- Alors que les règles de transfert de données hors de l’UE refont surface comme un risque opérationnel pour les plateformes, la Data Protection Commission irlandaise a infligé à TikTok une amende de 530 millions d’euros (environ 600 millions de dollars) à l’issue d’une enquête de quatre ans
- Le point central est de savoir si TikTok a vérifié, garanti et démontré que les données personnelles des utilisateurs européens, auxquelles des employés situés en Chine avaient un accès à distance, bénéficiaient d’une protection essentiellement équivalente à celle de l’UE
- À l’époque, la politique de confidentialité n’indiquait pas suffisamment vers quels pays tiers les données étaient transférées, et n’expliquait pas clairement non plus l’accès à distance par du personnel basé en Chine
- TikTok conteste la décision et prévoit de faire appel, affirmant que la période visée s’arrête à mai 2023 et qu’ensuite Project Clover a permis d’introduire des centres de données en Europe et une supervision indépendante
- Le GDPR autorise les transferts de données d’utilisateurs européens hors de l’UE, mais exige un niveau de protection équivalent ; la notification tardive selon laquelle certaines données avaient été stockées sur des serveurs en Chine pourrait entraîner des mesures réglementaires supplémentaires
Amende de 530 millions d’euros et injonction de mise en conformité sous 6 mois
- La Data Protection Commission irlandaise a infligé à TikTok une amende de 530 millions d’euros, soit environ 600 millions de dollars, estimant que ses transferts de données vers la Chine violaient les règles européennes de protection des données
- Cette décision est le résultat d’une enquête de quatre ans lancée en septembre 2021, et TikTok a également reçu l’ordre de se mettre en conformité dans un délai de 6 mois
- Les régulateurs ont estimé que les transferts de données vers la Chine exposaient les utilisateurs européens à un risque de surveillance
- Le siège européen de TikTok étant à Dublin, l’autorité irlandaise agit comme principal régulateur de la protection des données de TikTok dans les 27 pays de l’UE
Accès à distance depuis la Chine et controverse sur le niveau de protection équivalent à l’UE
- Le Deputy Commissioner Graham Doyle estime que TikTok n’a pas su vérifier, garantir et démontrer qu’un niveau de protection essentiellement équivalent à celui de l’UE s’appliquait aux données personnelles des utilisateurs européens accessibles à distance par des employés en Chine
- L’enquête s’est penchée sur la possibilité pour les autorités chinoises d’accéder aux données personnelles des utilisateurs européens en raison des lois chinoises sur l’antiterrorisme, le contre-espionnage, la cybersécurité et le renseignement national
- L’autorité irlandaise a jugé que ces lois chinoises étaient substantiellement différentes des normes de l’UE
Problème de transparence de la politique de confidentialité
- TikTok a aussi été sanctionné pour ne pas avoir suffisamment informé les utilisateurs de la destination de leurs données personnelles
- Au moment de l’enquête, la politique de confidentialité de TikTok ne précisait pas les pays tiers vers lesquels les données des utilisateurs étaient transférées, et ne mentionnait pas non plus la Chine explicitement
- La politique a depuis été mise à jour, mais à l’époque elle n’expliquait pas non plus que des données personnelles stockées à Singapore et aux United States étaient traitées via un accès à distance par du personnel basé en Chine
Projet d’appel de TikTok et Project Clover
- TikTok n’est pas d’accord avec cette décision et prévoit de faire appel
- L’entreprise rétorque que la décision se concentre sur une période spécifique s’achevant en mai 2023, et qu’elle a ensuite mis en œuvre son projet de localisation des données Project Clover
- Project Clover comprend un plan de construction de 3 centres de données en Europe
- Christine Grahn, responsable Europe des politiques publiques et des relations gouvernementales chez TikTok, explique que Project Clover comprend certaines des protections de données les plus strictes du secteur, avec une supervision indépendante assurée par l’entreprise européenne de cybersécurité NCC Group
- Grahn affirme que TikTok n’a jamais reçu de demande des autorités chinoises concernant les données d’utilisateurs européens et n’a jamais fourni de données d’utilisateurs européens aux autorités chinoises
Critères du GDPR pour les transferts hors UE et réponse de TikTok
- En vertu du General Data Protection Regulation, les données des utilisateurs européens peuvent être transférées hors de l’UE, mais des garanties assurant un niveau de protection équivalent sont nécessaires
- Grahn conteste fermement l’évaluation du régulateur irlandais selon laquelle TikTok n’aurait pas mené les évaluations requises pour les transferts de données
- TikTok affirme avoir demandé conseil à des cabinets d’avocats et à des experts, avoir utilisé les mêmes mécanismes juridiques que des milliers d’entreprises en Europe, et que son approche est conforme aux règles de l’UE
- Grahn déclare que TikTok est singled out
Notification de stockage sur des serveurs chinois et examen de mesures supplémentaires
- TikTok fait l’objet d’un examen sur sa manière de traiter les données personnelles des utilisateurs en Europe, notamment parce que sa maison mère ByteDance est basée en Chine
- Des responsables occidentaux ont exprimé à plusieurs reprises des inquiétudes selon lesquelles TikTok posait un risque de sécurité en lien avec les données d’utilisateurs transférées vers la Chine
- L’autorité irlandaise avait déjà infligé à TikTok, en 2023, une autre amende de plusieurs centaines de millions d’euros dans le cadre d’une enquête distincte sur les données personnelles d’enfants
- Pendant cette enquête, TikTok avait déclaré ne pas stocker de données d’utilisateurs européens sur des serveurs en Chine, mais n’a informé le régulateur qu’en avril qu’une partie des données avait en réalité été stockée sur des serveurs chinois, un fait découvert en février
- Graham Doyle indique prendre ces développements récents très au sérieux et examine si des mesures réglementaires supplémentaires sont nécessaires
1 commentaires
Avis sur Hacker News
« massive », selon quel critère ?
