Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
TikTok Embed est l'iframe officiel qui permet d'afficher une vidéo TikTok publique dans un autre site. L'embed charge embed.js depuis www.tiktok.com, dépose des cookies de tracking ByteDance (tt_webid, tt_csrf_token, _ttp, msToken, ttwid) et transmet l'IP, le User Agent et l'URL référente du visiteur à TikTok dès l'initialisation de l'iframe. La DPC irlandaise a sanctionné TikTok à hauteur de 345 millions d'euros en septembre 2023 et de 530 millions d'euros en mai 2025 pour des transferts vers la Chine, et les régulateurs européens classent l'embed comme traitement à haut risque exigeant un consentement préalable au titre de la directive ePrivacy.
L''embed TikTok se déclenche par l''insertion d''un script pointant vers www.tiktok.com/embed.js et d''une blockquote référençant l''URL de la vidéo. Dès l''exécution du script, le navigateur du visiteur ouvre des connexions vers www.tiktok.com, p16 sign.tiktokcdn us.com et plusieurs CDN annexes, télécharge le player et permet à TikTok de lire et écrire ses identifiants. L''interaction est techniquement équivalente à l''ouverture de la vidéo sur tiktok.com, simplement dans un iframe placé sur votre domaine. ByteDance reçoit alors l''IP du visiteur, son User Agent, la langue, le fuseau horaire, l''URL référente et tous les cookies déjà posés sur tiktok.com.
TikTok dépose une série de cookies de tracking : tt_webid et tt_webid_v2 (identifiants d''appareil), tt_csrf_token (protection CSRF), _ttp (identifiant du TikTok Pixel quand le Pixel est activé), msToken (jeton anti scraping et de session), ttwid (identifiant web) et passport_csrf_token / passport_auth_status_ss lorsque le visiteur est connecté. La vue de l''embed est journalisée dans l''analytique TikTok et alimente le graphe de recommandation. Si l''opérateur exécute aussi un TikTok Pixel sur le même domaine, l''embed et le Pixel peuvent être corrélés pour enrichir le profil ByteDance du visiteur.
L''embed TikTok n''est pas strictement nécessaire au service demandé, donc l''article 5(3) de la directive ePrivacy impose un consentement opt in préalable avant l''écriture du moindre cookie ou le chargement du moindre script. La décision DPC du 1er septembre 2023 a sanctionné TikTok à hauteur de 345 millions d''euros pour les manquements relatifs aux données des mineurs et à la transparence et, en mai 2025, la même autorité a ajouté 530 millions d''euros pour des transferts de données d''utilisateurs européens vers la Chine. Les régulateurs européens considèrent les intégrations TikTok comme à haut risque, en particulier pour les audiences mineures.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Project Clover engage TikTok à stocker les données des utilisateurs européens sur l''infrastructure Oracle au sein de l''UE, avec NCC Group comme security trustee tiers. Le projet est en cours de déploiement et les équipes ByteDance en Chine conservent un accès distant contrôlé pour l''ingénierie, la modération et la sûreté. Tant que Project Clover n''est pas pleinement audité et validé par l''EDPB, l''embed doit être considéré comme un transfert à haut risque vers des pays tiers non adéquats. Une AIPD est nécessaire dans la plupart des cas et les opérateurs régulés devraient éviter l''embed.
Implémentez un placeholder click to load opt in par défaut, exposez TikTok dans la bannière comme vendeur réseaux sociaux ou publicité, et n''injectez l''embed qu''après un consentement granulaire. Évitez les embeds TikTok sur les pages adressées aux mineurs. Mettez à jour la politique de confidentialité avec le lien vers les conditions TikTok, la liste des cookies et la déclaration du transfert vers ByteDance. Les alternatives plus sûres incluent l''hébergement d''un MP4 sur votre propre CDN sous licence créateur, l''affichage d''une miniature statique cliquable vers l''URL TikTok ou un proxy serveur qui récupère la vidéo sans contact direct entre le navigateur et TikTok.
Les sites web utilisant TikTok Embed doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est requise pour l'embed TikTok sur la plupart des propriétés ciblant l'UE. La combinaison du traitement à grande échelle par ByteDance, des déductions possibles de données sensibles via les vidéos consommées et des transferts historiques vers la Chine en fait une activité à haut risque. À la suite des décisions DPC 2023 et 2025, les opérateurs doivent documenter la base légale, le flux de consentement, le risque résiduel après Project Clover, les catégories de données transférées et les alternatives plus sûres évaluées.
Exemple de texte de consentement
Nous intégrons des vidéos TikTok. Charger cet embed partage votre adresse IP, votre User Agent et votre contexte de navigation avec TikTok et ByteDance, et peut impliquer des transferts hors EEE. L'embed ne se charge qu'après acceptation des cookies de publicité et de réseaux sociaux.
