Le 1er avril 2026, l’Autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens, AP) a infligé une amende de 100 millions d’euros à MLU B.V., l’opérateur néerlandais de l’application de taxi Yango, filiale du groupe Yandex. La raison : le transfert illicite de données personnelles de conducteurs et de passagers finlandais et norvégiens vers des entités affiliées en Russie, sans garanties adéquates, en violation des Articles 44, 46 et 5 du RGPD. L’AP a également ordonné l’arrêt immédiat de ces transferts. C’est la première décision d’une autorité européenne de protection des données ciblant spécifiquement les transferts vers la Russie, et elle établit un précédent majeur pour toutes les entreprises opérant dans l’espace européen.
Yango et MLU B.V. : qui est derrière l’application ?
Yango est une application de taxi lancée par le groupe Yandex, souvent décrit comme “le Google russe”. L’entité juridique responsable pour l’Europe est MLU B.V., une société enregistrée aux Pays-Bas et successeur légal de Ridetech International B.V. La chaîne de contrôle remonte, via Y.E. Holding d.o.o. Beograd (Serbie) et Y.E. Holding Limited (Émirats arabes unis), à des intérêts russes, notamment Yandex.Taxi LLC et Yandex LLC.
Yango opérait en Finlande et en Norvège depuis 2022, proposant des services de VTC concurrents d’Uber et Bolt. En octobre 2025, l’application a cessé ses opérations commerciales dans ces deux pays, bien que l’application soit restée disponible en téléchargement. C’est cette présence sur le marché nordique qui est au cœur de l’affaire : les données des utilisateurs finlandais et norvégiens transitaient vers des serveurs russes, sans que les conditions légales du RGPD pour ce type de transfert soient remplies.
Le groupe Yandex a connu une restructuration significative depuis l’invasion russe de l’Ukraine en 2022. La branche internationale a été progressivement séparée des actifs russes, une opération complexe qui n’a pas empêché les autorités de traçabilité de l’AP de suivre le flux réel des données jusqu’à leur destination finale en Russie.
Les données transférées vers la Russie : géolocalisation, numéros sociaux, chats
L’enquête de l’AP a mis en évidence une liste de catégories de données particulièrement sensibles, transférées vers des entités russes à partir du 23 mai 2022 et pendant plusieurs années. Voici ce qui a été transmis :
- Données de géolocalisation GPS en temps réel des conducteurs et des passagers
- Numéros de sécurité sociale (SSN) des chauffeurs
- Scans de permis de conduire et de pièces d’identité
- Relevés téléphoniques liés aux courses
- Coordonnées bancaires des chauffeurs
- Conversations de chat entre passagers et conducteurs dans l’application
- Adresses personnelles des chauffeurs et domiciles déclarés
Cette combinaison dépasse de loin les données habituelles d’une application de transport. Les coordonnées bancaires et les numéros de sécurité sociale constituent des données à très haute valeur intrinsèque, dont l’exposition à des entités soumises au droit russe, notamment la loi sur les données de localisation de 2014 qui oblige les opérateurs à stocker les données des utilisateurs russes sur des serveurs locaux, crée des risques documentés d’accès par les autorités russes.
Aleid Wolfsen, président de l’AP et signataire de la décision, a résumé la position de l’autorité : “Les personnes présentes en Finlande et en Norvège utilisaient cette application en pensant que leurs données étaient protégées par les règles européennes. Au lieu de cela, leurs informations les plus personnelles ont été transmises à des entités en Russie, sans les garanties que le RGPD exige. Ce n’est pas acceptable.”
La violation du RGPD : Articles 44, 46, et le principe de licéité
L’AP a identifié des violations sur plusieurs articles fondamentaux du RGPD :
- Article 44 : interdiction de transfert vers un pays tiers sans niveau de protection adéquat. La Russie ne bénéficie d’aucune décision d’adéquation de la Commission européenne.
- Article 46 : obligation de fournir des garanties appropriées lorsqu’il n’existe pas de décision d’adéquation. MLU B.V. avait tenté d’utiliser des Clauses Contractuelles Types (CCT), mais leur mise en œuvre était défaillante.
- Article 5(1)(a) : principe de licéité, loyauté et transparence. Les utilisateurs n’étaient pas informés de manière adéquate que leurs données partaient en Russie.
