Services cloud en Turquie : obligations KVKK pour les entreprises

Les outils SaaS, le stockage distant et les services d'infrastructure font aujourd'hui partie du quotidien de nombreuses entreprises opérant en Turquie. Ce que beaucoup ignorent, c'est que le simple fait d'acheminer des données personnelles vers un prestataire cloud déclenche automatiquement la loi turque sur la protection des données personnelles (Kişisel Verilerin Korunması Kanunu / KVKK) et fait naître des obligations légales concrètes pour les deux parties. Le Conseil d'État turc (Danıştay) a confirmé dans plusieurs décisions récentes que la responsabilité du responsable de traitement demeure entière même lorsqu'il confie le traitement effectif à un tiers.

Quelle place occupe le prestataire cloud dans le KVKK ?

La loi établit une distinction nette entre deux rôles. Le responsable de traitement (veri sorumlusu) est l'entité qui détermine les finalités et les moyens du traitement des données personnelles — généralement l'entreprise cliente du service cloud. Le sous-traitant (veri işleyen) est toute personne physique ou morale qui traite des données pour le compte du responsable, sur ses instructions (article 3 du KVKK).

Un prestataire cloud correspond précisément à cette définition. Que vous stockiez des dossiers clients sur un serveur distant, que vous gériez la paie via une plateforme SaaS ou que vous hébergiez votre CRM dans le cloud, le prestataire traite vos données personnelles en votre nom. Cette qualification active directement les exigences de l'article 12 du KVKK.

Responsabilité conjointe : impossible de déléguer ses obligations

C'est la règle qui surprend le plus les entreprises. L'article 12(2) du KVKK dispose que lorsqu'un responsable de traitement fait traiter ses données par un tiers, les deux parties sont conjointement responsables de la mise en œuvre de toutes les mesures techniques et organisationnelles de sécurité nécessaires.

Concrètement, cela signifie que si votre prestataire cloud subit une violation de données ou n'applique pas des mesures de protection suffisantes, votre organisation peut être tenue responsable — même si la défaillance est entièrement imputable au prestataire. Une clause contractuelle attribuant la pleine responsabilité sécuritaire au prestataire ne vous met pas à l'abri. La loi impose la responsabilité partagée indépendamment de ce que prévoit le contrat de service.

La 10e chambre du Danıştay a réaffirmé ce principe dans plusieurs décisions rendues en 2023 et 2025 : déléguer le traitement à un tiers ne transfère pas la responsabilité légale du responsable de traitement.

Ce que doit contenir le contrat de sous-traitance

Avant d'envoyer des données personnelles à un prestataire cloud, vous devez disposer d'un contrat de sous-traitance écrit. Le KVKK ne prescrit pas de modèle type, mais la responsabilité conjointe prévue à l'article 12(2) et les recommandations du Conseil KVKK imposent que le contrat comprenne au minimum :

• Le périmètre et la finalité du traitement
• Les mesures techniques et organisationnelles concrètes que le prestataire doit mettre en œuvre
• Le droit du responsable de conduire ou de faire réaliser des audits (article 12(3))
• L'interdiction pour le prestataire d'utiliser les données à des fins autres que celles convenues (article 12(4))
• L'obligation du prestataire de notifier immédiatement le responsable en cas de violation, afin que ce dernier puisse respecter l'obligation de notification prévue à l'article 12(5)

L'article 12(4) lie également le prestataire de façon autonome : les sous-traitants ne peuvent utiliser les données personnelles qu'en conformité avec les instructions du responsable, et cette obligation survit à la fin de la relation contractuelle.

Serveurs à l'étranger : règles de transfert transfrontalier

De nombreuses grandes plateformes cloud hébergent les données dans des centres de données situés hors de Turquie. Dans ce cas, il s'agit d'un transfert transfrontalier de données personnelles au sens de l'article 9 du KVKK, soumis à des conditions particulières.

