{"id":318,"date":"2026-06-21T20:24:05","date_gmt":"2026-06-21T20:24:05","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/21\/yango-rgpd-amende-100-millions-donnees-russie-2026\/"},"modified":"2026-06-21T20:26:01","modified_gmt":"2026-06-21T20:26:01","slug":"yango-rgpd-amende-100-millions-donnees-russie-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/21\/yango-rgpd-amende-100-millions-donnees-russie-2026\/","title":{"rendered":"Yango Condamn\u00e9 \u00e0 100 M\u20ac : RGPD et Donn\u00e9es vers la Russie [2026]"},"content":{"rendered":"\n

Le 1er avril 2026, l’Autoriteit Persoonsgegevens (AP)<\/strong>, l’autorit\u00e9 n\u00e9erlandaise de protection des donn\u00e9es personnelles, a inflig\u00e9 une amende de 100 millions d’euros<\/strong> \u00e0 MLU B.V., l’op\u00e9rateur europ\u00e9en de l’application de taxi Yango. Ce montant place cette d\u00e9cision parmi les sanctions RGPD les plus \u00e9lev\u00e9es jamais prononc\u00e9es en Europe pour des transferts illicites vers un pays tiers. La d\u00e9cision ouvre un pr\u00e9c\u00e9dent juridique sans \u00e9quivalent : c’est la premi\u00e8re fois qu’une autorit\u00e9 de protection des donn\u00e9es europ\u00e9enne se prononce formellement sur des transferts de donn\u00e9es personnelles vers la Russie<\/strong>. Pour les entreprises fran\u00e7aises qui utilisent des prestataires entretenant des liens op\u00e9rationnels avec des \u00c9tats non reconnus comme ad\u00e9quats par l’Union europ\u00e9enne, les implications sont imm\u00e9diates et concr\u00e8tes.<\/p>\n\n\n\n

La d\u00e9cision intervient dans un contexte o\u00f9 la pression r\u00e9glementaire en Europe atteint un niveau in\u00e9dit. La CNIL a re\u00e7u 6 167 notifications de violations de donn\u00e9es en 2025<\/strong>, soit une hausse de 10 % par rapport \u00e0 l’ann\u00e9e pr\u00e9c\u00e9dente, et a prononc\u00e9 pr\u00e8s de 487 millions d’euros de sanctions<\/strong> au cours du m\u00eame exercice. L’heure n’est plus \u00e0 la tol\u00e9rance des d\u00e9faillances structurelles dans la gouvernance des donn\u00e9es transfrontali\u00e8res.<\/p>\n\n\n\n

Yango et Yandex : L’Application au Coeur du D\u00e9bat Europ\u00e9en<\/h2>\n\n\n\n

Yango est une application de transport avec chauffeur exploit\u00e9e en Europe centrale et du Nord par MLU B.V.<\/strong>, soci\u00e9t\u00e9 n\u00e9erlandaise. Anciennement connue sous le nom de Ridetech, la structure est li\u00e9e au groupe russe Yandex, g\u00e9ant technologique moskoutien comparable \u00e0 Google dans son pays d’origine. Yango op\u00e8re dans plusieurs march\u00e9s europ\u00e9ens, notamment en Finlande, en Norv\u00e8ge, en Lettonie, en Serbie et dans plusieurs pays du Moyen-Orient et d’Afrique.<\/p>\n\n\n\n

Le service attire des utilisateurs par sa simplicit\u00e9 et ses tarifs comp\u00e9titifs. En arri\u00e8re-plan, les donn\u00e9es collect\u00e9es, incluant les trajets, les localisations en temps r\u00e9el, les conversations entre passagers et chauffeurs, ainsi que les documents d’identit\u00e9, transitent par une infrastructure dont des composantes essentielles sont h\u00e9berg\u00e9es en Russie. C’est pr\u00e9cis\u00e9ment ce flux de donn\u00e9es que l’AP a jug\u00e9 contraire au RGPD.<\/p>\n\n\n\n

