Bien que beaucoup de temps se soit écoulé, il a finalement été constaté que TikTok avait violé le Règlement général sur la protection des données (RGPD) de l'Union européenne en traitant les données des enfants. La plateforme de partage de vidéos a été réprimandée et condamnée à une amende de 345 millions d'euros (environ 379 millions de dollars), selon une décision publiée aujourd'hui par la Commission irlandaise de protection des données (DPC). Il lui a également été ordonné d'effectuer dans un délai de trois mois les rectifications nécessaires pour mettre en conformité ses traitements illégaux de données.

Il a été établi que TikTok a enfreint les huit articles suivants du RGPD : article 5(1)(a) ; article 5, paragraphe 1, point c); article 5, paragraphe 1, point f); article 24, paragraphe 1 ; article 25, paragraphe 1 ; article 25, paragraphe 2 ; article 12, paragraphe 1 ; et l'article 13, paragraphe 1, point e), c'est-à-dire qu'il s'agit d'une violation de la licéité, de l'équité et de la transparence du traitement des données ; minimisation des données ; sécurité des données ; la responsabilité du responsable du traitement ; protection des données dès la conception et par défaut ; et le droit des personnes concernées, y compris les mineurs, de recevoir une notification claire du traitement des données ; et de recevoir des informations sur les destinataires de leurs données personnelles. Voilà donc une liste assez exhaustive de violations.

La décision n'a pas trouvé de violation dans les méthodes de vérification de l'âge de TikTok, qui a été un point chaud pour TikTok devant certains régulateurs régionaux, mais le régulateur irlandais a noté que la décision documentait une violation de l'article 24 (1) du RGPD - dans la mesure où elle a publié, TikTok n'a pas mis en œuvre les mesures techniques et organisationnelles appropriées car elle n'a pas correctement pris en compte certains risques posés par les enfants de moins de 13 ans accédant à la plateforme, car les paramètres de compte par défaut permettent à quiconque, que ce soit sur TikTok ou non, de visualiser le contenu des réseaux sociaux publié par ces utilisateurs.

Il a été constaté que les paramètres mis en œuvre par TikTok à cette époque permettaient aux enfants utilisateurs de rendre leurs comptes publics par défaut pendant le processus d'inscription. "Cela signifie également que, par exemple, les vidéos publiées sur les comptes d'utilisateurs enfants sont par défaut des vidéos publiques, les commentaires sont par défaut des commentaires publics et les fonctionnalités 'Duet' et 'Stitch' sont activées par défaut", a noté la DPC.

Les comptes enfants peuvent également être « mis en correspondance » avec des utilisateurs non-enfants non vérifiés via la fonction dite « Family Match », mais TikTok ne vérifie pas si l'utilisateur est réellement le parent ou le tuteur de l'utilisateur enfant. Selon les conclusions de la DPC, les utilisateurs non-enfants peuvent utiliser cette fonctionnalité pour envoyer des messages directs aux enfants utilisateurs de plus de 16 ans – « rendant ainsi la fonctionnalité moins stricte pour les enfants utilisateurs ».