Droit des technologies, protection des données (KVKK) et réglementation des cryptomonnaies. Cabinet d’avocats Serka conseille les entreprises technologiques internationales, les fournisseurs de SaaS, les fintechs, les développeurs d’IA et les plateformes de cryptomonnaies en matière de protection des données, de commerce électronique, de droit de l’internet et de droit des marchés de capitaux turcs. Nous construisons les structures de conformité qui permettent à une plateforme étrangère de servir légalement les utilisateurs turcs, et nous défendons cette plateforme lorsqu’un régulateur engage une action à son encontre.
Me Serkan Kara, Barreau d’Istanbul n° 53770
Dernière mise à jour : juin 2026
Qu’est-ce que le droit des technologies et de la protection des données pour les entreprises opérant en Turquie ?
Le droit des technologies et de la protection des données en Turquie régit la manière dont une entreprise collecte, conserve, transfère et monétise les données personnelles et les services numériques. Le texte fondamental est la loi n° 6698 sur la protection des données personnelles (KVKK), qui s’inspire du RGPD de l’UE tout en imposant des conditions plus strictes au transfert de données hors de Turquie. Une entreprise technologique servant des utilisateurs turcs est soumise à ces règles, quel que soit l’emplacement de ses serveurs. Aux côtés de la KVKK, la loi n° 6563 sur la réglementation du commerce électronique, la loi n° 5651 sur l’internet et la loi n° 6362 sur les marchés de capitaux (pour les crypto-actifs) forment ensemble le périmètre réglementaire que toute plateforme étrangère doit respecter.
Que faut-il examiner en premier dans un projet technologique ou de données ?
Un projet technologique doit commencer par une cartographie des flux de données : qui sont les personnes concernées, quelles données personnelles sont traitées, à quelle fin, où elles sont conservées et quels tiers ou prestataires y accèdent. À partir de cette cartographie, le conseil peut identifier les obligations juridiques attachées à chaque flux, y compris le consentement ou une autre base légale, les contrôles de transfert transfrontalier, les obligations de sécurité, les conditions contractuelles vis-à-vis du consommateur et toute licence sectorielle. Résoudre ces questions dès la conception du produit, plutôt qu’après une enquête d’un régulateur, est ce qui empêche une seule décision commerciale de se transformer plus tard en défaillance de conformité.
Qu’est-ce que la KVKK et en quoi diffère-t-elle du RGPD ?
La KVKK (loi n° 6698 sur la protection des données personnelles) est le texte général turc de protection des données, structurellement proche du RGPD dans ses principes, les droits des personnes concernées et les obligations de responsabilité. La différence décisive concerne le transfert transfrontalier des données. Là où le RGPD autorise les transferts au titre de décisions d’adéquation et de garanties standardisées, la KVKK exigeait historiquement soit le consentement explicite de la personne concernée, soit que le pays de destination figure sur la liste des pays offrant une protection adéquate établie par l’Autorité de protection des données personnelles. Comme cette liste d’adéquation est restée limitée en pratique, la plupart des entreprises internationales s’appuient sur des engagements écrits approuvés par l’Autorité ou sur des garanties contractuelles types plutôt que de considérer une destination comme automatiquement sûre.
Enregistrement VERBIS pour les responsables de traitement
Les entreprises qui atteignent des seuils définis, ou dont l’activité principale consiste à traiter des données personnelles sensibles, doivent s’enregistrer auprès du VERBIS, le registre public des responsables de traitement tenu par l’Autorité de protection des données personnelles. L’enregistrement documente l’inventaire des données du responsable, les finalités de traitement, les durées de conservation et les mesures de sécurité. Un responsable de traitement étranger sans établissement turc doit désigner un représentant du responsable de traitement en Turquie, un rôle que notre cabinet assure pour ses clients internationaux. L’absence d’enregistrement, ou l’enregistrement d’informations inexactes, expose le responsable à des amendes administratives.
Transfert transfrontalier de données
En vertu de la KVKK, les données personnelles des utilisateurs en Turquie ne peuvent être transférées vers des serveurs à l’étranger pour de simples raisons de commodité. Le consentement explicite est une voie, mais elle est fragile car un utilisateur peut le retirer à tout moment. La voie la plus durable est un engagement écrit ou un mécanisme contractuel type approuvé par l’Autorité de protection des données personnelles, soutenu par une équivalence réelle des mesures de sécurité techniques et organisationnelles. Nous préparons et soumettons ces instruments afin qu’une entreprise mondiale puisse conserver ses données sur son infrastructure cloud existante tout en restant conforme au droit turc.
Comment la Turquie réglemente-t-elle les cryptomonnaies et les plateformes de crypto-actifs ?
