RGPD : pourquoi TikTok a écopé d’une amende de 530 millions d’euros ?

1. Pourquoi l’application TikTok a-t-elle été condamnée ?

L’application TikTok, détenue par l’entreprise chinoise Bytedance, a écopé, vendredi 2 mai 2025, d’une amende de 530 millions d’euros par la Commission irlandaise de protection des données (DPC), l’équivalent de la CNIL en Irlande. Cette décision s’inscrit dans le cadre d’une enquête menée par la commission « en sa qualité d’autorité de contrôle principale » sur les transferts illégaux de données personnelles d’utilisateurs européens vers la Chine, ainsi que le manque de transparence de la part de TikTok sur les questions relatives au RGPD.

2. Quel est le motif de la sanction prononcée par la Commission irlandaise de protection des données envers TikTok ?

D’après la décision rendue par la DPC, c’est principalement l’article 46(1) du RGPD sur la légalité des transferts de données personnelles qui est ici en cause. L’autorité de protection des données irlandaises a ainsi précisé, par la voix de son commissaire adjoint, Graham Doyle :

Les transferts de données personnelles de TikTok vers la Chine ont enfreint le RGPD, car TikTok n’a pas vérifié, garanti, ni démontré que les données personnelles des utilisateurs de l’Espace économique européen (EEE) bénéficiaient d’un niveau de protection essentiellement équivalent à celui garanti au sein de l’UE.

🗣️ DPC Deputy Commissioner Graham Doyle commenting on the announcement of today’s decision fining TikTok €530 million and ordering corrective measures to bring TikTok’s processing into compliance.

Read the full press release on our website 👇https://t.co/d4jNVux18y pic.twitter.com/JBpN2kGkJ8

— Data Protection Commission Ireland (@DPCIreland) May 2, 2025

L’application avait initialement affirmé ne pas stocker les données de ses utilisateurs européens sur des serveurs en Chine. Pourtant, en avril 2025, l’entreprise a admis que des données avaient bien été stockées en Chine avant d’être supprimées, contrairement à ses précédentes déclarations.

Tout au long de l’enquête, TikTok a informé la DPC qu’elle ne stockait pas les données des utilisateurs de l’EEE sur des serveurs situés en Chine. Cependant, en avril 2025, TikTok a informé la DPC d’un problème découvert en février 2025 : des données limitées des utilisateurs de l’EEE avaient en réalité été stockées sur des serveurs en Chine, contrairement aux preuves fournies par TikTok à l’enquête, explique la Commission.

3. À quoi correspond le montant de 530 millions d’euros d’amende ?

Sur les 530 millions d’euros que TikTok devra s’acquitter auprès de la Commission irlandaise de protection des données, 485 millions d’euros correspondent à la violation de l’article 46(1) du RGPD, auxquels s’ajoutent 45 millions d’euros pour violation de l’article 13(1)(f) du RGPD, à savoir le manque de transparence de l’application concernant sa politique en matière de transferts de données.

L’article 13(1)(f) du RGPD impose aux responsables du traitement de fournir aux personnes concernées des informations sur leurs transferts de données personnelles vers un pays tiers. La DPC a examiné la politique de confidentialité de TikTok pour l’EEE d’octobre 2021 et a estimé que cette politique était inadéquate sur deux points essentiels au regard de l’article 13(1)(f) du RGPD, précise la DPC.

4. Quelles sont les autres mesures imposées à TikTok ?

En plus d’une amende administrative d’un montant total de 530 millions d’euros, l’autorité irlandaise a également infligé au réseau social les mesures suivantes :

• « Une injonction exigeant que TikTok mette son traitement en conformité dans un délai de six mois »,
• « Une injonction suspendant les transferts de TikTok vers la Chine si le traitement n’est pas mis en conformité dans un délai de six mois ».

La DPC précise avoir pris « très au sérieux » les manquements de TikTok et que d’autres « mesures réglementaires supplémentaires » pourraient être étudiées dans le cadre de cette enquête « en consultation avec [ses] homologues des autorités européennes de protection des données ».

De son côté, TikTok, qui a récemment lancé un programme intitulé « Clover » visant à garantir une protection renforcée des données personnelles des Européens avec la mise en place d’un data center en Norvège, a d’ores et déjà annoncé son intention de faire appel de cette décision.

5. Pourquoi la violation du RGPD par TikTok est-elle inquiétante pour la CNIL irlandaise ?

Alors que l’application TikTok est actuellement en sursis aux États-Unis, cette amende se situe parmi les plus importantes sanctions financières prononcées dans le cadre du RGPD contre les géants de la tech. Elle figure en troisième place, derrière celle de 1,2 milliard d’euros écopée par Meta en 2023 et celle de 746 millions d’euros infligée à Amazon en 2021.

Lorsque des données personnelles sont transférées en dehors de l’EEE, cela peut entraver la capacité des individus à exercer leurs droits et peut contourner le niveau élevé de protection que le RGPD fournit. Par conséquent, il est crucial que le niveau de protection assuré par le RGPD ne soit pas compromis dans le cas de tels transferts, rappelle la Commission irlandaise de protection des données.