Il serait temps de s’habituer à infliger aux entreprises des amendes représentant une proportion raisonnable de leur chiffre d’affaires
Rien que le chiffre d’affaires mondial de TikTok l’an dernier est estimé entre 20 et 26 milliards de dollars https://www.nytimes.com/2025/01/17/technology/tiktok-ban-byt...
Selon l’article, TikTok a gagné 10 milliards de dollars sur ces 20 milliards rien qu’aux États-Unis ; le chiffre d’affaires européen est donc au maximum de 10 milliards de dollars
Ce calcul exclut de grands marchés comme le Brésil et l’Indonésie, donc le chiffre d’affaires européen réel est très probablement bien inférieur
530 millions d’euros représentent environ 600 millions de dollars, soit au moins 6 % du chiffre d’affaires 2024 concerné, et probablement beaucoup plus en réalité
Je ne sais pas si c’est assez élevé pour annuler les gains tirés de la faute, mais ce n’est clairement pas une sanction symbolique
En valeur absolue, cela semble se situer quelque part dans le top 20 historique des amendes pour une affaire unique, et dans le top 3 des amendes européennes liées aux données personnelles
Le fait de s’habituer à de tels montants ne change pas leur catégorie
Même si ces chiffres deviennent plus courants, ils restent énormes, surtout pour des montants qui ne devraient pas être courants à l’origine
La majeure partie du chiffre d’affaires part en coûts ; infliger une amende représentant une proportion raisonnable du chiffre d’affaires peut donc tout simplement mettre une entreprise en faillite
Si l’objectif est de changer les comportements, ce n’est pas le résultat souhaité
Avec un chiffre d’affaires mondial de 20 milliards de dollars et une marge supposée de 20 %, le bénéfice net serait de 4 milliards de dollars ; cette amende représente donc 15 % du bénéfice net mondial
C’est une amende énorme
De plus, ce type de réglementation est ambigu et laisse une grande place à l’interprétation : même si les entreprises et leurs avocats pensent sincèrement être en conformité, un juge peut en décider autrement
Si chaque pays fixe des amendes sur la base du chiffre d’affaires mondial, il y a aussi un risque de sanctions redondantes pour les mêmes faits, ce qui peut mener non pas à un changement de comportement, mais à la faillite de l’entreprise
Si l’on prend les accusations au pied de la lettre, la Chine a surveillé une grande partie des citoyens de l’UE pendant 4 ans et peut continuer encore 6 mois
Même après cela, il est peu probable qu’elle s’arrête réellement, et cela se termine par une amende de quelques dollars par victime
Les États-Unis n’agissent pas plus vite, et la plupart des autres pays n’agissent pas du tout
Résultat : un adversaire potentiel peut mener une vaste opération de surveillance pendant longtemps, sans en payer un prix élevé, tant qu’il y ajoute des vidéos ridicules et des bandes-son agaçantes
Cela punirait les mauvais comportements en diluant les propriétaires existants
Si l’État devient copropriétaire, il entre à l’intérieur, avec beaucoup plus de visibilité et de latitude pour demander des informations
Si les mauvais comportements continuent, l’État prend progressivement le contrôle au fil du temps
Pour une entreprise comme Tesla, dont le cours de Bourse est très élevé mais les bénéfices faibles, une amende proportionnelle aux bénéfices peut avoir peu de sens
En revanche, un contrôle public via des actions attirerait rapidement l’attention de l’entreprise comme de ses actionnaires
Le Є dans le titre soumis à HN n’est pas le symbole de l’euro
Le symbole de l’euro est €
J’espère que Dang le corrigera
https://codepoints.net/U+0404
Il y a beaucoup de frustration et de cynisme dans ce fil, mais quelques malentendus semblent les alimenter
D’abord, l’Irlande fait partie de l’UE, et dans le système de guichet unique du RGPD, le pays où se trouve le siège européen d’une entreprise mène l’application des règles pour toute l’UE
Le siège européen de nombreux géants de la tech étant en Irlande, lorsqu’un régulateur irlandais inflige une amende au titre du RGPD, il agit de fait au nom de toute l’UE
Les amendes du RGPD peuvent être très élevées, et les sanctions peuvent être calculées sur la base du pourcentage du chiffre d’affaires mondial ou d’un montant forfaitaire élevé, selon le plus élevé des deux
Ainsi, même les grandes entreprises en ressentent l’effet
Ces amendes sont annoncées publiquement et de façon transparente, ce qui entraîne un impact réputationnel en plus du choc financier
