Après avoir nié, TikTok, visé par une enquête de l’autorité irlandaise de protection des données (DPC) menée au nom de l’UE, a confessé l’hébergement en Chine de données européennes. La plateforme est condamnée ce vendredi 2 mai à une amende de 530 millions d’euros.

Le puissant réseau social, qui compte 1,5 milliard de membres, est la propriété de ByteDance, un groupe chinois. Il est depuis des années dans le viseur des gouvernements occidentaux, qui redoutent son lien avec Pékin et un possible usage des données de ses utilisateurs à des fins d’espionnage ou de propagande. Dans le détail, la DPC révèle dans sa décision avoir été informée en avril par TikTok que des données européennes avaient été stockées (et supprimées depuis) en Chine, contrairement à ce que l’entreprise avait jusqu’alors affirmé.

Cette sévère amende, prononcée par l’Autorité irlandaise de protection des données, est l’une des plus importantes jamais infligées par cet organisme, qui agit au nom de l’UE car le siège européen de TikTok, comme celui de la plupart des géants de la tech, se trouve en Irlande.

Selon le responsable de la communication du régulateur irlandais, Graham Doyle, la plateforme a enfreint les règles européennes de protection des données (RGPD) car elle n’est pas parvenue à «démontrer que les données personnelles» des Européens, «accessibles à distance par son personnel en Chine», bénéficient là-bas d’un niveau de protection équivalent à celui de l’UE.

TikTok n’est donc pas en mesure de proposer des garanties contre «le potentiel accès des autorités chinoises» à ces données via ses lois d’antiterrorisme et de contre-espionnage, «que la plateforme elle-même reconnaît comme s’écartant sensiblement des normes européennes». L’entreprise, qui a annoncé son intention de faire appel, a six mois pour mettre ses opérations en conformité avec le RGPD.

Les données européennes ne peuvent être transférées, c’est-à-dire stockées ou rendues accessibles, dans un pays tiers que s’il est jugé suffisamment sûr par l’UE comme le Japon, le Royaume-Uni ou les Etats-Unis. Faute d’un tel feu vert, c’est à l’entreprise de prouver que le niveau de protection est équivalent, ce que TikTok n’a pas su faire.

La décision de la DPC pourrait encore accroître la pression contre le réseau social aux Etats-Unis. Le Congrès américain a voté en 2024 une loi imposant à ByteDance de céder le contrôle de TikTok sur le territoire, sous peine d’interdiction. Donald Trump a cependant reporté à deux reprises, jusqu’au 19 juin, la date limite pour la vente du réseau social.

La plateforme affirme dans un communiqué n’avoir «jamais reçu de demande» des autorités chinoises et ne leur avoir «jamais fourni de données d’utilisateurs européens». Selon elle, les données des Européens sont par défaut stockées en Norvège, en Irlande et aux Etats-Unis, et «les employés en Chine n’ont aucun accès aux données restreintes», comme les numéros de téléphone ou les adresses IP.

La DPC, qui avait ouvert son enquête en 2021, reproche aussi à TikTok un manque de transparence entre 2020 et 2022, la plateforme n’ayant pas indiqué à ses utilisateurs vers quels pays les données étaient transférées ni qu’elles pouvaient être consultées depuis la Chine. Sur les 530 millions d’euros d’amende, 45 millions sont prononcés pour cette infraction.

Le régulateur irlandais avait déjà infligé une amende de 345 millions d’euros à l’entreprise en 2023 pour avoir enfreint les règles européennes dans le traitement d’informations concernant des mineurs.