Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 11 juillet 2026
Marketing Digital

TikTok et RGPD : le guide marketing conforme 2026

Pixel TikTok, transferts vers la Chine, audience mineure, CMP : ce qu'une entreprise doit maîtriser avant d'exploiter TikTok à des fins marketing en 2026.

L’essentiel. Utiliser TikTok à des fins professionnelles (compte de marque, TikTok Ads, pixel de suivi) fait de vous un responsable de traitement à part entière, distinct de TikTok. Trois sujets concentrent le risque : le dépôt du pixel exige un consentement préalable valide (ePrivacy) ; les transferts de données vers la Chine sont juridiquement fragiles depuis la décision de l’autorité irlandaise de 2025 ; et l’audience jeune de la plateforme impose une vigilance renforcée sur les mineurs. Sans consentement traçable via une CMP et sans documentation des transferts, votre exposition est réelle — indépendamment de la conformité propre de TikTok.

TikTok n’est plus seulement une application de divertissement : c’est devenu un canal d’acquisition à part entière pour un nombre croissant de PME françaises, de marques e-commerce et d’annonceurs. Dans ma pratique de conseil, je vois de plus en plus d’entreprises installer le pixel TikTok sur leur site, lancer des campagnes TikTok Ads et alimenter des audiences personnalisées — le plus souvent sans avoir posé la moindre analyse de conformité. Or TikTok cumule trois facteurs de risque que peu d’autres plateformes réunissent : une infrastructure adossée à un groupe chinois (ByteDance), une audience structurellement jeune, et un modèle publicitaire fondé sur un pistage comportemental très fin.

La question « TikTok est-il conforme au RGPD ? » est mal posée. Ce qui vous engage juridiquement, ce n’est pas la conformité intrinsèque de la plateforme, mais la manière dont vous, entreprise annonceuse, l’exploitez. Cet article détaille la qualification des rôles, le régime du pixel et des cookies, le point critique des transferts hors Union européenne, et le traitement des mineurs — avec les réflexes à mettre en place avant votre prochaine campagne.

Qualification : qui est responsable de quoi ?

La première erreur consiste à croire que TikTok « gère le RGPD » à votre place. En réalité, dès que vous exploitez la plateforme à des fins marketing, vous devenez responsable de traitement pour les traitements que vous décidez et pilotez.

Concrètement, plusieurs briques se superposent :

Traitement Votre rôle Rôle de TikTok
Publication de contenu sur votre compte de marque Responsable de traitement Fournisseur de service
Pixel TikTok sur votre site (suivi de conversion) Responsable de traitement Souvent responsabilité conjointe ou sous-traitance selon la configuration
Audiences personnalisées (upload de fichiers clients) Responsable de traitement Sous-traitant / responsable conjoint selon les cas
Ciblage publicitaire par TikTok Ads Responsable de traitement Responsable de traitement pour ses propres finalités
Fonctionnement de l’algorithme et profilage global des utilisateurs Responsable de traitement (établissement principal en Irlande)

Ce tableau appelle une nuance importante. Pour les outils de mesure d’audience publicitaire de ce type, les autorités européennes retiennent fréquemment une responsabilité conjointe (au sens de l’article 26 du RGPD) entre l’annonceur et la régie, chacun poursuivant ses propres finalités à partir des mêmes données. Cela signifie que vous ne pouvez pas vous décharger de toute responsabilité en invoquant les conditions de TikTok : vous devez au minimum informer correctement vos visiteurs et recueillir leur consentement pour le suivi.

L’établissement principal de TikTok dans l’Union européenne est situé en Irlande, ce qui explique que l’autorité de contrôle chef de file soit la Data Protection Commission irlandaise. Pour vos propres traitements en France, c’est en revanche la CNIL qui reste compétente.

Le pixel TikTok : consentement préalable obligatoire

Le pixel TikTok est un traceur déposé sur le terminal de vos visiteurs pour mesurer les conversions et alimenter le ciblage. À ce titre, il relève du régime des cookies et traceurs issu de la directive ePrivacy, transposée en droit français à l’article 82 de la loi Informatique et Libertés.

La règle est sans ambiguïté : le pixel ne peut être déclenché qu’après un consentement libre, spécifique, éclairé et univoque de l’internaute. Ce consentement doit être recueilli via une plateforme de gestion du consentement (CMP) correctement paramétrée, avant tout dépôt et toute lecture d’information.

Les exigences pratiques :

  • Blocage par défaut : le script du pixel ne doit pas s’exécuter tant que le visiteur n’a pas accepté. Un pixel qui se déclenche au chargement de la page, avant tout choix, constitue un manquement.
  • Refus aussi simple que l’acceptation : le bandeau doit permettre de refuser en un clic, sans parcours dissuasif. C’est un point sur lequel la CNIL sanctionne régulièrement — voir notre analyse opt-in / opt-out.
  • Absence de cases pré-cochées : le consentement RGPD suppose un acte positif clair.
  • Traçabilité : vous devez pouvoir démontrer, pour chaque visiteur, qu’un consentement valide a été recueilli et à quelle date. La preuve du consentement vous incombe.

