TikTok sous surveillance : ce que l'encadrement de l'Arcom change vraiment pour les marques européennes

# TikTok sous surveillance : ce que l'encadrement de l'Arcom change vraiment pour les marques européennes

Pendant des années, la question TikTok était surtout un débat de communicants : faut-il y être, comment s'y positionner, quel budget y allouer ? Depuis que l'Arcom a formalisé ses exigences de conformité à l'égard de la plateforme, le sujet a changé de nature. Ce n'est plus une question marketing. C'est une question de gouvernance des données, de responsabilité juridique et, pour certaines organisations, de risque opérationnel réel.

Pour un DSI ou un CTO qui gère des actifs numériques pour le compte d'une PME ou d'une ETI, ignorer ce glissement serait une erreur. Pas parce que TikTok va disparaître demain, mais parce que la manière dont l'Europe régule les plateformes extra-européennes est en train de se structurer durablement — et TikTok en est aujourd'hui le cas d'école le plus visible.

Ce que l'Arcom a formalisé, et pourquoi maintenant

L'Autorité de régulation de la communication audiovisuelle et numérique n'a pas attendu 2026 pour s'intéresser à TikTok. La trajectoire est cohérente : elle s'inscrit dans l'application progressive du Digital Services Act (DSA) européen, dont TikTok est l'un des premiers destinataires désignés en tant que très grande plateforme en ligne (VLOP, Very Large Online Platform).

Le DSA impose aux VLOP des obligations renforcées : transparence algorithmique, accès aux données pour les chercheurs accrédités, audit de risques systémiques, restrictions sur le ciblage publicitaire des mineurs. L'Arcom, en tant qu'autorité coordinatrice pour les services numériques en France, est mandatée pour vérifier le respect de ces obligations sur son territoire. Ce qu'elle a fait, c'est traduire ces exigences abstraites en contrôles concrets, avec des demandes formelles adressées à la plateforme et des procédures de mise en conformité documentées.

Le timing n'est pas anodin. Le contexte géopolitique autour de ByteDance, maison mère de TikTok, a durci. Les débats américains sur un éventuel bannissement de la plateforme, les enquêtes ouvertes par la Commission européenne sur des pratiques algorithmiques jugées préjudiciables pour les mineurs, et les révélations répétées sur des accès potentiels de personnels basés en Chine à des données d'utilisateurs européens : tout cela a créé un environnement réglementaire où l'inaction n'est plus tenable.

Pour l'Arcom, encadrer TikTok n'est donc pas un acte isolé. C'est une démonstration de capacité : prouver que l'Europe peut réguler des acteurs qui, jusqu'ici, fonctionnaient largement en dehors des contraintes imposées aux médias traditionnels.

Ce que ça signifie concrètement pour une organisation qui utilise TikTok

Première clarification utile : les obligations découlant du DSA et du cadre Arcom s'adressent en premier lieu à la plateforme elle-même, pas aux annonceurs ou aux marques qui y publient du contenu. TikTok est responsable de sa conformité. Vos équipes marketing ne sont pas directement visées par ces textes.

Mais cette distinction, aussi réelle soit-elle, ne suffit pas à clore le sujet pour un DSI. Pourquoi ?

Parce que la responsabilité de la chaîne de traitement des données ne s'arrête pas à la plateforme. Quand votre marque crée un compte TikTok, publie des contenus, collecte des analytics, intègre des pixels de tracking ou redirige des utilisateurs vers votre site, vous créez une relation de transfert de données entre votre organisation et des serveurs dont la localisation et la gouvernance réelles restent, au mieux, partiellement documentées. Le RGPD ne vous exonère pas parce que c'est TikTok qui héberge les données — il vous demande de documenter ces flux et de vous assurer que les garanties offertes par votre sous-traitant ou partenaire sont adéquates.

Les transferts de données hors UE restent le point de friction principal. Depuis l'invalidation du Privacy Shield et le cadre instauré par le Data Privacy Framework, les transferts vers les États-Unis disposent d'une base légale formelle — même si celle-ci reste contestée par certains juristes et pourrait être remise en question. Pour la Chine, il n'existe pas d'équivalent. ByteDance a annoncé son projet de stocker les données européennes en Europe (Project Clover), avec KPMG comme auditeur tiers. Mais les audits réalisés dans ce cadre n'ont pas encore fait l'objet d'une validation formelle et unanime de la part des autorités de protection des données européennes. En tant que DPO ou responsable de la conformité, vous ne pouvez pas simplement vous appuyer sur la communication de TikTok à ce sujet.

Le risque réputationnel existe, même sans faute technique. Si votre organisation travaille avec des clients dans des secteurs sensibles — défense, santé, administration, infrastructures critiques — être visible sur TikTok peut poser question, indépendamment de votre niveau de conformité réel. Ce n'est pas une règle écrite. C'est un signal que certains acheteurs et partenaires commencent à prendre en compte dans leur évaluation de vos pratiques numériques.

