Le couperet est tombé : le régulateur irlandais de la protection des données (Data Protection Commission, ou DPC) a infligé à TikTok une amende record de 530 millions d’euros conformément aux dispositions RGPD. Ce montant, inédit à ce jour pour la plateforme chinoise, marque un tournant dans la gestion des flux transfrontaliers de données. L’Union européenne, en durcissant le ton face aux pratiques de TikTok, réaffirme sa volonté de défendre une souveraineté numérique menacée par les grandes plateformes non européennes.
Transferts de données et non-conformité de TikTok au RGPD
L’affaire concerne des transferts illicites de données personnelles d’utilisateurs européens vers la Chine, opérés sans garanties suffisantes et en violation flagrante du Règlement général sur la protection des données (RGPD). Le DPC a constaté que des employés de TikTok, situés hors de l’Union — notamment en Chine — avaient pu accéder à des informations personnelles de citoyens européens. Un manquement majeur, d’autant plus sensible qu’il intervient dans un contexte géopolitique marqué par une méfiance croissante vis-à-vis des lois chinoises sur la cybersécurité et le contre-espionnage.
Une communication trompeuse de la part de TikTok au sujet des données personnelle ?
Plus grave encore : TikTok, bien que consciente de ces accès, aurait sciemment omis d’informer ses utilisateurs entre 2020 et 2022. Ce manque de transparence lui vaut une seconde sanction, de 45 millions d’euros. Une partie de l’amende est donc liée non seulement à la non-conformité technique, mais aussi à une stratégie de communication jugée trompeuse. L’entreprise a longtemps affirmé que les données européennes étaient stockées uniquement sur le Vieux Continent, avant d’admettre récemment que certaines données avaient bien été hébergées temporairement en Chine.
TikTok réplique et défend son initiative Project Clover
TikTok a immédiatement réagi aux accusations en annonçant son intention de faire appel. Pour défendre sa position, l’entreprise met en avant les mesures qu’elle a engagées afin de renforcer sa conformité au RGPD. Elle déploie notamment le programme « Project Clover », un plan d’investissement de 12 milliards d’euros destiné à héberger les données européennes exclusivement au sein de l’Union européenne.
À ce titre, elle construit actuellement trois centres de données en Irlande, en Finlande et en Norvège, tout en mettant en place des dispositifs de contrôle externe visant à restreindre tout accès non autorisé. TikTok affirme par ailleurs que les autorités chinoises ne lui ont adressé aucune demande d’accès aux données européennes.
Cependant, le mal est fait. Cette sanction vient s’ajouter à une précédente amende de 345 millions d’euros infligée en 2023 pour un traitement inapproprié des données des mineurs. Elle illustre une problématique plus large : celle de la dépendance numérique européenne à des plateformes extra-européennes, et du contrôle limité qu’exercent les institutions nationales sur les données de leurs citoyens.
Un signal fort au coeur de tensions numériques globales
Dans un climat de tensions croissantes autour de la régulation technologique, l’Union européenne renforce activement son arsenal juridique. Elle déploie des initiatives comme le Digital Services Act (DSA) et le Data Governance Act pour bâtir un écosystème numérique plus sûr et plus transparent pour les citoyens européens. L’affaire TikTok illustre parfaitement cette nouvelle ère, où les institutions européennes n’accordent plus leur confiance aux géants du numérique sans preuve concrète de conformité et de responsabilité.
À l’heure où la question des transferts internationaux de données devient éminemment stratégique, l’exemple de TikTok pourrait bien marquer un précédent décisif pour l’ensemble des acteurs du numérique opérant en Europe.