de quatre ans menée par la Commission irlandaise de protection des données (DPC), l’autorité de supervision principale de l’UE pour TikTok en raison de son siège européen à Dublin.

Table des matières

• Délai de conformité
• L’entreprise va faire appel

Délai de conformité

La décision impose également un délai de six mois à l’application populaire de partage de courtes vidéos pour amener son traitement en pleine conformité avec la législation de l’UE. Si l’entreprise ne respecte pas ce délai, elle pourrait faire face à une suspension de tous les transferts de données des utilisateurs de l’EEE vers la Chine.

« TikTok a enfreint le RGPD concernant ses transferts de données des utilisateurs de l’EEE [Espace économique européen] vers la Chine et ses exigences de transparence. La décision comprend des amendes administratives totalisant 530 millions d’euros et un ordre exigeant que TikTok amène son traitement en conformité dans un délai de 6 mois », a déclaré la DPC dans un communiqué vendredi.

Selon l’enquête de la DPC, TikTok, détenu par le géant technologique chinois ByteDance, n’a pas réussi à protéger adéquatement les données personnelles des utilisateurs de l’UE accessibles par des employés en Chine comme l’exige la législation de l’UE.

Plus précisément, TikTok a violé des dispositions clés du règlement, à savoir l’article 46(1) du RGPD, en ne validant pas adéquatement que les lois et pratiques chinoises offraient une protection « essentiellement équivalente » au sein de l’UE. Il a également violé l’article 13(1)(f) en ne renseignant pas correctement les utilisateurs sur les transferts de données et la nature du traitement impliqué.

« Les transferts de données personnelles de TikTok vers la Chine ont enfreint le RGPD car TikTok n’a pas vérifié, garanti et démontré que les données personnelles des utilisateurs de l’EEE, accessibles à distance par le personnel en Chine, bénéficiaient d’un niveau de protection essentiellement équivalent à celui garanti au sein de l’UE », a déclaré Graham Doyle, commissaire adjoint, tout en soulignant la gravité des conclusions.

TikTok avait identifié les lois chinoises — y compris la loi sur la lutte contre le terrorisme, la loi sur la lutte contre l’espionnage, la loi sur la cybersécurité et la loi sur le renseignement national — comme divergeant matériellement des normes de protection des données de l’UE. Malgré cela, la DPC a déclaré que l’entreprise n’avait pas mis en œuvre de mesures complémentaires efficaces ni effectué une analyse juridique complète, comme l’exige le RGPD. Une telle législation pourrait permettre l’accès du gouvernement aux données personnelles, compromettant ainsi les protections de la vie privée de l’UE.

La DPC a ajouté que TikTok avait affirmé tout au long de l’enquête qu’il ne stockait pas les données des utilisateurs de l’EEE sur des serveurs situés en Chine. Cependant, en avril 2025, TikTok a révélé qu’il avait découvert en février 2025 que certaines données de l’EEE avaient en fait été stockées sur des serveurs chinois, contredisant les déclarations précédentes de l’entreprise.

« La DPC prend très au sérieux ces développements récents concernant le stockage des données des utilisateurs de l’EEE sur des serveurs en Chine. Bien que TikTok ait informé la DPC que les données avaient maintenant été supprimées, nous envisageons quelles autres actions réglementaires pourraient être justifiées, en consultation avec nos homologues des autorités de protection des données de l’UE », a ajouté Doyle.

Christine Grahn, responsable des politiques publiques et des relations gouvernementales de TikTok pour l’Europe, a répondu en déclarant que l’entreprise n’était pas d’accord avec la décision de la DPC et qu’elle n’avait jamais fourni de données d’utilisateurs européens aux autorités chinoises et avait utilisé des mécanismes juridiques standard pour les transferts de données.

L’entreprise va faire appel

L’entreprise prévoit également de faire appel de la décision, arguant qu’elle ne prend pas suffisamment en compte les améliorations significatives en matière de sécurité des données introduites par le nouveau « Projet Clover » de TikTok, une initiative de gouvernance des données visant à améliorer la conformité.

Ce n’est pas la première fois que TikTok fait l’objet d’un examen concernant la confidentialité des données. En 2023, la DPC a infligé à TikTok une amende de 345 millions d’euros pour ne pas avoir protégé la vie privée des enfants, notamment en rendant les comptes des utilisateurs âgés de 13 à 17 ans publics par défaut, et en ne fournissant pas d’informations de transparence suffisantes sur les paramètres de confidentialité aux utilisateurs enfants, conformément aux règles du RGPD de l’UE.