Le fondement juridique du dépôt du pixel est donc le consentement, jamais l’intérêt légitime : pour les traceurs publicitaires et de mesure non strictement nécessaires au service, il n’existe pas d’alternative au consentement préalable. Inutile de tenter un triple test d’intérêt légitime ici : ePrivacy prime et impose le consentement.

Transferts vers la Chine : le point le plus sensible

C’est le sujet qui distingue TikTok de la plupart des autres régies publicitaires, et celui qui doit retenir le plus votre attention en 2026.

Ce que dit la décision irlandaise de 2025

En 2025, la Data Protection Commission irlandaise a rendu une décision majeure à l’encontre de TikTok, portant notamment sur les transferts de données d’utilisateurs de l’Espace économique européen vers la Chine et sur des insuffisances de transparence. Selon les éléments rendus publics par l’autorité, la décision a retenu que des données d’utilisateurs européens étaient accessibles depuis la Chine et que le niveau de protection ne pouvait être garanti au regard des exigences du RGPD, en particulier compte tenu du cadre juridique chinois d’accès aux données par les autorités publiques.

Cette décision s’est accompagnée d’une sanction financière de plusieurs centaines de millions d’euros — l’une des plus élevées prononcées à ce jour en matière de transferts internationaux — ainsi que d’injonctions visant à mettre les traitements en conformité, sous peine de suspension des transferts concernés.

Le montant exact de la sanction et la référence précise de la décision doivent être vérifiés directement auprès de la publication de la Data Protection Commission (éléments consultés en juillet 2026). Je préfère décrire la portée de la décision plutôt que d’avancer un chiffre au centime près.

Il faut également garder à l’esprit qu’une décision antérieure, en 2023, avait déjà sanctionné TikTok sur le traitement des données de mineurs (paramétrages par défaut, comptes d’enfants) — ce qui confirme que la plateforme est sous surveillance rapprochée des autorités européennes sur deux fronts distincts.

Ce que cela change pour vous

Sur le plan strict du droit, les transferts hors UE relèvent du chapitre V du RGPD (articles 44 et suivants). Un transfert vers un pays tiers non couvert par une décision d’adéquation — ce qui est le cas de la Chine — n’est licite qu’à la condition de garanties appropriées (clauses contractuelles types, mesures supplémentaires effectives) et d’une évaluation démontrant un niveau de protection substantiellement équivalent.

Concrètement, pour une entreprise française qui alimente TikTok en données via le pixel ou l’upload d’audiences :

  • Vous devez documenter les transferts dans votre registre et votre information aux personnes : indiquer que des données peuvent être traitées hors UE et sur quelle base.
  • Vous ne pouvez pas vous contenter de renvoyer aux garanties invoquées par TikTok : la décision irlandaise a précisément mis en cause l’effectivité de ces garanties.
  • Une analyse d’impact (AIPD) est fortement recommandée dès lors que le pixel et le ciblage aboutissent à un profilage à grande échelle. Le suivi comportemental publicitaire coche plusieurs des critères qui rendent l’AIPD obligatoire.

Mon conseil de praticien : traitez le canal TikTok comme un traitement à risque élevé et documentez-le en conséquence. En cas de contrôle, l’absence totale d’analyse sur les transferts est le genre de manquement qui pèse lourd.

Audience mineure : vigilance renforcée

TikTok présente une audience structurellement jeune. Or le RGPD réserve un régime spécifique aux mineurs, considérés comme méritant une protection particulière, notamment en matière de marketing et de profilage.

Deux points de droit sont à connaître :

  • L’âge du consentement numérique. L’article 8 du RGPD fixe un plancher à 16 ans mais laisse aux États la faculté d’abaisser ce seuil jusqu’à 13 ans. En France, la loi Informatique et Libertés retient 15 ans : en dessous, le consentement doit être recueilli conjointement avec le titulaire de l’autorité parentale.
  • Le profilage des mineurs. Le considérant 38 du RGPD souligne que la protection des enfants concerne spécifiquement l’utilisation de leurs données à des fins de marketing et de création de profils. Un ciblage publicitaire dirigé vers des mineurs est donc une zone à très haut risque.

Pour une marque annonceuse, cela impose plusieurs réflexes : exclure autant que possible les audiences susceptibles de comprendre des mineurs de vos campagnes de reciblage, adapter votre information et vos parcours de consentement, et éviter tout ciblage fondé sur des caractéristiques susceptibles de révéler des données sensibles (santé, orientation, opinions), dont l’inférence par un algorithme publicitaire relève de l’article 9 du RGPD.

La CMP : votre pièce maîtresse de conformité

La plateforme de gestion du consentement est l’outil qui matérialise et prouve votre conformité sur le volet cookies/pixel. Sans elle, aucune démonstration n’est possible.