Les modifications du KVKK adoptées en 2024 ont restructuré le cadre des transferts. Ils sont licites lorsque le pays destinataire offre un niveau de protection adéquat (selon l'appréciation du Conseil KVKK) ou, à défaut, lorsque des clauses contractuelles types ont été conclues ou, dans certains cas, lorsque le consentement explicite des personnes concernées a été obtenu. Les entreprises qui s'appuient sur une infrastructure cloud étrangère doivent identifier la base juridique applicable avant que les données ne commencent à circuler.

Pour une analyse détaillée des règles de transfert, consultez notre article sur les transferts transfrontaliers de données pour les entreprises à contrôle étranger en Turquie.

L'inscription au VERBİS et les données hébergées dans le cloud

Les organisations qui traitent des données personnelles — y compris via des services cloud — et ne bénéficient pas des exemptions fixées par le Conseil KVKK doivent s'inscrire au VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), le registre turc des responsables de traitement. Cette inscription doit décrire avec exactitude toutes les activités de traitement, les catégories de données et les transferts, y compris l'hébergement cloud. Des déclarations incomplètes ou inexactes peuvent elles-mêmes donner lieu à des sanctions.

Notre article sur l'inscription au VERBİS et les obligations en Turquie vous en dit davantage.

Notification des violations impliquant le prestataire

Si une violation se produit sur l'infrastructure du prestataire cloud, l'obligation de notification prévue à l'article 12(5) du KVKK incombe au responsable de traitement — c'est-à-dire à vous, et non au prestataire. Vous devez informer les personnes concernées et le Conseil KVKK dans les meilleurs délais après la découverte de l'incident. Le Conseil peut également décider de rendre l'incident public sur son site.

C'est pourquoi votre contrat doit inclure une obligation de notification immédiate à votre charge par le prestataire ; sans ce pont contractuel, vous risquez de manquer la fenêtre de notification. Notre article sur la notification de violations de données sous le KVKK détaille l'ensemble de la procédure.

Questions fréquentes

Q : Pouvons-nous utiliser n'importe quel prestataire cloud pour traiter des données personnelles en Turquie ?

Oui, à condition que le prestataire accepte des conditions de traitement appropriées, mette en œuvre des mesures de sécurité suffisantes et — si ses serveurs sont situés hors de Turquie — satisfasse aux exigences de l'article 9 du KVKK. La taille ou la notoriété du prestataire ne constituent pas, à elles seules, une base juridique.

Q : Notre prestataire cloud doit-il également s'inscrire au VERBİS ?

L'obligation d'inscription concerne les responsables de traitement, pas les sous-traitants agissant purement sur instructions. Si le prestataire utilise vos données à ses propres fins — par exemple pour entraîner des modèles d'intelligence artificielle — il peut acquérir la qualité de responsable de traitement et se voir imposer sa propre obligation d'inscription.

Q : Que se passe-t-il si notre prestataire cloud est victime d'une cyberattaque ?

En tant que responsable de traitement, vous supportez la responsabilité conjointe et devez notifier le Conseil KVKK et les personnes concernées dès que vous avez connaissance de l'incident. Les clauses d'indemnisation contractuelles vis-à-vis du prestataire peuvent vous aider à couvrir les coûts, mais n'effacent pas votre exposition réglementaire.

Q : Un accord verbal ou par courriel avec le prestataire suffit-il ?

Non. La responsabilité conjointe de l'article 12(2) et les droits d'audit de l'article 12(3) sont pratiquement inapplicables sans un contrat écrit définissant clairement les obligations de chaque partie.

Comment Mona Hukuk peut vous aider

Notre cabinet accompagne les entreprises à Antalya et sur l'ensemble du marché turc — notamment des clients internationaux — en matière de conformité au KVKK, de rédaction de contrats de sous-traitance et de mise en place de cadres de gouvernance des données. Nous examinons vos contrats cloud actuels, identifions les lacunes et vous aidons à bâtir une structure juridique solide avant qu'une enquête réglementaire ne se présente à votre porte.

Contactez-nous à contact@monahukuk.com ou appelez le +90 (242) 606 14 32 pour prendre rendez-vous à Antalya.