Cette publicité est voulue pour que les amendes soient un véritable moyen de dissuasion, et non un coût opérationnel discret
Il faut aussi clarifier où va l’argent des amendes
Il ne va pas simplement dans la poche de l’Irlande ; en pratique, il va au budget de l’UE et est déduit de la contribution que l’Irlande devrait normalement verser au budget européen
Si des personnes d’autres pays de l’UE ont subi une atteinte, ces pays peuvent aussi demander une partie de l’amende
Au final, l’Irlande ne profite pas seule du système : elle devient le point de collecte parce que les entreprises y sont établies
Fait intéressant, certains disent que les amendes sont trop sévères, tandis que d’autres les trouvent trop faibles
En réalité, ces sanctions sont conçues pour être proportionnées à la taille de l’entreprise et à la gravité de l’infraction, tout en restant suffisamment sensibles ; elles ne visent pas à détruire l’entreprise, mais elles ne sont pas insignifiantes pour autant
Le régulateur peut ensuite infliger comme amende effective X % de ce maximum
C’est aussi un mécanisme destiné à éviter que certains États membres de l’UE ne fixent des amendes trop faibles pour attirer des entreprises
C’est similaire au problème passé de l’Irlande, qui taxait trop peu
Pour la part qui n’est pas réclamée par d’autres pays de l’UE, cela revient finalement à aller dans la poche de l’Irlande
Chaque fois qu’on parle du RGPD, des dizaines de posts apparaissent ici, et le débat revient toujours sur ce point
Il est possible que cela reste dans le cadre de la loi, mais à mon avis la menace la plus importante n’est pas que les données sortent, c’est que de l’influence entre dans l’algorithme de l’application, et qu’elle influence ensuite les utilisateurs
@dang Pourriez-vous mettre ce symbole dans le titre ? €
Deux choses m’interrogent
Premièrement, est-ce que ce type d’amende est réellement exécuté, ou est-ce que cela part en appels interminables ?
Deuxièmement, où va l’argent de l’amende ?
Si le mécanisme est que TikTok est condamné à une amende en Irlande, on dirait que l’argent va au gouvernement irlandais, ce qui est étrange
Si l’amende est calculée dans un contexte à l’échelle de toute l’UE mais que seule l’Irlande en encaisse le produit, alors le système est bancal
En gros, cela va dans le même gros pot que les impôts
L’UE fait très peu d’application directe du droit, la plupart étant assurée par les régulateurs nationaux, donc c’est globalement ce à quoi on peut s’attendre
C’est l’inverse du cas Apple, où l’UE avait sanctionné le gouvernement irlandais au motif qu’il n’avait pas suffisamment prélevé d’impôts auprès d’Apple
Cela dit, il semble y avoir des différences selon les pays, et l’Espagne paraît avoir un dispositif assez particulier où l’autorité de protection des données conserve directement l’argent
C’est peut-être même ce que souhaite l’Irlande
L’Irlande étant un petit marché, il faudrait très longtemps à TikTok pour y générer 530 millions d’euros de bénéfices
100 % de l’argent récupéré via ce type d’amende devrait servir à la recherche et à la divulgation des atteintes à la vie privée commises par ces entreprises
En pratique, il faudrait leur faire payer elles-mêmes le coût de leur propre surveillance
On ne sait pas comment les données qu’elles collectent à grande échelle pourront être détournées à l’avenir par l’IA, et c’est assez inquiétant
J’espère que cet argent servira à améliorer la situation pour les habitants sur place
C’est un peu hors sujet, mais je me demande comment le gouvernement qui inflige l’amende utilise cet argent
Par exemple, est-ce que cela finance des activités ou des missions liées à la protection des données personnelles ?
Dans la plupart des pays, payer une « taxe sur les ours » ne signifie pas que l’argent va dans une grande jarre réservée à l’éradication des ours
Ces amendes alimentent donc généralement les recettes générales des dépenses publiques
Au Royaume-Uni, les amendes pour atteinte aux données servent à financer les frais de fonctionnement de l’autorité chargée de l’application, et le solde revient à l’État https://ico.org.uk/about-the-ico/who-we-are/how-we-are-funde...
Le budget de l’UE lui-même ne changeant pas réellement, ce n’est donc pas vraiment un mécanisme qui « crée plus d’argent »
J’ai peut-être sauté une étape, mais cette amende n’est pas propre à l’Irlande : c’est une amende à l’échelle de l’UE et, si je me souviens bien, elle est versée à l’UE
Tant que les responsables individuels ne sont pas personnellement condamnés à payer des amendes, celles-ci sont inutiles et sans effet