La structure du KVKK après les amendements de 2024

Le KVKK est le principal texte de protection des données en Turquie, et son texte amendé est désormais le point de référence. Les éditeurs qui travaillaient à partir de la version antérieure à 2024 ont affaire à un cadre obsolète.

Ce que les amendements de 2024 ont changé

Le changement principal a été la réécriture de l'article 9, qui régit les transferts internationaux de données. Le régime antérieur à 2024 était notoirement difficile à satisfaire — il exigeait soit un consentement explicite, soit une autorisation du Conseil au cas par cas pour presque chaque flux transfrontalier, ce qui était irréalisable pour toute pile adtech moderne. L'article 9 amendé introduit trois niveaux de mécanismes de transfert : une décision d'adéquation du Conseil, un ensemble de garanties appropriées comprenant des clauses contractuelles types, et dans des cas restrictifs, un ensemble de dérogations. Cela aligne enfin le droit turc des transferts sur le modèle RGPD et rend la publicité programmatique conforme au niveau international sans dépôt par vendeur auprès du Conseil.

Ce qui n'a pas changé

Les définitions fondamentales, les bases légales, les droits des personnes concernées et le standard de consentement explicite pour les données sensibles sont restés identiques. Le seuil de consentement explicite turc est, si tant est, plus strict en pratique que le standard du RGPD, et c'est là que se situent encore la plupart des lacunes de conformité des éditeurs.

Le registre VERBIS

Les responsables du traitement dépassant certains seuils — y compris la plupart des responsables étrangers traitant des données personnelles turques à grande échelle — doivent s'inscrire au Registre des responsables du traitement (VERBIS). L'inscription exige la divulgation des activités de traitement, des bases légales et des mécanismes de transfert. Nombre d'éditeurs étrangers ont historiquement omis de s'inscrire à VERBIS ; le Conseil a signalé une posture plus active à ce sujet tout au long de 2025 et 2026.

Ce qui constitue des données personnelles au sens du KVKK

La définition des données personnelles du KVKK est large et correspond étroitement au RGPD. Les données personnelles sont toute information relative à une personne physique identifiée ou identifiable, et les orientations du Conseil ont systématiquement traité les cookies, les identifiants publicitaires, les adresses IP et les empreintes digitales des appareils comme des données personnelles lorsqu'elles peuvent être liées à un utilisateur directement ou par des moyens raisonnables.

Données personnelles sensibles

La liste des catégories sensibles du KVKK est plus étendue que celle du RGPD : elle inclut explicitement la race, l'origine ethnique, l'opinion politique, la conviction philosophique, la religion, la secte, l'apparence physique, l'appartenance à une association ou fondation, la santé, la vie sexuelle, la condamnation pénale, les mesures de sécurité, et les données biométriques et génétiques. Le traitement de l'une quelconque de ces données exige un consentement explicite — non pas du genre ambigu ou groupé, mais un consentement spécifique, éclairé et librement donné, lié au traitement sensible spécifique.

Pourquoi cela importe pour les cookies

Un cookie qui stocke uniquement un identifiant de session constitue des données personnelles basiques. Un cookie qui alimente un segment d'audience tel que Électeurs libéraux ou Communauté religieuse dévote constitue des données personnelles sensibles au sens de la définition turque — et la configuration de consentement requise est consentement explicite ou rien. Les éditeurs ciblant des segments d'audience qui touchent à la liste sensible du KVKK ne devraient pas exploiter ces segments sous couvert d'un consentement publicitaire général.

Le consentement aux cookies sous le KVKK en 2026

La position du Conseil sur les cookies s'est durcie au cours des deux dernières années. L'orientation actuelle est sans ambiguïté : les cookies et les technologies de suivi qui traitent des données personnelles nécessitent un consentement, sauf s'ils sont strictement nécessaires à un service demandé par l'utilisateur.

