Le 2 mai 2025, l’autorité de protection des données irlandaise (DPC) a infligé à TikTok une amende record de 530 millions d’euros pour avoir transféré illégalement les données d’utilisateurs européens vers la Chine et pour manque de transparence. Au-delà du montant spectaculaire, cette décision rappelle à chacun — entreprises comme particuliers — que les règles du RGPD ne sont pas un simple décor : elles encadrent concrètement où, comment et par qui nos informations sont exploitées. Décryptage, sans jargon, de ce qu’il faut retenir et des précautions à adopter.
1. Un avertissement historique sur les transferts de données internationaux
Depuis l’entrée en vigueur du RGPD en 2018, toutes les entreprises – plateformes sociales y compris – doivent prouver qu’un niveau de protection « équivalent » à celui de l’Union européenne est assuré lorsque des données quittent l’Espace économique européen (EEE).
Dans le viseur : les transferts de millions de profils TikTok vers la Chine. Malgré la signature de « clauses contractuelles types » (CCT), la DPC a considéré que ByteDance, maison mère de TikTok, ne démontrait pas que les lois chinoises (cybersécurité, renseignement, contre-espionnage) garantissent des droits comparables à ceux prévus en Europe. Résultat : violation de l’article 46 du RGPD et sanction financière hors norme.
À travers TikTok, la DPC cible tous les géants tech qui s’appuient sur des serveurs ou des équipes basées hors de l’UE : la conformité n’est plus un “nice to have”, c’est une obligation documentée et vérifiable.
2. Manque de transparence : quand l’utilisateur ne sait pas où partent ses infos
Deuxième grief, tout aussi grave : l’absence de clarté. Jusqu’au 1ᵉʳ décembre 2022, la politique de confidentialité de TikTok ne mentionnait pas explicitement la Chine dans la liste des pays vers lesquels vos données pouvaient voyager, ni la nature exacte des traitements réalisés depuis l’étranger. Dit autrement, impossible de savoir que certains ingénieurs à Pékin pouvaient consulter vos vidéos, messages ou données de navigation.
Le RGPD impose pourtant (article 13) que chaque internaute reçoive, en termes simples, l’identité des destinataires, le but du transfert et ses droits pour s’y opposer. Faute de transparence, TikTok a été épinglé : informer n’est pas une option, c’est la première étape pour obtenir un « consentement éclairé ».
3. Quelles conséquences pour les 150 millions d’utilisateurs européens ?
Mise en conformité sous six mois : TikTok doit prouver, avant novembre 2025, que les flux de données vers la Chine sont suspendus ou dûment sécurisés. Faute de quoi, les transferts seront purement interdits.
Surveillance renforcée : l’enquête n’est pas close. La DPC réexamine déjà des découvertes récentes : des serveurs chinois hébergeant temporairement des données de l’EEE en février 2025. D’autres amendes — ou l’obligation de rapatrier l’ensemble des données en Europe — restent possibles.
Effet domino : toutes les plateformes qui transfèrent des informations vers des pays à législation intrusive (États-Unis inclus depuis l’invalidation du Privacy Shield en 2020, même si un Data Privacy Framework est en cours) savent qu’elles risquent désormais des sanctions aussi lourdes.
Pour les utilisateurs : vos vidéos ne disparaîtront pas, mais vous gagnez le droit de demander un historique complet des transferts, de limiter certains traitements, voire — en théorie — d’obtenir que vos données soient supprimées si la base légale fait défaut.
4. Entreprises et particuliers : 5 bonnes pratiques pour rester du bon côté du RGPD
Mappez vos données : identifiez quelles informations quittent l’UE, chez quel prestataire, et pour quel usage. Sans cartographie, impossible d’évaluer les risques ni de fournir une information claire.
Choisissez des hébergements « UE-friendly » : privilégiez des fournisseurs qui garantissent un stockage en Europe ou des mesures de chiffrement robustes. Le « schéma de certification » européen à venir sera un repère utile.
Vérifiez les clauses contractuelles : si vous devez vraiment transférer hors UE, signez les nouvelles CCT (2021) et réalisez une « analyse d’impact transfert » (TIA) pour démontrer la conformité.
Soyez transparents avec vos clients/salariés : expliquez en langage clair où vont leurs données et offrez-leur un moyen simple d’exercer leurs droits (accès, opposition, effacement). Cela vaut autant pour une PME que pour un géant du web.
Anticipez les contrôles : la CNIL (France) et ses homologues collaborent étroitement. Avoir une documentation à jour (registre des traitements, analyses d’impact, politiques internes) est votre meilleure défense face à une inspection – et souvent un atténuateur d’amende.
La sanction de 530 millions d’euros infligée à TikTok n’est pas qu’une nouvelle spectaculaire : elle confirme que les autorités européennes attachent une importance croissante aux transferts hors UE et à la transparence. Pour le grand public, c’est un rappel : vos données ne sont pas immatérielles ; elles voyagent et peuvent tomber sous des législations moins protectrices. Pour les entreprises, c’est l’occasion de vérifier, avant qu’il ne soit trop tard, que la conformité RGPD est réelle, documentée et comprise par tous.
En renforçant vos processus, vous ne vous contentez pas d’éviter des sanctions : vous gagnez la confiance des utilisateurs, un atout concurrentiel précieux à l’heure où la protection de la vie privée devient un critère de choix aussi décisif que le prix ou la qualité de service.
***
Pour toute demande de conseil juridique, n’hésitez pas à nous contacter. Vous pouvez dès à présent demander un devis gratuit ici.
