Introduction
En avril 2025, l’autorité irlandaise de protection des données a rendu l’une des décisions les plus marquantes de ces dernières années en matière de transferts internationaux de données personnelles.
Au cœur du dossier : TikTok, accusé de ne pas respecter les exigences du RGPD concernant l’accès à distance aux données d’utilisateurs européens depuis la Chine.
Au-delà du cas Tiktok, cette affaire illustre un enjeu central pour toutes les organisations opérant à l’international :
La maîtrise effective des accès aux données personnelles, indépendamment de la localisation physique des serveurs.
Le cadre juridique : transferts de données et RGPD
Le RGPD encadre strictement les transferts de données personnelles vers des pays tiers ne bénéficiant pas d’une décision d’adéquation de la Commission européenne.
Principe clé souvent mal compris :
Un accès à distance depuis un pays tiers peut constituer un transfert de données au sens du RGPD, même lorsque les serveurs sont situés dans l’Union européenne.
Cette interprétation repose sur une approche fonctionnelle du transfert : ce n’est pas la localisation des infrastructures qui prime, mais l’exposition effective des données à un cadre juridique étranger.
La décision de l’autorité irlandaise (DPC)
La Data Protection Commission (DPC), autorité chef de file de TikTok dans l’Union européenne, a estimé que :
● certains accès à distance aux données d’utilisateurs de l’EEE depuis la Chine n’étaient pas suffisamment encadrés,
● TikTok n’a pas démontré l’existence de garanties juridiques et techniques adéquates,
● Le niveau de protection des données n’était pas essentiellement équivalent à celui garanti au sein de l’UE.
Sanctions financières et articles du RGPD violés
La DPC a imposé à TikTok des amendes administratives d’un montant total de 530 millions d’euros, réparties comme suit :*
● 45 millions d’euros pour violation de l’article 13(1)(f) du RGPD, relatif à l’obligation d’informer les personnes concernées sur les transferts de données vers des pays tiers ;
● 485 millions d’euros pour violation de l’article 46(1) du RGPD, concernant l’absence de garanties appropriées encadrant les transferts hors de l’Union européenne.
La décision est également assortie d’une ordonnance contraignante obligeant TikTok à mettre ses traitements de données en conformité avec le RGPD dans un délai de six mois, sous peine de suspension des transferts concernés.
La position officielle de la DPC
Dans un communiqué, Graham Doyle, Deputy Commissioner de la DPC, a rappelé un principe fondamental du RGPD :
“The GDPR requires that the high level of protection provided within the European Union continues where personal data is transferred to other countries.”
Selon la DPC, les transferts de données de TikTok vers la Chine ont enfreint le RGPD car l’entreprise n’a pas été en mesure de :
● vérifier,
● garantir,
● ni démontrer
que les données personnelles des utilisateurs de l’EEE, accessibles à distance par des équipes situées en Chine, bénéficiaient d’un niveau de protection équivalent à celui de l’UE.
La DPC souligne en particulier que TikTok n’a pas correctement traité le risque d’accès aux données par les autorités chinoises, au regard de législations nationales telles que les lois antiterroristes et de contre-espionnage, identifiées comme s’écartant substantiellement des standards européens.
Retrouvez le communiqué de la DPC ici.
Le recours de TikTok et la suspension temporaire
TikTok a contesté cette décision devant la justice irlandaise.
La High Court of Ireland a décidé de suspendre provisoirement l’exécution de la décision, dans l’attente de l’issue de la procédure d’appel.
Point essentiel :
Cette suspension ne valide en aucun cas les pratiques de TikTok.
Elle suspend uniquement l’application immédiate des mesures correctrices et des sanctions.
Impact concret pour les utilisateurs européens
Le lundi 22 décembre, les plus de 159 millions d’utilisateurs mensuels de TikTok en Europe ont découvert un message directement intégré à l’application les informant que leurs données personnelles continueraient à être transférées vers la Chine, notamment via des accès à distance.
Un message perçu par beaucoup comme un signal inquiétant, soulignant la persistance des flux de données internationaux malgré la procédure en cours et les sanctions prononcées.
Pourquoi cette affaire concerne toutes les organisations
L’affaire TikTok dépasse largement le cadre des plateformes numériques.
Elle concerne directement toute organisation qui :
● externalise des fonctions IT ou support,
● utilise des équipes internationales,
● recourt à des solutions cloud avec accès globaux.
Toute exposition des données à un cadre juridique tiers doit être évaluée, documentée et justifiée.
Enjeux clés pour les DPO, RSSI et dirigeants
Cette décision renforce plusieurs obligations structurantes :
● cartographier précisément les accès aux données personnelles,
● réaliser des analyses d’impact et de transferts (TIA),
● mettre en place des garanties contractuelles et techniques robustes,
● démontrer la conformité en cas de contrôle.
La gouvernance des données devient un enjeu stratégique, engageant directement la responsabilité des dirigeants.
Conlusion
L’affaire TikTok marque une étape majeure dans l’application du RGPD :
la conformité ne se limite plus à la localisation des serveurs,belle s’étend aux accès effectifs, réels et juridiquement encadrés aux données personnelles.
Pour les organisations, le message est clair :
anticiper, documenter et gouverner les flux de données internationaux est désormais indispensable pour éviter des sanctions lourdes et préserver la confiance.
Se former au RGPD, aux transferts internationaux de données et à la gouvernance des accès permet d’anticiper ces risques et de sécuriser durablement les pratiques de l’organisation.
Les formations Devforma accompagnent DPO, RSSI et dirigeants dans la maîtrise opérationnelle de ces enjeux clés.
