Camilla Jessen
TikTok a été condamné à une amende de 530 millions d’euros (570 millions de dollars)
TikTok a été condamné à une amende de 530 millions d’euros (570 millions de dollars) par l’Union européenne pour des violations des règles de protection des données du bloc.
La Commission irlandaise de protection des données (DPC), qui dirige l’application du RGPD pour TikTok dans l’UE, a imposé cette amende après avoir constaté que l’entreprise avait transféré illégalement les données des utilisateurs européens vers la Chine, où est basée la société mère ByteDance.
La DPC a déclaré que TikTok avait violé deux dispositions clés du Règlement Général sur la Protection des Données (RGPD) : l’article 46(1), relatif aux transferts internationaux de données, et l’article 13(1)(f), concernant les obligations de transparence.
Au total, le régulateur a imposé deux amendes administratives : 485 millions d’euros (522 millions de dollars) pour les violations liées au transfert de données, et 45 millions d’euros (48 millions de dollars) pour le manque d’information adéquate des utilisateurs.
TikTok a rejeté les conclusions de la DPC et a annoncé son intention de faire appel de la décision dans son intégralité.
Le régulateur européen évoque des « garanties insuffisantes »
Le commissaire adjoint de la DPC, Graham Doyle, a souligné que, selon le RGPD, les entreprises doivent garantir que tout transfert de données personnelles en dehors de l’Espace économique européen (EEE) assure un niveau de protection « essentiellement équivalent » à celui en vigueur dans l’UE.
« TikTok n’a pas réussi à vérifier, garantir ou documenter que les données accessibles par les employés en Chine étaient protégées selon un standard équivalent à celui de l’UE », a déclaré Doyle dans un communiqué, cité par Trend.
Il a ajouté que cela exposait les données des utilisateurs à un accès potentiel par les autorités chinoises en vertu de lois sur la sécurité nationale et la lutte contre le terrorisme.
TikTok dispose maintenant de six mois pour mettre ses pratiques de traitement de données en conformité ou pour cesser totalement le transfert de données des utilisateurs européens vers la Chine.
D’autres violations en cours d’examen
La DPC a également accusé TikTok d’avoir fourni des informations inexactes sur l’emplacement physique des données des utilisateurs.
Alors que l’entreprise affirmait auparavant que les données des utilisateurs européens n’étaient pas stockées en Chine, elle a reconnu en avril 2025 qu’une partie des données avait effectivement été localisée sur des serveurs en Chine jusqu’en février.
TikTok a depuis déclaré que ces données avaient été supprimées. Toutefois, la DPC évalue toujours l’incident et pourrait annoncer d’autres mesures coercitives.
« Nous consultons nos homologues européens pour déterminer quelle réponse réglementaire supplémentaire pourrait être nécessaire », a indiqué Doyle, selon TechRadar.
Réaction de TikTok
En réponse, TikTok a déclaré que la décision de la DPC se concentre sur des pratiques passées et ne tient pas compte de ses investissements récents en matière de sécurité.
L’entreprise a mis en avant son programme de protection des données de 12 milliards d’euros, baptisé Project Clover, lancé en 2023 et incluant la localisation des données, des audits par des tiers, et des restrictions d’accès aux données pour le personnel.
« Cette décision ne prend pas en compte de manière adéquate Project Clover – notre initiative de pointe pour protéger les données des utilisateurs européens », a déclaré Christine Grahn, responsable des affaires publiques et des relations réglementaires de TikTok en Europe.
« Elle concerne une période limitée antérieure à la mise en œuvre de Clover et ne reflète pas notre position actuelle en matière de sécurité. »