La société propriétaire de l’application sociale de vidéos « n’a pas été en mesure de vérifier, de garantir et de démontrer que les données personnelles des utilisateurs européens, auxquelles le personnel en Chine avait accès à distance, bénéficiaient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’UE ».
TikTok doit adapter sa politique de traitement des données dans un délai de six mois
La décision, prise par les commissaires à la protection des données, Des Hogan et Dale Sunderland, et notifiée à la société chinoise, constate que TikTok a enfreint le RGPD « en ce qui concerne les transferts de données des utilisateurs vers la Chine et les exigences de transparence ». Cette décision, outre une sanction administrative de 530 millions d’euros, impose à TikTok de « mettre en conformité le traitement des données dans un délai de six mois » et « de suspendre les transferts vers la Chine si le traitement des données n’est pas mis en conformité dans ce délai ».
Cette sanction est la troisième plus lourde jamais infligée pour violation du règlement général sur la protection des données (RGPD) de l’UE. TikTok ayant son siège social en Irlande, le DPC irlandais est l’autorité principale chargée de l’application des règles européennes.
Données européennes et américaines sur des serveurs en Chine
Pendant des années, TikTok a affirmé ne pas stocker les données des utilisateurs européens ou américains sur des serveurs en Chine, mais en avril, il a informé l’autorité de régulation avoir découvert en février que « des données limitées des utilisateurs See » avaient en fait été stockées en Chine. Le vice-commissaire du DPC irlandais, Graham Doyle, a déclaré que l’autorité de régulation prenait cette découverte « très au sérieux » et, bien que TikTok ait affirmé avoir supprimé les données des serveurs chinois, elle évaluait « quelles mesures réglementaires supplémentaires pourraient être justifiées ».
A lire également : Amazon entre dans la danse pour racheter TikTok
TikTok « déçu » va faire appel
TikTok, en réponse, conteste les affirmations du régulateur irlandais. La société a l’intention de faire appel, contestant « intégralement » la décision de la DPC irlandaise, selon la réponse de Christine Grahn, responsable des affaires publiques et des relations gouvernementales pour l’Europe.
L’entreprise, désormais « profondément intégrée dans l’économie européenne avec 175 millions d’utilisateurs et plus de 6 000 employés » dans le bloc, s’est dite « déçue d’être la seule destinataire de cette mesure, alors que nous opérons dans le respect du même mécanisme juridique (les clauses contractuelles types) utilisé par des milliers d’autres entreprises ». En outre, TikTok souligne que « seuls 15 pays ont conclu des accords d’adéquation avec l’UE, qui permettent des flux de données transfrontaliers libres et sécurisés ».
Mais le point le plus important, souligné par Grahn dans la note, est que « la décision (de l’Autorité, ndlr) ne tient pas compte du projet Clover, notre initiative phare dans le domaine de la sécurité des données, d’une valeur de 12 milliards d’euros, qui comprend certaines des protections de données les plus strictes au monde ».
Le groupe se défend en faisant valoir que l’infraction concerne « une période spécifique antérieure à la mise en œuvre de Clover en 2023 » et ne tient pas compte des « mesures de sécurité actuellement en vigueur ». De son côté, la société chinoise accuse le régulateur d’avoir « repris dans son rapport ce que TikTok a toujours affirmé : elle n’a jamais reçu de demandes de données d’utilisateurs européens de la part des autorités chinoises et ne leur a jamais fourni de données d’utilisateurs européens ».
