Après une amende record de 530 millions d’euros infligée en mai dernier pour des violations du RGPD, TikTok est de nouveau dans la tourmente. L’autorité irlandaise de protection des données (DPC) vient d’annoncer l’ouverture d’une nouvelle enquête, cette fois pour des soupçons de stockage illégal de données européennes sur des serveurs situés en Chine. Ce transfert de données de TikTok vers la Chine pose de nombreuses inquiétudes. Au-delà du cas TikTok, c’est toute la question de la souveraineté numérique européenne qui est relancée, dans un contexte de méfiance croissante vis-à-vis des plateformes chinoises.
Un non-respect flagrant du RGPD ?
Le nouveau volet de l’affaire démarre en février 2025, lorsqu’un bug ou une mauvaise configuration permet à TikTok de stocker — et non plus seulement d’accéder à distance — des données d’utilisateurs européens sur des serveurs localisés en Chine. Or, selon le RGPD, tout transfert vers un pays tiers non reconnu comme « adéquat » (ce qui est le cas de la Chine) doit répondre à des exigences strictes.
La DPC irlandaise, qui pilote les enquêtes en raison du siège européen de TikTok à Dublin, souhaite désormais évaluer si TikTok a respecté les obligations du chapitre V du RGPD, qui encadre les transferts internationaux de données. Cette nouvelle enquête pourrait conduire à une sanction encore plus sévère.
Pourquoi cette enquête change la donne.
Jusqu’à présent, TikTok plaidait la bonne foi : aucun hébergement en Chine, seulement un accès ponctuel à distance pour certaines équipes techniques. Cette ligne de défense est aujourd’hui affaiblie. S’il s’avère que des données ont bien été physiquement stockées en Chine — même temporairement ou partiellement — cela changerait la nature juridique des faits et exposerait l’entreprise à des sanctions bien plus lourdes.
En réalité, cette affaire illustre les limites des promesses de découplage des données (« data localization ») faites par les GAFAM ou leurs équivalents asiatiques. L’Europe, qui tente de renforcer sa souveraineté numérique, voit dans ce cas une alerte sérieuse : comment garantir le respect de ses lois si les infrastructures techniques restent hors de portée ?
Ce que cela implique pour les entreprises européennes.
Pour les entreprises européennes, notamment les PME, collectivités et administrations, cette affaire souligne les risques liés à l’utilisation d’outils numériques dont les infrastructures sont partiellement contrôlées à l’étranger. Le RGPD devient ici un levier stratégique de choix technologiques : hébergement local, fournisseurs cloud « de confiance », clauses contractuelles renforcées…
C’est aussi un rappel brutal : le prix d’un outil « gratuit » peut être la compromission de la souveraineté informationnelle. Pour les développeurs, éditeurs de services SaaS ou partenaires du secteur public, le choix d’un fournisseur devient un enjeu politique autant que technique.
Une régulation à la croisée des chemins.
La DPC n’est pas seule : cette nouvelle enquête est dans la droite lignée d’une coopération renforcée avec les autres autorités européennes. Ce type de cas pourrait accélérer l’émergence d’une régulation plus musclée, à l’image du Digital Markets Act et du Data Act. L’Union européenne souhaite encadrer les pratiques des grandes plateformes, mais aussi renforcer les outils de contrôle sur le terrain.
Des alternatives comme ChatEurope, Proton Drive, ou les clouds souverains français (Scaleway, OVHcloud) gagnent ainsi en légitimité. La question devient : comment combiner innovation, performance et respect des standards européens de confidentialité ?
TikTok, symptôme d’un rapport de force mondial.
Le feuilleton TikTok dépasse le simple cadre de la protection des données. Il cristallise les tensions entre intérêts commerciaux, sécurité nationale et respect des lois. Pour l’Europe, c’est un test grandeur nature : saura-t-elle faire respecter ses règles face aux géants étrangers ? Et pour les entreprises, l’affaire pose une question stratégique : à qui confier les données de leurs clients, employés ou citoyens ?