De ce fait, TikTok n’a pas pu protéger ces informations «d’un éventuel accès par les autorités chinoises». Il s’agit ainsi de la deuxième condamnation de TikTok en deux ans pour avoir enfreint le règlement européen sur la protection des données (RGPD).
«Le RGPD exige que le haut niveau de protection garanti au sein de l’Union européenne se poursuive même lorsque les données personnelles sont transférées dans un autre pays», a expliqué le commissaire adjoint Graham Doyle, dans un communiqué de l’IDPC. Les autorités irlandaises enjoignent donc l’entreprise chinoise à se mettre en conformité avec la loi européenne d’ici six mois, au risque de devoir suspendre tous ses transferts de données vers la Chine.
L’Union européenne surveille de près les activités de TikTok en Chine en raison des lois sur le renseignement, le contre-espionnage et l’antiterrorisme en vigueur dans le pays. Pékin obligeant notamment les entreprises à partager les données personnelles dont ils disposent sur demande du gouvernement. L’IDPC ne dit pas qu’un tel partage a eu lieu, mais que l’entreprise n’a pas mis en œuvre toutes les mesures nécessaires pour empêcher qu’un tel scénario se produise.
La décision de l’IDPC «porte principalement sur une période spécifique remontant à plusieurs années, avant la mise en œuvre en 2023 du projet Clover, notre initiative de sécurité des données», a réagi TikTok dans un communiqué. Ce projet, qui représente un investissement de 12 milliards d’euros, recouvre la construction de data centers TikTok en Europe. Le groupe britannique de cybersécurité NCC y est notamment chargé de surveiller les flux de données sortant de l’Union européenne, et d’assurer que seuls les salariés autorisés puissent accéder à certaines données depuis l’étranger.
Le réseau social entend donc faire appel, estimant désormais être en conformité avec les réglementations européennes. «Si les mesures exhaustives mises en œuvre dans le cadre du projet Clover sont jugées insuffisantes, il est légitime de se demander ce qui serait considéré comme suffisant», clame l’entreprise.
Par ailleurs, TikTok a indiqué au cours de l’enquête que des données d’utilisateurs européens avaient été stockées par erreur en février dernier sur des serveurs situés en Chine. «C’est grâce à nos actions de surveillance proactive, mises en œuvre dans le cadre du projet Clover, que nous avons découvert ce problème technique», explique l’entreprise, qui assure que toutes les données ont été supprimées. «Il s’agit d’un exemple illustrant le bon fonctionnement de Clover. Le problème semble limité et a été résolu rapidement.»
La sanction à l’encontre de TikTok est la troisième amende la plus importante prononcée par l’IDPC en vertu du RGPD. En 2023, le groupe américain Meta avait dû verser le montant record de 1,2 milliard d’euros pour avoir refusé de stopper le transfert de ses données vers les États-Unis. Amazon avait quant à lui été condamné à une amende de 746 millions d’euros en 2021.
AFP
