1 points par GN⁺ 2025-05-04 | 1 commentaires | Partager sur WhatsApp
  • Alors que les règles de transfert de données hors de l’UE refont surface comme un risque opérationnel pour les plateformes, la Data Protection Commission irlandaise a infligé à TikTok une amende de 530 millions d’euros (environ 600 millions de dollars) à l’issue d’une enquête de quatre ans
  • Le point central est de savoir si TikTok a vérifié, garanti et démontré que les données personnelles des utilisateurs européens, auxquelles des employés situés en Chine avaient un accès à distance, bénéficiaient d’une protection essentiellement équivalente à celle de l’UE
  • À l’époque, la politique de confidentialité n’indiquait pas suffisamment vers quels pays tiers les données étaient transférées, et n’expliquait pas clairement non plus l’accès à distance par du personnel basé en Chine
  • TikTok conteste la décision et prévoit de faire appel, affirmant que la période visée s’arrête à mai 2023 et qu’ensuite Project Clover a permis d’introduire des centres de données en Europe et une supervision indépendante
  • Le GDPR autorise les transferts de données d’utilisateurs européens hors de l’UE, mais exige un niveau de protection équivalent ; la notification tardive selon laquelle certaines données avaient été stockées sur des serveurs en Chine pourrait entraîner des mesures réglementaires supplémentaires

Amende de 530 millions d’euros et injonction de mise en conformité sous 6 mois

  • La Data Protection Commission irlandaise a infligé à TikTok une amende de 530 millions d’euros, soit environ 600 millions de dollars, estimant que ses transferts de données vers la Chine violaient les règles européennes de protection des données
  • Cette décision est le résultat d’une enquête de quatre ans lancée en septembre 2021, et TikTok a également reçu l’ordre de se mettre en conformité dans un délai de 6 mois
  • Les régulateurs ont estimé que les transferts de données vers la Chine exposaient les utilisateurs européens à un risque de surveillance
  • Le siège européen de TikTok étant à Dublin, l’autorité irlandaise agit comme principal régulateur de la protection des données de TikTok dans les 27 pays de l’UE

Accès à distance depuis la Chine et controverse sur le niveau de protection équivalent à l’UE

  • Le Deputy Commissioner Graham Doyle estime que TikTok n’a pas su vérifier, garantir et démontrer qu’un niveau de protection essentiellement équivalent à celui de l’UE s’appliquait aux données personnelles des utilisateurs européens accessibles à distance par des employés en Chine
  • L’enquête s’est penchée sur la possibilité pour les autorités chinoises d’accéder aux données personnelles des utilisateurs européens en raison des lois chinoises sur l’antiterrorisme, le contre-espionnage, la cybersécurité et le renseignement national
  • L’autorité irlandaise a jugé que ces lois chinoises étaient substantiellement différentes des normes de l’UE

Problème de transparence de la politique de confidentialité

  • TikTok a aussi été sanctionné pour ne pas avoir suffisamment informé les utilisateurs de la destination de leurs données personnelles
  • Au moment de l’enquête, la politique de confidentialité de TikTok ne précisait pas les pays tiers vers lesquels les données des utilisateurs étaient transférées, et ne mentionnait pas non plus la Chine explicitement
  • La politique a depuis été mise à jour, mais à l’époque elle n’expliquait pas non plus que des données personnelles stockées à Singapore et aux United States étaient traitées via un accès à distance par du personnel basé en Chine

Projet d’appel de TikTok et Project Clover

  • TikTok n’est pas d’accord avec cette décision et prévoit de faire appel
  • L’entreprise rétorque que la décision se concentre sur une période spécifique s’achevant en mai 2023, et qu’elle a ensuite mis en œuvre son projet de localisation des données Project Clover
  • Project Clover comprend un plan de construction de 3 centres de données en Europe
  • Christine Grahn, responsable Europe des politiques publiques et des relations gouvernementales chez TikTok, explique que Project Clover comprend certaines des protections de données les plus strictes du secteur, avec une supervision indépendante assurée par l’entreprise européenne de cybersécurité NCC Group
  • Grahn affirme que TikTok n’a jamais reçu de demande des autorités chinoises concernant les données d’utilisateurs européens et n’a jamais fourni de données d’utilisateurs européens aux autorités chinoises

