Lois sur la localisation des données par pays (2026)
Les lois sur la localisation des données exigent que certaines données personnelles soient stockées sur des serveurs situés à l'intérieur des frontières d'un pays. Les exigences vont d'une localisation stricte, comme la loi fédérale russe 242-FZ, qui interdit aux bases de données primaires de citoyens de quitter la Russie, à des modèles souples autorisant des transferts conditionnels. Plus de 60 pays imposent une forme ou une autre d'exigence de résidence des données en 2026.
Les lois sur la localisation des données exigent des organisations qu'elles stockent, traitent ou conservent des copies de certaines données sur des serveurs situés physiquement sur le territoire d'un pays donné. Ces lois se sont multipliées rapidement depuis 2015, sous l'effet de préoccupations de sécurité nationale, d'objectifs de protection de la vie privée, de stratégies de développement économique et de considérations géopolitiques liées à la souveraineté numérique.
L'étendue et la rigueur des exigences de localisation varient considérablement. Certains pays exigent que toutes les données personnelles concernant leurs résidents demeurent à l'intérieur des frontières nationales. D'autres n'appliquent la localisation qu'à des secteurs spécifiques comme la banque, la santé ou les télécommunications. Plusieurs pays adoptent une position intermédiaire, exigeant une copie locale tout en autorisant des transferts à l'étranger sous certaines conditions.
Ce guide propose un panorama pays par pays des exigences de localisation des données en 2026, explique la distinction entre localisation stricte et souple, couvre les règles sectorielles, examine la position de l'UE, passe en revue le débat économique et présente des stratégies de conformité pratiques.
Localisation stricte contre localisation souple
Comprendre la différence entre localisation stricte et souple est essentiel pour la planification de la conformité.
Localisation stricte
La localisation stricte interdit à certaines données de quitter le pays. Les données doivent être collectées, stockées et traitées exclusivement sur des serveurs locaux. Aucune copie ne peut être transférée à l'étranger, quelles que soient les garanties mises en place. La loi russe sur les données personnelles et certaines catégories relevant du cadre chinois de protection des données représentent une localisation stricte.
Localisation souple
La localisation souple exige qu'une copie des données soit conservée sur des serveurs locaux, mais autorise le transfert de copies vers d'autres pays, généralement sous certaines conditions comme l'approbation gouvernementale, le consentement ou des garanties contractuelles. L'approche indienne pour certaines catégories de données et la réglementation indonésienne représentent une localisation souple.
Modèles de transfert conditionnel
Certains pays n'exigent pas de stockage local mais imposent des conditions aux transferts transfrontaliers qui fonctionnent comme une localisation pratique. Par exemple, exiger une approbation gouvernementale pour chaque transfert, imposer des évaluations de sécurité avant l'exportation, ou limiter les transferts aux pays offrant une protection « adéquate ». Ces modèles conditionnels peuvent être tout aussi contraignants que des exigences formelles de localisation.
Exigences de localisation des données pays par pays
Le tableau suivant résume les exigences de localisation des données dans les principales juridictions. Une analyse détaillée des pays clés suit ci-dessous.
