L'Irish Data Protection Commission (DPC) a décidé que la société avait violé le règlement général de la protection des données de l'Union européenne (RGPD) à la suite d'une enquête complète sur la plate-forme de partage de vidéos Tiktok. La Commission a constaté que Tiktok ne remplissait pas les obligations de transparence et de sécurité dans le transfert des données de ses utilisateurs vers la Chine pour les utilisateurs de l'espace économique européen (AEA). Dans ce contexte, un total de 530 millions d'euros a été condamné à une amende de l'entreprise. La décision a été annoncée au public en avril 2025.
485 millions d'euros de pénalité ont été accordés en raison du manque de protection adéquate dans le transfert des données de l'AEA à la Chine. Les 45 millions d'euros restants étaient liés au fait que les obligations d'informations sur l'utilisateur n'étaient pas remplies. Il a été souligné que Tiktok ne se comportait pas assez clairement dans les processus de traitement des données et était incomplet pour informer les utilisateurs. En conséquence, la société a violé les articles 46 (1) et 13 (1) du RGPD.
Dans une déclaration faite par la Commission, les données des utilisateurs de l'AEA de Tiktok fournissent un accès à distance au personnel en Chine, mais cet accès ne contrôlait pas si les normes de sécurité des données en Europe. Les responsables du DPC ont déclaré que les réglementations juridiques sur la lutte contre le terrorisme et l'espionnage en Chine présentent un risque grave de sécurité des données personnelles. Cela indique que les données envoyées d'Europe ne sont pas suffisamment protégées. Pour cette raison, les pratiques actuelles de Tiktok contredisent clairement les réglementations de l'UE.
L'affirmation de Tiktok qu'il a gardé en Chine a contredit les anciennes déclarations de la société
Au cours de l'enquête, Tiktok a affirmé que les données des utilisateurs de l'AEA n'étaient pas stockées en Chine. Cependant, à la suite d'un examen interne en février, il s'est avéré que les données d'un nombre limité d'utilisateurs européens ont été trouvées sur des serveurs en Chine. Cette détermination a remis en question l'exactitude des informations précédentes de l'entreprise. Bien que les données pertinentes aient été rapportées plus tard, cela a amené le DPC à évaluer les sanctions supplémentaires.
Tiktok a annoncé qu'il s'opposerait à la décision. Christine Grahn, présidente des politiques publiques et des relations gouvernementales européennes, a déclaré que la décision ne prenait pas en compte le programme de sécurité des données «Project Clover. Dans le cadre de ce projet, qui a été lancé en 2023, Tiktok visait à accroître la sécurité des données des utilisateurs en établissant des centres de données locaux en Europe. Selon Grahn, la pénalité est basée sur les pratiques passées et ne reflète pas l'infrastructure de sécurité actuelle.
En tout cas, la tentative de «Clover» de Tiktok n'a pas été suffisante pour empêcher cette punition. La Commission considère non seulement les projets d'infrastructure, mais également son impact sur la mise en œuvre dans ses évaluations. De ce point de vue, on voit que la décision prise soulève de nouvelles questions sur l'efficacité des politiques de sécurité actuelles. Il est également possible pour d'autres sociétés technologiques opérant dans l'UE dans le cadre de l'examen d'applications similaires.
La décision du DPC n'impose pas seulement une amende à Tiktok. Dans le même temps, l'entreprise doit rendre les activités de traitement des données compatibles avec le PIB dans les six mois. Sinon, il pourrait être à l'ordre du jour d'arrêter complètement le transfert des données de l'Europe vers la Chine. Cela peut affecter directement les opérations de l'entreprise en Europe.
Tiktok avait déjà été à l'ordre du jour en raison de violations similaires. En 2023, l'enfant a été condamné à 345 millions d'euros au motif qu'il ne protégeait pas adéquatement l'intimité des utilisateurs. Cette décision finale est d'être la peine la plus élevée accordée à Tiktok en Europe. D'un autre côté, cela montre que les autorités de protection des données resserrent encore leurs audits sur les entreprises technologiques.
En outre, d'autres enquêtes sur la Commission européenne en vertu de la loi sur les marchés numériques (DMA) se poursuivent. En particulier, les applications de gestion des données des grandes sociétés technologiques se sont concentrées sur. Ces développements peuvent être un signe avant-coureur de nouvelles réglementations qui façonneront l'avenir des services numériques en Europe.