Critères du GDPR pour les transferts hors UE et réponse de TikTok

  • En vertu du General Data Protection Regulation, les données des utilisateurs européens peuvent être transférées hors de l’UE, mais des garanties assurant un niveau de protection équivalent sont nécessaires
  • Grahn conteste fermement l’évaluation du régulateur irlandais selon laquelle TikTok n’aurait pas mené les évaluations requises pour les transferts de données
  • TikTok affirme avoir demandé conseil à des cabinets d’avocats et à des experts, avoir utilisé les mêmes mécanismes juridiques que des milliers d’entreprises en Europe, et que son approche est conforme aux règles de l’UE
  • Grahn déclare que TikTok est singled out

Notification de stockage sur des serveurs chinois et examen de mesures supplémentaires

  • TikTok fait l’objet d’un examen sur sa manière de traiter les données personnelles des utilisateurs en Europe, notamment parce que sa maison mère ByteDance est basée en Chine
  • Des responsables occidentaux ont exprimé à plusieurs reprises des inquiétudes selon lesquelles TikTok posait un risque de sécurité en lien avec les données d’utilisateurs transférées vers la Chine
  • L’autorité irlandaise avait déjà infligé à TikTok, en 2023, une autre amende de plusieurs centaines de millions d’euros dans le cadre d’une enquête distincte sur les données personnelles d’enfants
  • Pendant cette enquête, TikTok avait déclaré ne pas stocker de données d’utilisateurs européens sur des serveurs en Chine, mais n’a informé le régulateur qu’en avril qu’une partie des données avait en réalité été stockée sur des serveurs chinois, un fait découvert en février
  • Graham Doyle indique prendre ces développements récents très au sérieux et examine si des mesures réglementaires supplémentaires sont nécessaires

1 commentaires

 
GN⁺ 2025-05-04
Avis sur Hacker News
  • « massive », selon quel critère ?
    Il serait temps de s’habituer à infliger aux entreprises des amendes représentant une proportion raisonnable de leur chiffre d’affaires
    Rien que le chiffre d’affaires mondial de TikTok l’an dernier est estimé entre 20 et 26 milliards de dollars https://www.nytimes.com/2025/01/17/technology/tiktok-ban-byt...

    • Pour qu’une amende fasse assez mal pour changer le comportement d’une entreprise, elle n’a pas besoin de représenter une part de son chiffre d’affaires mondial ; elle doit être suffisamment supérieure aux profits tirés de l’acte illégal
      Selon l’article, TikTok a gagné 10 milliards de dollars sur ces 20 milliards rien qu’aux États-Unis ; le chiffre d’affaires européen est donc au maximum de 10 milliards de dollars
      Ce calcul exclut de grands marchés comme le Brésil et l’Indonésie, donc le chiffre d’affaires européen réel est très probablement bien inférieur
      530 millions d’euros représentent environ 600 millions de dollars, soit au moins 6 % du chiffre d’affaires 2024 concerné, et probablement beaucoup plus en réalité
      Je ne sais pas si c’est assez élevé pour annuler les gains tirés de la faute, mais ce n’est clairement pas une sanction symbolique
    • On peut comparer avec d’autres amendes
      En valeur absolue, cela semble se situer quelque part dans le top 20 historique des amendes pour une affaire unique, et dans le top 3 des amendes européennes liées aux données personnelles
      Le fait de s’habituer à de tels montants ne change pas leur catégorie
      Même si ces chiffres deviennent plus courants, ils restent énormes, surtout pour des montants qui ne devraient pas être courants à l’origine
    • Pour pinailler, il faudrait considérer une part du bénéfice net, pas du chiffre d’affaires
      La majeure partie du chiffre d’affaires part en coûts ; infliger une amende représentant une proportion raisonnable du chiffre d’affaires peut donc tout simplement mettre une entreprise en faillite
      Si l’objectif est de changer les comportements, ce n’est pas le résultat souhaité
      Avec un chiffre d’affaires mondial de 20 milliards de dollars et une marge supposée de 20 %, le bénéfice net serait de 4 milliards de dollars ; cette amende représente donc 15 % du bénéfice net mondial
      C’est une amende énorme
      De plus, ce type de réglementation est ambigu et laisse une grande place à l’interprétation : même si les entreprises et leurs avocats pensent sincèrement être en conformité, un juge peut en décider autrement
      Si chaque pays fixe des amendes sur la base du chiffre d’affaires mondial, il y a aussi un risque de sanctions redondantes pour les mêmes faits, ce qui peut mener non pas à un changement de comportement, mais à la faillite de l’entreprise
    • Ce qui est pire que le faible montant, c’est le temps que cela a pris
      Si l’on prend les accusations au pied de la lettre, la Chine a surveillé une grande partie des citoyens de l’UE pendant 4 ans et peut continuer encore 6 mois
      Même après cela, il est peu probable qu’elle s’arrête réellement, et cela se termine par une amende de quelques dollars par victime
      Les États-Unis n’agissent pas plus vite, et la plupart des autres pays n’agissent pas du tout
      Résultat : un adversaire potentiel peut mener une vaste opération de surveillance pendant longtemps, sans en payer un prix élevé, tant qu’il y ajoute des vidéos ridicules et des bandes-son agaçantes
    • Il y avait l’idée que, plutôt qu’une amende, l’État devrait prendre une participation dans l’entreprise
      Cela punirait les mauvais comportements en diluant les propriétaires existants
      Si l’État devient copropriétaire, il entre à l’intérieur, avec beaucoup plus de visibilité et de latitude pour demander des informations
      Si les mauvais comportements continuent, l’État prend progressivement le contrôle au fil du temps
      Pour une entreprise comme Tesla, dont le cours de Bourse est très élevé mais les bénéfices faibles, une amende proportionnelle aux bénéfices peut avoir peu de sens
      En revanche, un contrôle public via des actions attirerait rapidement l’attention de l’entreprise comme de ses actionnaires
  • Le Є dans le titre soumis à HN n’est pas le symbole de l’euro
    Le symbole de l’euro est

