La Commission irlandaise de protection des données (DPC) a estimé que TikTok n’était pas parvenu à démontrer que les données d’utilisateurs transférées en Chine bénéficiaient du niveau de protection exigé par l’Union européenne.
Après enquête, l’autorité principale de contrôle de TikTok, la Cnil irlandaise, a condamné le propriétaire du réseau social, ByteDance, à payer une amende de 530 millions d’euros pour avoir transféré des données d’utilisateurs vers la Chine. L’entreprise doit être en mesure de prouver que les données utilisateurs transférées en Chine bénéficient du même degré de protection qu’en Europe, comme l’exige le RGPD. Dans ce contexte, l’enjeu consiste notamment à empêcher les autorités chinoises d’accéder à ces données en application des lois sur l’anti-terrorisme, sur le contre-espionnage, sur la cybersécurité et sur le renseignement national.
TikTok revient sur ses déclarations
« En ne réalisant pas les évaluations nécessaires, TikTok n’a pas traité la question de l’accès potentiel des autorités chinoises aux données, dans le cadre de lois chinoises sur l’anti-terrorisme, l’espionnage ou la cybersécurité, que TikTok lui-même a reconnues comme étant en contradiction avec les standards européens », a justifié Graham Doyle, Commissaire adjoint à la DPC.
Le gendarme des données personnelles reproche en outre à l’entreprise d’avoir affirmé ne pas stocker de données d’utilisateurs européens en Chine, avant de se rétracter, après avoir découvert que certaines données avaient effectivement été stockées sur des serveurs en Chine. « La DPC prend ces développements très au sérieux. Même si TikTok a indiqué que les données en question ont été supprimées, nous examinons quelles mesures réglementaires supplémentaires pourraient être justifiées », a ajouté Graham Doyle. La DPC a exigé la suspension de ces transferts et enjoint TikTok à se mettre en conformité dans les six mois.
TikTok conteste
TikTok compte faire appel de cette décision qu’elle conteste, assurant avoir encadré et limité l’accès à distance aux données. Selon elle, la décision ne prend pas pleinement en compte les mesures de surveillance d’accès à distance et le stockage de données européennes dans des datacenters basés en Europe et aux États-Unis qu’elle a mis en place. Elle assure en outre n’avoir reçu aucune demande de la part des autorités chinoises pour leur fournir un accès aux données.
En septembre 2023, TikTok avait déjà été condamné par la DPC à une amende de 345 millions d’euros pour de multiples violations du Règlement général sur la protection des données (RGPD). Il lui était notamment reproché d’avoir laissé les profils d’utilisateurs mineurs en mode public par défaut.
Le réseau social TikTok est dans le viseur des autorités occidentales, États-Unis et Europe en tête, depuis plusieurs années déjà, ces dernières le soupçonnant d’entretenir des accointances avec Pékin et d’utiliser les données personnelles des utilisateurs à des fins d’espionnage.
L’utilisation de l’application a d’ores et déjà été interdite aux fonctionnaires de plusieurs États occidentaux comme la France, le Royaume-Uni, le Canada, ou encore au sein des institutions européennes.