Les quatre éléments d'un consentement explicite valide

Le consentement explicite turc doit être :

• Lié à un objet spécifique — le consentement-parapluie général couvrant un traitement futur non précisé n'est pas valide
• Éclairé — l'utilisateur comprend quelles données sont traitées, à quelle fin, par qui et pendant combien de temps
• Librement donné — l'utilisateur peut refuser sans se voir refuser un service auquel il a par ailleurs droit
• Exprimé par un acte positif clair — les cases pré-cochées, le consentement implicite et le défilement comme consentement sont tous invalides

À quoi ressemble une CMP conforme

Une CMP configurée pour le trafic turc en 2026 devrait présenter :

• Une bannière visible avant que tout cookie non essentiel ne se déclenche, en turc (Türkçe) par défaut pour les utilisateurs turcs
• Une visibilité visuelle égale pour Accepter, Refuser et Personnaliser — le Conseil a spécifiquement relevé les designs de bannières où Refuser est moins visible qu'Accepter
• Des bascules granulaires par finalité : analytique, publicité, personnalisation, transfert transfrontalier, et tout traitement de catégorie sensible
• Un mécanisme persistant et facilement accessible pour retirer le consentement après le choix initial
• Un Aydınlatma Metni (Politique de confidentialité) en langue turque divulguant l'identité du responsable du traitement, les finalités, les destinataires, la durée de conservation et les droits
• Un flux de consentement explicite (açık rıza) distinct et clairement libellé pour tout traitement de catégorie sensible, verrouillé derrière sa propre action

Registres de consentement

Le responsable du traitement doit conserver des registres de consentement — qui a consenti, quand, à quoi, par quelle interface. Le Conseil KVKK a cité des journaux de consentement insuffisants dans plusieurs actions d'application, et des journaux horodatés exportables constituent l'attente de référence.

Transferts transfrontaliers en vertu de l'article 9 amendé de 2024

Les amendements de 2024 ont introduit un cadre de transfert à trois niveaux qui reflète l'approche du RGPD. Comprendre quel niveau s'applique à quel flux est la lacune de conformité la plus courante pour les éditeurs étrangers en 2026.

Niveau 1 — Décision d'adéquation

Le Conseil peut désigner un pays, une organisation internationale ou un secteur d'un pays comme offrant une protection adéquate. Les transferts vers des destinations adéquates sont autorisés sans mécanisme supplémentaire. Début 2026, le Conseil a progressivement rendu des décisions d'adéquation mais n'a pas encore désigné les États-Unis de manière générale.

Niveau 2 — Garanties appropriées

En l'absence d'adéquation, les transferts sont autorisés sur la base de garanties appropriées. Les amendements envisagent spécifiquement les clauses contractuelles types approuvées par le Conseil, les règles d'entreprise contraignantes pour les transferts intragroupes, et les codes de conduite ou mécanismes de certification approuvés par le Conseil. Les clauses contractuelles types du Conseil ont été publiées en 2024 et constituent le principal mécanisme opérationnel pour la plupart des éditeurs.

Niveau 3 — Dérogations

Des exceptions limitées existent pour les transferts occasionnels, les transferts nécessaires à l'exécution d'un contrat, ou les transferts auxquels l'utilisateur a expressément consenti. Ceux-ci ne peuvent pas être utilisés comme base juridique principale pour des flux programmatiques permanents.

Implication pratique pour les éditeurs

Une pile programmatique typique envoie des données dérivées de cookies à des dizaines de prestataires étrangers par enchère. Chacun de ces flux constitue un transfert transfrontalier. L'approche opérationnelle en 2026 consiste à conclure des clauses contractuelles types approuvées par le Conseil avec chaque sous-traitant international et à documenter le mécanisme de transfert dans l'Aydınlatma Metni et l'inscription VERBIS. Les éditeurs qui ont maintenu la logique de consentement explicite par transfert antérieure à 2024 sont simultanément surexposés au risque de conformité et sous-exploitent leur opportunité de monétisation.

