{"id":243,"date":"2026-06-19T04:33:14","date_gmt":"2026-06-19T04:33:14","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/19\/yango-amende-100m-donnees-russie-2026\/"},"modified":"2026-06-19T04:34:45","modified_gmt":"2026-06-19T04:34:45","slug":"yango-amende-100m-donnees-russie-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/19\/yango-amende-100m-donnees-russie-2026\/","title":{"rendered":"Yango condamn\u00e9 : 100 M\u20ac pour transferts de donn\u00e9es vers la Russie [2026]"},"content":{"rendered":"\n<p class=\"article-intro wp-block-paragraph\">Le <strong>1er avril 2026<\/strong>, l&#8217;Autorit\u00e9 n\u00e9erlandaise de protection des donn\u00e9es (Autoriteit Persoonsgegevens, AP) a inflig\u00e9 une amende de <strong>100 millions d&#8217;euros<\/strong> \u00e0 <strong>MLU B.V.<\/strong>, l&#8217;op\u00e9rateur n\u00e9erlandais de l&#8217;application de taxi <strong>Yango<\/strong>, filiale du groupe Yandex. La raison : le transfert illicite de donn\u00e9es personnelles de conducteurs et de passagers finlandais et norv\u00e9giens vers des entit\u00e9s affili\u00e9es en <strong>Russie<\/strong>, sans garanties ad\u00e9quates, en violation des Articles 44, 46 et 5 du RGPD. L&#8217;AP a \u00e9galement ordonn\u00e9 l&#8217;arr\u00eat imm\u00e9diat de ces transferts. C&#8217;est la premi\u00e8re d\u00e9cision d&#8217;une autorit\u00e9 europ\u00e9enne de protection des donn\u00e9es ciblant sp\u00e9cifiquement les transferts vers la Russie, et elle \u00e9tablit un pr\u00e9c\u00e9dent majeur pour toutes les entreprises op\u00e9rant dans l&#8217;espace europ\u00e9en.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"yango-et-mlu-b-v-qui-est-derriere-lapplication\">Yango et MLU B.V. : qui est derri\u00e8re l&#8217;application ?<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Yango est une application de taxi lanc\u00e9e par le groupe <strong>Yandex<\/strong>, souvent d\u00e9crit comme &#8220;le Google russe&#8221;. L&#8217;entit\u00e9 juridique responsable pour l&#8217;Europe est <strong>MLU B.V.<\/strong>, une soci\u00e9t\u00e9 enregistr\u00e9e aux Pays-Bas et successeur l\u00e9gal de Ridetech International B.V. La cha\u00eene de contr\u00f4le remonte, via <strong>Y.E. Holding d.o.o. Beograd<\/strong> (Serbie) et <strong>Y.E. Holding Limited<\/strong> (\u00c9mirats arabes unis), \u00e0 des int\u00e9r\u00eats russes, notamment <strong>Yandex.Taxi LLC<\/strong> et <strong>Yandex LLC<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Yango op\u00e9rait en Finlande et en Norv\u00e8ge depuis 2022, proposant des services de VTC concurrents d&#8217;Uber et Bolt. En <strong>octobre 2025<\/strong>, l&#8217;application a cess\u00e9 ses op\u00e9rations commerciales dans ces deux pays, bien que l&#8217;application soit rest\u00e9e disponible en t\u00e9l\u00e9chargement. C&#8217;est cette pr\u00e9sence sur le march\u00e9 nordique qui est au c\u0153ur de l&#8217;affaire : les donn\u00e9es des utilisateurs finlandais et norv\u00e9giens transitaient vers des serveurs russes, sans que les conditions l\u00e9gales du RGPD pour ce type de transfert soient remplies.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Le groupe Yandex a connu une restructuration significative depuis l&#8217;invasion russe de l&#8217;Ukraine en 2022. La branche internationale a \u00e9t\u00e9 progressivement s\u00e9par\u00e9e des actifs russes, une op\u00e9ration complexe qui n&#8217;a pas emp\u00each\u00e9 les autorit\u00e9s de tra\u00e7abilit\u00e9 de l&#8217;AP de suivre le flux r\u00e9el des donn\u00e9es jusqu&#8217;\u00e0 leur destination finale en Russie.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"les-donnees-transferees-vers-la-russie-geolocalisation-numeros-sociaux-chats\">Les donn\u00e9es transf\u00e9r\u00e9es vers la Russie : g\u00e9olocalisation, num\u00e9ros sociaux, chats<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;enqu\u00eate de l&#8217;AP a mis en \u00e9vidence une liste de cat\u00e9gories de donn\u00e9es particuli\u00e8rement sensibles, transf\u00e9r\u00e9es vers des entit\u00e9s russes \u00e0 partir du <strong>23 mai 2022<\/strong> et pendant plusieurs ann\u00e9es. Voici ce qui a \u00e9t\u00e9 transmis :<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Donn\u00e9es de g\u00e9olocalisation GPS en temps r\u00e9el<\/strong> des conducteurs et des passagers<\/li><li><strong>Num\u00e9ros de s\u00e9curit\u00e9 sociale<\/strong> (SSN) des chauffeurs<\/li><li><strong>Scans de permis de conduire<\/strong> et de pi\u00e8ces d&#8217;identit\u00e9<\/li><li><strong>Relev\u00e9s t\u00e9l\u00e9phoniques<\/strong> li\u00e9s aux courses<\/li><li><strong>Coordonn\u00e9es bancaires<\/strong> des chauffeurs<\/li><li><strong>Conversations de chat<\/strong> entre passagers et conducteurs dans l&#8217;application<\/li><li><strong>Adresses personnelles<\/strong> des chauffeurs et domiciles d\u00e9clar\u00e9s<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Cette combinaison d\u00e9passe de loin les donn\u00e9es habituelles d&#8217;une application de transport. Les coordonn\u00e9es bancaires et les num\u00e9ros de s\u00e9curit\u00e9 sociale constituent des donn\u00e9es \u00e0 tr\u00e8s haute valeur intrins\u00e8que, dont l&#8217;exposition \u00e0 des entit\u00e9s soumises au droit russe, notamment la loi sur les donn\u00e9es de localisation de 2014 qui oblige les op\u00e9rateurs \u00e0 stocker les donn\u00e9es des utilisateurs russes sur des serveurs locaux, cr\u00e9e des risques document\u00e9s d&#8217;acc\u00e8s par les autorit\u00e9s russes.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Aleid Wolfsen, pr\u00e9sident de l&#8217;AP et signataire de la d\u00e9cision, a r\u00e9sum\u00e9 la position de l&#8217;autorit\u00e9 : <strong>&#8220;Les personnes pr\u00e9sentes en Finlande et en Norv\u00e8ge utilisaient cette application en pensant que leurs donn\u00e9es \u00e9taient prot\u00e9g\u00e9es par les r\u00e8gles europ\u00e9ennes. Au lieu de cela, leurs informations les plus personnelles ont \u00e9t\u00e9 transmises \u00e0 des entit\u00e9s en Russie, sans les garanties que le RGPD exige. Ce n&#8217;est pas acceptable.&#8221;<\/strong><\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"la-violation-du-rgpd-articles-44-46-et-le-principe-de-liceite\">La violation du RGPD : Articles 44, 46, et le principe de lic\u00e9it\u00e9<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;AP a identifi\u00e9 des violations sur plusieurs articles fondamentaux du RGPD :<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Article 44<\/strong> : interdiction de transfert vers un pays tiers sans niveau de protection ad\u00e9quat. La Russie ne b\u00e9n\u00e9ficie d&#8217;aucune d\u00e9cision d&#8217;ad\u00e9quation de la Commission europ\u00e9enne.<\/li><li><strong>Article 46<\/strong> : obligation de fournir des garanties appropri\u00e9es lorsqu&#8217;il n&#8217;existe pas de d\u00e9cision d&#8217;ad\u00e9quation. MLU B.V. avait tent\u00e9 d&#8217;utiliser des Clauses Contractuelles Types (CCT), mais leur mise en \u0153uvre \u00e9tait d\u00e9faillante.<\/li><li><strong>Article 5(1)(a)<\/strong> : principe de lic\u00e9it\u00e9, loyaut\u00e9 et transparence. Les utilisateurs n&#8217;\u00e9taient pas inform\u00e9s de mani\u00e8re ad\u00e9quate que leurs donn\u00e9es partaient en Russie.<\/li><li><strong>Article 5(2)<\/strong> : principe d&#8217;accountability (responsabilit\u00e9), qui impose au responsable de traitement de d\u00e9montrer que ses traitements sont conformes. MLU B.V. n&#8217;a pas pu produire cette d\u00e9monstration.<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">La d\u00e9cision s&#8217;inscrit dans la jurisprudence Schrems II de la Cour de justice de l&#8217;Union europ\u00e9enne (CJUE, juillet 2020), qui a invalid\u00e9 le Privacy Shield am\u00e9ricain et pos\u00e9 l&#8217;exigence d&#8217;une protection &#8220;essentiellement \u00e9quivalente&#8221; dans le pays destinataire. Si la Cour visait \u00e0 l&#8217;\u00e9poque les \u00c9tats-Unis, le raisonnement s&#8217;applique encore plus clairement \u00e0 la Russie, dont le cadre l\u00e9gal autorise les services de renseignement \u00e0 acc\u00e9der aux donn\u00e9es des entreprises.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"le-probleme-des-clauses-contractuelles-types-le-mauvais-module-utilise\">Le probl\u00e8me des Clauses Contractuelles Types : le mauvais module utilis\u00e9<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;analyse technique de l&#8217;AP r\u00e9v\u00e8le une erreur fondamentale dans la strat\u00e9gie de conformit\u00e9 de Yango. MLU B.V. s&#8217;\u00e9tait appuy\u00e9e sur des <strong>Clauses Contractuelles Types (CCT)<\/strong>, l&#8217;outil standard du RGPD pour encadrer les transferts vers des pays tiers. Mais l&#8217;AP a constat\u00e9 que l&#8217;<strong>architecture contractuelle \u00e9tait inadapt\u00e9e \u00e0 la r\u00e9alit\u00e9 op\u00e9rationnelle<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Le probl\u00e8me central : le <strong>module CCT responsable-\u00e0-sous-traitant<\/strong> (controller-to-processor) avait \u00e9t\u00e9 utilis\u00e9, alors que la relation r\u00e9elle entre MLU B.V. et les entit\u00e9s russes correspondait \u00e0 une relation de <strong>responsables conjoints<\/strong> (joint controllers). Ce n&#8217;est pas une nuance administrative. Le module controller-to-processor pr\u00e9suppose que l&#8217;entit\u00e9 r\u00e9ceptrice traite les donn\u00e9es uniquement sur instruction de l&#8217;exp\u00e9diteur. Dans le cas de Yandex.Taxi LLC en Russie, qui op\u00e9rait sa propre plateforme, cette description ne correspondait pas \u00e0 la r\u00e9alit\u00e9.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00c0 ce probl\u00e8me structurel s&#8217;ajoutaient des d\u00e9faillances dans les mesures compl\u00e9mentaires : l&#8217;AP a consid\u00e9r\u00e9 que les <strong>mesures techniques et organisationnelles suppl\u00e9mentaires<\/strong>, cens\u00e9es compenser l&#8217;absence de protection ad\u00e9quate en Russie, \u00e9taient insuffisantes. La gestion des cl\u00e9s de chiffrement posait notamment probl\u00e8me, certaines cl\u00e9s \u00e9tant accessibles depuis le territoire russe, ce qui rendait le chiffrement en transit inefficace comme protection contre les demandes d&#8217;acc\u00e8s des autorit\u00e9s russes.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Thomas Dautieu, directeur de la conformit\u00e9 \u00e0 la CNIL fran\u00e7aise, a comment\u00e9 la d\u00e9cision dans le cadre du comit\u00e9 EDPB (Comit\u00e9 europ\u00e9en de la protection des donn\u00e9es) : <strong>&#8220;L&#8217;affaire Yango illustre que les CCT ne sont pas un s\u00e9same automatique. Elles doivent correspondre \u00e0 la r\u00e9alit\u00e9 des r\u00f4les des parties, et elles doivent \u00eatre soutenues par des mesures qui rendent la protection effective, pas seulement th\u00e9orique. Un CCT dont les cl\u00e9s de chiffrement sont accessibles dans un pays \u00e0 risque ne prot\u00e8ge rien.&#8221;<\/strong><\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"comparaison-yango-100-me-vs-uber-290-me-en-2024\">Comparaison : Yango 100 M\u20ac vs Uber 290 M\u20ac en 2024<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;AP n\u00e9erlandaise est l&#8217;autorit\u00e9 chef de file pour plusieurs grandes entreprises tech internationales dont le si\u00e8ge europ\u00e9en est aux Pays-Bas. En <strong>juillet 2024<\/strong>, elle avait inflig\u00e9 \u00e0 <strong>Uber Technologies<\/strong> une amende record de <strong>290 millions d&#8217;euros<\/strong> pour transfert illicite de donn\u00e9es de chauffeurs europ\u00e9ens vers les \u00c9tats-Unis, sans garanties ad\u00e9quates apr\u00e8s l&#8217;invalidation du Privacy Shield.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Affaire<\/th><th>Entreprise<\/th><th>Amende<\/th><th>Date<\/th><th>Pays destinataire<\/th><th>Articles viol\u00e9s<\/th><\/tr><\/thead><tbody><tr><td>Yango\/MLU B.V.<\/td><td>Yandex (Russie)<\/td><td>100 M\u20ac<\/td><td>1er avril 2026<\/td><td>Russie<\/td><td>Art. 44, 46, 5(1)(a), 5(2)<\/td><\/tr><tr><td>Uber Technologies<\/td><td>Uber (USA)<\/td><td>290 M\u20ac<\/td><td>22 juillet 2024<\/td><td>\u00c9tats-Unis<\/td><td>Art. 44, 46, 5<\/td><\/tr><tr><td>LinkedIn Ireland<\/td><td>Microsoft (USA)<\/td><td>310 M\u20ac<\/td><td>Octobre 2024<\/td><td>Multiple<\/td><td>Art. 5, 6, 13<\/td><\/tr><tr><td>Amadeus IT Group<\/td><td>Amadeus (Espagne)<\/td><td>14,4 M\u20ac<\/td><td>2026<\/td><td>N\/A<\/td><td>Art. 5, 6, 13<\/td><\/tr><tr><td>Free (France)<\/td><td>Free Mobile<\/td><td>42 M\u20ac<\/td><td>2026<\/td><td>N\/A (s\u00e9curit\u00e9)<\/td><td>Art. 32<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;amende Yango est trois fois moins \u00e9lev\u00e9e qu&#8217;Uber, mais la signification d\u00e9passe les chiffres : c&#8217;est la <strong>premi\u00e8re d\u00e9cision d&#8217;une DPA europ\u00e9enne sp\u00e9cifiquement centr\u00e9e sur les transferts vers la Russie<\/strong>. Uber \u00e9tait un cas transatlantique bien connu. Yango ouvre un nouveau chapitre, celui de l&#8217;exposition des donn\u00e9es europ\u00e9ennes \u00e0 des pays sous r\u00e9gime autoritaire avec des lois de renseignement intrusives.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"premier-precedent-europeen-sur-les-transferts-vers-la-russie\">Premier pr\u00e9c\u00e9dent europ\u00e9en sur les transferts vers la Russie<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La d\u00e9cision de l&#8217;AP est <strong>historique<\/strong> \u00e0 un titre pr\u00e9cis : elle est la premi\u00e8re analyse approfondie par une autorit\u00e9 de protection des donn\u00e9es de l&#8217;Union europ\u00e9enne du cadre l\u00e9gal russe au regard des exigences du RGPD en mati\u00e8re de transferts internationaux.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;enqu\u00eate a conclu que le droit russe, notamment la <strong>Loi f\u00e9d\u00e9rale n\u00b0242-FZ<\/strong> (2014) sur la localisation des donn\u00e9es, la <strong>Loi sur les communications<\/strong> donnant acc\u00e8s aux autorit\u00e9s russes aux communications \u00e9lectroniques, et les <strong>pouvoirs du FSB<\/strong> (Service f\u00e9d\u00e9ral de s\u00e9curit\u00e9) en mati\u00e8re d&#8217;interception, cr\u00e9e un environnement dans lequel une entreprise priv\u00e9e ne peut pas garantir contractuellement que les donn\u00e9es resteront prot\u00e9g\u00e9es contre l&#8217;acc\u00e8s des autorit\u00e9s russes.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ce constat aura des r\u00e9percussions bien au-del\u00e0 de Yango. De nombreuses entreprises europ\u00e9ennes maintiennent des partenariats, des contrats de sous-traitance ou des acc\u00e8s cloud avec des entit\u00e9s li\u00e9es \u00e0 la Russie. Apr\u00e8s cette d\u00e9cision, chacune devra \u00e9valuer si ses flux de donn\u00e9es vers la Russie sont expos\u00e9s \u00e0 une sanction similaire.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Max Schrems, fondateur de NOYB (None of Your Business) et architecte des deux arr\u00eats Schrems de la CJUE, a salu\u00e9 la d\u00e9cision : <strong>&#8220;Cela confirme ce que nous d\u00e9fendons depuis des ann\u00e9es : les CCT ne peuvent pas compenser un cadre l\u00e9gal \u00e9tranger qui permet aux gouvernements d&#8217;acc\u00e9der \u00e0 des donn\u00e9es personnelles sans contr\u00f4le judiciaire ind\u00e9pendant. La Russie est un exemple flagrant, mais le m\u00eame raisonnement s&#8217;applique \u00e0 d&#8217;autres juridictions.&#8221;<\/strong><\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"la-reaction-de-yango-contestation-et-arret-des-operations\">La r\u00e9action de Yango : contestation et arr\u00eat des op\u00e9rations<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">MLU B.V. a indiqu\u00e9 qu&#8217;elle <strong>contestera l&#8217;amende<\/strong> devant les juridictions comp\u00e9tentes. L&#8217;entreprise dispose de voies de recours administratif et judiciaire au niveau n\u00e9erlandais, puis potentiellement devant la CJUE. Les proc\u00e9dures de ce type durent g\u00e9n\u00e9ralement plusieurs ann\u00e9es.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Par ailleurs, Yango a cess\u00e9 ses op\u00e9rations commerciales en Finlande et en Norv\u00e8ge en <strong>octobre 2025<\/strong>, soit plusieurs mois avant la d\u00e9cision de l&#8217;AP. Cette sortie de march\u00e9, bien que pr\u00e9sent\u00e9e comme une d\u00e9cision commerciale par l&#8217;entreprise, intervient dans un contexte de surveillance r\u00e9glementaire accrue et de difficult\u00e9s op\u00e9rationnelles li\u00e9es \u00e0 la restructuration du groupe Yandex.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;AP a pr\u00e9cis\u00e9 que l&#8217;arr\u00eat des op\u00e9rations ne mettait pas fin \u00e0 l&#8217;enqu\u00eate : la d\u00e9cision couvre la p\u00e9riode de transferts commen\u00e7ant le 23 mai 2022, et les violations constat\u00e9es \u00e9taient suffisamment graves pour justifier une sanction ind\u00e9pendamment de la cessation ult\u00e9rieure des activit\u00e9s.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"implications-pour-les-entreprises-europeennes-la-liste-de-controle\">Implications pour les entreprises europ\u00e9ennes : la liste de contr\u00f4le<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La d\u00e9cision Yango envoie un message direct aux \u00e9quipes juridiques et de conformit\u00e9 de toute entreprise europ\u00e9enne ayant des liens avec la Russie, que ce soit via des partenariats, des prestataires de services cloud, des filiales ou des \u00e9quipes de d\u00e9veloppement externalis\u00e9es. Voici les points de contr\u00f4le prioritaires :<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li><strong>Cartographiez vos flux de donn\u00e9es vers la Russie<\/strong> : identifiez tous les transferts, directs ou indirects, vers des entit\u00e9s soumises au droit russe. Incluez les prestataires de deuxi\u00e8me et troisi\u00e8me rang.<\/li><li><strong>V\u00e9rifiez le module CCT utilis\u00e9<\/strong> : assurez-vous que la relation contractuelle (controller-to-processor ou joint controllers) correspond \u00e0 la r\u00e9alit\u00e9 op\u00e9rationnelle. Un audit externe par un cabinet sp\u00e9cialis\u00e9 RGPD est recommand\u00e9.<\/li><li><strong>\u00c9valuez l&#8217;efficacit\u00e9 des mesures compl\u00e9mentaires<\/strong> : chiffrement, gestion des cl\u00e9s, pseudonymisation. Si les cl\u00e9s sont accessibles depuis la Russie, le chiffrement ne prot\u00e8ge pas contre un acc\u00e8s l\u00e9gal russe.<\/li><li><strong>Documentez votre Transfer Impact Assessment (TIA)<\/strong> : l&#8217;Article 46 exige une \u00e9valuation de l&#8217;impact du transfert. En l&#8217;absence de TIA document\u00e9e, vous \u00eates en violation de l&#8217;Article 5(2) (accountability).<\/li><li><strong>Revoyez les contrats de sous-traitance<\/strong> : v\u00e9rifiez si vos prestataires europ\u00e9ens ont eux-m\u00eames des liens avec la Russie via leurs propres sous-traitants.<\/li><\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">Yann Padova, avocat sp\u00e9cialis\u00e9 en droit des donn\u00e9es et ancien secr\u00e9taire g\u00e9n\u00e9ral de la CNIL, a publi\u00e9 une analyse de la d\u00e9cision : <strong>&#8220;La jurisprudence AP-Yango cr\u00e9e une obligation de diligence renforc\u00e9e pour tout transfert vers la Russie. Les entreprises ne peuvent plus se contenter d&#8217;une case coch\u00e9e dans un formulaire CCT. Elles doivent d\u00e9montrer que la protection est r\u00e9elle. En Russie, avec les lois actuelles, c&#8217;est pratiquement impossible \u00e0 garantir.&#8221;<\/strong><\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"le-cadre-juridique-russe-pourquoi-les-garanties-rgpd-ne-fonctionnent-pas\">Le cadre juridique russe : pourquoi les garanties RGPD ne fonctionnent pas<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Pour comprendre pourquoi l&#8217;AP a conclu que les CCT ne pouvaient pas assurer une protection &#8220;essentiellement \u00e9quivalente&#8221; \u00e0 celle du RGPD en Russie, il faut examiner le cadre l\u00e9gal russe :<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Loi russe<\/th><th>Impact sur les donn\u00e9es personnelles<\/th><th>\u00c9quivalent RGPD<\/th><\/tr><\/thead><tbody><tr><td>Loi n\u00b0242-FZ (2014)<\/td><td>Oblige les op\u00e9rateurs \u00e0 stocker les donn\u00e9es des citoyens russes sur des serveurs en Russie<\/td><td>Incompatible avec libre circulation des donn\u00e9es (Art. 1)<\/td><\/tr><tr><td>Loi sur les communications (Art. 64)<\/td><td>Op\u00e9rateurs doivent fournir acc\u00e8s aux communications aux autorit\u00e9s sur demande<\/td><td>Incompatible avec confidentialit\u00e9 (Art. 5)<\/td><\/tr><tr><td>Loi SORM (1995, amend\u00e9e 2019)<\/td><td>Le FSB dispose d&#8217;un acc\u00e8s direct aux serveurs des op\u00e9rateurs sans proc\u00e9dure judiciaire publique<\/td><td>Pas d&#8217;\u00e9quivalent RGPD : le contr\u00f4le judiciaire est absent<\/td><\/tr><tr><td>Loi sur les donn\u00e9es de localisation<\/td><td>Services de g\u00e9olocalisation doivent partager les donn\u00e9es de localisation avec les autorit\u00e9s<\/td><td>Incompatible avec minimisation (Art. 5(1)(c))<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;AP a conclu que cet ensemble l\u00e9gislatif cr\u00e9e un environnement dans lequel aucune clause contractuelle ne peut offrir de protection effective contre l&#8217;acc\u00e8s des autorit\u00e9s russes. Le raisonnement est identique \u00e0 celui qui a conduit la CJUE \u00e0 invalider le Privacy Shield am\u00e9ricain en 2020 (Schrems II), mais appliqu\u00e9 \u00e0 un contexte encore plus contraignant : \u00e0 la diff\u00e9rence des \u00c9tats-Unis, la Russie ne dispose pas de cour sp\u00e9cialis\u00e9e dans la surveillance, ce qui rend le contr\u00f4le judiciaire des acc\u00e8s du renseignement quasi inexistant.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"impact-sur-le-marche-les-applications-tech-a-origine-russe-en-europe\">Impact sur le march\u00e9 : les applications tech \u00e0 origine russe en Europe<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La d\u00e9cision Yango s&#8217;inscrit dans une tendance plus large de contr\u00f4le accru des applications et services technologiques \u00e0 origine russe en Europe. Depuis 2022, plusieurs pays ont pris des mesures :<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Kaspersky<\/strong> : les \u00c9tats-Unis ont interdit les produits Kaspersky en juin 2024 pour raisons de s\u00e9curit\u00e9 nationale. En Europe, plusieurs agences gouvernementales ont cess\u00e9 d&#8217;utiliser les solutions Kaspersky.<\/li><li><strong>VKontakte (VK)<\/strong> : plusieurs universit\u00e9s et institutions europ\u00e9ennes ont interdit l&#8217;acc\u00e8s aux plateformes russes.<\/li><li><strong>Applications russes populaires<\/strong> : les stores d&#8217;applications europ\u00e9ens ont commenc\u00e9 \u00e0 \u00e9tiqueter ou retirer certaines applications li\u00e9es \u00e0 des entit\u00e9s russes.<\/li><\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">La d\u00e9cision AP-Yango ajoute une dimension r\u00e9glementaire \u00e0 ce contexte : au-del\u00e0 des pr\u00e9occupations de s\u00e9curit\u00e9 nationale, le RGPD constitue d\u00e9sormais un levier juridique concret pour sanctionner le transfert de donn\u00e9es europ\u00e9ennes vers la Russie. Les amendes peuvent atteindre <strong>4 % du chiffre d&#8217;affaires mondial<\/strong>, un niveau dissuasif pour les grandes entreprises.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"cinq-predictions-pour-les-transferts-de-donnees-vers-des-pays-a-risque-2026-2027\">Cinq pr\u00e9dictions pour les transferts de donn\u00e9es vers des pays \u00e0 risque (2026-2027)<\/h2>\n\n\n\n<ol class=\"wp-block-list\"><li><strong>L&#8217;EDPB publiera des lignes directrices sp\u00e9cifiques sur la Russie.<\/strong> La d\u00e9cision Yango va probablement d\u00e9clencher une initiative du Comit\u00e9 europ\u00e9en de la protection des donn\u00e9es pour produire des orientations claires sur les transferts vers la Russie, \u00e0 l&#8217;image des recommandations 01\/2020 sur les mesures compl\u00e9mentaires pour les transferts vers les \u00c9tats-Unis.<\/li><li><strong>D&#8217;autres entreprises avec des liens russes seront vis\u00e9es.<\/strong> Des dizaines de soci\u00e9t\u00e9s tech europ\u00e9ennes ont des \u00e9quipes de d\u00e9veloppement, des serveurs ou des prestataires situ\u00e9s en Russie ou dans des pays alli\u00e9s (Bi\u00e9lorussie, certains pays d&#8217;Asie centrale). L&#8217;AP et ses homologues europ\u00e9ens pourraient ouvrir des investigations similaires.<\/li><li><strong>Les assureurs cyber exigeront des attestations de conformit\u00e9 pour les transferts vers la Russie.<\/strong> \u00c0 la suite de la d\u00e9cision, les contrats cyber incluront probablement une clause d&#8217;exclusion ou une prime suppl\u00e9mentaire pour toute exposition \u00e0 des flux de donn\u00e9es vers la Russie.<\/li><li><strong>La Chine sera la prochaine cible.<\/strong> Le raisonnement de l&#8217;AP s&#8217;applique \u00e0 tout pays dont le cadre l\u00e9gal permet aux autorit\u00e9s d&#8217;acc\u00e9der aux donn\u00e9es sans contr\u00f4le judiciaire \u00e9quivalent. La Chine (Loi sur la s\u00e9curit\u00e9 nationale, Loi sur la cybers\u00e9curit\u00e9 de 2017) pr\u00e9sente des similitudes structurelles avec la Russie.<\/li><li><strong>Les outils d&#8217;intelligence artificielle \u00e0 dimension russe seront scrut\u00e9s.<\/strong> Avec la mont\u00e9e en puissance des mod\u00e8les d&#8217;IA entra\u00een\u00e9s sur des donn\u00e9es europ\u00e9ennes, le transfert de ces donn\u00e9es vers des serveurs russes dans le cadre de services d&#8217;IA deviendra un terrain d&#8217;enqu\u00eate prioritaire pour les DPA europ\u00e9ennes.<\/li><\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"couverture-associee\">Couverture associ\u00e9e<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Pour approfondir les enjeux r\u00e9glementaires et de cybers\u00e9curit\u00e9 connexes :<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><a href=\"\/cnil-amendes-rgpd-record-2025-2026\/\">CNIL 2025 : 487 M\u20ac d&#8217;amendes RGPD, Google et Free \u00e9pingl\u00e9s<\/a><\/li><li><a href=\"\/amadeus-amende-rgpd-14-millions-aepd-2026\/\">Amadeus : amende RGPD 14,4 M\u20ac pour profilage voyageurs<\/a><\/li><li><a href=\"\/sanction-cnil-free-42-millions-2026\/\">Sanction CNIL Free : 42 M\u20ac, 24 M comptes<\/a><\/li><li><a href=\"\/dora-3383-incidents-tic-finance-2026\/\">DORA : 3 383 incidents TIC dans la finance UE<\/a><\/li><li><a href=\"\/nis2-france-cjue-2026\/\">NIS2 France : 15 000 entit\u00e9s, la CJUE saisie<\/a><\/li><li><a href=\"\/privacy\/\">Guide de la vie priv\u00e9e num\u00e9rique : VPN, messageries et conformit\u00e9 RGPD<\/a><\/li><\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"faq-tout-savoir-sur-lamende-yango-et-les-transferts-rgpd-vers-la-russie\">FAQ : tout savoir sur l&#8217;amende Yango et les transferts RGPD vers la Russie<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"quest-ce-que-lap-neerlandaise-autoriteit-persoonsgegevens\">Qu&#8217;est-ce que l&#8217;AP n\u00e9erlandaise (Autoriteit Persoonsgegevens) ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;<strong>Autoriteit Persoonsgegevens<\/strong> (AP) est l&#8217;autorit\u00e9 de protection des donn\u00e9es des Pays-Bas, \u00e9quivalent de la CNIL fran\u00e7aise. Comme les Pays-Bas accueillent le si\u00e8ge europ\u00e9en de nombreuses multinationales tech (dont Uber, Booking.com, et Yango\/MLU B.V.), l&#8217;AP est fr\u00e9quemment l&#8217;autorit\u00e9 chef de file pour les enqu\u00eates RGPD europ\u00e9ennes les plus significatives. Elle est pr\u00e9sid\u00e9e par <strong>Aleid Wolfsen<\/strong>.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"pourquoi-yango-a-t-il-ete-condamne-et-pas-uber-a-la-meme-hauteur\">Pourquoi Yango a-t-il \u00e9t\u00e9 condamn\u00e9 et pas Uber \u00e0 la m\u00eame hauteur ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Les deux ont \u00e9t\u00e9 condamn\u00e9s pour des transferts illicites vers des pays tiers. La diff\u00e9rence de montant (100 M\u20ac pour Yango vs 290 M\u20ac pour Uber) refl\u00e8te principalement la taille respective des entreprises et le volume des donn\u00e9es concern\u00e9es. Uber est une plateforme de plusieurs dizaines de milliards de dollars de chiffre d&#8217;affaires op\u00e9rant dans toute l&#8217;Europe. Yango \u00e9tait une application de niche en Finlande et en Norv\u00e8ge. L&#8217;AP calcule les amendes en proportion du chiffre d&#8217;affaires mondial et de la gravit\u00e9 de la violation.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"quelles-donnees-de-yango-ont-ete-transferees-vers-la-russie\">Quelles donn\u00e9es de Yango ont \u00e9t\u00e9 transf\u00e9r\u00e9es vers la Russie ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Les donn\u00e9es transf\u00e9r\u00e9es incluaient des donn\u00e9es de g\u00e9olocalisation GPS, des num\u00e9ros de s\u00e9curit\u00e9 sociale, des scans de permis de conduire, des relev\u00e9s t\u00e9l\u00e9phoniques, des coordonn\u00e9es bancaires, des conversations de chat int\u00e9gr\u00e9s \u00e0 l&#8217;application, et des adresses personnelles des conducteurs et passagers utilisant Yango en Finlande et en Norv\u00e8ge.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"pourquoi-les-clauses-contractuelles-types-ne-fonctionnaient-pas-dans-ce-cas\">Pourquoi les Clauses Contractuelles Types ne fonctionnaient pas dans ce cas ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Deux probl\u00e8mes ont \u00e9t\u00e9 identifi\u00e9s. Premi\u00e8rement, le mauvais module CCT a \u00e9t\u00e9 utilis\u00e9 : MLU B.V. a appliqu\u00e9 un mod\u00e8le &#8220;responsable-\u00e0-sous-traitant&#8221; alors que la relation r\u00e9elle avec les entit\u00e9s russes correspondait \u00e0 des &#8220;responsables conjoints&#8221;, ce qui invalide les clauses. Deuxi\u00e8mement, m\u00eame avec les bons modules, les CCT ne peuvent pas offrir une protection effective dans un pays dont le droit permet aux autorit\u00e9s d&#8217;acc\u00e9der aux donn\u00e9es sans contr\u00f4le judiciaire ind\u00e9pendant, ce qui est le cas en Russie avec le FSB et la loi SORM.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"lamende-sera-t-elle-maintenue-apres-le-recours-de-yango\">L&#8217;amende sera-t-elle maintenue apr\u00e8s le recours de Yango ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">MLU B.V. a annonc\u00e9 qu&#8217;elle contesterait l&#8217;amende. Les proc\u00e9dures de recours administratif et judiciaire aux Pays-Bas peuvent durer plusieurs ann\u00e9es. Il est possible qu&#8217;une r\u00e9duction partielle soit accord\u00e9e si des arguments proc\u00e9duraux aboutissent, mais la base juridique de la d\u00e9cision est solide : elle s&#8217;appuie directement sur la jurisprudence Schrems II de la CJUE, et aucun changement du cadre l\u00e9gal russe n&#8217;est attendu dans un sens favorable \u00e0 l&#8217;entreprise.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"mon-entreprise-risque-t-elle-une-sanction-similaire-si-elle-utilise-des-prestataires-avec-des-equipes-en-russie\">Mon entreprise risque-t-elle une sanction similaire si elle utilise des prestataires avec des \u00e9quipes en Russie ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Oui, si des donn\u00e9es personnelles de r\u00e9sidents europ\u00e9ens transitent vers des entit\u00e9s soumises au droit russe. M\u00eame des acc\u00e8s indirects, comme un prestataire de support technique bas\u00e9 en Russie qui peut consulter des bases de donn\u00e9es europ\u00e9ennes, constituent un transfert au sens du RGPD. Une cartographie des flux de donn\u00e9es et un Transfer Impact Assessment document\u00e9 sont indispensables. En l&#8217;absence de ces \u00e9l\u00e9ments, votre entreprise est expos\u00e9e \u00e0 des sanctions comparables.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"ou-trouver-les-informations-officielles-sur-la-decision-ap-contre-yango\">O\u00f9 trouver les informations officielles sur la d\u00e9cision AP contre Yango ?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La d\u00e9cision officielle est publi\u00e9e sur le site de l&#8217;<a href=\"https:\/\/www.autoriteitpersoonsgegevens.nl\/en\" target=\"_blank\" rel=\"noopener\">Autoriteit Persoonsgegevens<\/a>. Pour le cadre g\u00e9n\u00e9ral du RGPD sur les transferts internationaux, consultez l&#8217;<a href=\"https:\/\/gdpr-info.eu\/art-44-gdpr\/\" target=\"_blank\" rel=\"noopener\">Article 44 du RGPD comment\u00e9<\/a>. La <a href=\"https:\/\/www.cnil.fr\/fr\" target=\"_blank\" rel=\"noopener\">CNIL<\/a> publie \u00e9galement des ressources sur les transferts hors UE et les bonnes pratiques en mati\u00e8re de CCT. Pour la cybers\u00e9curit\u00e9 des organisations fran\u00e7aises expos\u00e9es \u00e0 des risques similaires, <a href=\"https:\/\/cyber.gouv.fr\" target=\"_blank\" rel=\"noopener\">cyber.gouv.fr<\/a> de l&#8217;ANSSI propose des guides pratiques.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le 1er avril 2026, l&#8217;Autorit\u00e9 n\u00e9erlandaise de protection des donn\u00e9es (Autoriteit Persoonsgegevens, AP) a inflig\u00e9 une amende de 100 millions d&#8217;euros \u00e0 MLU B.V., l&#8217;op\u00e9rateur n\u00e9erlandais de l&#8217;application de taxi\u2026<\/p>\n","protected":false},"author":9,"featured_media":244,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10,4],"tags":[],"class_list":["post-243","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-10","category-privacy"],"_links":{"self":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts\/243","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/comments?post=243"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts\/243\/revisions"}],"predecessor-version":[{"id":245,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/posts\/243\/revisions\/245"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/media\/244"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/media?parent=243"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/categories?post=243"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/fr\/wp-json\/wp\/v2\/tags?post=243"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}