| Pays | Type | Portée | Loi clé |
|---|---|---|---|
| Chine | Stricte/conditionnelle | Informations personnelles, données importantes, données des IIC | PIPL, DSL, CSL (modifiée en janvier 2026) |
| Russie | Stricte | Données personnelles des citoyens russes | Lois fédérales 242-FZ, 266-FZ |
| Inde | Souple/sectorielle | Données de paiement (stricte) ; autres données conditionnelles | Règles DPDP 2025, directives de la RBI |
| Indonésie | Souple | Données des systèmes électroniques publics | RG 71/2019, loi PDP (octobre 2024) |
| Vietnam | Souple/conditionnelle | Données personnelles, données de sécurité de l'État | Décrets 13/2023, 53/2022 |
| Nigeria | Souple/sectorielle | Données gouvernementales, données d'infrastructures critiques | NDPA 2023, loi NITDA |
| Turquie | Conditionnelle | Données personnelles | Loi 6698 (KVKK) |
| Arabie saoudite | Conditionnelle/sectorielle | Données personnelles, financières, gouvernementales | PDPL (appliquée depuis septembre 2024) |
| Brésil | Aucune (conditionnelle) | Pas de localisation ; règles conditionnelles de transfert | LGPD |
| Corée du Sud | Conditionnelle | Informations personnelles | PIPA |
| Australie | Aucune (conditionnelle) | Pas de localisation ; règles de transfert de l'APP 8 | Loi sur la vie privée de 1988 |
| Kazakhstan | Souple | Données personnelles des citoyens | Loi sur les données personnelles (modifiée en février 2024) |
| ÉAU | Sectorielle | Données financières, de santé, gouvernementales | Divers régulateurs sectoriels |
| Thaïlande | Conditionnelle | Données personnelles | PDPA |
| Afrique du Sud | Conditionnelle | Informations personnelles | POPIA |
| Japon | Conditionnelle | Informations personnelles | APPI (modifiée en 2022) |
Chine : le régime de localisation le plus complexe
La Chine exploite l'un des cadres de localisation des données les plus complets au monde, fondé sur trois lois interconnectées : la loi sur la cybersécurité (CSL) de 2017, la loi sur la sécurité des données (DSL) de 2021, et la loi sur la protection des informations personnelles (PIPL) de 2021.
Opérateurs d'infrastructures d'information critiques (IIC)
Les opérateurs d'IIC doivent stocker en Chine les informations personnelles et les « données importantes » collectées et générées dans le pays. Les transferts à l'étranger nécessitent une évaluation de sécurité gouvernementale menée par l'Administration du cyberespace de Chine (CAC). Les secteurs d'IIC incluent l'énergie, les transports, la finance, les services publics, l'administration électronique, la défense et la technologie.
Amendement à la CSL en vigueur depuis le 1er janvier 2026
Le comité permanent du Congrès national du peuple a adopté des amendements à la CSL le 28 octobre 2025, en vigueur depuis le 1er janvier 2026. Les amendements de janvier 2026 ne modifient pas l'exigence fondamentale de localisation des données pour les opérateurs d'IIC prévue à l'article 39, mais changent significativement le paysage de l'application :
- Les sanctions maximales pour les opérateurs d'IIC dont les violations entraînent des conséquences particulièrement graves atteignent désormais 10 millions RMB (environ 1,4 million USD).
- La portée extraterritoriale de la CSL s'est étendue au-delà des activités nuisant aux infrastructures critiques nationales pour couvrir toute organisation ou personne à l'étranger se livrant à des activités portant atteinte à la cybersécurité chinoise de manière générale.
- Les obligations de gouvernance de l'IA sont désormais explicitement intégrées au cadre de la CSL, y compris le soutien de l'État à l'innovation en IA, au développement des ressources de données d'entraînement, et à l'évaluation des risques et à la gouvernance de la sécurité de l'IA.
- Les sanctions pour la vente d'équipements de sécurité réseau non certifiés incluent des amendes pouvant atteindre dix fois le montant de l'achat.
Responsables du traitement des informations personnelles et les changements de seuils de mars 2024
En vertu de la PIPL, les organisations traitant des informations personnelles de résidents chinois devant transférer des données à l'étranger doivent satisfaire à l'une de quatre conditions : réussir une évaluation de sécurité de la CAC, obtenir une certification d'un organisme reconnu, conclure un contrat type déposé auprès de la CAC, ou se conformer à d'autres conditions applicables.
Le 22 mars 2024, la CAC a publié les dispositions sur la réglementation et la promotion des flux transfrontaliers de données, en vigueur immédiatement. Ces dispositions ont considérablement assoupli les règles antérieures :
- L'évaluation de sécurité par la CAC n'est désormais requise que pour les transferts de données personnelles concernant plus de 1 million de personnes par année civile, ou de données personnelles sensibles concernant plus de 10 000 personnes par année civile.