Le dossier est embl\u00e9matique d’une probl\u00e9matique plus large : comment \u00e9valuer la conformit\u00e9 RGPD d’entreprises dont l’architecture technique et organisationnelle repose sur des entit\u00e9s \u00e9tablies dans des pays pr\u00e9sentant des risques \u00e9lev\u00e9s d’acc\u00e8s des autorit\u00e9s publiques aux donn\u00e9es ? La Russie, qui ne dispose pas d’une autorit\u00e9 de protection des donn\u00e9es ind\u00e9pendante au sens du droit europ\u00e9en, se trouve au coeur de cette question.<\/p>\n\n\n\n

Chronologie : Cinq Ans d’Enqu\u00eate Avant la Sanction<\/h2>\n\n\n\n

L’affaire Yango illustre la lenteur des proc\u00e9dures en mati\u00e8re de protection des donn\u00e9es, mais aussi leur caract\u00e8re inexorable. Le processus a d\u00e9but\u00e9 en 2020-2021<\/strong>, lorsque les autorit\u00e9s de protection des donn\u00e9es finlandaise et norv\u00e9gienne ont alert\u00e9 l’AP de Pays-Bas sur des transferts potentiellement illicites de donn\u00e9es d’utilisateurs Yango vers la Russie. Ces signalements ont d\u00e9clench\u00e9 une investigation formelle conduite par l’AP en tant qu’autorit\u00e9 chef de file, MLU B.V. \u00e9tant \u00e9tablie aux Pays-Bas.<\/p>\n\n\n\n

L’enqu\u00eate a n\u00e9cessit\u00e9 plusieurs ann\u00e9es de collecte de preuves techniques et juridiques. L’AP a analys\u00e9 l’architecture de traitement des donn\u00e9es, les flux inter-entit\u00e9s, les contrats conclus entre MLU B.V. et ses partenaires russes, ainsi que les mesures techniques et organisationnelles cens\u00e9es garantir un niveau de protection \u00e9quivalent \u00e0 celui du RGPD. Le 1er avril 2026<\/strong>, apr\u00e8s un processus de coop\u00e9ration avec d’autres autorit\u00e9s de contr\u00f4le europ\u00e9ennes, l’AP a rendu sa d\u00e9cision finale : 100 millions d’euros d’amende, assortis d’une injonction de cesser imm\u00e9diatement tous les transferts vers la Russie.<\/p>\n\n\n\n

L’autorit\u00e9 finlandaise de protection des donn\u00e9es a confirm\u00e9 publiquement qu’il s’agissait de la premi\u00e8re d\u00e9cision d’une autorit\u00e9 europ\u00e9enne \u00e9valuant des transferts de donn\u00e9es vers la Russie<\/strong>, soulignant son caract\u00e8re historique pour l’ensemble de l’Espace \u00e9conomique europ\u00e9en.<\/p>\n\n\n\n

Les D\u00e9faillances Techniques au Coeur de la D\u00e9cision de l’AP<\/h2>\n\n\n\n

L’AP a identifi\u00e9 plusieurs d\u00e9faillances cumulatives qui ont rendu les transferts illicites, malgr\u00e9 l’utilisation formelle de clauses contractuelles types (CCT). Trois manquements techniques ressortent particuli\u00e8rement de la d\u00e9cision.<\/p>\n\n\n\n

En premier lieu, l’AP a \u00e9tabli que des cl\u00e9s de chiffrement ont \u00e9t\u00e9 stock\u00e9es sur des serveurs en Russie pendant une certaine p\u00e9riode<\/strong>. Cette configuration permettait \u00e0 l’entit\u00e9 russe d’acc\u00e9der aux donn\u00e9es chiffr\u00e9es, annulant de facto la protection que le chiffrement est cens\u00e9 garantir. Le stockage des cl\u00e9s sur le m\u00eame territoire que l’entit\u00e9 acc\u00e9dant aux donn\u00e9es rend le chiffrement inop\u00e9rant comme mesure de protection compl\u00e9mentaire dans le cadre d’un transfert international.<\/p>\n\n\n\n