Droits des personnes concernées

Les personnes concernées turques bénéficient de l'ensemble complet des droits du RGPD, appliqués dans le cadre du KVKK :

• Droit de savoir si leurs données sont traitées
• Droit d'accès aux données traitées
• Droit de rectification des données inexactes
• Droit à l'effacement ou à l'anonymisation lorsque le traitement n'est plus justifié
• Droit d'être informé des tiers auxquels les données ont été communiquées
• Droit de s'opposer aux décisions automatisées produisant des effets défavorables
• Droit à réparation pour les dommages causés par un traitement illicite

Délais de réponse

Les responsables du traitement doivent répondre aux demandes des personnes concernées dans un délai de 30 jours. La personne concernée peut saisir le Conseil KVKK si la réponse du responsable du traitement est inadéquate, et le Conseil dispose d'une fenêtre de 60 jours pour décider. La préparation opérationnelle pour la fenêtre de 30 jours — avec des procédures, des outils et des modèles de réponse en langue turque — est une lacune courante pour les éditeurs étrangers.

Sanctions et posture d'application en 2026

Le Conseil KVKK a été relativement silencieux durant ses premières années mais a considérablement intensifié son activité. Le total des amendes de 2025 a été le plus élevé depuis l'entrée en vigueur de la loi, et 2026 suit une trajectoire similaire.

Amendes administratives

Les amendes administratives sont indexées annuellement sur l'inflation. À partir de 2026, le plafond pour les violations les plus graves dépasse TRY 40 millions par violation, et des plafonds distincts s'appliquent aux manquements en matière de sécurité des données, de notification, d'inscription VERBIS et de décisions du Conseil. Des responsables du traitement étrangers ont été sanctionnés au niveau le plus élevé dans plusieurs actions de 2025.

Exposition à la réputation

Le Conseil publie des résumés des décisions d'application sur son site web. Les amendes infligées à des éditeurs étrangers ont régulièrement défrayé la chronique dans la presse technologique turque, et le coût réputationnel d'une décision KVKK publique est généralement plus élevé que l'amende elle-même.

Thèmes d'application

Les actions du Conseil de 2025 et début 2026 se concentrent autour d'un petit ensemble de problèmes récurrents : consentement aux cookies manquant ou ambigu, Aydınlatma Metni insuffisant, responsables du traitement étrangers non inscrits à VERBIS, et transferts transfrontaliers illicites utilisant le cadre antérieur à 2024.

Liste de contrôle d'audit pour le trafic turc en 2026

• La bannière CMP est servie en turc aux utilisateurs turcs, avec Accepter, Refuser et Personnaliser à égalité de visibilité
• Les finalités de consentement sont granulaires et tout traitement de catégorie sensible est isolé derrière son propre flux de consentement explicite
• Les journaux de consentement sont horodatés, exportables et conservés pendant au moins la durée du traitement plus une marge auditable
• L'Aydınlatma Metni est disponible en turc avec des divulgations complètes du responsable du traitement, des sous-traitants, des finalités, de la conservation et des droits
• L'inscription VERBIS est complète et à jour si le responsable du traitement franchit le seuil
• Les transferts transfrontaliers reposent sur les clauses contractuelles types 2024 ou un autre mécanisme valide de l'article 9, avec le mécanisme documenté dans l'Aydınlatma Metni
• Le flux de traitement des demandes des personnes concernées peut répondre dans un délai de 30 jours de bout en bout, en turc
• La liste des prestataires a été revue, les prestataires inutilisés ou redondants ayant été supprimés pour réduire l'exposition

Perspectives 2026

Le régime de protection des données turc a rattrapé le cadre européen sur le plan formel et le rattrape rapidement en matière d'application. Les amendements de 2024 ont supprimé le principal obstacle structurel à la technologie publicitaire internationale moderne — l'ancien régime de transfert — et le Conseil a utilisé les deux années qui ont suivi pour se concentrer sur l'application du reste de la loi. Les éditeurs disposant d'une pile de consentement de qualité RGPD n'ont besoin de faire que des ajustements relativement mineurs pour être prêts pour la Turquie : CMP et avis en langue turque, inscription VERBIS le cas échéant, clauses de transfert standard 2024, et vigilance concernant la liste de données sensibles plus étendue. Les éditeurs qui ont traité la Turquie comme un marché moins exigeant trouveront 2026 plus coûteux que 2025, et 2027 plus coûteux que 2026. L'écart peut être comblé en quelques semaines si c'est une priorité — et cela devrait l'être.