    • Le symbole a été ajouté quand le titre a été modifié, et je ne peux plus le corriger
      J’espère que Dang le corrigera
    • Aujourd’hui j’ai appris : Є est U+0404 Cyrillic Capital Letter Ukrainian Ie
      https://codepoints.net/U+0404
    • De plus, le symbole € se place après le montant comme suffixe, et non avant comme le $
  • Il y a beaucoup de frustration et de cynisme dans ce fil, mais quelques malentendus semblent les alimenter
    D’abord, l’Irlande fait partie de l’UE, et dans le système de guichet unique du RGPD, le pays où se trouve le siège européen d’une entreprise mène l’application des règles pour toute l’UE
    Le siège européen de nombreux géants de la tech étant en Irlande, lorsqu’un régulateur irlandais inflige une amende au titre du RGPD, il agit de fait au nom de toute l’UE
    Les amendes du RGPD peuvent être très élevées, et les sanctions peuvent être calculées sur la base du pourcentage du chiffre d’affaires mondial ou d’un montant forfaitaire élevé, selon le plus élevé des deux
    Ainsi, même les grandes entreprises en ressentent l’effet
    Ces amendes sont annoncées publiquement et de façon transparente, ce qui entraîne un impact réputationnel en plus du choc financier
    Cette publicité est voulue pour que les amendes soient un véritable moyen de dissuasion, et non un coût opérationnel discret
    Il faut aussi clarifier où va l’argent des amendes
    Il ne va pas simplement dans la poche de l’Irlande ; en pratique, il va au budget de l’UE et est déduit de la contribution que l’Irlande devrait normalement verser au budget européen
    Si des personnes d’autres pays de l’UE ont subi une atteinte, ces pays peuvent aussi demander une partie de l’amende
    Au final, l’Irlande ne profite pas seule du système : elle devient le point de collecte parce que les entreprises y sont établies
    Fait intéressant, certains disent que les amendes sont trop sévères, tandis que d’autres les trouvent trop faibles
    En réalité, ces sanctions sont conçues pour être proportionnées à la taille de l’entreprise et à la gravité de l’infraction, tout en restant suffisamment sensibles ; elles ne visent pas à détruire l’entreprise, mais elles ne sont pas insignifiantes pour autant

    • Le critère du plus élevé entre un pourcentage du chiffre d’affaires mondial de l’entreprise et un montant forfaitaire élevé sert à fixer l’amende maximale
      Le régulateur peut ensuite infliger comme amende effective X % de ce maximum
      C’est aussi un mécanisme destiné à éviter que certains États membres de l’UE ne fixent des amendes trop faibles pour attirer des entreprises
      C’est similaire au problème passé de l’Irlande, qui taxait trop peu
    • Si l’Irlande paie x de contribution en moins, c’est pratiquement équivalent à gagner x
      Pour la part qui n’est pas réclamée par d’autres pays de l’UE, cela revient finalement à aller dans la poche de l’Irlande
    • Des sources sur les détails du circuit des amendes seraient vraiment utiles
      Chaque fois qu’on parle du RGPD, des dizaines de posts apparaissent ici, et le débat revient toujours sur ce point
  • Il est possible que cela reste dans le cadre de la loi, mais à mon avis la menace la plus importante n’est pas que les données sortent, c’est que de l’influence entre dans l’algorithme de l’application, et qu’elle influence ensuite les utilisateurs

  • @dang Pourriez-vous mettre ce symbole dans le titre ?

