Par Me Serkan Kara, Istanbul Bar No. 53770. Dernière mise à jour : 14 juin 2026.
En Turquie, la protection des données est régie par la loi n° 6698 sur la protection des données à caractère personnel (KVKK), un régime étroitement calqué sur le Règlement général sur la protection des données (RGPD) de l’Union européenne. La KVKK encadre la manière dont les responsables du traitement collectent, traitent, conservent et transfèrent les données à caractère personnel, fixe les conditions de licéité du traitement à son article 5, réglemente les transferts transfrontaliers à son article 9 et est appliquée par l’Autorité de protection des données à caractère personnel (Kisisel Verileri Koruma Kurumu). Pour les entreprises transfrontalières, la conformité à la KVKK s’ajoute désormais à l’exposition au RGPD, au règlement européen sur l’IA (EU AI Act) et aux obligations de notification des violations : les textes applicables doivent donc être lus ensemble plutôt qu’isolément.
Pour les investisseurs étrangers, les directions juridiques et les entreprises transfrontalières, la conformité en matière de technologie et de protection des données en Turquie n’est plus une question relevant d’un seul texte. La loi n° 6698 sur la protection des données à caractère personnel (KVKK) constitue l’instrument national de référence, mais l’exposition réelle passe aussi par le RGPD, le règlement européen sur l’IA et les obligations contractuelles imposées par les clients grands comptes. Ce guide répond aux questions que les clients posent réellement, désigne les textes applicables et explique comment un programme de conformité documenté réduit les risques de sanction et de transaction.
Quelle loi régit la protection des données en Turquie ?
En Turquie, la protection des données est régie par la loi n° 6698 sur la protection des données à caractère personnel (KVKK), entrée en vigueur en 2016 et structurellement alignée sur le RGPD de l’Union européenne. La KVKK s’applique aux responsables du traitement et aux sous-traitants qui traitent les données à caractère personnel de personnes physiques ; elle énonce les conditions de licéité du traitement, définit les droits des personnes concernées et institue l’Autorité de protection des données à caractère personnel en tant qu’organe de contrôle. Les entreprises qui servent une clientèle européenne restent par ailleurs soumises au RGPD : une même structure cumule donc souvent des obligations doubles.
La KVKK construit son cadre sur des principes familiers : un traitement licite, loyal et transparent ; la limitation des finalités ; la minimisation des données ; l’exactitude ; la limitation de la conservation ; et la sécurité des données. Ces principes ne sont pas abstraits. Ils constituent l’étalon à l’aune duquel l’Autorité apprécie si un traitement était licite et si les mesures étaient adéquates lors d’un contrôle ou après un incident.
Quelle est la base légale du traitement des données à caractère personnel sous la KVKK ?
En vertu de l’article 5 de la KVKK, les données à caractère personnel ne peuvent être traitées qu’avec le consentement explicite de la personne concernée ou lorsque s’applique l’une des exceptions légales énumérées, telles que l’exécution d’un contrat, le respect d’une obligation légale, la protection d’un intérêt légitime ou les fondements expressément prévus par la loi. Un traitement effectué sans consentement et sans exception applicable est illicite, quelle que soit la qualité technique de la sécurisation des données.
En pratique, l’écueil le plus fréquent n’est pas l’absence de base légale, mais l’impossibilité d’en prouver une. Le responsable du traitement doit pouvoir démontrer, pour chaque activité de traitement, la base précise invoquée, la finalité, les catégories de données concernées et la durée de conservation. Les catégories particulières de données sont soumises à des conditions plus strictes : la base du traitement des données de santé, biométriques ou assimilées doit donc être documentée séparément et avec prudence.
Comment les transferts transfrontaliers de données sont-ils réglementés ?
L’article 9 de la KVKK régit le transfert de données à caractère personnel vers l’étranger, en exigeant soit le consentement explicite, soit un niveau de protection adéquat dans le pays destinataire, étayé le cas échéant par des engagements contraignants entre les parties. Lorsque les entreprises relèvent également du RGPD, des mécanismes parallèles tels que les clauses contractuelles types (CCT), les règles d’entreprise contraignantes (BCR) ou des cadres d’adéquation comme le Cadre de protection des données UE–États-Unis (Data Privacy Framework, DPF) deviennent pertinents pour les flux de données correspondants d’origine européenne.