En second lieu, l’AP a constat\u00e9 que la m\u00eame personne physique exer\u00e7ait des fonctions de direction \u00e0 la fois au sein de MLU B.V. et de l’entit\u00e9 russe du groupe<\/strong>. Cette double casquette cr\u00e9ait un risque pratique d’acc\u00e8s aux donn\u00e9es, ind\u00e9pendamment de la localisation nominale des cl\u00e9s de chiffrement. La gouvernance formelle ne suffisait pas \u00e0 emp\u00eacher un acc\u00e8s effectif des entit\u00e9s russes aux donn\u00e9es europ\u00e9ennes.<\/p>\n\n\n\n

En troisi\u00e8me lieu, l’AP a conclu que les entit\u00e9s russes n’\u00e9taient pas en mesure de d\u00e9montrer l’existence de protections effectives contre l’acc\u00e8s des autorit\u00e9s publiques russes aux donn\u00e9es personnelles des utilisateurs europ\u00e9ens<\/strong>. Ce constat s’inscrit dans la logique de la jurisprudence Schrems II de la Cour de justice de l’Union europ\u00e9enne : l’exportateur de donn\u00e9es doit s’assurer que la protection accord\u00e9e dans le pays tiers est essentiellement \u00e9quivalente \u00e0 celle garantie dans l’EEE. La Russie ne satisfait pas \u00e0 ce crit\u00e8re.<\/p>\n\n\n\n

Les Clauses Contractuelles Types : Un Rempart Insuffisant Sans Analyse Substantielle<\/h2>\n\n\n\n

L’un des enseignements juridiques les plus importants de la d\u00e9cision de l’AP concerne l’utilisation des clauses contractuelles types. MLU B.V. avait formellement mis en place des CCT pour encadrer ses transferts vers la Russie. L’AP a jug\u00e9 que leur utilisation \u00e9tait fondamentalement incorrecte.<\/p>\n\n\n\n

Le groupe avait retenu le module CCT applicable aux relations responsable du traitement – sous-traitant<\/strong>, alors que la nature r\u00e9elle de la relation entre MLU B.V. et son entit\u00e9 russe correspondait \u00e0 une relation entre coresponsables du traitement<\/strong>. Ce n’est pas une question de d\u00e9tail juridique : les obligations impos\u00e9es \u00e0 un sous-traitant sont fondamentalement diff\u00e9rentes de celles qui s’appliquent \u00e0 un coresponsable. L’utilisation du mauvais module a rendu les CCT inop\u00e9rantes comme m\u00e9canisme de transfert valable.<\/p>\n\n\n\n

“MLU B.V. a transf\u00e9r\u00e9 des donn\u00e9es personnelles vers la Russie via des clauses contractuelles types inadapt\u00e9es \u00e0 la nature r\u00e9elle de la relation entre les entit\u00e9s. L’entit\u00e9 russe devait \u00eatre consid\u00e9r\u00e9e comme coresponsable du traitement, et non comme sous-traitant, ce qui rend les clauses utilis\u00e9es inefficaces en tant que m\u00e9canisme de transfert licite”, a conclu l’AP dans son communiqu\u00e9 officiel d’avril 2026.<\/p>\n\n\n\n

Cette d\u00e9cision illustre un ph\u00e9nom\u00e8ne croissant dans l’application du RGPD : les autorit\u00e9s de contr\u00f4le passent au-del\u00e0 de la forme juridique pour examiner la substance des m\u00e9canismes de transfert. L’existence d’un document sign\u00e9 ne suffit plus. L’AP a d\u00e9montr\u00e9 qu’une analyse technique et organisationnelle approfondie est indispensable pour valider un m\u00e9canisme de transfert vers un pays tiers \u00e0 risque \u00e9lev\u00e9.<\/p>\n\n\n\n

“L’AP a d\u00e9montr\u00e9 que l’utilisation formelle des clauses contractuelles types n’offre pas une protection automatique. Les entreprises doivent s’assurer que le mod\u00e8le de transfert retenu correspond \u00e0 la r\u00e9alit\u00e9 op\u00e9rationnelle de la relation entre les entit\u00e9s, et pas seulement \u00e0 une architecture juridique sur le papier”, ont analys\u00e9 les juristes du cabinet Alston Privacy dans leur revue de la d\u00e9cision publi\u00e9e en mai 2026.<\/p>\n\n\n\n

Tableau Comparatif : Les Plus Grandes Amendes RGPD en Europe<\/h2>\n\n\n\n
Entreprise<\/th>Autorit\u00e9<\/th>Amende<\/th>Ann\u00e9e<\/th>Motif principal<\/th><\/tr><\/thead>
Meta Platforms<\/td>DPC (Irlande)<\/td>1,2 milliard \u20ac<\/td>2023<\/td>Transferts illicites vers les \u00c9tats-Unis<\/td><\/tr>
Amazon<\/td>CNPD (Luxembourg)<\/td>746 millions \u20ac<\/td>2021<\/td>Publicit\u00e9 cibl\u00e9e sans consentement valable<\/td><\/tr>
WhatsApp \/ Meta<\/td>DPC (Irlande)<\/td>225 millions \u20ac<\/td>2021<\/td>Transparence insuffisante<\/td><\/tr>
TikTok<\/td>DPC (Irlande)<\/td>345 millions \u20ac<\/td>2023<\/td>Donn\u00e9es des mineurs<\/td><\/tr>
Yango \/ MLU B.V.<\/strong><\/td>AP (Pays-Bas)<\/strong><\/td>100 millions \u20ac<\/strong><\/td>2026<\/strong><\/td>Transferts illicites vers la Russie<\/strong><\/td><\/tr>
Op\u00e9rateur t\u00e9l\u00e9com (France)<\/td>CNIL (France)<\/td>45 millions \u20ac<\/td>2025<\/td>Authentification et supervision d\u00e9faillantes<\/td><\/tr>
Amadeus<\/td>AEPD (Espagne)<\/td>18 millions \u20ac<\/td>2026<\/td>R\u00e9utilisation de donn\u00e9es sans consentement<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Sources : d\u00e9cisions officielles des autorit\u00e9s de protection des donn\u00e9es concern\u00e9es. La ligne Yango est la premi\u00e8re d\u00e9cision europ\u00e9enne portant sur des transferts vers la Russie.<\/em><\/p>\n\n\n\n

La Russie Face au RGPD : Un Pays Tiers Sans Garantie Ad\u00e9quate<\/h2>\n\n\n\n

La Russie n’a jamais fait l’objet d’une d\u00e9cision d’ad\u00e9quation de la Commission europ\u00e9enne. Cela signifie que les transferts de donn\u00e9es personnelles depuis l’EEE vers la Russie ne peuvent \u00eatre effectu\u00e9s qu’en vertu de m\u00e9canismes de transfert appropri\u00e9s, comme les CCT, assortis d’une analyse d’impact sp\u00e9cifique d\u00e9montrant un niveau de protection \u00e9quivalent.<\/p>\n\n\n\n

Or, la d\u00e9cision de l’AP met en lumi\u00e8re une r\u00e9alit\u00e9 structurelle : la l\u00e9gislation russe offre aux autorit\u00e9s publiques un acc\u00e8s \u00e9tendu aux donn\u00e9es personnelles<\/strong>, sans ind\u00e9pendance institutionnelle de l’organe de contr\u00f4le. La loi f\u00e9d\u00e9rale russe sur les donn\u00e9es personnelles (F\u00e9d\u00e9rale Loi n\u00b0 152-FZ) ne garantit pas un niveau de protection comparable au RGPD, notamment en ce qui concerne les pouvoirs de surveillance des agences gouvernementales.<\/p>\n\n\n\n

Dans ce contexte, l’AP a ordonn\u00e9 \u00e0 MLU B.V. de cesser imm\u00e9diatement tout transfert de donn\u00e9es personnelles vers la Russie<\/strong>. Cette injonction place l’entreprise face \u00e0 un choix op\u00e9rationnel radical : soit restructurer enti\u00e8rement son architecture technique pour \u00e9liminer tout flux de donn\u00e9es vers des entit\u00e9s russes, soit cesser ses activit\u00e9s dans les march\u00e9s de l’EEE.<\/p>\n\n\n\n

