La Commission irlandaise de protection des données (DPC) inflige une amende de 530 millions d’euros à TikTok et ordonne des mesures correctives à la suite d’une enquête sur les transferts de données d’utilisateurs européens vers la Chine. TikTok a annoncé qu’il faisait appel.
Transfert de données des Européens vers la Chine
L’enquête a également examiné si la communication d’informations aux utilisateurs concernant ces transferts répondait aux exigences de transparence requises par le RGPD. L’enquête conclut que TikTok a enfreint le RGPD concernant ses transferts de données utilisateurs de l’Europe vers la Chine et ses exigences de transparence.
“Le niveau de protection européen doit être maintenu lorsque des données personnelles sont transférées vers d’autres pays”
Selon la DPC, les transferts de données personnelles par TikTok vers la Chine ont enfreint le RGPD car TikTok n’a pas vérifié, ni garanti ni démontré que les données personnelles des utilisateurs européens, consultées à distance par le personnel en Chine, bénéficiaient d’un niveau de protection essentiellement équivalent à celui garanti au sein de l’UE.
Lois supra nationales chinoises face au RGPD
TikTok n’a pas pu rassurer non plus sur l’accès potentiel des autorités chinoises aux données personnelles européennes face aux lois chinoises sur l’antiterrorisme, le contre-espionnage et autres lois identifiées par TikTok lui-même comme s’écartant sensiblement des normes de l’UE.
Des données limitées des utilisateurs européens avaient été stockées sur des serveurs en Chine
La DPC annonce prendre très au sérieux les récents développements concernant le stockage des données des utilisateurs européens sur des serveurs en Chine. TikTok a informé la DPC que les données ont été supprimées, la DPC étudie les mesures réglementaires supplémentaires qui pourraient être nécessaires.
TiktTok défend l’accès à distance aux données européennes
TikTok maintient pour sa part que les transferts de données personnelles via un accès à distance ne sont pas soumis aux lois et pratiques du RGPD ni des clauses contractuelles types (CCT). De plus, l’évaluation du droit chinois par TikTok, fournie à la DPC lors de l’enquête, a exposé en quoi certains aspects du cadre juridique chinois empêchent de conclure à une équivalence essentielle avec le droit de l’UE.
Les lois chinoises divergent sensiblement des normes de l’UE avec la loi antiterroriste, la loi sur le contre-espionnage, la loi sur la cybersécurité et la loi sur le renseignement national
Deuxièmement, cette politique de confidentialité n’expliquait pas la nature des opérations de traitement constituant le transfert. Elle ne précisait pas que le traitement incluait l’accès à distance aux données personnelles stockées à Singapour et aux États-Unis par du personnel basé en Chine.
Des accès à distance aux données depuis le Brésil, la Chine, les Etats-Unis, etc.
TikTok a mis à jour sa politique de confidentialité au cours de l’enquête. Cette politique de confidentialité identifiait les pays tiers vers lesquels les données des utilisateurs européens étaient transférées. Elle informait également les utilisateurs européens que les données personnelles étaient stockées sur des serveurs aux États-Unis et à Singapour, et faisaient l’objet d’un accès à distance par des entités du groupe TikTok situées au Brésil, en Chine, en Malaisie, aux Philippines, à Singapour et aux États-Unis.
La DPC a jugé que la politique de confidentialité de TikTok pour l’Europe de décembre 2022 était conforme aux exigences de l’article 13(1)(f) du RGPD concernant les transferts de données relevant du champ d’application matériel de la décision. Par conséquent, la durée de la violation de l’article 13(1)(f) du RGPD dans la décision va du 29 juillet 2020 au 1er décembre 2022.
