Ertuğ & Partners
TRENFR
Blog
28 oct. 20252025 Q4

Ce que le Guide sur l'Intelligence Artificielle Générative de la KVKK (2026) Change pour les Entreprises

KVKKIA

---

L'Autorité de Protection des Données Personnelles (KVKK) a publié, le 24 novembre 2025, un guide complet intitulé "Guide sur l'Intelligence Artificielle Générative et la Protection des Données Personnelles (en 15 Questions)". Avec l'évolution technologique, l'utilisation des outils d'Intelligence Artificielle Générative (IAG), tels que ChatGPT, Claude ou Midjourney, désormais intégrés dans les flux de travail quotidiens des entreprises, a été clarifiée par ce guide. Accompagnés du document publié par la suite sur "L'Utilisation des Outils d'Intelligence Artificielle Générative sur le Lieu de Travail", ces deux textes tracent le cadre de conformité juridique de facto pour les entreprises en Turquie. Les entreprises ne peuvent plus utiliser les outils d'IAG de manière aléatoire, elles doivent désormais opérer sous les règles strictes de la législation KVKK.

Messages Clés du Guide et Analyse Juridique pour les Entreprises

1. L'Ensemble du Cycle de Vie Est Visé par la KVKK :

Le point le plus critique du guide est que la KVKK s'applique non seulement au moment où l'IA fournit un résultat à l'utilisateur final (l'inférence), mais à toutes les étapes : la collecte des données d'entraînement (web scraping), l'ajustement fin du modèle (fine-tuning) et la saisie des requêtes (prompts) par l'utilisateur. Même si le modèle n'a pas pour but direct de "cibler ou profiler des individus", si l'IA génère des données relatives à une personne réelle d'une manière ou d'une autre, les dispositions de la KVKK s'appliquent immédiatement.

2. Les Distinctions Entre Responsable du Traitement et Sous-Traitant se Précisent :

L'Autorité souligne que la distinction entre le responsable du traitement et le sous-traitant doit se faire en fonction de la situation concrète, et non selon une approche théorique. Le fournisseur de l'IAG (par exemple, OpenAI) est considéré comme "Responsable du Traitement" parce qu'il entraîne le modèle de base avec les finalités et les moyens qu'il détermine. Cependant, une entreprise qui intègre ces outils dans ses propres processus opérationnels ou de service client (par exemple, en concevant un chatbot via une API en utilisant ses propres données) obtient un statut indépendant de "Responsable du Traitement" pour cette opération spécifique.

3. Interprétation Stricte de l'Exception des Données Anonymes :

Selon l'article 3/1-b de la KVKK, les données anonymisées — qui ne peuvent pas être rattachées à une personne physique identifiée ou identifiable — n'entrent pas dans le champ d'application de la loi. Toutefois, l'Autorité interprète le seuil d'anonymisation de manière extrêmement stricte. Le simple fait de supprimer des identifiants directs, tels que les noms ou les numéros d'identité turcs, ne rend pas ces données "anonymes". S'il y a la moindre possibilité que le modèle puisse rendre l'individu identifiable par le biais d'une analyse contextuelle, les données ne sont pas considérées comme anonymisées. L'exception KVKK ne s'applique que si les données saisies sont masquées par une technique d'anonymisation irréversible à 100 %.

4. Aucune Autorisation Pour les Données Personnelles de Catégorie Particulière :

Le traitement par des outils d'IA des données personnelles de catégorie particulière (données de santé, appartenance syndicale, origine ethnique, etc.), énumérées à l'article 6 de la KVKK, comporte de graves risques. À la lumière de la nouvelle réglementation, faire passer ces données par des filtres d'entraînement ou de requête d'un système d'IA basé sur le cloud est devenu presque impossible sans "Consentement Explicite" et une éventuelle décision formelle.

5. Nouvelles Règles Pour le Transfert de Données à l'Étranger :

Les serveurs des outils d'IAG les plus utilisés dans le monde des affaires se trouvent principalement à l'étranger (par exemple, aux États-Unis, en Irlande). Le simple fait d'utiliser ces services dans un onglet de navigateur constitue le "Transfert de Données Personnelles à l'Étranger" (article 9 de la KVKK). Les entreprises doivent soit signer des Clauses Contractuelles Types et les notifier à la KVKK, soit s'appuyer sur une Décision d'Adéquation (qui n'existe pas de façon généralisée à l'heure actuelle), ou encore obtenir le Consentement Explicite. Dans le cas contraire, la transmission par l'entreprise de données personnelles à des fournisseurs d'IA étrangers est illégale.

Le Danger du "Shadow IT" et le Document d'Utilisation sur le Lieu de Travail

Le second document publié par la KVKK s'adresse aux employeurs. Le point fondamental est l'abandon d'une logique d'interdiction formelle :

  • L'Interdiction n'est pas la Solution : Interdire totalement ces outils, qui augmentent la productivité des employés, les pousse vers une utilisation occulte ("Shadow IT") avec leurs comptes personnels sur des réseaux non sécurisés et en dehors de tout contrôle informatique. Cela maximise le risque de fuites de données.
  • Règle de Politique d'IA d'Entreprise : L'Autorité exige qu'il existe une "Politique d'Utilisation de l'Intelligence Artificielle" écrite, claire et contraignante pour le personnel. Les employés doivent savoir quels outils sont autorisés, quels types de contrats clients peuvent être chargés et quelles données personnelles doivent être complètement retirées des requêtes.
  • Contrôle Humain ("Human in the Loop") : Les décisions générées par l'IA (en raison des "hallucinations" ou des biais) pouvant affecter négativement des individus, il est indispensable qu'un employé autorisé valide les résultats de chaque processus. Le droit d'intervenir dans les mécanismes de prise de décision automatisée est primordial.

    • 6 Étapes à Suivre par les Entreprises Pour 2026

    1. Établir une Cartographie des Flux de Données : Tracez les flux de données des assistants internes tels que Copilot ou Notion AI utilisés dans le système d'emails de l'entreprise, ainsi que des saisies manuelles effectuées par les employés sur ChatGPT/Claude.

    2. Définir les Règles de Saisie ("Prompting") : Publiez une politique exigeant que les noms, titres, valeurs financières et textes contractuels soient totalement anonymisés avant toute soumission.

    3. Privilégier les Outils Approuvés Sous le Prisme KVKK : Préférez l'utilisation des solutions B2B sous licence "API" ou des offres "Enterprise" qui s'engagent à ne pas utiliser vos données pour entraîner leurs modèles. Restreignez l'usage des versions gratuites.

    4. Réaliser une Analyse d'Impact relative à la Protection des Données (AIPD) : Si vous décidez de déployer un logiciel basé sur l'IA, préparez une évaluation d'impact détaillant les risques potentiels en matière de conformité KVKK (l'Autorité le recommande fortement).

    5. Mettre à Jour les Mentions d'Information et le Registre VERBİS : Si vous utilisez un chatbot IA dans vos services clients, la mention d'information doit spécifier : "Le fournisseur suivant d'intelligence artificielle générative est utilisé pour le traitement de votre demande, avec transfert des données à l'étranger". Le registre VERBİS doit également être mis à jour.

    6. Organiser des Formations Régulières : Former périodiquement le personnel sur la sécurité de l'information et la protection des données relatives à l'IA est une obligation légale.

    Des Amendes Administratives de Plus en Plus Lourdes

    Les sanctions administratives, prévues à l'article 18 de la KVKK en cas de non-conformité, ont atteint des niveaux beaucoup plus dissuasifs à la suite de la réévaluation de 2026. L'absence de mesures face aux risques créés par les nouvelles technologies de protection de la vie privée peut engendrer des amendes se chiffrant en millions de lires, ainsi qu'une atteinte sévère à la réputation de l'entreprise.

    ---

    Le présent article est rédigé à titre informatif et ne constitue pas un avis juridique.

    Tous les Articles