La question de la dépendance, au-delà du cas TikTok

Il serait réducteur de traiter ce sujet uniquement comme un problème TikTok. Ce que la régulation de l'Arcom met en lumière, c'est une dépendance structurelle des marques européennes à des plateformes dont elles ne maîtrisent ni les algorithmes, ni la modération, ni les conditions d'accès aux audiences qu'elles ont construites.

Cette dépendance a un coût. Pas seulement en termes de conformité potentielle, mais en termes de résilience. Une marque dont l'ensemble de la stratégie de contenu repose sur TikTok — ou sur une combinaison TikTok/Instagram/YouTube — n'a aucune garantie de continuité si les règles changent. Ce n'est pas de la paranoïa : c'est ce que les entreprises américaines ont découvert lorsque les modifications algorithmiques de Facebook ont effondré leur reach organique du jour au lendemain, sans recours possible.

Dans ce contexte, deux acteurs méritent d'être mentionnés non pas comme des substituts immédiats à TikTok, mais comme des exemples de ce que peut signifier construire une présence numérique moins dépendante des plateformes tierces.

Dailymotion, souvent moqué comme un vestige du web 2.0, a opéré une transformation significative en quelques années. Positionné aujourd'hui comme une infrastructure vidéo blanche à destination des éditeurs et des marques, il propose une technologie d'hébergement et de diffusion vidéo dont les données restent sous juridiction française et européenne. Ce n'est pas une alternative à TikTok pour la découverte de contenu — les deux objets ne sont pas comparables. Mais pour une marque qui veut héberger ses vidéos sans dépendre de YouTube et sans exposer ses analytics à Alphabet, c'est une option qui mérite d'être évaluée sérieusement.

Twitch/Discord et leurs équivalents européens ne remplissent pas ce rôle, mais des initiatives comme Pôle Emploi ou des médias publics qui développent leurs propres applications de contenu court montrent qu'il est techniquement possible de créer des formats courts et engageants sans passer par des plateformes tierces. Le coût en est une autre question, et il ne faut pas minorer les avantages de distribution que TikTok offre. Mais la réflexion sur la propriété de l'audience doit entrer dans l'équation.

Ce que je ferais à votre place

Quelques réflexions concrètes, sans prétendre à l'universalité :

Demandez à votre DPO de cartographier les flux. Pas pour stopper quoi que ce soit, mais pour savoir exactement ce que vous transférez, vers où, sur quelle base légale. Si vous n'avez pas cette cartographie pour TikTok, vous ne l'avez probablement pas non plus pour d'autres intégrations tierces. C'est un exercice sain, indépendamment du contexte TikTok.

Distinguez les usages selon le niveau de sensibilité des données impliquées. Utiliser TikTok pour diffuser des contenus de marque grand public est différent de l'intégrer dans une stack data pour du retargeting. Les deux ne présentent pas le même niveau de risque et ne méritent pas le même niveau d'attention.

Posez la question de la propriété de l'audience à vos équipes marketing. Ce n'est pas un sujet technique, c'est un sujet stratégique. Une newsletter, une base d'abonnés opt-in, un podcast hébergé en propre : ce sont des actifs que vous possédez. Un compte TikTok avec un million de followers est un actif que vous louez à conditions variables.

Suivez les décisions de la Commission européenne sur TikTok. Les procédures d'enquête ouvertes au niveau européen peuvent aboutir à des sanctions, des mesures correctives ou — scénario moins probable mais non nul — des restrictions d'usage. Être informé en amont vous permettra d'anticiper plutôt que de réagir.

En conclusion : la régulation comme signal, pas comme interdiction

L'encadrement de TikTok par l'Arcom n'est pas une déclaration de guerre aux réseaux sociaux, ni un appel au repli souverainiste. C'est un signal que les règles du jeu changent, progressivement mais durablement, pour les plateformes numériques qui opèrent en Europe.

Pour les DSI et CTO, la bonne posture n'est ni l'alarmisme ni l'indifférence. C'est la lucidité : comprendre où se situent réellement les risques, distinguer ce qui relève de l'obligation légale de ce qui relève du choix stratégique, et ne pas laisser des décisions de gouvernance numérique être prises par défaut dans les équipes marketing sans concertation avec la DSI.

La souveraineté numérique n'est pas un concept abstrait réservé aux débats politiques. Elle commence par savoir, concrètement, où sont vos données, qui y a accès et sous quelles conditions. TikTok en est aujourd'hui l'illustration la plus médiatique. Il y en aura d'autres.

*La vraie question n'est pas "faut-il quitter TikTok ?". Elle est : "est-ce que vous savez précisément ce que vous y faites ?"*