Cette semaine, TikTok a été condamné dans l’Union européenne à 530 millions d’euros d’amende pour avoir échoué à garantir une protection suffisante des données personnelles des Européens en Chine, d’où elles sont accessibles, au moment où la plateforme est également dans le collimateur des Etats-Unis.

Cette sévère amende, prononcée par l’Autorité irlandaise de protection des données, est l’une des plus importante jamais infligée par cet organisme, qui agit au nom de l’UE car le siège européen de TikTok, comme celui de la plupart des géants de la tech, se trouve en Irlande.

Selon Graham Doyle, responsable de la communication du régulateur irlandais, la plateforme a enfreint les règles européennes de protection des données (RGPD) car elle n’est pas parvenu à démontrer que les données personnelles des Européens, accessibles à distance par son personnel en Chine, bénéficient là-bas d’un niveau de protection équivalent à celui de l’UE.

TikTok n’est donc pas en mesure de proposer des garanties contre le potentiel accès des autorités chinoises à ces données via ses lois d’antiterrorisme et de contre-espionnage, que la plateforme elle-même reconnaît comme s’écartant sensiblement des normes européennes.

L’entreprise, qui annoncé son intention de faire appel, a six mois pour mettre ses opérations en conformité avec le RGPD.

Les données européennes ne peuvent être transférées – c’est-à-dire stockées ou rendues accessibles – dans un pays tiers que s’il est jugé suffisamment sûr par l’UE comme par exemple le Japon, le Royaume-Uni ou les Etats-Unis. Faute d’un tel feu vert, c’est à l’entreprise de prouver que le niveau de protection est équivalent, ce que TikTok n’a pas su faire.

La décision de la DPC pourrait encore accroître la pression contre le réseau social aux Etats-Unis. Le Congrès américain a voté en 2024 une loi imposant à ByteDance de céder le contrôle de TikTok sur le territoire, sous peine d’interdiction.

Donald Trump a cependant reporté à deux reprises, jusqu’au 19 juin, la date limite pour la vente du réseau social.

La plateforme affirme dans un communiqué n’avoir jamais reçu de demande des autorités chinoises et ne leur avoir jamais fourni de données d’utilisateurs européens.

Elle met en avant son programme de protection des données en Europe, Clover, qui prévoit 12 milliards d’euros d’investissement sur dix ans.

Selon elle, les données des Européens sont par défaut stockées en Norvège, en Irlande et aux Etats-Unis, et « les employés en Chine n’ont aucun accès aux données restreintes », comme les numéros de téléphone ou les adresses IP.

La DPC, qui avait ouvert son enquête en 2021, révèle cependant dans sa décision avoir été informée en avril par TikTok que des données européennes ont été stockées (et supprimées depuis) en Chine, contrairement à ce que l’entreprise avait jusqu’alors affirmé.