Droit Informatique et Intelligence Artificielle
Responsable de traitement et sous-traitant en Turquie : les obligations contractuelles
Publié le 14 juillet 2026·7 min de lecture
Me. Équipe Éditoriale Mona Hukuk - Antalya · Barreau d'Antalya
Dès qu'une entreprise héberge les données de ses clients chez un fournisseur cloud, externalise sa paie ou collabore avec un éditeur de logiciels, une question juridique se pose rapidement : qui est le « responsable de traitement » et qui est le « sous-traitant » ? Il ne s'agit pas d'une simple étiquette théorique. La réponse conditionne directement les obligations d'inscription, la charge de la sécurité et le contrat que les parties doivent conclure. Cet article examine la distinction entre ces deux rôles au regard de la loi n° 6698 sur la protection des données personnelles (KVKK), la manière dont les obligations de sécurité se répartissent, et pourquoi un contrat de traitement est indispensable dans la pratique.
Les deux rôles définis à l'article 3 de la KVKK
L'article 3 de la KVKK définit clairement les deux rôles. Le responsable de traitement est « la personne physique ou morale qui détermine les finalités et les moyens du traitement des données personnelles et qui est chargée de la mise en place et de la gestion du système d'enregistrement des données ». Le sous-traitant, quant à lui, est « la personne physique ou morale qui traite les données personnelles pour le compte du responsable, sur la base de l'autorisation accordée par celui-ci ».
Le cœur de la distinction réside dans le pouvoir de décision. La partie qui décide pourquoi et par quels moyens les données seront traitées est le responsable de traitement. Celle qui exécute le traitement uniquement selon ces instructions, pour le compte du responsable, est le sous-traitant. Par exemple, un hôtel collecte les données de réservation de ses clients pour ses propres finalités ; le prestataire cloud qui héberge ces données ou la société qui fournit le logiciel de réservation agit comme sous-traitant sur instruction de l'hôtel. Pour être qualifiée de sous-traitant, une partie doit traiter les données dans le cadre fixé par le responsable et non pour ses propres finalités ; dès l'instant où elle commence à définir ses propres finalités, elle devient elle-même responsable de traitement.
Pourquoi la distinction compte : le VERBİS et l'obligation d'inscription
La séparation des rôles importe d'abord au regard de l'obligation d'inscription au Registre des responsables de traitement (VERBİS). Selon l'article 16 de la KVKK, l'obligation d'inscription pèse en principe sur les responsables de traitement ; l'Autorité (le Conseil) peut prévoir des exemptions selon des critères objectifs tels que la nature et le volume des données traitées, le fait que le traitement découle de la loi, ou encore le transfert des données à des tiers. Ainsi, ce ne sont pas toutes les entreprises, mais seuls les responsables entrant dans le champ d'application, qui doivent s'inscrire. Une société agissant en pure qualité de sous-traitant ne s'inscrit pas à ce seul titre ; en revanche, si elle est responsable de traitement au regard de ses propres activités, elle y est tenue à ce titre. La portée, les exemptions et la procédure de l'inscription au VERBİS font l'objet d'un guide distinct et détaillé ; il suffit ici de souligner que les rôles déterminent l'obligation d'inscription.
Les obligations de sécurité incombent aux deux parties (article 12)
L'article 12 de la KVKK régit les obligations de sécurité des données et montre clairement que la responsabilité ne repose pas sur une seule partie. Le responsable de traitement doit prendre toutes les mesures techniques et administratives propres à assurer un niveau de sécurité approprié, afin d'empêcher le traitement illicite des données personnelles et l'accès illicite à celles-ci et d'en garantir la conservation (art. 12/1).
Le point crucial figure au deuxième alinéa : lorsque les données sont traitées par un tiers pour le compte du responsable, celui-ci est solidairement responsable avec le sous-traitant de la mise en œuvre de ces mesures (art. 12/2). Le responsable ne saurait donc se dégager de ses obligations en externalisant le traitement. En outre, l'art. 12/4 prévoit que ni les responsables ni les sous-traitants ne peuvent divulguer, contrairement à la loi, les données personnelles dont ils ont connaissance ni les utiliser à des fins étrangères à celles du traitement, et que cette obligation subsiste même après qu'ils ont quitté leurs fonctions. L'obligation de notifier l'Autorité et la personne concernée en cas de violation relève de l'art. 12/5. En somme, la charge de la confidentialité et de la sécurité est répartie sur chaque maillon de la chaîne.