- Les transferts de données personnelles concernant moins de 100 000 personnes par année civile sont exemptés de l'exigence de dépôt du contrat type.
- Les évaluations de sécurité approuvées par la CAC sont désormais valables trois ans, contre deux ans auparavant.
- Les organisations situées dans des zones franches désignées peuvent suivre une liste négative : la zone franche établit un catalogue de données restreintes, et toutes les données en dehors de ce catalogue peuvent être librement transférées. La zone franche de Shanghai a publié son premier catalogue général de données en mai 2024, couvrant les secteurs de l'automobile, des biopharmaceutiques et des fonds communs de placement.
Données importantes
La DSL a introduit une catégorie distincte de « données importantes » soumise à des restrictions de localisation et d'exportation. Les régulateurs sectoriels sont chargés de définir ce qui constitue des données importantes dans leur domaine. Les secteurs automobile, des services financiers et de la santé ont publié des catalogues de données importantes, provisoires ou définitifs.
Impact pratique
Le régime chinois représente le cadre de localisation le plus contraignant pour les entreprises multinationales. Les organisations opérant en Chine maintiennent généralement une infrastructure de données entièrement distincte, avec des centres de données locaux dédiés et des fournisseurs cloud chinois (Alibaba Cloud, Tencent Cloud, Huawei Cloud) traitant le traitement local.
Russie : localisation stricte des données personnelles
La loi russe sur la localisation des données, loi fédérale n° 242-FZ (modifiant la loi sur les données personnelles n° 152-FZ), est entrée en vigueur le 1er septembre 2015. Elle exige que toutes les bases de données utilisées pour collecter, enregistrer, systématiser, accumuler, stocker, mettre à jour, modifier ou récupérer les données personnelles des citoyens russes soient situées sur des serveurs à l'intérieur de la Fédération de Russie.
Portée
La loi s'applique largement à tout responsable de traitement (russe ou étranger) qui collecte des données personnelles de citoyens russes. Cela inclut les services en ligne, les plateformes de commerce électronique, les entreprises de réseaux sociaux et toute entreprise qui collecte des données d'employés ou de clients auprès de résidents russes.
Transferts transfrontaliers et changements de la FZ-266 (2023)
La loi fédérale n° 266-FZ (signée le 14 juillet 2022 ; principales dispositions en vigueur depuis le 1er septembre 2022 ; dispositions sur les transferts transfrontaliers en vigueur depuis le 1er mars 2023) a substantiellement mis à jour le cadre des transferts transfrontaliers. Depuis mars 2023, les responsables de traitement doivent notifier au Roskomnadzor leur intention de transférer des données personnelles à l'étranger avant de le faire. Les transferts vers des pays non reconnus comme offrant une protection adéquate nécessitent désormais une autorisation explicite du Roskomnadzor.
Le système à deux niveaux antérieur (pays de la Convention 108 du Conseil de l'Europe contre les autres) reste pertinent pour déterminer quels pays sont présumés adéquats. Toutefois, l'exigence de notification préalable au transfert s'applique désormais quelle que soit la destination.
L'exigence principale de stockage des données reste inchangée : la base de données maîtresse des données personnelles des citoyens russes doit demeurer sur des serveurs situés en Russie. Des copies peuvent être fournies à l'étranger, mais la base de données d'origine doit rester en Russie.
Application
L'autorité russe de protection des données, le Roskomnadzor, a fait appliquer l'exigence de localisation par des mesures de blocage. LinkedIn a été bloqué en Russie en 2016 pour non-respect de l'exigence de localisation. Les sanctions pour violation de la localisation vont désormais de 60 000 à 18 000 000 roubles, les violations répétées pouvant entraîner le blocage du site web.
