Le vendredi 2 mai 2025, l’Union européenne, par l’intermédiaire de son régulateur irlandais, a infligé à TikTok une amende de 530 millions d’euros pour non-respect du RGPD. Cette sanction, liée au transfert de données personnelles d’utilisateurs européens vers la Chine, soulève une question cruciale : les États européens peuvent-ils réellement protéger leurs citoyens dans un espace numérique global où les régulations divergent d’un continent à l’autre ?
Pourquoi TikTok est-il sanctionné ?
Les transferts de données personnelles hors de l’Union européenne sont strictement encadrés par le RGPD.
Dans le cas de TikTok, des accès aux données des utilisateurs européens depuis la Chine ont été possibles avant une mise à jour tardive de sa politique de confidentialité. Une violation claire des exigences de sécurité et de transparence.
Toutes les entreprises qui traitent des données personnelles d’utilisateurs européens doivent respecter les règles de transfert de données prévues par le RGPD.
Cette amende de 530 millions d’euros place TikTok parmi les entreprises les plus sanctionnées sous le RGPD, juste derrière Meta (1,2 milliard d’euros) et Amazon (746 millions d’euros).
Et ce n’est pas une première pour TikTok. En 2023, la plateforme avait déjà été condamnée à 345 millions d’euros pour des manquements liés à la gestion des comptes mineurs.
Les principes clés du RGPD pour les transferts de données :
Transfert vers des pays reconnus comme adéquats :
Les données peuvent être transférées librement vers des pays qui offrent un niveau de protection adéquat reconnu par la Commission européenne.
Mécanismes de protection appropriés :
Si le pays ne bénéficie pas d’une décision d’adéquation, les entreprises doivent utiliser des garanties supplémentaires, comme :
- Les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.
- Les Règles d’Entreprise Contraignantes (BCR) pour les groupes d’entreprises.
- Un code de conduite ou une certification approuvé(e) par une autorité de protection des données.
Exceptions limitées :
Dans certaines situations spécifiques, les transferts peuvent être autorisés sans garanties supplémentaires, par exemple :
- Avec le consentement explicite de la personne concernée.
- En cas de nécessité pour l’exécution d’un contrat.
- Pour des raisons d’intérêt public important.
Transparence et sécurité :
Les personnes concernées doivent être informées du transfert de leurs données, et les responsables de traitement doivent prendre des mesures pour sécuriser les données transférées.
Transparence et sécurité : des obligations pour tous
Cette affaire TikTok rappelle l’importance de la transparence dans la collecte des données et de la sécurité des informations des utilisateurs.
Les autorités de protection des données de l’UE veillent à ce que les géants du numérique respectent leurs obligations.
Besoin d’un accompagnement pour
votre mise en conformité RGPD ?
