Mieux vaut savoir exactement où sont stockées les données personnelles des citoyens européens, sinon cela pourrait coûter cher. L’autorité irlandaise de protection des données (Data Protection Commissionner ou DPC) annonce aujourd’hui avoir infligé une amende de 530 millions d’euros à la société TikTok Ltd, qui édite le réseau social éponyme en Europe.
Des données personnelles transférées en Chine
Le gendarme irlandais des données personnelles reproche à TikTok d’avoir transféré les données personnelles de citoyens européens vers la Chine et de ne pas l’avoir révélé lors des premières questions posées à ce sujet par la DPC.
Comme l’explique un porte-parole de la DPC : « Les transferts de données personnelles de TikTok vers la Chine ont enfreint le RGPD car TikTok n’a pas vérifié, garanti et démontré que les données personnelles des utilisateurs de l’EEE, consultées à distance par le personnel en Chine, bénéficiaient d’un niveau de protection essentiellement équivalent à celui garanti au sein de l’UE. »
En outre, la DPC relève que lors des premières phases de son enquête ouverte en 2021, TikTok lui avait assuré que l’ensemble des données personnelles des citoyens européens étaient stockés au sein de l’union européenne. Avant de finalement se raviser : la société a expliqué avoir constaté qu’en février 2025, plusieurs employés chinois avaient accédé à des données appartenant à des citoyens européens depuis la Chine, exposant ceux ci aux lois chinoises.
Garanties juridiques
Pour pouvoir transférer des données en dehors de l’Union européenne, il faut les transférer vers des pays couverts par une « décision d’adéquation », un accord décerné par la Commission européenne qui reconnaît que le niveau de protection des données personnelles garanti par un pays hors de l’UE est suffisant. Pour l’instant, seuls 15 pays, parmi lesquels on retrouve le Japon, la Grande Bretagne ou les États Unis, disposent de ce type d’accord, et la Chine n’en fait pas partie.
Le transfert de données personnelles vers d’autres pays comme la Chine est possible, mais nécessite de demander l’autorisation aux personnes concernées et l’entreprise réalisant ce transfert doit s’assurer de mettre en place des obligations contractuelles supplémentaires afin de s’assurer que les droits des personnes concernées sur ces données sont d’un niveau équivalent à celui assuré au sein de l’union européenne.
TikTok souhaite faire appel
Dans son communiqué, TikTok conteste la décision de la DPC et fait part de son intention de faire appel de la décision. La société explique ainsi avoir suivi les règles, notamment en ayant recours au mécanisme des clauses contractuelles types pour encadrer le transfert de données personnelles. Ces clauses ont été conçues pour garantir le respect du droit européen et ont été validées par plusieurs cabinets juridiques et experts indépendants selon TikTok.
En outre, la société rappelle avoir mis en œuvre son projet Clover dès 2023, un projet qui vise à héberger l’ensemble des données personnelles de ses utilisateurs européens dans des centres de données basés au sein de l’UE, le tout placé sous la houlette de la société NCC. Un effort estimé à 12 milliards d’euros par la société chinoise, et qui lui a permis d’installer son premier datacenter européen en Norvège. Et TikTok regrette que cet effort n’ait pas été pris en compte par l’autorité irlandaise dans sa décision.