anonym.legal

By · Last updated 2026-03-06

Retour au blogGDPR & Conformité

Amende de 530 millions d'euros pour TikTok et la...

L'amende de 530 millions d'euros infligée à TikTok pour les transferts de données entre l'UE et la Chine marque une nouvelle ère d'application de la...

March 6, 20269 min de lecture
GDPR enforcementdata sovereigntyTikTok GDPR fineEU data transfer

L'Arrêt TikTok Qui a Redéfini la Souveraineté des Données

Mis à jour pour 2026

En mai 2025, la Commission irlandaise de protection des données a infligé à TikTok une amende de 530 millions d'euros. La raison était simple. TikTok transférait les informations des utilisateurs de l'UE vers la Chine sans garanties adéquates.

C'est la deuxième plus grande sanction individuelle sous le RGPD. Seule l'amende Meta de 1,2 milliard d'euros de 2023 est plus élevée. La DPC irlandaise l'avait également prononcée — pour l'envoi illégal de fichiers UE vers les serveurs Facebook aux États-Unis.

Les deux cas montrent un schéma clair. Les transferts transfrontaliers sans garanties adéquates entraînent les amendes les plus élevées. Les régulateurs continueront d'agir jusqu'à ce que les entreprises changent.

Les amendes RGPD cumulées ont atteint 5,65 milliards d'euros d'ici 2025. L'application n'est plus un risque de fond. C'est un coût actif pour les entreprises. Consultez notre guide de conformité RGPD pour un aperçu pratique.

Ce que l'Affaire TikTok a Décidé

Cette affaire ne portait pas sur une violation. Elle portait sur l'endroit où vont les fichiers utilisateurs et la base juridique de leur transfert.

TikTok stockait des fichiers d'utilisateurs UE sur des serveurs. Des employés en Chine pouvaient accéder à ces serveurs. Les articles 44 à 46 du RGPD restreignent les transferts vers des pays sans décision d'adéquation de l'UE. La Chine n'a pas une telle décision. TikTok a affirmé avoir mis en place des mesures techniques adéquates. Les régulateurs ont rejeté cet argument.

La leçon est simple. Héberger dans l'UE ne suffit pas si des employés hors UE peuvent accéder aux fichiers. Ce n'est pas non plus suffisant si l'entreprise est soumise aux lois d'un pays non adéquat.

C'est important lors du choix de fournisseurs SaaS. Un fournisseur peut dire « nous hébergeons dans l'UE. » Mais si sa société mère est basée ailleurs, le même risque s'applique. Si son personnel d'assistance accède aux fichiers utilisateurs depuis l'extérieur de l'UE, le même risque s'applique. Leurs clients partagent ce risque. Consultez notre liste de vérification de conformité avant de signer un DPA.

Amendes RGPD : 5,65 Milliards d'Euros et en Hausse

Mesure d'applicationAmendeAnnéeMotifs
Meta (Facebook) — DPC1,2 Md €2023Transferts UE-États-Unis illégaux
TikTok — DPC530 M €2025Transferts UE-Chine
Amazon — CNPD Luxembourg746 M €2021Ciblage publicitaire
WhatsApp — DPC225 M €2021Manquements à la transparence
Google — CNIL France150 M €2022Consentement aux cookies

Les régulateurs sont passés de l'établissement de règles à leur application. Les violations de transfert entraînent maintenant les plus grosses amendes. Découvrez comment nous gérons la sécurité et les garanties.

Allemagne, Suisse et Règles Sectorielles

Les articles 44 à 46 du RGPD s'appliquent à tous les secteurs. Mais certaines industries ont des règles supplémentaires.

Santé allemande : Le Code social, Livre V (SGB V) limite le traitement des documents de santé aux systèmes contrôlés par des entités allemandes. Un assureur allemand peut utiliser un outil de dé-identification en cloud à Dublin — c'est l'UE. Mais cela peut quand même violer le SGB V si l'opérateur de l'outil n'est pas une entité allemande.

Banque suisse : L'article 47 de la loi bancaire interdit la divulgation de documents clients à des tiers non autorisés. Cela inclut les fournisseurs cloud sans consentement explicite du client. Les fichiers clients d'une banque suisse, même dans un outil hébergé dans l'UE, peuvent déclencher cette obligation.

Secteur public allemand : Les directives du BfDI limitent les documents gouvernementaux aux systèmes gérés par le gouvernement. Un outil de dé-identification hébergé sur les serveurs UE d'un fournisseur cloud commercial ne satisfait pas cette exigence.

La leçon : L'alignement RGPD est le plancher, pas le plafond. De nombreux secteurs ont des règles plus strictes. Notre aperçu du traitement des entités indique quelles règles s'appliquent par secteur.

Qui a une Décision d'Adéquation ?