Une CMP correctement configurée pour TikTok doit :

  1. Bloquer le pixel avant consentement (aucune requête vers TikTok tant que l’utilisateur n’a pas accepté la finalité publicitaire).
  2. Distinguer les finalités : mesure d’audience, publicité ciblée, partage avec des tiers — chaque finalité doit pouvoir être acceptée ou refusée.
  3. Conserver la preuve du consentement (horodatage, version du bandeau, choix exprimé).
  4. Permettre le retrait aussi facilement que le consentement initial, à tout moment.
  5. S’articuler avec votre information RGPD au sens de l’article 13 — voir nos bonnes pratiques d’information (article 12).

Ce socle vaut pour TikTok comme pour toute régie publicitaire : c’est le même standard que celui appliqué à la prospection commerciale et à l’ensemble de vos traceurs marketing.

Erreurs fréquentes et sanctions

Les manquements que je rencontre le plus souvent sur ce canal :

  • Pixel déclenché sans consentement. C’est le manquement n°1, et le plus facile à constater lors d’un contrôle en ligne de la CNIL.
  • Absence d’information sur les transferts hors UE. Rien dans la politique de confidentialité ne mentionne que des données peuvent être traitées en Chine.
  • Aucune AIPD alors que le profilage publicitaire à grande échelle le justifierait.
  • Ciblage indifférencié incluant potentiellement des mineurs.
  • Confusion des rôles : croire que TikTok « couvre » votre conformité par ses propres conditions.

Sur le terrain des sanctions, deux régimes se cumulent. Les manquements aux règles sur les cookies et traceurs (article 82 LIL) sont sanctionnés par la CNIL sur le fondement de la loi Informatique et Libertés. Les manquements de fond au RGPD (transferts, information, base légale) relèvent de l’article 83 du RGPD et de son plafond à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Pour anticiper l’ensemble, mieux vaut connaître le régime des sanctions RGPD et suivre l’actualité RGPD 2026.

Documenter et maintenir à jour l’ensemble de ces traceurs, consentements et transferts sur plusieurs plateformes devient vite ingérable à la main : un logiciel RGPD permet d’industrialiser la tenue du registre, le suivi des consentements et la cartographie des transferts.

FAQ

Peut-on utiliser le pixel TikTok sans recueillir de consentement ?

Non. Le pixel est un traceur publicitaire non nécessaire au service : son dépôt et sa lecture supposent un consentement préalable au sens de l’article 82 de la loi Informatique et Libertés. Tant que l’utilisateur n’a pas accepté la finalité publicitaire via votre CMP, le pixel ne doit pas se déclencher. Aucune base d’intérêt légitime ne peut s’y substituer.

Les données TikTok partent-elles vraiment en Chine ?

La décision de l’autorité irlandaise de 2025 a retenu que des données d’utilisateurs européens étaient accessibles depuis la Chine et que les garanties invoquées n’étaient pas suffisantes au regard du RGPD. En tant qu’annonceur, vous devez partir du principe que le canal implique des transferts hors UE et le documenter dans votre registre et votre information aux personnes, sans reprendre telles quelles les garanties de la plateforme.

Faut-il une AIPD pour lancer des campagnes TikTok Ads ?

Elle est fortement recommandée, et souvent obligatoire. Le suivi comportemental via pixel et le ciblage publicitaire à grande échelle constituent un profilage susceptible de générer un risque élevé pour les droits des personnes — ce qui déclenche l’obligation d’analyse d’impact. L’existence de transferts vers un pays tiers non adéquat renforce cette nécessité.

Comment gérer le risque lié à l’audience mineure ?

En France, le consentement numérique autonome est fixé à 15 ans par la loi Informatique et Libertés. Le profilage marketing des mineurs est une zone à très haut risque. Adaptez vos exclusions d’audience, votre information et vos parcours de consentement, et évitez tout ciblage susceptible d’inférer des données sensibles au sens de l’article 9 du RGPD.

Suis-je responsable ou simple utilisateur de TikTok ?

Dès que vous décidez de finalités (mesurer des conversions, cibler une audience, alimenter le reciblage), vous êtes responsable de traitement. Selon les configurations, une responsabilité conjointe avec TikTok peut être retenue au titre de l’article 26 du RGPD. Vous ne pouvez donc pas vous décharger de vos obligations sur les seules conditions de la plateforme.

Que vérifie la CNIL en cas de contrôle sur ce type de canal ?

Principalement : le déclenchement effectif du pixel avant ou après consentement (contrôle en ligne facile à réaliser), la qualité du bandeau (refus en un clic), la traçabilité des consentements, la mention des transferts hors UE dans l’information, et l’existence d’une AIPD. Ce sont les points sur lesquels un manquement se constate rapidement — d’où l’intérêt de préparer ces éléments en amont.


TikTok peut être un excellent canal d’acquisition, mais c’est aussi l’un des plus exposés juridiquement du paysage publicitaire. La bonne posture n’est pas de renoncer, mais de traiter ce canal comme un traitement à risque élevé : consentement traçable via CMP, information transparente sur les transferts, AIPD documentée et vigilance sur les mineurs. Recevez chaque semaine nos analyses pratiques sur la conformité marketing et RGPD — abonnez-vous à la newsletter en haut de page.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →