La Commission irlandaise de protection des données (DPC) a infligé une amende de 530 millions d’euros à TikTok (plus de 601 millions de dollars) pour avoir transféré illégalement les données personnelles des utilisateurs de l’Espace économique européen (EEE) vers la Chine, en violation des réglementations de l’Union européenne sur la protection des données GDPR.
Les amendes administratives infligées par l’organisme de surveillance irlandais consistent en une amende de 485 millions d’euros pour sa violation de l’article 46(1) du RGPD concernant la légalité des transferts de données vers la Chine et une amende de 45 millions d’euros pour sa violation de l’article 13(1)(f) concernant le manque de transparence.
TikTok a également reçu l’ordre de mettre son traitement de données en conformité dans un délai de six mois, le DPC prévoyant de suspendre tous les transferts de données vers la Chine si l’entreprise ne met pas à jour ses politiques à temps.
Les responsables de DPC ont souligné que le problème allait au-delà de la localisation des serveurs et concernait également le risque que les autorités chinoises puissent accéder aux données des utilisateurs européens en vertu des lois nationales concernant le terrorisme et l’espionnage, qui contreviennent aux normes de l’UE.
« Les transferts de données personnelles de TikTok vers la Chine ont enfreint le RGPD car TikTok n’a pas vérifié, garanti et démontré que les données personnelles des utilisateurs de l’EEE, accessibles à distance par le personnel en Chine, bénéficiaient d’un niveau de protection essentiellement équivalent à celui garanti au sein de l’UE », a déclaré Graham Doyle, commissaire adjoint de la DPC.
« En raison de l’incapacité de TikTok à entreprendre les évaluations nécessaires, TikTok n’a pas abordé l’accès potentiel des autorités chinoises aux données personnelles de l’EEE en vertu des lois chinoises de lutte contre le terrorisme, de contre-espionnage et d’autres lois identifiées par TikTok comme s’écartant sensiblement des normes de l’UE. »
Le DPC a ajouté que TikTok avait affirmé au cours de l’enquête qu’il ne stockait pas les données des utilisateurs de l’Espace économique européen (EEE) sur des serveurs situés en Chine.
Cependant, en avril 2025, TikTok a révélé qu’il avait découvert en février 2025 que certaines données d’utilisateurs de l’EEE avaient été stockées sur des serveurs en Chine, contredisant les déclarations antérieures de l’entreprise.
« Le DPC prend très au sérieux ces récents développements concernant le stockage des données des utilisateurs de l’EEE sur des serveurs en Chine », a déclaré Doyle dans un communiqué vendredi. « Bien que TikTok ait informé la DPC que les données avaient maintenant été supprimées, nous examinons quelles autres mesures réglementaires pourraient être justifiées, en consultation avec nos homologues des autorités européennes de protection des données. »
TikTok va faire appel de la décision de la DPC
Cependant, Christine Grahn, Responsable des Politiques publiques et des Relations gouvernementales de TikTok pour l’Europe, a déclaré que la société n’était pas d’accord avec la décision du DPC et qu’elle envisageait de faire appel car elle ne tenait pas compte de la nouvelle initiative de sécurité des données Project Clover de TikTok.
« Dans le cadre du projet Clover, TikTok a mis en œuvre des technologies avancées d’amélioration de la confidentialité (PETs), telles que le cryptage à l’accès et la confidentialité différentielle, pour garantir que les données non restreintes sont anonymisées avant d’être accessibles aux employés en Chine », a déclaré Grahn. « De manière cruciale, des experts indépendants en cybersécurité du Groupe NCC ont vérifié que ces mesures de protection fonctionnent comme prévu. »
Il s’agit de la troisième amende la plus importante infligée à ce jour par l’autorité irlandaise de protection des données, après avoir sanctionné Amazon de 746 millions d’euros pour ses pratiques de publicité comportementale ciblée et Facebook de 1,2 milliard d’euros pour le transfert de données d’utilisateurs basés dans l’UE vers les États-Unis.
Auparavant, TikTok avait été condamné à une amende de 345 millions d’euros (368 millions de dollars) par le DPC pour violation de la vie privée des enfants lors du traitement de leurs données et de l’utilisation de « schémas sombres » lors du processus d’inscription et lors de la publication de vidéos, incitant les utilisateurs à sélectionner des options qui compromettaient leur vie privée.
En janvier 2023, TikTok a également été condamné à une amende de 5 millions d’euros (5,4 millions de dollars) par l’autorité française de protection des données (CNIL) pour ne pas avoir correctement informé les utilisateurs de son utilisation des cookies et avoir rendu difficile l’opt-out.