    • Il faut retirer ce Є
  • Deux choses m’interrogent
    Premièrement, est-ce que ce type d’amende est réellement exécuté, ou est-ce que cela part en appels interminables ?
    Deuxièmement, où va l’argent de l’amende ?
    Si le mécanisme est que TikTok est condamné à une amende en Irlande, on dirait que l’argent va au gouvernement irlandais, ce qui est étrange
    Si l’amende est calculée dans un contexte à l’échelle de toute l’UE mais que seule l’Irlande en encaisse le produit, alors le système est bancal

    • Au Royaume-Uni, l’autorité de régulation qui inflige l’amende en reverse presque la totalité au fonds consolidé, à l’exception d’une partie correspondant à la récupération de certains coûts
      En gros, cela va dans le même gros pot que les impôts
      L’UE fait très peu d’application directe du droit, la plupart étant assurée par les régulateurs nationaux, donc c’est globalement ce à quoi on peut s’attendre
      C’est l’inverse du cas Apple, où l’UE avait sanctionné le gouvernement irlandais au motif qu’il n’avait pas suffisamment prélevé d’impôts auprès d’Apple
    • À corriger si je me trompe, mais cet argent finit par aller dans le budget de l’UE dans son ensemble, ce qui revient un peu à une minuscule ristourne fiscale pour les résidents de l’UE
      Cela dit, il semble y avoir des différences selon les pays, et l’Espagne paraît avoir un dispositif assez particulier où l’autorité de protection des données conserve directement l’argent
    • Si c’est réellement une amende propre à l’Irlande, TikTok pourrait simplement quitter ce pays et ne pas la payer
      C’est peut-être même ce que souhaite l’Irlande
      L’Irlande étant un petit marché, il faudrait très longtemps à TikTok pour y générer 530 millions d’euros de bénéfices
    • https://www.enforcementtracker.com/
  • 100 % de l’argent récupéré via ce type d’amende devrait servir à la recherche et à la divulgation des atteintes à la vie privée commises par ces entreprises
    En pratique, il faudrait leur faire payer elles-mêmes le coût de leur propre surveillance
    On ne sait pas comment les données qu’elles collectent à grande échelle pourront être détournées à l’avenir par l’IA, et c’est assez inquiétant

  • J’espère que cet argent servira à améliorer la situation pour les habitants sur place

  • C’est un peu hors sujet, mais je me demande comment le gouvernement qui inflige l’amende utilise cet argent
    Par exemple, est-ce que cela finance des activités ou des missions liées à la protection des données personnelles ?

    • Les impôts sont très rarement affectés à un objectif précis
      Dans la plupart des pays, payer une « taxe sur les ours » ne signifie pas que l’argent va dans une grande jarre réservée à l’éradication des ours
      Ces amendes alimentent donc généralement les recettes générales des dépenses publiques
      Au Royaume-Uni, les amendes pour atteinte aux données servent à financer les frais de fonctionnement de l’autorité chargée de l’application, et le solde revient à l’État https://ico.org.uk/about-the-ico/who-we-are/how-we-are-funde...
    • Dans l’UE, cela signifie que les États membres verseront un peu moins au budget l’année suivante
      Le budget de l’UE lui-même ne changeant pas réellement, ce n’est donc pas vraiment un mécanisme qui « crée plus d’argent »
      J’ai peut-être sauté une étape, mais cette amende n’est pas propre à l’Irlande : c’est une amende à l’échelle de l’UE et, si je me souviens bien, elle est versée à l’UE
  • Tant que les responsables individuels ne sont pas personnellement condamnés à payer des amendes, celles-ci sont inutiles et sans effet

    • Et si l’amende est inférieure à l’argent gagné, alors ce n’est pas une amende, c’est un coût d’exploitation