Les prestataires de services de cryptomonnaies et de crypto-actifs en Turquie sont réglementés par la loi n° 6362 sur les marchés de capitaux, telle que modifiée pour placer les crypto-actifs sous la supervision du Conseil des marchés de capitaux (SPK). Les prestataires de services de crypto-actifs, y compris les bourses d’échange et les plateformes de conservation, doivent détenir une autorisation d’exercice délivrée par le SPK et se conformer aux obligations en matière de capital, de gouvernance, de conservation et de lutte contre le blanchiment de capitaux. Exploiter une bourse d’échange visant des utilisateurs en Turquie sans cette autorisation est traité comme une activité non autorisée sur les marchés de capitaux et peut entraîner une responsabilité pénale pour les dirigeants responsables ainsi que le blocage d’accès à la plateforme.
Obtention d’une licence pour une bourse de cryptomonnaies
Une bourse d’échange étrangère qui sollicite des utilisateurs turcs, fait de la publicité en turc ou propose des paires de trading en livres turques doit généralement constituer une société anonyme turque et obtenir l’autorisation du SPK. L’octroi de la licence implique de satisfaire à des exigences de capital minimum, de mettre en œuvre des contrôles de lutte contre le blanchiment de capitaux et d’identification de la clientèle alignés sur le MASAK (le Conseil d’enquête sur les délits financiers), et de mettre en place des dispositifs de conservation conformes. Nous gérons la demande d’autorisation de bout en bout et structurons le véhicule sociétaire qui détient la licence.
Émission de jetons et structuration Web3
L’émission de jetons comporte un risque au regard du droit des valeurs mobilières. Un jeton qui se comporte comme un instrument de participation aux bénéfices ou de dividende peut être assimilé à une valeur mobilière, ce qui déclenche des obligations de prospectus et d’information. Nous fournissons des avis juridiques distinguant les jetons utilitaires des jetons de sécurité, structurons l’entité émettrice et géolocalisons les offres destinées au grand public afin que les fondateurs ne soient pas exposés à des allégations d’offre publique non autorisée en Turquie.
Quelles règles de commerce électronique s’appliquent aux plateformes en ligne étrangères ?
Les plateformes en ligne étrangères vendant à des consommateurs en Turquie doivent se conformer à la loi n° 6563 sur la réglementation du commerce électronique et au règlement sur les contrats de vente à distance. Deux obligations sont les plus importantes. Premièrement, toute vente d’une entreprise à un consommateur doit accorder au consommateur un droit de rétractation de quatorze jours sans pénalité, accompagné d’un formulaire d’information précontractuelle détaillé avant l’achat. Deuxièmement, les messages électroniques commerciaux tels que les SMS marketing, les courriels ou les appels automatisés requièrent un consentement préalable enregistré dans le Système central de gestion des messages (IYS) ; le désabonnement d’un consommateur doit être respecté automatiquement. L’envoi de messages marketing non sollicités sans approbation IYS, ou le refus d’un remboursement légitime, entraîne des amendes administratives et des plaintes de consommateurs susceptibles de perturber le traitement local des paiements.
Les autorités turques peuvent-elles bloquer ou ralentir une plateforme étrangère ?
Oui. En vertu de la loi n° 5651 sur l’internet, un fournisseur de réseau social étranger comptant une large base quotidienne d’utilisateurs turcs doit désigner un représentant local chargé de recevoir et de répondre aux notifications juridiques. Lorsqu’un tribunal ordonne le retrait d’un contenu pour atteinte aux droits de la personnalité ou pour d’autres motifs légaux, le fournisseur doit agir dans le délai légal. Un refus peut conduire l’Autorité des technologies de l’information et de la communication (BTK) à imposer des interdictions de publicité, des amendes et un ralentissement progressif de la bande passante qui dégrade le service. Nous agissons en qualité de représentant désigné, évaluons la validité de chaque ordonnance, formons des oppositions lorsqu’une ordonnance est viciée et exécutons une mise en conformité étroitement ciblée afin qu’un seul litige ne compromette pas la disponibilité globale de la plateforme.
Quels sont les principaux risques juridiques pour les entreprises technologiques, et les exceptions ?
Les risques récurrents sont le transfert transfrontalier illicite de données, l’absence d’enregistrement VERBIS, l’exploitation d’un service de cryptomonnaies sans autorisation du SPK, le marketing non sollicité sans approbation IYS, et le non-respect des obligations de retrait de contenu ou de représentant en vertu de la loi sur l’internet. Chacun entraîne des amendes administratives, et plusieurs comportent une exposition pénale ou un blocage d’accès. Les principales exceptions et moyens de défense comprennent des bases légales autres que le consentement au titre de la KVKK, une anonymisation véritable qui retire les données du champ des données personnelles, des instruments de transfert approuvés par l’Autorité, et la structuration de l’activité de cryptomonnaies ou de jetons de sorte qu’elle ne vise pas les consommateurs turcs. La question de savoir si une exception s’applique dépend des faits et doit être appréciée avant, et non après, qu’un régulateur agisse.
Ai-je besoin d’un avocat pour les questions de technologie et de protection des données ?