Inde : un paysage de localisation en évolution
Le cadre indien de localisation des données a considérablement évolué. La loi de 2023 sur la protection des données personnelles numériques (loi DPDP) a remplacé le précédent projet de loi sur la protection des données personnelles, qui comportait des dispositions de localisation strictes.
Cadre actuel : les règles DPDP (novembre 2025)
Les règles DPDP ont été finalisées et publiées en novembre 2025. La règle 15 prévoit : « Un fiduciaire de données peut transférer des données personnelles hors de l'Inde, sauf si le gouvernement central restreint ce transfert. » Il s'agit d'un modèle de liste négative : les transferts sont autorisés vers toutes les destinations, sauf si le gouvernement restreint spécifiquement un pays par voie de notification. La pleine conformité en matière de transfert transfrontalier est exigée d'ici mai 2027 (18 mois après le 13 novembre 2025). En date de mai 2026, le gouvernement n'a pas publié sa liste négative de pays restreints.
Cette approche est nettement plus permissive que les versions antérieures du projet de loi, qui proposaient une liste blanche stricte. L'Inde a choisi le modèle de liste négative plutôt que l'approche fondée sur l'adéquation utilisée par le RGPD.
Localisation des données de paiement
La Reserve Bank of India (RBI) a émis une directive en avril 2018 exigeant que toutes les données des systèmes de paiement soient stockées exclusivement en Inde. Cela s'applique aux données de transactions nationales traitées par les opérateurs de systèmes de paiement, y compris les réseaux de cartes, les agrégateurs de paiement et les fournisseurs de portefeuilles électroniques. Cette exigence est l'un des mandats de localisation sectoriels les plus stricts au monde et a contraint des entreprises comme Visa, Mastercard et PayPal à établir des centres de données en Inde. Ce mandat reste pleinement en vigueur et n'est pas affecté par le cadre DPDP.
Exigences sectorielles
Le Securities and Exchange Board of India (SEBI) a publié en 2024 une circulaire imposant des exigences de résidence des données aux entités réglementées utilisant des fournisseurs de services cloud, exigeant que les données réglementaires et de conformité demeurent en Inde. L'Insurance Regulatory and Development Authority of India (IRDAI) impose des conditions sur le lieu où les données d'assurance peuvent être traitées et stockées. Ces règles sectorielles fonctionnent indépendamment du cadre DPDP.
Vietnam : cybersécurité et stockage des données
La loi vietnamienne sur la cybersécurité (loi 24/2018), en vigueur depuis le 1er janvier 2019, et deux décrets d'application imposent des exigences de localisation à plusieurs niveaux. Il est important de distinguer les deux décrets :
- Le décret 53/2022/ND-CP (en vigueur depuis le 1er octobre 2022) met en œuvre la loi sur la cybersécurité et régit la localisation des données.
- Le décret 13/2023/ND-CP (en vigueur depuis le 1er juillet 2023) est le règlement vietnamien sur la protection des données personnelles et régit les procédures de transfert transfrontalier.
En vertu du décret 53/2022, les entreprises nationales fournissant des services de télécommunications, d'internet, de stockage de données, de commerce électronique, de paiement en ligne, d'applications de transport, de réseaux sociaux, de messagerie, de jeux et de services connexes doivent stocker au Vietnam trois catégories de données : les informations personnelles des utilisateurs du service, les données générées par les utilisateurs (noms de compte, horodatages de session, informations de carte de crédit, adresses e-mail, adresses IP, numéros de téléphone enregistrés), et les données relationnelles (amis et groupes auxquels l'utilisateur est connecté).
Pour les entreprises étrangères, l'exigence de localisation est déclenchée par un événement plutôt qu'automatique. Une demande écrite du ministère de la Sécurité publique active l'exigence si les services de l'entreprise étrangère ont été utilisés pour violer la loi vietnamienne sur la cybersécurité, ou si l'entreprise n'a pas respecté des demandes antérieures. Une fois déclenchée, l'entreprise doit se conformer dans un délai de 12 mois et conserver les données spécifiées pendant au moins 24 mois à compter de la réception de la demande.
