L’autorité irlandaise de protection des données (Data Protection Commission, DPC), qui agit au nom de l’Union européenne, a ouvert, jeudi 10 juillet, une enquête contre TikTok sur le stockage de certaines données personnelles d’utilisateurs européens sur des serveurs chinois, stockage qui pourrait être contraire à la législation.
La puissante plate-forme de partage de vidéos, qui compte 1,5 milliard de membres, est la propriété de ByteDance, un groupe chinois. Il est depuis des années dans le viseur des gouvernements occidentaux, qui redoutent ses liens avec les autorités chinoises et un possible usage des données de ses utilisateurs à des fins d’espionnage ou de propagande.
La DPC a déjà sanctionné TikTok d’une amende de 530 millions au début de mai, pour avoir échoué à garantir une protection suffisante des données personnelles des Européens, accessibles à distance depuis la Chine, mais stockées en dehors.
Mais au cours de cette enquête, TikTok l’avait informé que certaines données européennes avaient été non plus rendues accessibles, mais bien stockées dans le pays – et supprimées depuis. TikTok avait évoqué « un problème technique » découvert grâce à sa surveillance « proactive ». La DPC avait « exprimé sa profonde préoccupation sur le fait que TikTok ait soumis des informations inexactes lors de cette enquête », rappelle-t-elle dans son communiqué.
L’objectif de la nouvelle investigation « est de déterminer si le réseau social a respecté ses obligations pertinentes en vertu du RGPD [règlement européen de protection des données], dans le contexte des transferts désormais en question », explique l’autorité irlandaise.
Niveau de protection équivalent
L’amende de 530 millions d’euros prononcée en mai par la DPC est la deuxième plus importante jamais infligée par cet organisme, qui agit au nom de l’UE car le siège européen de TikTok, comme celui de la plupart des géants de la tech, se trouve en Irlande. TikTok n’avait pas été en mesure de proposer des garanties contre « le possible accès des autorités chinoises » à ces données via ses lois d’antiterrorisme et de contre-espionnage. La plateforme, qui avait annoncé son intention de faire appel, avait assuré n’avoir « jamais reçu de demande » des autorités chinoises et ne leur avoir « jamais fourni de données d’utilisateurs européens ».
Les données européennes ne peuvent être transférées − stockées ou rendues accessibles − dans un pays tiers que s’il est jugé suffisamment sûr par l’UE, comme par exemple le Japon, le Royaume-Uni ou les Etats-Unis. Faute d’un tel accord, c’est à l’entreprise de prouver que le niveau de protection est équivalent, ce que TikTok n’a pas su faire. Selon l’entreprise, les données des Européens sont par défaut stockées en Norvège, en Irlande et aux Etats-Unis.
Le régulateur irlandais avait infligé une première amende de 345 millions d’euros à TikTok en 2023 pour avoir enfreint les règles européennes dans le traitement d’informations concernant des mineurs.