Pour les entreprises fran\u00e7aises, la le\u00e7on est directe. Tout prestataire de services num\u00e9riques pr\u00e9sentant des liens organisationnels ou techniques avec la Russie, la Chine, ou tout autre pays ne disposant pas d’une d\u00e9cision d’ad\u00e9quation de l’UE, constitue un risque de conformit\u00e9 significatif. La due diligence dans la cha\u00eene d’approvisionnement de donn\u00e9es n’est plus optionnelle.<\/p>\n\n\n\n

CNIL 2025 : La France Face \u00e0 une Vague Croissante de Violations<\/h2>\n\n\n\n

La d\u00e9cision de l’AP sur Yango s’inscrit dans un contexte fran\u00e7ais particuli\u00e8rement pr\u00e9occupant. Le rapport d’activit\u00e9 2025 de la CNIL, publi\u00e9 en mai 2026, dresse un tableau alarmant de l’\u00e9tat de la protection des donn\u00e9es en France.<\/p>\n\n\n\n

La CNIL a re\u00e7u 6 167 notifications de violations de donn\u00e9es en 2025<\/strong>, soit une augmentation de 10 % par rapport \u00e0 2024. Sur les deux derni\u00e8res ann\u00e9es civiles, environ 80 violations ont touch\u00e9 au moins un million de personnes chacune<\/strong> en France. Le piratage informatique est \u00e0 l’origine d’environ la moiti\u00e9 des violations notifi\u00e9es, tandis que pr\u00e8s de 80 % des violations majeures de 2024 ont \u00e9t\u00e9 rendues possibles par l’absence d’authentification multifacteur<\/strong>.<\/p>\n\n\n\n

“Nous consacrerons 50 % de nos contr\u00f4les et actions r\u00e9pressives en 2026 \u00e0 la s\u00e9curit\u00e9 des donn\u00e9es, avec une attention particuli\u00e8re aux secteurs traitant de grandes quantit\u00e9s de donn\u00e9es sensibles ou hautement personnelles”, a indiqu\u00e9 la CNIL dans ses orientations publi\u00e9es avec son rapport annuel 2025.<\/p>\n\n\n\n

Les administrations publiques fran\u00e7aises repr\u00e9sentent un cinqui\u00e8me des violations de donn\u00e9es dans le pays, ce qui illustre la vuln\u00e9rabilit\u00e9 persistante du secteur public. Cette tendance est d’autant plus inqui\u00e9tante que la plateforme Tchap a \u00e9t\u00e9 compromise en juin 2026<\/a>, exposant les donn\u00e9es de 73 467 agents de l’\u00c9tat, et que France Titres (ANTS) avait subi une intrusion affectant 11,7 millions de dossiers<\/a> quelques mois plus t\u00f4t.<\/p>\n\n\n\n

En mati\u00e8re de sanctions, la CNIL a prononc\u00e9 83 sanctions en 2025<\/strong>, sur la base de 20 150 plaintes re\u00e7ues<\/strong> et de 323 investigations ouvertes<\/strong>. Les amendes totales s’\u00e9l\u00e8vent \u00e0 pr\u00e8s de 487 millions d’euros<\/strong> pour l’exercice 2025, dont une sanction de 45 millions d’euros<\/strong> contre un op\u00e9rateur de t\u00e9l\u00e9communications fran\u00e7ais pour des d\u00e9faillances dans la supervision des agences partenaires et dans ses processus d’authentification.<\/p>\n\n\n\n

Tableau : Bilan de la CNIL pour l’Exercice 2025<\/h2>\n\n\n\n
Indicateur<\/th>Donn\u00e9es 2025<\/th>Comparaison 2024<\/th><\/tr><\/thead>
Violations de donn\u00e9es notifi\u00e9es<\/td>6 167<\/td>+10 % par rapport \u00e0 2024<\/td><\/tr>
Part li\u00e9e au piratage<\/td>~50 %<\/td>Stable<\/td><\/tr>
Violations touchant 1 M+ personnes (2023-2024)<\/td>80 au total<\/td>Tendance en hausse<\/td><\/tr>
Violations li\u00e9es \u00e0 l’absence d’AMF (2024)<\/td>~80 % des cas majeurs<\/td>Probl\u00e8me structurel<\/td><\/tr>
Plaintes re\u00e7ues<\/td>20 150<\/td>Hausse continue<\/td><\/tr>
Investigations ouvertes<\/td>323<\/td>Augmentation significative<\/td><\/tr>
Mesures correctives prononc\u00e9es<\/td>259<\/td>+20 % estim\u00e9<\/td><\/tr>
Sanctions prononc\u00e9es<\/td>83<\/td>Niveau historique<\/td><\/tr>
Amendes totales<\/td>~487 millions \u20ac<\/td>Hausse marqu\u00e9e<\/td><\/tr>
Part des administrations publiques dans les violations<\/td>1 violation sur 5<\/td>Persistant<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Source : Rapport d’activit\u00e9 2025, CNIL, publi\u00e9 en mai 2026.<\/em><\/p>\n\n\n\n

L’Onde de Choc R\u00e9glementaire dans l’Union Europ\u00e9enne en 2026<\/h2>\n\n\n\n

La d\u00e9cision sur Yango n’est pas un \u00e9v\u00e9nement isol\u00e9. Le premier semestre 2026 a \u00e9t\u00e9 marqu\u00e9 par plusieurs d\u00e9cisions majeures qui, prises ensemble, signalent un durcissement structurel de l’application du RGPD dans l’ensemble de l’Union europ\u00e9enne.<\/p>\n\n\n\n

En Espagne, l’AEPD<\/strong> a cl\u00f4tur\u00e9 une proc\u00e9dure transfrontali\u00e8re contre Amadeus, soci\u00e9t\u00e9 sp\u00e9cialis\u00e9e dans les solutions technologiques pour l’industrie du voyage, en pronon\u00e7ant une amende de 18 millions d’euros<\/strong> (r\u00e9duite \u00e0 14,4 millions d’euros apr\u00e8s paiement volontaire). Le reproche central portait sur l’agr\u00e9gation des donn\u00e9es de r\u00e9servation des voyageurs en profils utilis\u00e9s pour le d\u00e9veloppement de produits, sans transparence ad\u00e9quate ni base juridique valable au sens de l’article 6 du RGPD. Amadeus avait r\u00e9utilis\u00e9 des ann\u00e9es de donn\u00e9es de r\u00e9servation issues des compagnies a\u00e9riennes et des agences de voyage \u00e0 des fins que les passagers n’avaient pas anticip\u00e9es.<\/p>\n\n\n\n

Au Royaume-Uni, l’ICO<\/strong> a inflig\u00e9 une amende de 963 900 livres sterling<\/strong> (environ 1,1 million d’euros) \u00e0 deux entreprises dont les syst\u00e8mes ont \u00e9t\u00e9 compromis lors d’une attaque par hame\u00e7onnage. La violation, rest\u00e9e ind\u00e9tect\u00e9e pendant pr\u00e8s de deux ans<\/strong>, a conduit \u00e0 la publication sur le dark web de 4,1 t\u00e9raoctets de donn\u00e9es personnelles<\/strong>, incluant des coordonn\u00e9es bancaires, des num\u00e9ros de s\u00e9curit\u00e9 sociale et des informations de sant\u00e9 appartenant \u00e0 plus de 633 000 personnes<\/strong>. L’ICO a sanctionn\u00e9 l’absence de d\u00e9tection rapide autant que la compromission initiale.<\/p>\n\n\n\n

Ces d\u00e9cisions illustrent un basculement dans les priorit\u00e9s des r\u00e9gulateurs : la s\u00e9curit\u00e9 op\u00e9rationnelle des syst\u00e8mes de traitement des donn\u00e9es est d\u00e9sormais aussi scrut\u00e9e que le respect des exigences formelles de consentement et de transparence.<\/p>\n\n\n\n

Ce que la D\u00e9cision Yango Change pour les Entreprises Fran\u00e7aises<\/h2>\n\n\n\n

Pour les directions juridiques et les DPO des entreprises fran\u00e7aises, la d\u00e9cision de l’AP sur Yango impose une r\u00e9vision des pratiques de cartographie des flux de donn\u00e9es et de gestion des transferts transfrontaliers. Plusieurs obligations concr\u00e8tes d\u00e9coulent de cette d\u00e9cision.<\/p>\n\n\n\n