Le décret 13/2023 exige des organisations qui transfèrent des données personnelles de citoyens vietnamiens à l'étranger qu'elles préparent une évaluation d'impact du transfert et la déposent auprès du ministère de la Sécurité publique. Un certificat d'enregistrement est requis avant que les transferts puissent avoir lieu.
Indonésie : règlement gouvernemental sur les systèmes électroniques
Le règlement gouvernemental n° 71 de 2019 (RG 71/2019) de l'Indonésie sur les systèmes et transactions électroniques exige des opérateurs de systèmes électroniques publics qu'ils implantent leurs centres de données et leurs centres de reprise après sinistre sur le territoire indonésien. Les opérateurs de systèmes électroniques privés peuvent situer leurs données en dehors de l'Indonésie sous certaines conditions : l'emplacement à l'étranger ne doit pas diminuer l'efficacité de la supervision gouvernementale, et un accès doit être fourni à des fins de supervision et d'application de la loi.
La loi indonésienne sur la protection des données personnelles (loi n° 27 de 2022) a été promulguée en octobre 2022. La période de transition de deux ans pour la conformité s'est terminée le 17 octobre 2024, et les organisations doivent désormais s'y conformer pleinement. La loi PDP permet aux responsables de traitement de stocker les données personnelles en Indonésie ou à l'étranger, en cohérence avec l'approche du RG 71/2019 pour les opérateurs privés.
Le secteur des services financiers fait face à des exigences supplémentaires de la part de l'Autorité indonésienne des services financiers (OJK), qui exige que les banques et institutions financières maintiennent des centres de données primaires sur le territoire national.
Nigeria : le NDPR élevé au rang de loi statutaire
Les exigences nigérianes de localisation des données reposent désormais sur la loi nigériane de 2023 sur la protection des données (NDPA), promulguée en juin 2023. La NDPA a remplacé le règlement nigérian de 2019 sur la protection des données (NDPR) et a élevé le cadre de protection des données au rang de loi statutaire. Elle a établi la Commission nigériane de protection des données (NDPC) en tant qu'organisme statutaire remplaçant l'ancien dispositif réglementaire relevant de la NITDA.
La NDPA n'impose pas de localisation générale mais exige que les données personnelles transférées hors du Nigeria bénéficient d'une protection adéquate dans le pays de destination ou que des garanties appropriées soient mises en œuvre. Les États-Unis ne sont pas reconnus par la NDPC comme offrant une protection adéquate, ce qui signifie que les transferts vers ce pays nécessitent des clauses contractuelles types ou d'autres garanties.
Un décret gouvernemental de 2024 a désigné plusieurs systèmes critiques comme infrastructures nationales d'information critiques (CNII) : la base de données du numéro de vérification bancaire (BVN), la base de données du numéro d'identification national (NIN) et le système interbancaire de règlement nigérian (NIBSS). Les systèmes désignés CNII sont soumis à des règles plus strictes de traitement et de localisation des données.
Les données gouvernementales font l'objet d'exigences supplémentaires. Les directives de la NITDA exigent que les données gouvernementales et les données traitées pour le compte d'agences gouvernementales soient hébergées au Nigeria. La Banque centrale du Nigeria (CBN) exige des institutions financières qu'elles maintiennent un stockage local des données et obtiennent une approbation pour certains transferts transfrontaliers.
Arabie saoudite : le PDPL désormais pleinement appliqué
La loi saoudienne sur la protection des données personnelles (PDPL) est entrée en vigueur le 14 septembre 2023, avec une période de grâce d'un an pour la conformité. L'application intégrale a débuté le 14 septembre 2024. Le PDPL s'applique de manière extraterritoriale : il couvre le traitement des données personnelles de résidents saoudiens par des entités situées hors d'Arabie saoudite.
