RGPD et TikTok Pixel
Le TikTok Pixel permet aux annonceurs de mesurer les conversions générées par leurs campagnes TikTok Ads et d'alimenter les audiences personnalisées de la plateforme. Comme tout traceur publicitaire, il est soumis à l'obligation de consentement préalable en France et dans l'Union Européenne, conformément à l'article 82 de la loi Informatique et Libertés.
TikTok soulève des préoccupations spécifiques liées à son éditeur ByteDance, société de droit chinois, et aux interrogations persistantes des régulateurs européens sur l'accès potentiel des autorités chinoises aux données collectées. Ces enjeux rendent la documentation RGPD du TikTok Pixel particulièrement importante pour les responsables de traitement européens.
Consentement et chargement conditionnel du TikTok Pixel
Le TikTok Pixel (script analytics.tiktok.com) dépose des cookies et collecte des données de navigation à des fins publicitaires — ciblage comportemental, retargeting, mesure des conversions TikTok Ads. Ces finalités excluent tout recours à l'intérêt légitime : le consentement (RGPD art. 6.1.a) est la seule base légale applicable.
Votre gestionnaire de consentement (CMP) doit bloquer le chargement du script TikTok Pixel tant que l'utilisateur n'a pas accordé son consentement à la catégorie 'publicité' ou 'marketing'. Une fois le consentement obtenu, le Pixel peut se charger et envoyer des événements. En cas de retrait du consentement, il doit cesser immédiatement de fonctionner.
TikTok propose également une API Événements (Events API), équivalent côté serveur du Pixel, qui permet d'envoyer des signaux de conversion depuis votre back-end. Les mêmes règles de consentement s'appliquent : si des données permettant d'identifier ou de cibler l'utilisateur sont transmises, le consentement préalable reste requis.
Transferts hors UE : États-Unis et question ByteDance
Les données collectées par le TikTok Pixel transitent vers des serveurs exploités par TikTok Technology Limited (Irlande) et TikTok Inc. (USA). TikTok Inc. est certifiée au Data Privacy Framework (DPF) depuis 2023, ce qui encadre les transferts vers les États-Unis. Ces éléments doivent figurer dans votre politique de confidentialité avec les mécanismes de transfert applicables.
Au-delà du cadre juridique formel, plusieurs autorités européennes (dont le Contrôleur européen de la protection des données, CEPD) ont restreint l'usage de TikTok sur les appareils institutionnels, citant un risque d'accès aux données par des entités situées en dehors de l'UE. En tant que responsable de traitement, vous devez évaluer ce risque dans votre analyse d'impact (AIPD) si votre traitement porte sur des données sensibles ou une audience large.
Durée de conservation et droits des utilisateurs
TikTok conserve les données d'événements publicitaires conformément à sa politique de confidentialité, pour une durée qui varie selon la finalité et les paramètres de votre compte annonceur. Votre politique de confidentialité doit indiquer la durée maximale de conservation que vous avez configurée et renvoyer vers la politique de confidentialité de TikTok pour les traitements réalisés sous sa propre responsabilité.
Les utilisateurs ont droit d'accès, de rectification et d'effacement de leurs données. Pour les données traitées par TikTok en tant que responsable, renvoyez vers le centre de confidentialité de TikTok. Pour les données que vous traitez vous-même (votre propre liste de retargeting par exemple), prévoyez un processus interne de réponse aux demandes sous 30 jours (RGPD art. 12).
Générez votre document en 5 minutes
Notre générateur pré-remplit automatiquement les options adaptées à votre cas. Document personnalisé prêt à être copié-collé sur votre site.
Générer ma politique RGPD TikTok PixelQuestions fréquentes
Le TikTok Pixel est-il plus risqué RGPD que le Meta Pixel ?
Sur le plan des obligations formelles (consentement, déclaration, transferts), les deux outils sont soumis aux mêmes règles. TikTok soulève des préoccupations spécifiques liées à son actionnariat chinois et aux interrogations réglementaires sur l'accès aux données — mais aucune décision de la CNIL ne les traite différemment à ce jour. Documentez les deux avec le même niveau de soin.
Faut-il réaliser une AIPD (analyse d'impact) pour utiliser le TikTok Pixel ?
L'AIPD est obligatoire pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes (RGPD art. 35). Un usage standard du TikTok Pixel sur un site e-commerce ne la déclenche pas automatiquement, mais si vous ciblez des mineurs ou des audiences sensibles, une AIPD est recommandée.
Comment informer les utilisateurs sur TikTok dans ma politique de confidentialité ?
Mentionnez : la finalité (mesure des conversions TikTok Ads, retargeting), la base légale (consentement), les données transmises (URL, événements, données hachées si Advanced Matching activé), le sous-traitant (TikTok Technology Limited / TikTok Inc.), le pays de destination (USA, via DPF), la durée de conservation et le lien vers la politique de TikTok pour l'exercice des droits.
Peut-on utiliser le TikTok Pixel sur un site destiné aux mineurs ?
Non recommandé. TikTok lui-même interdit les publicités ciblant des personnes de moins de 13 ans. Si votre site s'adresse à des mineurs ou à une audience mixte incluant des mineurs, l'usage d'outils de ciblage publicitaire comporte des risques juridiques importants et une analyse d'impact préalable est indispensable.