Christine Grahn, responsable des affaires publiques et des relations gouvernementales pour l'Europe

Aujourd'hui, la Commission irlandaise de protection des données (DPC) a publié sa décision finale dans le cadre de l'enquête sur la conformité de TikTok aux exigences du RGPD en matière de transfert de données personnelles vers la Chine. Cette décision porte principalement sur une période spécifique remontant à plusieurs années, avant la mise en œuvre en 2023 du projet Clover, notre initiative de sécurité des données qui représente un investissement d'un montant de 12 milliards d'euros.

La DPC a elle-même consigné dans son rapport ce que TikTok a toujours affirmé : elle n'a jamais reçu de demande de données d'utilisateurs européens de la part des autorités chinoises et ne leur a jamais fourni de données d'utilisateurs européens.

Les faits sont les suivants : le projet Clover prévoit des mesures de protection des données les plus strictes du secteur, notamment un contrôle indépendant et sans précédent assuré par NCC Group, société européenne de cybersécurité de premier plan. La décision ne tient pas pleinement compte de ces mesures considérables en matière de sécurité des données.

Avec 175 millions d'utilisateurs à travers l'Europe, plus de 6 000 employés dans la région et une plateforme qui a aidé les petites entreprises à contribuer à hauteur de 4,8 milliards d'euros au PIB et à créer plus de 51 000 emplois, TikTok est profondément intégré à l'économie européenne. Cette décision a des implications non seulement pour TikTok, mais aussi pour toutes les entreprises européennes opérant à l'échelle mondiale. Nous contestons cette décision et avons l'intention de faire appel dans son intégralité.


TikTok a respecté les règles de l'UE

Il ne s'agit pas de la première décision de le Commission irlandaise de protection des données concernant le transfert de données en dehors de l'Europe.

Pour rappel, en 2023, l'autorité a infligé une amende record de 1,2 milliard d'euros à Meta, lui ordonnant de suspendre ses transferts de données vers les États-Unis, concluant que les États-Unis n'offraient pas une protection « adéquate » des données personnelles européennes.

Seuls 15 pays ont conclu des accords d'adéquation des données avec l'UE, qui permettent la libre circulation des données à travers les frontières en toute confiance. En conséquence, un grand nombre d'entreprises s'appuient sur des clauses contractuelles types, des cadres juridiques pré-approuvés pour le partage international de données, afin de faciliter l'accès à distance aux données (appelé « transfert de données ») pour leurs employés basés dans des pays qui ne bénéficient pas de ce statut.

La Commission de protection des données Irlandaise soutient que nous n'avons pas procédé aux évaluations nécessaires. Nous contestons vivement cette affirmation, car nous avons réalisé des évaluations détaillées avec l'aide de cabinets d'avocats et d'experts externes.

Au-delà du fait que la DPC n'ait pas examiné de manière approfondie les garanties étendues mises en œuvre dans le cadre du projet Clover, nous sommes déçus d'avoir été pointés du doigt alors que nous nous appuyons sur le même mécanisme juridique que des milliers d'autres entreprises qui fournissent des services en Europe. Comme de nombreuses organisations opérant à l'échelle mondiale, TikTok a utilisé le cadre juridique de l'UE, en particulier les clauses contractuelles types, pour accorder un accès strictement contrôlé et limité aux employés des pays ne disposant pas d'accords sur la protection des données.

Cette approche est pleinement conforme aux règles établies par l'Union européenne, et nous avons toujours fait preuve de transparence quant à nos pratiques.

Contrairement à certaines autres entreprises, nous expliquons clairement ces mécanismes dans notre politique de confidentialité et dans nos communications avec notre communauté européenne, qui compte aujourd'hui plus de 175 millions de personnes.


Le projet Clover offre déjà une protection sans précédent aux données des utilisateurs européens

En 2023, TikTok a commencé à déployer le projet Clover en Europe, un investissement de 12 milliards d'euros qui offre des garanties inégalées pour les données des utilisateurs européens. Nous venons d'annoncer une avancée majeure dans notre engagement continu pour la sécurité des données en Europe avec 1 milliard d'euros d'investissement dans la mise en place d'un data center en Finlande. De nombreuses entreprises mondiales opérant en Europe ont des employés en Chine, y compris nos concurrents. Mais aucune n'a mis en place les mesures prises par TikTok. Grâce au projet Clover, nous sommes allés plus loin que quiconque dans la lutte contre les risques hypothétiques, en mettant en place des garanties réelles et concrètes :

  • Nos mesures de sécurité des données européennes dans le cadre du projet Clover, notamment les protocoles d'accès à distance et de transfert de données, sont désormais surveillées, contrôlées et validées en permanence par la société européenne de cybersécurité NCC Group, ce qui garantit un niveau de surveillance indépendante et de transparence inégalé parmi les plateformes en ligne.
  • Les données de nos utilisateurs européens sont désormais stockées par défaut dans une enclave européenne dédiée, actuellement hébergée dans des centres de données en Europe et aux États-Unis.
  • Nous avons mis en place des barrières de sécurité numériques supplémentaires, appelées « passerelles de sécurité ». Contrôlées de manière indépendante par NCC Group, ces passerelles font partie d'un système complet de protocoles techniques qui garantissent que seuls les employés autorisés peuvent accéder à certains types de données, ce qui restreint encore davantage l'accès interne, notamment en empêchant les employés basés en Chine d'accéder aux données sensibles, telles que les numéros de téléphone, les adresses e-mail et les adresses IP, stockées dans l'enclave.
  • Dans le cadre du projet Clover, TikTok a mis en œuvre des technologies avancées de renforcement de la confidentialité (PET), telles que le chiffrement à l'accès et la confidentialité différentielle, afin de garantir que les données non restreintes soient anonymisées avant que les employés en Chine puissent y accéder. Il est essentiel de noter que des experts indépendants en cybersécurité du groupe NCC ont vérifié que ces mesures de protection fonctionnent comme prévu.

Si les mesures exhaustives mises en œuvre dans le cadre du projet Clover, qui constituent les mesures de protection des données les plus robustes et les plus strictes de notre secteur et au-delà, ainsi que la surveillance indépendante par un tiers, le NCC Group, sont jugées insuffisantes, il est légitime de se demander ce qui serait considéré comme suffisant. Il est regrettable que le DPC ne semble pas avoir accordé à ces protections complètes l'attention qu'elles méritent.


Des implications considérables

Cette décision risque de créer un précédent aux conséquences considérables pour les entreprises et les secteurs entiers à travers l'Europe qui opèrent à l'échelle mondiale. Elle porte un coup dur à la compétitivité de l'Union européenne. Grâce au projet Clover, une initiative volontaire de plusieurs milliards d'euros, TikTok a mis en place une solution complète qui offre une protection inégalée des données et de la vie privée des utilisateurs européens, tout en préservant les flux de données mondiaux et en soutenant l'innovation continue.

À l'heure où les entreprises et les économies européennes ont besoin d'innovation, de croissance et d'emplois, nous pensons que l'UE devrait accueillir favorablement et soutenir des solutions telles que le projet Clover, qui permettent de faciliter la circulation sécurisée des données entre l'UE et les pays non adéquats, tout en garantissant les protections les plus solides pour la sécurité et la confidentialité des données européennes.