En août 2024, l'Autorité saoudienne des données et de l'IA (SDAIA) a publié le règlement sur le transfert de données personnelles hors du Royaume d'Arabie saoudite. Les règlements de transfert autorisent les transferts transfrontaliers si : le pays de destination offre une protection adéquate, ou le responsable de traitement met en œuvre des garanties appropriées, ou l'une des bases légales spécifiées s'applique (consentement, nécessité contractuelle, intérêts vitaux ou intérêt public).
Les règlements de la SAMA (Autorité monétaire saoudienne) exigent des institutions financières qu'elles maintiennent un stockage primaire des données en Arabie saoudite. Le Centre national d'information sur la santé impose des exigences supplémentaires pour les données de santé. L'Autorité nationale de cybersécurité (NCA) exige que les données gouvernementales demeurent sur le sol saoudien.
Turquie : cadre de transfert conditionnel
La loi turque n° 6698 sur la protection des données personnelles (KVKK) n'impose pas de localisation stricte des données mais crée un cadre de transfert conditionnel qui peut fonctionner comme une localisation pratique.
Les transferts transfrontaliers nécessitent soit le consentement explicite de la personne concernée, soit une décision d'adéquation du Conseil de protection des données personnelles (Conseil KVKK). En mars 2024, le Conseil KVKK a mis à jour son approche, autorisant les transferts fondés sur des règles d'entreprise contraignantes, des clauses contractuelles types ou d'autres garanties approuvées, rapprochant ainsi le cadre turc du modèle du RGPD. Cette mise à jour s'inscrit dans l'ambition de longue date de la Turquie d'obtenir une reconnaissance d'adéquation du RGPD. Voir notre guide lois turques sur la protection des données pour tous les détails.
Kazakhstan : localisation avec les amendements de 2024
La loi kazakhe sur les données personnelles et leur protection (loi n° 94-V) exige des responsables de traitement gérant des données personnelles de citoyens kazakhs qu'ils stockent ces données sur des serveurs situés au Kazakhstan. Des amendements en vigueur depuis le 11 février 2024 (adoptés le 11 décembre 2023) ont introduit de nouvelles obligations : les organisations doivent notifier au ministère du Développement numérique toute violation de sécurité des données personnelles, cette exigence de notification étant en vigueur depuis le 1er juillet 2024. La collecte et le traitement de copies physiques de documents d'identité sont désormais interdits. Le ministère a obtenu le pouvoir de mener des inspections de conformité inopinées.
Modèles de localisation sectorielle
Plusieurs schémas apparaissent dans les juridictions où la localisation s'applique à des secteurs spécifiques plutôt qu'à l'ensemble des données.
Données financières
Les régulateurs bancaires du monde entier imposent fréquemment les règles de localisation les plus strictes. Le mandat de la RBI indienne sur les données de paiement, les exigences de l'OJK indonésienne, les directives de la CBN nigériane, les règles chinoises sur les données bancaires et les règlements de la SAMA saoudienne exigent tous un certain degré de stockage local des données financières. La localisation des données financières est le schéma sectoriel le plus globalement cohérent.
Données de santé
La localisation des données de santé apparaît en Australie (loi sur les dossiers médicaux personnels), en Turquie (règlements sur les données de santé), en Arabie saoudite (exigences du Centre national d'information sur la santé), et dans plusieurs États membres de l'UE qui imposent des restrictions supplémentaires sur les données de santé au-delà du socle du RGPD.
Télécommunications
Les métadonnées et les données d'abonnés des télécommunications font l'objet d'exigences de localisation en Russie, en Chine, au Vietnam, en Inde (par le biais des conditions de licence des télécommunications) et dans plusieurs pays africains. Ces règles découlent souvent de préoccupations de sécurité nationale et d'accès des forces de l'ordre.
Données du secteur public et gouvernemental
Presque universellement, les pays exigent que les données gouvernementales soient stockées sur le territoire national. Cela inclut le RG 71/2019 indonésien pour les systèmes électroniques publics, les directives de la NITDA nigériane, la politique de cloud gouvernemental de l'Inde, et les exigences de la NCA saoudienne.
Données d'entraînement de l'intelligence artificielle
Les réglementations chinoises sur la gouvernance de l'IA, désormais intégrées au cadre de la CSL depuis les amendements de janvier 2026, comportent des composantes de localisation pour les données d'entraînement de l'IA traitées par les opérateurs d'IIC. Les organisations qui entraînent des modèles d'IA sur des données collectées auprès d'utilisateurs chinois dans des secteurs d'IIC doivent veiller à ce que les données d'entraînement restent soumises aux exigences standard de localisation et d'évaluation de sécurité.
L'UE et la souveraineté des données
Le RGPD n'exige pas de localisation des données au sein de l'UE ou de l'EEE. Il autorise plutôt les transferts transfrontaliers vers des pays offrant une protection adéquate ou par le biais de mécanismes de transfert approuvés tels que les clauses contractuelles types, les règles d'entreprise contraignantes, ou les décisions d'adéquation. Le cadre du RGPD est construit autour de conditions de transfert, et non de mandats de stockage.
Toutefois, l'UE n'est pas totalement à l'abri de pressions liées à la souveraineté des données.
Le schéma européen de certification de cybersécurité pour les services cloud (EUCS), élaboré par l'ENISA en vertu de la loi européenne sur la cybersécurité, fait l'objet d'un débat prolongé sur les exigences de souveraineté. Les premières versions de l'EUCS comportaient des exigences explicites de souveraineté pour le niveau de certification le plus élevé (High+) : localisation du siège social dans l'UE, contrôle juridictionnel de l'UE, et absence d'obligation légale de divulguer des données à des gouvernements de pays tiers. Ces exigences auraient effectivement exclu les principaux fournisseurs cloud américains de l'obtention du niveau de certification le plus élevé. En septembre 2024, le Conseil de l'UE a exhorté l'ENISA et la Commission européenne à accélérer le processus de l'EUCS et à clarifier la manière dont les critères de souveraineté seraient intégrés. L'adoption par le Groupe européen de certification de cybersécurité (ECCG) était visée pour 2025, bien que la question de la souveraineté demeure contestée.
Plusieurs États membres de l'UE imposent des exigences de localisation sectorielles qui vont au-delà du socle du RGPD. L'Allemagne, la France et les Pays-Bas imposent des exigences supplémentaires pour les données de santé. Plusieurs États membres exigent que les données liées au gouvernement demeurent sur le sol national. Ces règles nationales coexistent avec le cadre général de transfert du RGPD.
Le débat économique et de politique commerciale
Les exigences de localisation des données comportent des coûts économiques mesurables. La Information Technology and Innovation Foundation (ITIF) a recensé 154 cas de réglementations explicites ou de facto de localisation des données dans 66 pays. À l'aide d'un indice de restriction des données dérivé de l'OCDE, l'ITIF estime qu'une augmentation d'un point du niveau de restriction des données d'un pays réduit sa production commerciale brute de 7 %, ralentit la productivité de 2,9 %, et augmente les prix en aval pour les industries dépendantes des données de 1,5 % sur cinq ans.
Les pays les plus restrictifs en matière de données selon l'analyse de l'ITIF sont la Chine (29 mesures de localisation), l'Inde (12), la Russie (9) et la Turquie (7).
À l'Organisation mondiale du commerce, les discussions sur le commerce numérique dans le cadre de l'Initiative conjointe sur le commerce électronique ont abordé les flux transfrontaliers de données. Plusieurs membres de l'OMC ont proposé des engagements contraignants sur la libéralisation des flux de données, mais aucun accord multilatéral contraignant sur la localisation des données n'a été conclu.
