Le régulateur irlandais inflige une amende de 530 millions d'euros à TikTok pour une infraction liée aux transferts de données
La Commission irlandaise de protection des données (DPC) a infligé une amende record de 530 millions d'euros à TikTok Technology Limited après avoir conclu que la société avait enfreint le Règlement général sur la protection des données (RGPD) en permettant l'accès à distance aux données des utilisateurs de l'Espace économique européen (EEE) depuis la Chine. La décision, annoncée le 30 avril 2025, est décrite comme un arrêt majeur sur l'interprétation des transferts internationaux de données au regard du RGPD.
Transferts de données par accès à distance
Au cœur de la décision du DPC se trouvait la conclusion selon laquelle le fait de permettre à du personnel situé dans des pays tiers, comme la Chine, d'accéder à distance aux données des utilisateurs de l'EEE constitue un « transfert de données » au sens du chapitre V du RGPD. Des employés basés en Chine ont été constatés avoir accédé à des données d'utilisateurs hébergées sur des serveurs à Singapour et aux États-Unis. Le DPC a déterminé que cet accès à distance plaçait effectivement les données sous la juridiction du droit chinois.
"Lorsque du personnel situé dans un pays tiers peut accéder à distance aux données d'utilisateurs de l'EEE, cet accès constitue en lui-même un 'transfert'", indique le document de décision.
TikTok a soutenu que les données étaient stockées en toute sécurité en dehors de la Chine et avait mis en place des garanties telles que l'authentification, l'autorisation et des contrôles d'audit. Les employés en Chine n'accédaient aux données que lorsque cela était nécessaire et devaient suivre des flux d'approbation stricts. Les permissions étaient accordées selon des rôles, pour une durée limitée, conformément aux directives internes de l'entreprise.
Malgré ces mesures, le DPC a estimé que TikTok n'avait pas rempli son obligation d'évaluer de manière suffisante la portée possible du droit chinois sur les données auxquelles on avait accédé. Le régulateur a conclu que TikTok avait violé l'article 46(1) du RGPD, qui régit la licéité des transferts internationaux de données.
Manquements de transparence dans la politique de confidentialité
En plus des violations liées aux transferts de données, TikTok a également été sanctionné pour ne pas avoir informé de manière adéquate les utilisateurs de ces pratiques. Le DPC a critiqué la politique de confidentialité pour l'EEE d'octobre 2021, qui ne nommait pas les pays où les données des utilisateurs pouvaient être consultées et ne précisait pas que du personnel en Chine pouvait traiter à distance des données stockées à Singapour et aux États-Unis. Ces manquements de transparence ont été jugés contraires à l'article 13(1)(f) du RGPD.
Bien que TikTok ait mis à jour sa politique de confidentialité en décembre 2022 après des échanges avec les autorités, les violations commises durant la période antérieure restaient significatives. Le manque de clarté empêchait les utilisateurs de comprendre comment leurs données personnelles étaient traitées et où elles pouvaient être consultées.
Répartition de l'amende et mesures correctives
L'amende de 530 millions d'euros infligée à TikTok comprend 485 millions d'euros pour des violations liées aux transferts de données et 45 millions d'euros pour des manquements en matière de transparence. Outre les sanctions financières, le DPC a ordonné à TikTok de mettre ses activités de traitement de données pleinement en conformité avec le chapitre V du RGPD dans un délai de six mois. La décision prévoit une suspension potentielle des flux de données vers la Chine si la mise en conformité n'est pas atteinte dans le délai imparti.
Les mesures correctives du DPC traitent également des obligations de conformité plus larges. TikTok doit mettre en œuvre des garanties solides afin de s'assurer que les futurs transferts de données respectent les normes du RGPD.
Implications plus larges pour la gouvernance des données
La décision du DPC établit un précédent important pour la gouvernance internationale des données, soulignant que l'accès à distance aux données d'utilisateurs de l'EEE par du personnel situé dans des pays tiers est soumis aux exigences strictes de transfert du RGPD. L'arrêt clarifie que le seul emplacement du stockage des données est insuffisant pour échapper aux obligations du RGPD si ces données peuvent être consultées par des personnes situées dans des pays dont la législation peut être en conflit avec les normes de protection des données de l'UE.
Cette décision concerne non seulement TikTok, mais sert aussi d'avertissement pour d'autres organisations permettant l'accès à distance à des données personnelles depuis des pays tiers. Les entreprises doivent désormais évaluer attentivement les cadres juridiques de ces pays et mettre en place des mesures supplémentaires au-delà des clauses contractuelles types pour garantir la conformité.
Défis internes de TikTok et écarts d'exactitude
Pour compliquer encore la situation, TikTok a informé le DPC en février 2025 que certaines données d'utilisateurs de l'EEE avaient été stockées sur des serveurs en Chine, contredisant des déclarations antérieures faites au cours de l'enquête. La société a indiqué avoir migré ces données vers Singapour en mars 2025 puis les avoir supprimées en Chine peu après. Bien que cette erreur n'ait pas affecté la portée de la décision d'avril 2025, le DPC a indiqué qu'il continuerait à engager des échanges avec TikTok sur ce sujet.
L'arrêt a également souligné les défis de conformité plus vastes auxquels sont confrontées les entreprises technologiques, en particulier celles aux opérations globales. Pour TikTok et d'autres entreprises dépendant des flux transfrontaliers de données, assurer le respect des normes du RGPD devient de plus en plus complexe.
Une décision majeure en matière d'application de la protection des données
L'amende de 530 millions d'euros infligée à TikTok est l'une des plus importantes jamais prononcées en vertu du RGPD et souligne l'intensification de la vigilance réglementaire en matière de pratiques de protection des données. Alors que les préoccupations concernant la vie privée des données continuent de croître, la décision marque une position ferme des autorités européennes à l'encontre des entreprises qui ne protègent pas suffisamment les informations des utilisateurs.
Pour les entreprises utilisant TikTok dans le cadre de leurs stratégies marketing numériques, cette décision met en lumière l'importance d'examiner attentivement les accords de partage de données et les protocoles de conformité. À l'avenir, les entreprises doivent s'assurer que leurs activités de traitement des données respectent les normes rigoureuses fixées par le RGPD afin d'éviter des sanctions similaires et des atteintes à leur réputation.
Geoffrey G.