- Article 5(2) : principe d’accountability (responsabilité), qui impose au responsable de traitement de démontrer que ses traitements sont conformes. MLU B.V. n’a pas pu produire cette démonstration.
La décision s’inscrit dans la jurisprudence Schrems II de la Cour de justice de l’Union européenne (CJUE, juillet 2020), qui a invalidé le Privacy Shield américain et posé l’exigence d’une protection “essentiellement équivalente” dans le pays destinataire. Si la Cour visait à l’époque les États-Unis, le raisonnement s’applique encore plus clairement à la Russie, dont le cadre légal autorise les services de renseignement à accéder aux données des entreprises.
Le problème des Clauses Contractuelles Types : le mauvais module utilisé
L’analyse technique de l’AP révèle une erreur fondamentale dans la stratégie de conformité de Yango. MLU B.V. s’était appuyée sur des Clauses Contractuelles Types (CCT), l’outil standard du RGPD pour encadrer les transferts vers des pays tiers. Mais l’AP a constaté que l’architecture contractuelle était inadaptée à la réalité opérationnelle.
Le problème central : le module CCT responsable-à-sous-traitant (controller-to-processor) avait été utilisé, alors que la relation réelle entre MLU B.V. et les entités russes correspondait à une relation de responsables conjoints (joint controllers). Ce n’est pas une nuance administrative. Le module controller-to-processor présuppose que l’entité réceptrice traite les données uniquement sur instruction de l’expéditeur. Dans le cas de Yandex.Taxi LLC en Russie, qui opérait sa propre plateforme, cette description ne correspondait pas à la réalité.
À ce problème structurel s’ajoutaient des défaillances dans les mesures complémentaires : l’AP a considéré que les mesures techniques et organisationnelles supplémentaires, censées compenser l’absence de protection adéquate en Russie, étaient insuffisantes. La gestion des clés de chiffrement posait notamment problème, certaines clés étant accessibles depuis le territoire russe, ce qui rendait le chiffrement en transit inefficace comme protection contre les demandes d’accès des autorités russes.
Thomas Dautieu, directeur de la conformité à la CNIL française, a commenté la décision dans le cadre du comité EDPB (Comité européen de la protection des données) : “L’affaire Yango illustre que les CCT ne sont pas un sésame automatique. Elles doivent correspondre à la réalité des rôles des parties, et elles doivent être soutenues par des mesures qui rendent la protection effective, pas seulement théorique. Un CCT dont les clés de chiffrement sont accessibles dans un pays à risque ne protège rien.”
Comparaison : Yango 100 M€ vs Uber 290 M€ en 2024
L’AP néerlandaise est l’autorité chef de file pour plusieurs grandes entreprises tech internationales dont le siège européen est aux Pays-Bas. En juillet 2024, elle avait infligé à Uber Technologies une amende record de 290 millions d’euros pour transfert illicite de données de chauffeurs européens vers les États-Unis, sans garanties adéquates après l’invalidation du Privacy Shield.
| Affaire | Entreprise | Amende | Date | Pays destinataire | Articles violés |
|---|---|---|---|---|---|
| Yango/MLU B.V. | Yandex (Russie) | 100 M€ | 1er avril 2026 | Russie | Art. 44, 46, 5(1)(a), 5(2) |
| Uber Technologies | Uber (USA) | 290 M€ | 22 juillet 2024 | États-Unis | Art. 44, 46, 5 |
| LinkedIn Ireland | Microsoft (USA) | 310 M€ | Octobre 2024 | Multiple | Art. 5, 6, 13 |
| Amadeus IT Group | Amadeus (Espagne) | 14,4 M€ | 2026 | N/A | Art. 5, 6, 13 |
| Free (France) | Free Mobile | 42 M€ | 2026 | N/A (sécurité) | Art. 32 |
L’amende Yango est trois fois moins élevée qu’Uber, mais la signification dépasse les chiffres : c’est la première décision d’une DPA européenne spécifiquement centrée sur les transferts vers la Russie. Uber était un cas transatlantique bien connu. Yango ouvre un nouveau chapitre, celui de l’exposition des données européennes à des pays sous régime autoritaire avec des lois de renseignement intrusives.