Le RGPD permet l'échange libre d'informations avec les pays que la Commission européenne reconnaît comme offrant une protection équivalente. Ces pays sont concernés :

Andorre, Argentine, Canada (organisations commerciales), Îles Féroé, Guernesey, Israël, Île de Man, Japon, Jersey, Nouvelle-Zélande, Corée du Sud, Suisse, Royaume-Uni, Uruguay et États-Unis (Data Privacy Framework).

Ces pays ne sont pas couverts : Chine, Inde, Russie, Brésil, la plupart de l'Asie-Pacifique, la plupart du Moyen-Orient, la plupart de l'Afrique.

L'EU-US Data Privacy Framework est de nouveau en vigueur. Mais il est toujours contesté en justice. Les mêmes arguments juridiques ont tué Safe Harbor (Schrems I) et Privacy Shield (Schrems II). Les entreprises qui s'appuient sur ce cadre devraient se préparer à une autre invalidation.

Quatre Niveaux de Protection pour le Choix d'Outils

Les cas TikTok et Meta créent un classement clair pour l'évaluation des outils SaaS.

Niveau 1 — Hébergement UE : Les informations utilisateurs sont traitées et stockées sur des serveurs UE. Cela répond au standard RGPD de base pour la plupart des cas d'usage.

Niveau 2 — Opérateur basé dans l'UE : La société mère du fournisseur est basée dans l'UE. Elle n'est pas soumise aux lois d'un pays non adéquat. Cela résout le problème TikTok. Un hébergement UE associé à une exposition au droit chinois pour la société mère n'est pas sûr.

Niveau 3 — Conception zero-knowledge : Même si le fournisseur est piraté ou reçoit une injonction judiciaire, il ne peut pas lire vos fichiers. Vous détenez les clés de chiffrement. Il ne détient que du texte chiffré. Découvrez notre approche zero-knowledge.

Niveau 4 — Traitement local : Vos documents ne quittent jamais vos propres systèmes. Le traitement s'effectue sur du matériel local ou des systèmes gouvernementaux. C'est la seule façon de satisfaire pleinement le SGB V allemand, le secret bancaire suisse et les exigences du BfDI. Consultez nos plans tarifaires pour les options d'application de bureau.

DPIA Après TikTok

L'article 35 du RGPD exige une analyse d'impact sur la protection des données pour les traitements à haut risque. On appelle cela une DPIA. Lorsque des fichiers utilisateurs vont chez des sous-traitants de pays tiers, vous avez aussi besoin d'une analyse d'impact des transferts.

Après TikTok, les DPIA pour les outils de caviardage en cloud doivent répondre à quatre questions.

Juridiction de la société mère : La société mère du fournisseur est-elle soumise à des lois — CLOUD Act, loi chinoise sur la cybersécurité — qui pourraient l'obliger à remettre des fichiers d'utilisateurs UE ?

Accès du personnel : Le personnel dans des pays non adéquats accède-t-il aux fichiers d'utilisateurs UE dans le cadre des opérations normales ?

Base juridique : Quel mécanisme de l'article 46 du RGPD couvre les transferts — CCT, BCR ou dérogations ?

Impact en cas de violation : Si le fournisseur est piraté ou contraint de remettre des documents, que serait exposé ?

TikTok a montré que les contrats seuls ne suffisent pas. Vous devez les évaluer pour leur adéquation. Documentez vos réponses. Parcourez notre FAQ pour les questions courantes sur les DPIA.

Questions d'Achat pour 2026

Les DPO posent maintenant des questions très précises lors de l'évaluation de fournisseurs SaaS.

  • Où sont les serveurs ? (UE ?)
  • Où est basée la société mère ? (UE ? États-Unis ? Autre ?)
  • Le personnel non UE accède-t-il aux fichiers des clients UE ?
  • Quelle loi régit les demandes judiciaires portant sur des documents ?
  • Le fournisseur détient-il les clés de chiffrement, ou vous ?
  • Existe-t-il une option de traitement local ?

Les réponses à ces questions — et non les seules signatures de DPA — déterminent une vraie conformité en matière de souveraineté. Découvrez comment anonym.legal a été conçu pour répondre à toutes ces questions dans notre déclaration du fondateur. Notre glossaire explique les CCT, BCR et décisions d'adéquation.

L'environnement post-TikTok est clair. Les régulateurs surveillent les transferts transfrontaliers de près. Les amendes sont élevées. Elles augmentent. Le choix de votre fournisseur est maintenant une décision réglementaire. Ce n'est pas seulement une décision technique.

anonym.legal utilise des centres de données Hetzner basés dans l'UE avec une conception zero-knowledge. Le serveur ne voit jamais votre contenu en clair. Une compromission totale du serveur ne fournit que du texte chiffré AES-256-GCM. Besoin d'un traitement local uniquement ? L'application de bureau s'exécute entièrement sur votre appareil sans connexions externes.

Sources

Articles connexes

GDPR & Conformité

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Conformité

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Conformité

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Prêt à protéger vos données ?

Commencez à anonymiser les PII avec plus de 285 types d'entités dans 48 langues.

Commencer l'essai gratuitVoir les fonctionnalités

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.