Auditer les Relations Avec les Sous-traitants \u00e0 Liens Extra-EEE<\/h3>\n\n\n\n

Les transferts de donn\u00e9es vers des pays tiers ne se produisent pas toujours de fa\u00e7on directe et visible. Un \u00e9diteur de logiciels \u00e9tabli en Europe peut avoir des \u00e9quipes de d\u00e9veloppement ou d’administration en Russie, en Bi\u00e9lorussie, ou dans d’autres \u00c9tats sans d\u00e9cision d’ad\u00e9quation. Ces transferts indirects sont aussi soumis aux exigences du chapitre V du RGPD. La d\u00e9cision Yango confirme que la localisation formelle du contractant en Europe ne suffit pas \u00e0 prot\u00e9ger une entreprise fran\u00e7aise si des donn\u00e9es remontent vers des entit\u00e9s tierces dans des pays \u00e0 risque.<\/p>\n\n\n\n

Les DPO doivent d\u00e9sormais inclure dans leurs audits de sous-traitance une question syst\u00e9matique sur les flux de donn\u00e9es vers des pays non ad\u00e9quats, en remontant au moins deux niveaux dans la cha\u00eene de sous-traitance. Le registre des activit\u00e9s de traitement (RAT) doit refl\u00e9ter ces flux avec pr\u00e9cision.<\/p>\n\n\n\n

V\u00e9rifier le Bon Module de CCT Appliqu\u00e9<\/h3>\n\n\n\n

La d\u00e9cision Yango rappelle que les CCT ne sont pas un outil passe-partout. Le choix du bon module (responsable-responsable, responsable-sous-traitant, sous-traitant-sous-traitant) doit correspondre \u00e0 la r\u00e9alit\u00e9 fonctionnelle de la relation entre les entit\u00e9s. Une analyse juridique et technique pr\u00e9alable est indispensable. L’utilisation du mauvais module expose l’entreprise \u00e0 une sanction m\u00eame si un contrat a bien \u00e9t\u00e9 sign\u00e9.<\/p>\n\n\n\n

Par ailleurs, les mesures techniques et organisationnelles compl\u00e9mentaires exig\u00e9es en cas de transfert vers un pays \u00e0 risque \u00e9lev\u00e9, notamment la gestion stricte des cl\u00e9s de chiffrement et la gouvernance des acc\u00e8s, doivent faire l’objet d’une documentation robuste et r\u00e9guli\u00e8rement actualis\u00e9e.<\/p>\n\n\n\n

R\u00e9actions du March\u00e9 et Analyse des Experts<\/h2>\n\n\n\n

La d\u00e9cision de l’AP a suscit\u00e9 des r\u00e9actions contrast\u00e9es dans l’\u00e9cosyst\u00e8me juridique et technologique europ\u00e9en. Du c\u00f4t\u00e9 des r\u00e9gulateurs, la coh\u00e9rence du signal envoy\u00e9 est salu\u00e9e.<\/p>\n\n\n\n

“C’est la premi\u00e8re d\u00e9cision d’une autorit\u00e9 europ\u00e9enne portant sur des transferts de donn\u00e9es vers la Russie. Elle \u00e9tablit un pr\u00e9c\u00e9dent juridique pour l’ensemble de l’Espace \u00e9conomique europ\u00e9en et clarifie les crit\u00e8res applicables \u00e0 des pays pour lesquels il n’existe aucune d\u00e9cision d’ad\u00e9quation”, a confirm\u00e9 l’autorit\u00e9 finlandaise de protection des donn\u00e9es dans un communiqu\u00e9 officiel publi\u00e9 apr\u00e8s la d\u00e9cision n\u00e9erlandaise.<\/p>\n\n\n\n

La d\u00e9cision soul\u00e8ve \u00e9galement des questions pratiques sur l’avenir des applications grand public ayant des origines russes ou chinoises sur le march\u00e9 europ\u00e9en. Des acteurs comme Yango mais aussi d’autres plateformes dont l’infrastructure ou la maison-m\u00e8re se situent en dehors de l’EEE devront d\u00e9montrer de fa\u00e7on convaincante que leurs flux de donn\u00e9es ne transitent pas vers des juridictions \u00e0 risque. La charge de la preuve repose sur l’exportateur de donn\u00e9es, pas sur le r\u00e9gulateur.<\/p>\n\n\n\n