Un avocat est nécessaire dès lors qu’un produit technologique touche des utilisateurs turcs à grande échelle, traite des données sensibles ou biométriques, transfère des données à l’étranger, propose des services de cryptomonnaies ou de jetons, ou a reçu une notification d’un régulateur. Ces questions combinent le droit de la protection des données, le droit des marchés de capitaux, le droit de la consommation et le droit de l’internet, et un faux pas dans un domaine peut geler les passerelles de paiement ou bloquer l’ensemble du service. Recourir à un conseil dès la conception du produit est bien moins coûteux que de défendre une action en répression après le lancement.
Foire aux questions
La KVKK s’applique-t-elle à une entreprise sans bureau en Turquie ?
Oui. La KVKK s’applique en fonction du traitement des données personnelles de personnes se trouvant en Turquie, et non du lieu de constitution de l’entreprise ou de l’emplacement de ses serveurs. Un responsable de traitement étranger qui traite les données d’utilisateurs turcs est généralement tenu de s’enregistrer auprès du VERBIS et de désigner un représentant du responsable de traitement en Turquie.
Pouvons-nous conserver les données des clients sur AWS ou Google Cloud hors de Turquie ?
Souvent oui, mais pas automatiquement. Le stockage des données personnelles d’utilisateurs turcs sur une infrastructure cloud étrangère constitue un transfert transfrontalier au titre de la KVKK. Il doit être soutenu soit par un consentement explicite valide, soit, de manière plus durable, par un engagement écrit ou un mécanisme contractuel type approuvé par l’Autorité, assorti de mesures de sécurité adéquates. Nous préparons et soumettons les instruments qui autorisent le transfert.
Est-il légal d’exploiter une bourse de cryptomonnaies pour des utilisateurs turcs depuis l’étranger ?
Viser des utilisateurs turcs depuis une bourse d’échange offshore non agréée est traité comme une activité non autorisée sur les marchés de capitaux en vertu de la loi n° 6362 et peut entraîner une responsabilité pénale et un blocage d’accès. Une plateforme qui souhaite des utilisateurs turcs doit généralement constituer une société turque et obtenir l’autorisation du SPK, y compris des contrôles de lutte contre le blanchiment de capitaux conformes au MASAK.
Que se passe-t-il si nous envoyons des messages marketing sans approbation IYS ?
Chaque message électronique commercial non approuvé peut déclencher une amende administrative, et les violations répétées attirent des plaintes réglementaires et de consommateurs. Les SMS marketing, les courriels et les appels automatisés adressés aux consommateurs turcs doivent être enregistrés dans le système IYS, et les désabonnements doivent être appliqués automatiquement.
Un tribunal turc nous a ordonné de retirer un contenu. Quel est le délai ?
En vertu de la loi n° 5651 sur l’internet, les fournisseurs doivent donner suite à une ordonnance valide de retrait de contenu dans le délai légal applicable au type d’ordonnance. Le non-respect du délai peut conduire la BTK à imposer des interdictions de publicité, des amendes et un ralentissement de la bande passante. Nous évaluons la validité de l’ordonnance, nous nous y conformons lorsque cela est requis et nous contestons les ordonnances viciées.
À quelle vitesse devons-nous faire appel à un conseil après une enquête d’un régulateur ?
Immédiatement. Un conseil précoce peut suspendre un pipeline de données non conforme, préserver des moyens de défense tels que l’anonymisation ou une base légale alternative, et engager un dialogue structuré avec le régulateur avant que les amendes et les ordres de destruction ne soient finalisés. Le retard réduit les moyens de défense disponibles.
Services juridiques connexes
Les questions technologiques sont fréquemment liées à d’autres domaines de pratique. Nous coordonnons le travail en matière de technologie et de données avec la création de sociétés en Turquie pour le véhicule sociétaire détenant une licence du SPK, avec le droit des sociétés et le droit commercial pour les accords de SaaS et de plateforme, avec la structuration des investissements directs étrangers pour les capitaux technologiques entrants, avec le droit fiscal et la réglementation douanière pour la fiscalité des services numériques, et avec la défense pénale et la compétence juridictionnelle lorsqu’une responsabilité au titre des marchés de capitaux ou de la cybercriminalité est en cause.
Demander une évaluation confidentielle de votre dossier
Si votre plateforme traite des données d’utilisateurs turcs, propose des services de cryptomonnaies ou de jetons à des utilisateurs turcs, ou a reçu une notification d’un régulateur, demandez une évaluation confidentielle de votre dossier. Décrivez le produit, les flux de données et toute ordonnance en cours, et nous identifierons les obligations applicables ainsi que la structure qui vous maintient conforme et en activité.
Avertissement juridique
Cette page fournit des informations générales sur le droit turc des technologies, de la protection des données et des marchés de capitaux et ne constitue pas un conseil juridique. Sa lecture ne crée pas de relation avocat-client. Une relation avocat-client ne se forme que par un mandat signé. Pour un conseil sur une situation particulière, consultez un avocat qualifié.