Pourquoi un contrat de traitement s'impose
Un point propre au droit turc mérite ici d'être relevé : contrairement à l'article 28 du Règlement général sur la protection des données de l'UE (RGPD), la KVKK ne comporte pas de disposition imposant expressément et en toute hypothèse un contrat au contenu déterminé entre le responsable et le sous-traitant. Il s'agit là d'une véritable différence par rapport à la pratique de l'UE, qui appelle une attention particulière. Il ne faut toutefois pas en conclure qu'un contrat serait superflu. Compte tenu de la responsabilité solidaire prévue à l'art. 12/2 et de l'obligation de contrôle prévue à l'art. 12/3, documenter la surveillance du sous-traitant par le responsable, les limites de ses instructions et les standards de sécurité au moyen d'un contrat de traitement écrit devient, dans la pratique, effectivement obligatoire. Ce contrat régit à la fois la relation interne entre les parties dans le cadre de la responsabilité solidaire et sert de preuve de conformité lors d'un éventuel contrôle de l'Autorité.
Les clauses à prévoir et l'usage transfrontalier
Un contrat de traitement bien rédigé règle généralement les points suivants :
- Le champ et la finalité du traitement — le sous-traitant ne peut agir que sur instruction du responsable et pour la finalité définie,
- Les mesures de sécurité — le standard minimal des mesures techniques et administratives au titre de l'article 12,
- L'accord sur les sous-traitants ultérieurs (sub-processors) — l'accord préalable du responsable avant que le sous-traitant ne fasse appel à un autre prestataire,
- La restitution ou la suppression des données à l'échéance du contrat — la restitution, l'effacement ou la destruction des données à la fin de la relation,
- Les droits d'audit — le pouvoir du responsable d'auditer le sous-traitant ou de le faire auditer,
- La chaîne de notification des violations — les modalités et le délai dans lesquels le sous-traitant doit signaler une violation au responsable.
Pour les entreprises étrangères qui externalisent le traitement à des prestataires turcs, une couche supplémentaire s'ajoute : le transfert transfrontalier des données est soumis au régime de l'article 9 de la KVKK, et le contrat doit également couvrir ces conditions de transfert. De même, les entreprises turques qui confient le traitement à un prestataire situé à l'étranger doivent apprécier à la fois les règles de transfert et le droit applicable à la contrepartie. C'est pourquoi, dans les montages transfrontaliers, le contrat doit préciser non seulement les rôles, mais aussi le fondement juridique du transfert.
Foire aux questions
Une société peut-elle être à la fois responsable de traitement et sous-traitant ? Oui. Par exemple, un cabinet comptable est responsable de traitement pour les données de ses propres salariés et sous-traitant lorsqu'il gère la paie pour le compte d'un client. Le rôle s'apprécie séparément pour chaque activité de traitement.
Les sous-traitants doivent-ils s'inscrire au VERBİS ? L'obligation d'inscription vise en principe les responsables de traitement. Une société agissant uniquement en qualité de sous-traitant ne s'inscrit pas à ce titre ; mais si elle est responsable de traitement au regard de ses propres activités, elle peut y être tenue à ce titre.
La KVKK rend-elle le contrat de traitement obligatoire ? La KVKK n'impose pas, comme le fait l'art. 28 du RGPD, une forme de contrat déterminée en toute hypothèse. Toutefois, en raison de la responsabilité solidaire et de l'obligation de contrôle de l'article 12, un contrat écrit est en pratique inévitable dans la vie des affaires.
Le responsable de traitement peut-il être sanctionné pour la faute du sous-traitant ? Oui. En vertu de l'art. 12/2, le responsable et le sous-traitant sont solidairement responsables de la mise en œuvre des mesures de sécurité ; le responsable ne peut se dégager de ses obligations en externalisant le traitement.
Comment Mona Hukuk peut vous aider
Chez Mona Hukuk, nous accompagnons les entreprises dans la détermination des rôles (distinction responsable/sous-traitant), la rédaction et la négociation des contrats de traitement, la gestion de la procédure d'inscription au VERBİS et la structuration des contrats de transfert transfrontalier de données. Nous offrons un conseil de bout en bout tant aux entreprises étrangères travaillant avec des prestataires turcs qu'aux entreprises turques recourant à des prestataires établis à l'étranger.
Pour un conseil à Antalya, vous pouvez écrire à contact@monahukuk.com ou appeler le +90 (242) 606 14 32.
Souhaitez-vous recevoir un résumé hebdomadaire des actualités du droit turc ?
Annonces du Journal officiel, décisions judiciaires et changements législatifs — chaque semaine dans votre boîte mail. Gratuit, désinscription à tout moment.
Articles connexes
Droit Informatique et Intelligence Artificielle
VERBİS : le registre turc des responsables de traitement
9 juin 2026 · 5 min de lecture
Lire l'articleDroit Informatique et Intelligence Artificielle
Risques juridiques des contrats de licence de
28 avr. 2026 · 6 min de lecture
Lire l'articleDroit Informatique et Intelligence Artificielle
Diffamation sur les réseaux sociaux
28 avr. 2026 · 6 min de lecture
Lire l'article