L’erreur récurrente consiste à considérer une architecture cloud comme licite par défaut. Un cadre de transfert s’effondre si la chaîne des sous-traitants est incomplète, si des équipes de support mondiales peuvent accéder aux données de production sans contrôle, ou si l’entreprise est incapable de dire qui peut accéder à quelles données et à quel moment. La position juridique doit correspondre à la réalité technique : où se trouvent les données et qui y touche.
| Mécanisme de transfert | Le mieux adapté à | Limite principale |
|---|---|---|
| Clauses contractuelles types (CCT) | La plupart des flux transfrontaliers ; déploiement contractuel rapide | Document de papier sauf s’il est associé à des mesures techniques et de contrôle d’accès vérifiables |
| Règles d’entreprise contraignantes (BCR) | Grands groupes multinationaux à la gouvernance mature | Exigent un investissement important et un délai d’approbation interne conséquent |
| Adéquation / DPF | Destinataires éligibles dans les juridictions couvertes | Ne couvrent pas les transferts ultérieurs ni ne dispensent d’une diligence rigoureuse envers les prestataires |
Qu’est-ce que le VERBIS et qui doit s’y inscrire ?
Le VERBIS est le registre des responsables du traitement tenu en application de la KVKK, dans lequel les responsables du traitement sont tenus d’inscrire leurs activités de traitement, sauf exemption applicable. L’inscription n’est pas une formalité ponctuelle. Elle est liée à l’obligation de tenir un inventaire des traitements exact, reflétant quelles données sont détenues, pourquoi, sur quelle base légale et pour quelle durée.
La question de savoir si une entreprise donnée est tenue de s’inscrire, ainsi que les seuils ou exemptions applicables, relève de l’Autorité et peut évoluer : il convient donc de vérifier l’obligation d’inscription et les seuils en vigueur au moment du dépôt. L’enseignement pratique est qu’une situation VERBIS irréprochable repose sur la même cartographie des données qui soutient toutes les autres composantes d’un programme de conformité.
Quels droits ont les personnes physiques, et comment le règlement européen sur l’IA complète-t-il le tableau ?
Sous la KVKK, les personnes concernées disposent de droits, notamment l’accès à leurs données, la rectification des données inexactes, l’effacement ou la destruction dans des circonstances définies, et le droit de s’opposer aux décisions produites uniquement par un traitement automatisé. Le responsable du traitement doit disposer d’un processus permettant de recevoir, d’évaluer et de répondre à ces demandes dans le délai fixé par la loi, et doit pouvoir prouver que ce processus fonctionne.
Pour les entreprises qui développent ou déploient de l’IA, le règlement européen sur l’IA ajoute un régime distinct, fondé sur les risques, qui classe les systèmes et impose des obligations de gouvernance aux usages à risque plus élevé tels que la sélection à l’embauche, l’évaluation du crédit et de l’assurance, et l’identification biométrique. La question pratique pour les entreprises transfrontalières n’est pas de savoir si elles utilisent de l’IA, mais si leurs systèmes sont correctement classés et si elles peuvent produire un dossier de gouvernance cohérent — comprenant la gestion des risques, la surveillance humaine, la documentation technique et la journalisation — lorsqu’un régulateur ou un client grand compte le demande.
Quelles sont les sanctions en cas de violation de la KVKK ?
La KVKK prévoit des amendes administratives et d’autres mesures pour des manquements tels que le traitement illicite, le défaut d’assurer la sécurité des données ou le défaut d’inscription lorsqu’elle est requise. Les seuils monétaires sont fixés par la loi et révisés au fil du temps : toute fourchette d’amende doit donc être vérifiée par rapport aux montants en vigueur au moment des faits ou du dépôt, plutôt que considérée comme un montant fixe et actuel.
Les issues d’une procédure de sanction tiennent moins à l’existence d’une violation qu’à la qualité de la réponse. Les éléments décisifs sont généralement la capacité du responsable du traitement à prouver une finalité licite, la minimisation et des mesures adéquates au moyen d’une documentation réelle, et le fait que l’équipe opérationnelle ait exécuté la réponse à la violation sans produire de contradictions ni perdre de preuves.
Comment les entreprises doivent-elles gérer une violation de données et le délai de notification ?
La réponse à une violation est un test de processus, et non une décision unique. Sous le RGPD, l’article 33 exige une notification à l’autorité de contrôle sans retard injustifié et, dans la mesure du possible, dans les 72 heures suivant la prise de connaissance d’une violation de données à caractère personnel atteignant le seuil pertinent ; la KVKK exige de même une notification à l’Autorité et aux personnes concernées dans le délai qu’elle fixe. L’écueil courant est le retard : les entreprises attendent une certitude parfaite et manquent le délai légal.