Premier précédent européen sur les transferts vers la Russie
La décision de l’AP est historique à un titre précis : elle est la première analyse approfondie par une autorité de protection des données de l’Union européenne du cadre légal russe au regard des exigences du RGPD en matière de transferts internationaux.
L’enquête a conclu que le droit russe, notamment la Loi fédérale n°242-FZ (2014) sur la localisation des données, la Loi sur les communications donnant accès aux autorités russes aux communications électroniques, et les pouvoirs du FSB (Service fédéral de sécurité) en matière d’interception, crée un environnement dans lequel une entreprise privée ne peut pas garantir contractuellement que les données resteront protégées contre l’accès des autorités russes.
Ce constat aura des répercussions bien au-delà de Yango. De nombreuses entreprises européennes maintiennent des partenariats, des contrats de sous-traitance ou des accès cloud avec des entités liées à la Russie. Après cette décision, chacune devra évaluer si ses flux de données vers la Russie sont exposés à une sanction similaire.
Max Schrems, fondateur de NOYB (None of Your Business) et architecte des deux arrêts Schrems de la CJUE, a salué la décision : “Cela confirme ce que nous défendons depuis des années : les CCT ne peuvent pas compenser un cadre légal étranger qui permet aux gouvernements d’accéder à des données personnelles sans contrôle judiciaire indépendant. La Russie est un exemple flagrant, mais le même raisonnement s’applique à d’autres juridictions.”
La réaction de Yango : contestation et arrêt des opérations
MLU B.V. a indiqué qu’elle contestera l’amende devant les juridictions compétentes. L’entreprise dispose de voies de recours administratif et judiciaire au niveau néerlandais, puis potentiellement devant la CJUE. Les procédures de ce type durent généralement plusieurs années.
Par ailleurs, Yango a cessé ses opérations commerciales en Finlande et en Norvège en octobre 2025, soit plusieurs mois avant la décision de l’AP. Cette sortie de marché, bien que présentée comme une décision commerciale par l’entreprise, intervient dans un contexte de surveillance réglementaire accrue et de difficultés opérationnelles liées à la restructuration du groupe Yandex.
L’AP a précisé que l’arrêt des opérations ne mettait pas fin à l’enquête : la décision couvre la période de transferts commençant le 23 mai 2022, et les violations constatées étaient suffisamment graves pour justifier une sanction indépendamment de la cessation ultérieure des activités.
Implications pour les entreprises européennes : la liste de contrôle
La décision Yango envoie un message direct aux équipes juridiques et de conformité de toute entreprise européenne ayant des liens avec la Russie, que ce soit via des partenariats, des prestataires de services cloud, des filiales ou des équipes de développement externalisées. Voici les points de contrôle prioritaires :
- Cartographiez vos flux de données vers la Russie : identifiez tous les transferts, directs ou indirects, vers des entités soumises au droit russe. Incluez les prestataires de deuxième et troisième rang.
- Vérifiez le module CCT utilisé : assurez-vous que la relation contractuelle (controller-to-processor ou joint controllers) correspond à la réalité opérationnelle. Un audit externe par un cabinet spécialisé RGPD est recommandé.
- Évaluez l’efficacité des mesures complémentaires : chiffrement, gestion des clés, pseudonymisation. Si les clés sont accessibles depuis la Russie, le chiffrement ne protège pas contre un accès légal russe.
- Documentez votre Transfer Impact Assessment (TIA) : l’Article 46 exige une évaluation de l’impact du transfert. En l’absence de TIA documentée, vous êtes en violation de l’Article 5(2) (accountability).
- Revoyez les contrats de sous-traitance : vérifiez si vos prestataires européens ont eux-mêmes des liens avec la Russie via leurs propres sous-traitants.
Yann Padova, avocat spécialisé en droit des données et ancien secrétaire général de la CNIL, a publié une analyse de la décision : “La jurisprudence AP-Yango crée une obligation de diligence renforcée pour tout transfert vers la Russie. Les entreprises ne peuvent plus se contenter d’une case cochée dans un formulaire CCT. Elles doivent démontrer que la protection est réelle. En Russie, avec les lois actuelles, c’est pratiquement impossible à garantir.”