Du c\u00f4t\u00e9 des cabinets d’avocats sp\u00e9cialis\u00e9s en droit des donn\u00e9es, l’interpr\u00e9tation est univoque : la d\u00e9cision Yango renforce l’obligation de conduire des \u00e9valuations d’impact sur les transferts (Transfer Impact Assessment, TIA) rigoureuses avant tout transfert vers la Russie ou vers d’autres pays pr\u00e9sentant des risques syst\u00e9miques d’acc\u00e8s gouvernemental aux donn\u00e9es. “La d\u00e9cision de l’AP envoie un signal clair : la conformit\u00e9 formelle n’est plus suffisante. Les entreprises doivent d\u00e9montrer que leurs transferts sont substantiellement prot\u00e9g\u00e9s, pas seulement contractuellement encadr\u00e9s”, ont soulign\u00e9 les analystes de Gibson Dunn dans leur revue de protection des donn\u00e9es de juin 2026.<\/p>\n\n\n\n

Sur les march\u00e9s financiers, aucune r\u00e9percussion directe significative sur une entit\u00e9 cot\u00e9e n’a \u00e9t\u00e9 relev\u00e9e, Yango n’\u00e9tant pas une soci\u00e9t\u00e9 ind\u00e9pendante list\u00e9e en bourse. Toutefois, pour Yandex, dont des filiales op\u00e8rent encore dans certains march\u00e9s sous des structures distinctes, la d\u00e9cision constitue un avertissement suppl\u00e9mentaire sur la viabilit\u00e9 \u00e0 long terme d’un mod\u00e8le d’affaires construit sur des flux de donn\u00e9es entre la Russie et l’Europe.<\/p>\n\n\n\n

L’Affaire Yango dans le Contexte G\u00e9opolitique de 2026<\/h2>\n\n\n\n

La dimension g\u00e9opolitique de la d\u00e9cision ne peut \u00eatre ignor\u00e9e. Depuis l’invasion de l’Ukraine par la Russie en f\u00e9vrier 2022, les transferts de donn\u00e9es entre l’Europe et la Russie sont sous surveillance accrue. La d\u00e9cision de l’AP formalise ce que beaucoup d’experts anticipaient : les autorit\u00e9s de protection des donn\u00e9es europ\u00e9ennes ne peuvent ignorer le risque d’acc\u00e8s gouvernemental russe aux donn\u00e9es d’utilisateurs europ\u00e9ens.<\/p>\n\n\n\n

La loi f\u00e9d\u00e9rale russe n\u00b0 374-FZ de 2016, dite loi Yarovaya, impose notamment aux op\u00e9rateurs de communications de stocker les m\u00e9tadonn\u00e9es pendant trois ans et le contenu des communications pendant six mois, et de fournir aux services de s\u00e9curit\u00e9 (FSB) l’acc\u00e8s aux cl\u00e9s de d\u00e9chiffrement. Ce cadre l\u00e9gal est fondamentalement incompatible avec les garanties que le RGPD exige pour les transferts internationaux.<\/p>\n\n\n\n

Dans ce contexte, la d\u00e9cision Yango s’inscrit dans une tendance de fond o\u00f9 la protection des donn\u00e9es devient un instrument de politique \u00e9trang\u00e8re et de souverainet\u00e9 num\u00e9rique. Les 64 % d’organisations qui int\u00e8grent d\u00e9sormais la g\u00e9opolitique dans leur strat\u00e9gie de gestion des risques cyber, selon le rapport du Forum \u00e9conomique mondial 2026, trouvent dans la d\u00e9cision Yango une confirmation concr\u00e8te de cette approche.<\/p>\n\n\n\n

Cinq Pr\u00e9dictions pour l’Application du RGPD en 2026-2027<\/h2>\n\n\n\n

La d\u00e9cision Yango marque un tournant dont les r\u00e9percussions s’\u00e9taleront sur plusieurs ann\u00e9es. Voici les \u00e9volutions les plus probables dans les 18 prochains mois.<\/p>\n\n\n\n