Transfert de données personnelles hors Europe : TikTok condamné pour violations du RGPD

Les opinions exprimées par l’auteur sont personnelles et n’engagent pas la Cour de justice de l’Union européenne

La filiale de ByteDance est mise en cause pour avoir illégalement procédé à des transferts de données en dehors de l’Europe et pour ne pas avoir communiqué toutes les informations nécessaires aux utilisateurs de la plateforme sur ces transferts.

La Data Protection Commission (DPC), l’équivalent de la Cnil en France, est l’autorité irlandaise chargée de la protection des données. Dans le cadre de ses missions, cette autorité s’occupe, notamment, de la bonne application du règlement européen pour la protection des données (RGPD)¹ et peut, à cet égard, ouvrir une enquête à l’encontre d’une entreprise ayant son siège social en Irlande, lorsque celle-ci y enfreint ledit règlement. C’est ainsi que, en septembre 2021, cette autorité a annoncé enquêter sur le réseau social TikTok, le soupçonnant de rendre illégalement accessibles des données européennes à des employés situés en Chine, via un accès à distance. Le 2 mai 2025, soit plus de trois ans après le début de l’enquête, la DPC a finalement rendu une décision définitive à l’encontre de TikTok, en lui infligeant la deuxième plus grosse amende jamais prise par cette autorité pour des transferts de données en dehors de l’Europe².

En vigueur depuis le 25 mai 2018 dans l’Espace économique européen (EEE), le RGPD encadre de manière très stricte le transfert de données vers un État tiers. Ainsi, le fait de transmettre ou de rendre accessible par un autre moyen des données à caractère personnel³ n’est autorisé que si la Commission européenne a précédemment constaté, par voie de décision, que cet État tiers assure un niveau de protection adéquat, c’est-à-dire équivalent substantiellement à celui garanti au sein de l’EEE⁴. À défaut, le RGPD prévoit que le responsable du traitement des données puisse procéder à ce transfert si celui-ci a prévu des garanties appropriées et si les personnes, dont les données sont concernées, disposent de droits opposables et de voies de recours effectives⁵.

La Commission n’ayant jamais pris de décision d’adéquation à l’égard de la Chine⁶, il appartenait donc à la société TikTok de démontrer, au cours de l’enquête de la DPC, qu’elle offrait des garanties appropriées lorsque les données étaient accessibles en Chine. À cet égard, il est intéressant de relever que TikTok s’était appuyé notamment sur des clauses contractuelles types de protection des données⁷ ; c’est-à-dire des clauses élaborées par la Commission pour les responsables de traitements de données, afin de leur faciliter la démonstration des garanties imposées par le RGPD lors de transfert de données vers un État tiers. En outre, TikTok venait également d’introduire son projet, très médiatisé, Clover (« trèfle », en anglais), qui visait, grâce à un investissement important de 12 milliards d’euros, à rapatrier en Europe l’ensemble des données des utilisateurs européens, jusqu’ici stockées aux États-Unis et à Singapour, mais aussi à en sécuriser davantage l’accès pour se conformer au RGPD.

Toutefois, ledit projet ne semble pas avoir convaincu la DPC, pas plus que la présence des clauses types de protection. En effet, cette autorité a considéré que TikTok n’avait pas correctement évalué la législation chinoise ni dans quelle mesure celle-ci pouvait compromettre un niveau adéquat de protection des données, ce qui l’avait donc empêchée de prendre des mesures appropriées. La DPC a ainsi pointé du doigt la loi contre l’espionnage, la loi sur la cybersécurité et la loi sur le renseignement national, qui, selon elle, ne présentaient pas les garanties de sécurité attendues par le droit européen.

L’autorité irlandaise a donc jugé opportun d’ordonner à TikTok d’arrêter le transfert de ses données vers la Chine et elle l’a condamnée à payer une amende de 485 millions d’euros.

