Le régulateur irlandais inflige une amende de 530 millions d'euros à TikTok pour violation des transferts de données
La Commission irlandaise de protection des données (DPC) a infligé une amende record de 530 millions d'euros à TikTok Technology Limited après avoir conclu que la société avait enfreint le Règlement général sur la protection des données (RGPD) en autorisant l'accès à distance aux données des utilisateurs de l'Espace économique européen (EEE) depuis la Chine. La décision, annoncée le 30 avril 2025, est présentée comme un arrêt majeur sur l'interprétation des transferts internationaux de données au regard du RGPD.
Transferts de données via l'accès à distance
Au cœur de la décision de la DPC se trouvait la conclusion selon laquelle permettre au personnel situé dans des pays tiers, comme la Chine, d'accéder à distance aux données des utilisateurs de l'EEE constitue un « transfert de données » au sens du chapitre V du RGPD. Des employés basés en Chine ont été identifiés comme ayant accédé à des données utilisateur stockées sur des serveurs à Singapour et aux États-Unis. La DPC a jugé que cet accès à distance plaçait effectivement les données sous la juridiction du droit chinois.
« Lorsque du personnel situé dans un pays tiers peut accéder à distance aux données des utilisateurs de l'EEE, cet accès constitue en lui‑même un 'transfert' », indique le document de décision.
TikTok a soutenu que les données étaient stockées en toute sécurité en dehors de la Chine et avait mis en place des garanties telles que des contrôles d'authentification, d'autorisation et d'audit. Les employés en Chine n'accédaient aux données que lorsque cela était nécessaire et devaient suivre des workflows d'approbation stricts. Les permissions étaient accordées selon des rôles, pour une durée limitée, conformément aux directives internes de l'entreprise.
Malgré ces mesures, la DPC a conclu que TikTok n'avait pas suffisamment évalué la portée potentielle du droit chinois sur les données ainsi accessibles. Le régulateur a estimé que TikTok avait enfreint l'article 46(1) du RGPD, qui encadre la licéité des transferts internationaux de données.
Manquements de transparence dans la politique de confidentialité
Outre les violations liées aux transferts de données, TikTok a également été sanctionné pour ne pas avoir suffisamment informé les utilisateurs de ces pratiques. La DPC a critiqué la politique de confidentialité pour l'EEE d'octobre 2021, qui ne mentionnait pas les pays où les données utilisateur pouvaient être consultées ni ne précisait que du personnel en Chine pouvait traiter à distance des données stockées à Singapour et aux États-Unis. Ces lacunes en matière de transparence ont été jugées contraires à l'article 13(1)(f) du RGPD.
Bien que TikTok ait mis à jour sa politique de confidentialité en décembre 2022 après des échanges avec le régulateur, les manquements antérieurs restent significatifs. Ce manque de clarté empêchait les utilisateurs de comprendre comment leurs données personnelles étaient traitées et où elles pouvaient être consultées.
Répartition de l'amende et mesures correctives
L'amende de 530 millions d'euros infligée à TikTok comprend 485 millions d'euros pour les violations liées aux transferts de données et 45 millions d'euros pour les manquements de transparence. Au-delà des sanctions financières, la DPC a ordonné à TikTok de mettre ses opérations de traitement des données en pleine conformité avec le chapitre V du RGPD dans un délai de six mois. La décision prévoit une suspension possible des flux de données vers la Chine si la mise en conformité n'est pas obtenue dans le délai imparti.
Les mesures correctives de la DPC portent également sur des obligations de conformité plus larges. TikTok doit mettre en place des garanties robustes pour s'assurer que les futurs transferts de données respectent les exigences du RGPD.
Implications plus larges pour la gouvernance des données
La décision de la DPC établit un précédent important en matière de gouvernance internationale des données, en soulignant que l'accès à distance aux données des utilisateurs de l'EEE par du personnel situé dans des pays tiers est soumis aux strictes exigences de transfert du RGPD. Le jugement clarifie que la seule localisation du stockage des données est insuffisante pour échapper aux obligations du RGPD si ces données peuvent être consultées par des personnes soumises à des lois susceptibles de contraster avec les normes de protection européennes.
Cette décision ne concerne pas seulement TikTok, elle constitue aussi un avertissement pour d'autres organisations qui autorisent l'accès à distance à des données personnelles depuis des pays tiers. Les entreprises doivent désormais évaluer attentivement les cadres juridiques de ces pays et mettre en œuvre des mesures supplémentaires au‑delà des clauses contractuelles types pour assurer leur conformité.
TikTok's Défis internes et écarts d'exactitude
Pour compliquer encore les choses, TikTok a informé la DPC en février 2025 que certaines données d'utilisateurs de l'EEE avaient été stockées sur des serveurs en Chine, ce qui contredisait des déclarations antérieures lors de l'enquête. L'entreprise a indiqué avoir migré les données vers Singapour en mars 2025 et avoir supprimé ces données en Chine peu après. Bien que cette erreur n'ait pas eu d'incidence sur le champ de la décision d'avril 2025, la DPC a indiqué qu'elle continuerait d'engager le dialogue avec TikTok sur ce point.
Le jugement a également mis en lumière les défis de conformité plus larges auxquels sont confrontées les entreprises technologiques, en particulier celles aux opérations mondiales. Pour TikTok et d'autres sociétés dépendantes de flux transfrontaliers de données, assurer le respect des normes du RGPD devient de plus en plus complexe.
Une décision historique en matière d'application de la protection des données
L'amende de 530 millions d'euros infligée à TikTok est l'une des plus importantes jamais prononcées au titre du RGPD et souligne la montée en puissance de la surveillance réglementaire des pratiques de protection des données. Alors que les préoccupations en matière de confidentialité des données s'intensifient, la décision marque la fermeté des autorités européennes envers les entreprises qui ne protègent pas suffisamment les informations des utilisateurs.
Pour les entreprises qui utilisent TikTok dans le cadre de leurs stratégies de marketing numérique, le jugement met en évidence l'importance d'examiner attentivement les accords de partage de données et les protocoles de conformité. À l'avenir, les entreprises doivent veiller à ce que leurs activités de traitement des données respectent les exigences strictes du RGPD afin d'éviter des sanctions similaires et des atteintes à leur réputation.
Geoffrey G.
