530 millions d’euros : l’Europe frappe fort contre les transferts illégaux vers la Chine (TikTok )
Au cœur d’un bras de fer géopolitique, l’énorme sanction infligée à TikTok, propriété du groupe chinois ByteDance, par l’autorité de protection des données irlandaise, la Data Protection Commission (DPC) n’est pas qu’une simple amende.
Elle symbolise surtout un réel avertissement sur la maîtrise des flux de données entre l’Union européenne et les régimes extra‑UE.
D’un montant de 530 millions d’euros, cette décision rendue publique le 2 mai 2025 souligne deux manquements majeurs :
D’une part, le transfert illégal des données personnelles d’utilisateurs de l’EEE vers la Chine sans garanties équivalentes à celles du RGPD et,
D’autre part, l’opacité des informations fournies aux internautes sur ces transferts.
Deux articles du Règlement Général sur la Protection des Données (RGPD) sont ici visés
- L’article 13(1)(f) RGPD relatif à l’obligation d’information/transparence sur les transferts hors UE.
- L’article 46(1) RGPD relatif aux transferts vers pays tiers autorisés seulement si des garanties appropriées (clauses types, etc.) assurent un niveau de protection équivalent à celui de l’UE
Concrètement, il est reproché à l’entreprise d’avoir transféré illégalement des données personnelles d’utilisateurs européens vers la Chine.
L’enquête, ouverte dès septembre 2021, a mis en lumière des accès à distance depuis la Chine à des données stockées en Europe, alors même que la société TikTok assurait en 2024 ne pas héberger de données européennes sur des serveurs chinois.
Cette contradiction a précipité l’action de la DPC, qui ordonna une mise en conformité sous six mois, faute de quoi de nouvelles sanctions seront adoptées à l’encontre de la société TikTok.
Par cette décision, l’UE réaffirme son droit à contrôler l’exportation de données personnelles vers des pays tiers et accorde une particulière vigilances dans le traitement de données opérées spécialement par les grandes plateformes mondiales, qu’il s’agisse des GAFAM ou désormais de ByteDance.
Le RGPD encadre strictement les transferts de données hors UE.
Par principe et en vertu de son article 44, les données personnelles ne peuvent être transférées vers un pays tiers, sauf si celui-ci garantit un niveau de protection adéquat ou si des garanties suffisantes sont mises en place (articles 45 et 46 RGPD).
Si cette décision n’a a priori rien de novateur, elle confirme tout de même l’approche stricte de l’UE quant aux transferts internationaux de données, déjà esquissée dans l’arrêt « Schrems II » de la Cour de justice de l’Union européenne qui avait invalidé le Privacy Shield mis en œuvre par les États-Unis.
En effet, les transferts de données à caractère personnel sont un enjeu de souveraineté majeur et c’est durant la saga jurisprudentielle « Schrems » que la Cour de justice de l’Union européenne avait rappelé avec force que la protection conférée par le RGPD ne pouvait être contournée par de simples engagements contractuels ou des mécanismes de certification, dès lors que la législation du pays tiers ne garantit pas un niveau de protection « essentiellement équivalent » à celui exigé au sein de l’Union.
C’est précisément ce que l’autorité irlandaise reproche à TikTok.
Graham Doyle, commissaire adjoint du DPC, a d’ailleurs précisé qu’ « En ne procédant pas aux évaluations nécessaires, TikTok n’a pas tenu compte de l’accès potentiel des autorités chinoises aux données à caractère personnel de l’EEE en vertu des lois chinoises contre le terrorisme, le contre-espionnage et d’autres lois identifiées par TikTok comme divergeant sensiblement des normes de l’UE »
La décision exige donc une analyse approfondie des lois du pays tiers susceptibles d’affecter la protection des données, notamment les lois permettant l’accès gouvernemental aux données.
Cette décision TikTok marque ainsi un tournant majeur dans la façon d’appréhender les traitements de données personnelles hors Union Européenne.
Là où les arrêts « Schrems » I et II émanaient de recours ou de questions préjudicielles conduisant à l’invalidation d’accords internationaux, l’action du DPC est ici plus ferme puisqu’elle vise une sanction par application directe du RGPD.
Ce faisant, la DPC applique une sanction concrète aux principes mises en œuvre par les arrêts précités.
Cette décision permet de dessiner les contours d’une future « souveraineté numérique » des pays de l’UE, au détriment s’il y a lieu des grandes plateformes étrangères et particulièrement celles éditées en Chine, dont la méfiance croissante en matière de sécurité, de cybersurveillance et de respect des droits fondamentaux est réelle.
TikTok a annoncé faire appel et met en avant ses initiatives internes comme le programme « Clover », lancé en 2023 prévoyant un investissement de 12 milliards d’euros sur dix ans pour stocker les données localement en Norvège notamment et respecter ainsi les niveaux d’exigence requis par les dispositions du RGPD en matière de protection des données.
Une tendance qui permettra aux entreprises de se conformer davantage au cadre normatif de l’Union Européenne.
Maître Jonathan Elkaim – Avocat
Alessandro Tummillo – Juriste
Envie d’en savoir plus ? Suivez-nous sur LinkedIn pour ne rien manquer de l’actualité du droit des nouvelles technologies !
Laisser un commentaire