La décision de la DPC constatait également que TikTok n’avait pas rempli ses obligations en matière de transparence. En effet, le RGPD prévoit que le responsable du traitement de données personnelles doit informer ses utilisateurs, lorsqu’il effectue un transfert de leurs données vers un État tiers, de l’existence d’une décision d’adéquation pour cet État ou, à défaut, des mesures prises pour garantir le respect de la protection de leurs données et de leurs droits⁸. Or, d’après la DPC, la politique de confidentialité de 2021 de TikTok ne mentionnait pas les États tiers vers lesquels les données étaient transférées, ni même que le traitement de ces données pouvait impliquer que du personnel, basé en Chine, ait accès aux données d’utilisateurs européens stockées aux États-Unis et à Singapour. On peut, néanmoins, saluer la réactivité de TikTok qui a très rapidement corrigé, en décembre 2022, les lacunes de sa politique de confidentialité, de sorte que la DPC a considéré que la violation de l’article 13 du RGPD ne courait que du 29 juillet 2020 au 1^er décembre 2022. Cette violation a tout de même valu à TikTok de recevoir une amende de 45 millions d’euros.

En définitive, la filiale de ByteDance devra payer la somme de 530 millions d’euros à l’Irlande pour ces deux violations du RGPD. De son côté, la société a immédiatement fait savoir, par l’intermédiaire de Christine Grahn, chargée des relations publiques pour TikTok Europe, qu’elle allait faire appel de cette décision et que celle-ci ne prenait pas suffisamment en compte le projet Clover ni les garanties de sécurité qu’un tel projet apportait aux utilisateurs. L’affaire risque probablement de se poursuivre pendant plusieurs années devant les juridictions irlandaises avant qu’un jugement définitif soit rendu.

Quant à la DPC, il n’est pas certain qu’elle en ait terminé avec l’entreprise chinoise puisque celle-ci a soutenu ne pas stocker de données en Chine, alors même qu’elle a informé ladite autorité en avril 2025 qu’en février de la même année des données y avaient été accidentellement stockées. La DPC pourrait prendre une nouvelle décision concernant ce manquement au RGPD, accidentel ou non…

Sept ans après son entrée en vigueur, le RGPD démontre assurément que le niveau de protection des données personnelles en Europe est aussi élevé qu’il peut sembler parfois difficile à mettre en place.

1. Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
2. Le groupe Meta décroche la première place avec une amende de 1,2 milliard d’euros, en 2023, pour des transferts de données vers les États-Unis.
3. Aucune définition du « transfert » n’est donnée dans le RGPD, mais celle-ci a été précisée par le Comité européen de la protection des données.
4. Article 45 du RGPD.
5. Article 46 du RPGD.
6. La Commission n’a pris une telle décision qu’à l’égard des États suivants : Canada, République de Corée, États-Unis, îles Féroé, Guernesey, Israël, Japon, Jersey, île de Man, Nouvelle-Zélande, Royaume-Uni, Suisse et Uruguay.
7. Article 46, paragraphe 2, sous c) du RGPD.
8. Considérant 108 et article 13, paragraphe 1, sous f), du RGPD.

Sources :

• Lentschner Keren, « Projet "Clover" : comment TikTok cherche à soigner son image en Europe », Le Figaro, 29 mai 2024.
• Gilchrist Noel, « The mystery of GDPR fines: where does the money go », Medium, October 10, 2024.
• Salak Aude, « Investissement de 12 milliards d’euros pour renforcer la sécurité des données en Europe », BlogDigital, 5 novembre 2024.
• « Irish Data Protection Commission fines TikTok €530 million and orders corrective measures following inquiry into transfers of EEA user data to China », Data Protection Commission, communiqué de presse, May 2, 2025.
• Grahn Christine, « Our response to the Irish Data Protection Commission Decision on data transfers », TikTok, May 2, 2025.
• Labro Thierry, « Amende de 530 millions d’euros contre TikTok », Paperjam, 2 mai 2025.