Le cadre juridique russe : pourquoi les garanties RGPD ne fonctionnent pas
Pour comprendre pourquoi l’AP a conclu que les CCT ne pouvaient pas assurer une protection “essentiellement équivalente” à celle du RGPD en Russie, il faut examiner le cadre légal russe :
| Loi russe | Impact sur les données personnelles | Équivalent RGPD |
|---|---|---|
| Loi n°242-FZ (2014) | Oblige les opérateurs à stocker les données des citoyens russes sur des serveurs en Russie | Incompatible avec libre circulation des données (Art. 1) |
| Loi sur les communications (Art. 64) | Opérateurs doivent fournir accès aux communications aux autorités sur demande | Incompatible avec confidentialité (Art. 5) |
| Loi SORM (1995, amendée 2019) | Le FSB dispose d’un accès direct aux serveurs des opérateurs sans procédure judiciaire publique | Pas d’équivalent RGPD : le contrôle judiciaire est absent |
| Loi sur les données de localisation | Services de géolocalisation doivent partager les données de localisation avec les autorités | Incompatible avec minimisation (Art. 5(1)(c)) |
L’AP a conclu que cet ensemble législatif crée un environnement dans lequel aucune clause contractuelle ne peut offrir de protection effective contre l’accès des autorités russes. Le raisonnement est identique à celui qui a conduit la CJUE à invalider le Privacy Shield américain en 2020 (Schrems II), mais appliqué à un contexte encore plus contraignant : à la différence des États-Unis, la Russie ne dispose pas de cour spécialisée dans la surveillance, ce qui rend le contrôle judiciaire des accès du renseignement quasi inexistant.
Impact sur le marché : les applications tech à origine russe en Europe
La décision Yango s’inscrit dans une tendance plus large de contrôle accru des applications et services technologiques à origine russe en Europe. Depuis 2022, plusieurs pays ont pris des mesures :
- Kaspersky : les États-Unis ont interdit les produits Kaspersky en juin 2024 pour raisons de sécurité nationale. En Europe, plusieurs agences gouvernementales ont cessé d’utiliser les solutions Kaspersky.
- VKontakte (VK) : plusieurs universités et institutions européennes ont interdit l’accès aux plateformes russes.
- Applications russes populaires : les stores d’applications européens ont commencé à étiqueter ou retirer certaines applications liées à des entités russes.
La décision AP-Yango ajoute une dimension réglementaire à ce contexte : au-delà des préoccupations de sécurité nationale, le RGPD constitue désormais un levier juridique concret pour sanctionner le transfert de données européennes vers la Russie. Les amendes peuvent atteindre 4 % du chiffre d’affaires mondial, un niveau dissuasif pour les grandes entreprises.
Cinq prédictions pour les transferts de données vers des pays à risque (2026-2027)
- L’EDPB publiera des lignes directrices spécifiques sur la Russie. La décision Yango va probablement déclencher une initiative du Comité européen de la protection des données pour produire des orientations claires sur les transferts vers la Russie, à l’image des recommandations 01/2020 sur les mesures complémentaires pour les transferts vers les États-Unis.
- D’autres entreprises avec des liens russes seront visées. Des dizaines de sociétés tech européennes ont des équipes de développement, des serveurs ou des prestataires situés en Russie ou dans des pays alliés (Biélorussie, certains pays d’Asie centrale). L’AP et ses homologues européens pourraient ouvrir des investigations similaires.
- Les assureurs cyber exigeront des attestations de conformité pour les transferts vers la Russie. À la suite de la décision, les contrats cyber incluront probablement une clause d’exclusion ou une prime supplémentaire pour toute exposition à des flux de données vers la Russie.
- La Chine sera la prochaine cible. Le raisonnement de l’AP s’applique à tout pays dont le cadre légal permet aux autorités d’accéder aux données sans contrôle judiciaire équivalent. La Chine (Loi sur la sécurité nationale, Loi sur la cybersécurité de 2017) présente des similitudes structurelles avec la Russie.
- Les outils d’intelligence artificielle à dimension russe seront scrutés. Avec la montée en puissance des modèles d’IA entraînés sur des données européennes, le transfert de ces données vers des serveurs russes dans le cadre de services d’IA deviendra un terrain d’enquête prioritaire pour les DPA européennes.