Une réponse défendable dès le premier jour suppose d’activer un commandement d’incident unique, de préserver les preuves telles que les journaux et les instantanés avant que le confinement ne les détruise, d’identifier les ensembles de données et les juridictions concernés, et de maintenir un canal de communication cohérent et unique auprès des régulateurs, des clients et des assureurs. Préparez le plan d’action avant l’incident, car le délai est trop court pour concevoir le processus alors que les faits sont encore incomplets.
Foire aux questions
La KVKK s’applique-t-elle à une entreprise étrangère sans bureau en Turquie ?
La KVKK peut atteindre les responsables du traitement qui traitent les données à caractère personnel de personnes physiques se trouvant en Turquie, selon la nature et le lieu du traitement. Une entreprise dépourvue de bureau local ne doit pas présumer qu’elle échappe au champ d’application ; elle devrait au contraire cartographier où se trouvent ses personnes concernées, quelles données sont traitées et sur quelle base légale, puis obtenir un conseil sur son empreinte spécifique au regard de la loi n° 6698.
Les CCT légalisent-elles automatiquement les transferts cloud sous le RGPD ?
Non. Les clauses contractuelles types sont un mécanisme contractuel, et non un tampon qui légalise n’importe quel transfert. Elles doivent correspondre à la réalité technique et, lorsque le risque lié au transfert est élevé, être étayées par des mesures supplémentaires telles que le chiffrement, la gestion des clés et un contrôle d’accès strict. Si la chaîne des sous-traitants ou le modèle d’accès n’est pas clair, les CCT ne restent qu’un document de papier et ne résisteront pas à un audit technique.
Le consentement est-il toujours requis pour traiter des données à caractère personnel en Turquie ?
Non. L’article 5 de la KVKK énumère des exceptions légales qui autorisent un traitement sans consentement explicite, telles que l’exécution d’un contrat ou le respect d’une obligation légale. Le consentement est l’une des bases légales parmi plusieurs, mais lorsque vous invoquez une exception, vous devez pouvoir l’identifier précisément et documenter pourquoi elle s’applique à cette activité de traitement précise.
Comment le règlement européen sur l’IA affecte-t-il une entreprise turque ?
Le règlement européen sur l’IA devient pertinent lorsqu’une entreprise met des systèmes d’IA sur le marché de l’UE, sert une clientèle établie dans l’UE ou est tenue par contrat de démontrer sa conformité en matière d’IA. La pression des achats impose souvent la gouvernance plus tôt que les échéances formelles : la démarche pratique consiste donc à inventorier les systèmes d’IA, à les classer par niveau de risque et à constituer la documentation attendue par les acheteurs grands comptes et les régulateurs.
Quelle est l’amélioration de conformité la plus rapide pour une entreprise de taille moyenne ?
Constituez et tenez à jour les registres fondamentaux : un registre des traitements, un registre des transferts, un registre des systèmes d’IA le cas échéant, et un registre des prestataires. Appliquez ensuite une règle d’achat simple : aucun nouveau prestataire ni aucune nouvelle fonctionnalité d’IA n’est mis en service sans mise à jour du registre et sans vérification de la base légale et du transfert. Ces registres deviennent la couche de preuve dont vous avez besoin pour répondre rapidement à un régulateur ou à un client.
Parlez à un conseil avant votre prochain projet de données
La protection des données transfrontalière, la gouvernance de l’IA et les questions liées aux cryptoactifs et à la technologie s’entrecroisent de manières difficiles à gérer texte par texte. Si vous avez besoin d’un programme documenté et prêt pour l’audit plutôt que d’une simple liste de contrôle, notre équipe en droit des technologies, protection des données et cryptoactifs conseille les investisseurs étrangers et les entreprises transfrontalières sur la conformité à la KVKK et au RGPD, les mécanismes de transfert, la gouvernance au titre du règlement sur l’IA et la réponse aux incidents. Nous accompagnons également les opérations connexes par l’intermédiaire de notre pratique en droit des sociétés et droit commercial lorsque les actifs de données font partie d’une transaction.
Pour des lectures complémentaires, consultez nos guides sur le droit de la propriété intellectuelle, les aspects juridiques des investissements internationaux en Turquie, et les requêtes d’analyse juridique par IA pour la Turquie.
Informations générales, ne constituant pas un conseil juridique. Droit turc ; vérifiez votre situation particulière auprès d’un conseil qualifié.