Domaines tiers contactes
tiktok.comwww.tiktok.comp16-sign.tiktokcdn-us.comp16-sign-va.tiktokcdn.commssdk.tiktokv.combyteoversea.comtiktokcdn.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| tt_webid | http | 12 months | TikTok device identifier set by www.tiktok.com when the embed loads. Used for analytics, recommendations and fraud prevention. |
| tt_webid_v2 | http | 12 months | Newer TikTok device identifier used alongside tt_webid for cross session recognition. |
| tt_csrf_token | http | Session | CSRF token paired with TikTok requests to prevent cross site request forgery on actions performed inside the embed. |
| msToken | http | ~30 minutes | Anti scraping and short lived session token rotated on every interaction with TikTok endpoints. |
| ttwid | http | 12 months | TikTok web identifier used to track the device across TikTok properties and recommend content. |
| _ttp | http | 13 months | TikTok Pixel identifier. Set on the operator domain when a TikTok Pixel is installed and shared with the embed to correlate visits. |
| passport_csrf_token | http | 6 months | TikTok login session protection cookie set when the visitor is authenticated, linking the embed view to a TikTok account. |
TikTok Embed utilise des cookies de tracking publicitaire — respectez le RGPD avec FlowConsent.
À l'ouverture de l'embed, www.tiktok.com dépose des cookies de tracking ByteDance : tt_webid et tt_webid_v2 (identifiants d'appareil, 12 mois), tt_csrf_token (protection CSRF), msToken (anti scraping et session, environ 30 minutes), ttwid (identifiant web TikTok, 12 mois) et _ttp lorsque l'opérateur exécute aussi un TikTok Pixel. Les visiteurs connectés génèrent en plus des cookies passport liant la vue à un compte TikTok.
Oui. L'embed charge des scripts et écrit des cookies de tracking, sans être strictement nécessaire au service. L'article 5(3) de la directive ePrivacy impose un consentement opt in préalable et l'EDPB précise que ce consentement doit être spécifique, éclairé et granulaire. La mise en œuvre standard est un placeholder à deux clics servi depuis votre propre domaine, qui ne charge l'iframe qu'après acceptation.
La seule base réaliste est le consentement de l'article 6(1)(a) RGPD. L'intérêt légitime ne s'applique pas car l'embed permet un profilage à grande échelle par ByteDance et expose le visiteur à des transferts potentiels vers la Chine. TikTok mobilise d'autres bases pour ses propres traitements, mais l'éditeur qui intègre l'iframe est responsable du recueil du consentement avant toute sortie de données du navigateur.
Oui. Même si Project Clover déplace les données des utilisateurs européens vers des datacenters Oracle en Europe, les équipes ByteDance en Chine conservent un accès contrôlé. La DPC irlandaise a sanctionné TikTok à hauteur de 345 millions d'euros en 2023 et de 530 millions en 2025, notamment pour des transferts et la protection des mineurs. L'embed doit être traité comme un transfert à haut risque vers des pays tiers non adéquats et déclaré comme tel dans la politique de confidentialité.
Oui dans la plupart des cas. La combinaison du traitement à grande échelle par ByteDance, des déductions possibles de données sensibles à partir des vidéos consommées et des transferts historiques vers la Chine dépasse en général le seuil de l'article 35 RGPD. L'AIPD doit documenter la nécessité de l'embed, la base légale, le mécanisme de consentement, le risque résiduel sous Project Clover et les alternatives plus sûres évaluées. Les secteurs régulés devraient en général éviter l'embed.
Bloquez l'embed par défaut et remplacez le par un placeholder click to load servi depuis votre propre domaine, qui décrit le flux de données vers TikTok. Exposez TikTok dans la bannière comme vendeur réseaux sociaux ou publicité et n'injectez l'iframe qu'après un consentement granulaire. Documentez le traitement dans la politique de confidentialité avec la liste des cookies, le lien vers les conditions TikTok et la déclaration du transfert vers la Chine. Évitez complètement l'embed sur les pages destinées aux mineurs.
Les alternatives courantes incluent le téléchargement du MP4 sous licence créateur et son hébergement sur votre propre CDN, l'affichage d'une miniature statique liant vers l'URL TikTok ou un proxy serveur qui récupère la vidéo sans exposer le navigateur du visiteur aux endpoints TikTok. Pour les usages éditoriaux, un hébergeur vidéo basé en UE (PeerTube, Vimeo avec résidence UE, Bunny Stream) peut remplacer entièrement l'intégration TikTok.
Ajoutez TikTok et ByteDance Ltd comme destinataires des données, listez les cookies déposés par www.tiktok.com (tt_webid, tt_webid_v2, tt_csrf_token, msToken, ttwid, _ttp, variantes passport) avec leur durée et finalité, déclarez le transfert hors EEE et vers la Chine, mentionnez Project Clover et référencez les décisions de la DPC irlandaise. Mettez à jour l'entrée à chaque évolution des informations TikTok.