Couverture associée
Pour approfondir les enjeux réglementaires et de cybersécurité connexes :
- CNIL 2025 : 487 M€ d’amendes RGPD, Google et Free épinglés
- Amadeus : amende RGPD 14,4 M€ pour profilage voyageurs
- Sanction CNIL Free : 42 M€, 24 M comptes
- DORA : 3 383 incidents TIC dans la finance UE
- NIS2 France : 15 000 entités, la CJUE saisie
- Guide de la vie privée numérique : VPN, messageries et conformité RGPD
FAQ : tout savoir sur l’amende Yango et les transferts RGPD vers la Russie
Qu’est-ce que l’AP néerlandaise (Autoriteit Persoonsgegevens) ?
L’Autoriteit Persoonsgegevens (AP) est l’autorité de protection des données des Pays-Bas, équivalent de la CNIL française. Comme les Pays-Bas accueillent le siège européen de nombreuses multinationales tech (dont Uber, Booking.com, et Yango/MLU B.V.), l’AP est fréquemment l’autorité chef de file pour les enquêtes RGPD européennes les plus significatives. Elle est présidée par Aleid Wolfsen.
Pourquoi Yango a-t-il été condamné et pas Uber à la même hauteur ?
Les deux ont été condamnés pour des transferts illicites vers des pays tiers. La différence de montant (100 M€ pour Yango vs 290 M€ pour Uber) reflète principalement la taille respective des entreprises et le volume des données concernées. Uber est une plateforme de plusieurs dizaines de milliards de dollars de chiffre d’affaires opérant dans toute l’Europe. Yango était une application de niche en Finlande et en Norvège. L’AP calcule les amendes en proportion du chiffre d’affaires mondial et de la gravité de la violation.
Quelles données de Yango ont été transférées vers la Russie ?
Les données transférées incluaient des données de géolocalisation GPS, des numéros de sécurité sociale, des scans de permis de conduire, des relevés téléphoniques, des coordonnées bancaires, des conversations de chat intégrés à l’application, et des adresses personnelles des conducteurs et passagers utilisant Yango en Finlande et en Norvège.
Pourquoi les Clauses Contractuelles Types ne fonctionnaient pas dans ce cas ?
Deux problèmes ont été identifiés. Premièrement, le mauvais module CCT a été utilisé : MLU B.V. a appliqué un modèle “responsable-à-sous-traitant” alors que la relation réelle avec les entités russes correspondait à des “responsables conjoints”, ce qui invalide les clauses. Deuxièmement, même avec les bons modules, les CCT ne peuvent pas offrir une protection effective dans un pays dont le droit permet aux autorités d’accéder aux données sans contrôle judiciaire indépendant, ce qui est le cas en Russie avec le FSB et la loi SORM.
L’amende sera-t-elle maintenue après le recours de Yango ?
MLU B.V. a annoncé qu’elle contesterait l’amende. Les procédures de recours administratif et judiciaire aux Pays-Bas peuvent durer plusieurs années. Il est possible qu’une réduction partielle soit accordée si des arguments procéduraux aboutissent, mais la base juridique de la décision est solide : elle s’appuie directement sur la jurisprudence Schrems II de la CJUE, et aucun changement du cadre légal russe n’est attendu dans un sens favorable à l’entreprise.
Mon entreprise risque-t-elle une sanction similaire si elle utilise des prestataires avec des équipes en Russie ?
Oui, si des données personnelles de résidents européens transitent vers des entités soumises au droit russe. Même des accès indirects, comme un prestataire de support technique basé en Russie qui peut consulter des bases de données européennes, constituent un transfert au sens du RGPD. Une cartographie des flux de données et un Transfer Impact Assessment documenté sont indispensables. En l’absence de ces éléments, votre entreprise est exposée à des sanctions comparables.
Où trouver les informations officielles sur la décision AP contre Yango ?
La décision officielle est publiée sur le site de l’Autoriteit Persoonsgegevens. Pour le cadre général du RGPD sur les transferts internationaux, consultez l’Article 44 du RGPD commenté. La CNIL publie également des ressources sur les transferts hors UE et les bonnes pratiques en matière de CCT. Pour la cybersécurité des organisations françaises exposées à des risques similaires, cyber.gouv.fr de l’ANSSI propose des guides pratiques.