Les partisans de la localisation font valoir qu'elle sert des intérêts légitimes : la sécurité nationale (empêcher l'accès de services de renseignement étrangers aux données des citoyens), l'accès des forces de l'ordre (garantir que les données sont disponibles pour les enquêtes au sein de la juridiction), le développement économique (bâtir des industries cloud nationales et conserver localement les emplois de traitement des données), et la protection de la vie privée (maintenir les données des citoyens sous le droit national). Les critiques font valoir que la localisation fragmente l'internet mondial, augmente les coûts de conformité pour les entreprises opérant à l'international, désavantage les pays en développement qui manquent d'infrastructure cloud nationale, et duplique l'infrastructure à un coût économique significatif sans bénéfices de sécurité proportionnés.
L'équilibre entre ces intérêts n'est pas résolu. La tendance mondiale va vers davantage de localisation, et non moins, même si certains pays (notamment l'Inde avec la loi DPDP) ont évolué vers des cadres de base plus permissifs que leurs versions antérieures ne le proposaient.
Développements récents (2024-2026)
Plusieurs développements significatifs se sont produits depuis la précédente révision de cette page (mars 2026) :
Chine. Les amendements à la CSL sont entrés en vigueur le 1er janvier 2026, portant les sanctions maximales à 10 millions RMB, étendant la portée extraterritoriale et intégrant la gouvernance de l'IA. Les dispositions transfrontalières de la CAC de mars 2024 ont assoupli les seuils de transfert et introduit des listes négatives pour les zones franches, représentant l'assouplissement le plus significatif à ce jour des règles transfrontalières chinoises.
Inde. Les règles DPDP ont été finalisées et publiées en novembre 2025. La règle 15 établit le modèle de liste négative pour les transferts transfrontaliers. La pleine conformité est exigée d'ici mai 2027. La liste négative des pays restreints n'a pas encore été publiée.
Arabie saoudite. La période de grâce du PDPL s'est terminée le 14 septembre 2024. La SDAIA a publié le règlement sur les transferts transfrontaliers en août 2024. Le régime saoudien de protection des données est désormais pleinement opérationnel et applicable.
Nigeria. La NDPA, promulguée en juin 2023, a remplacé le NDPR comme fondement statutaire de la protection des données. La désignation CNII de 2024 pour la BVN, le NIN et le NIBSS a ajouté de nouvelles obligations de localisation d'infrastructures critiques.
Indonésie. La période de transition de deux ans de la loi PDP s'est terminée le 17 octobre 2024. Toutes les organisations devaient atteindre une pleine conformité à compter de cette date.
Russie. L'exigence de notification de transfert transfrontalier FZ-266 (en vigueur depuis mars 2023) a ajouté une étape obligatoire de notification préalable au Roskomnadzor pour tout transfert transfrontalier de données personnelles.
Kazakhstan. Les amendements de février 2024 ont introduit des obligations de notification de violation (en vigueur depuis juillet 2024) et interdit la collecte physique de documents d'identité.
Stratégies de conformité pour les organisations multinationales
Les organisations opérant dans plusieurs juridictions avec des exigences de localisation différentes peuvent adopter plusieurs stratégies.
Architecture régionale de centres de données
Le déploiement de centres de données (ou la contractualisation avec des fournisseurs cloud) dans les juridictions clés garantit la conformité au stockage local. Les principaux fournisseurs cloud comme AWS, Microsoft Azure et Google Cloud proposent des options de résidence des données spécifiques à chaque région. Les organisations peuvent configurer des politiques de résidence des données pour garantir que les données provenant de pays spécifiques demeurent dans les régions désignées. Les principaux fournisseurs ont également introduit des offres de cloud souverain : le Sovereign Cloud de Google, l'EU Data Boundary de Microsoft et des produits comparables permettent aux organisations de s'engager contractuellement à ce que certaines données ne quittent jamais une zone géographique définie, ce qui peut satisfaire aux exigences de localisation souple sans la dépense en capital d'une infrastructure dédiée.
Segmentation et classification des données
La mise en œuvre de cadres de classification des données qui étiquettent les données par juridiction et par catégorie permet aux organisations d'appliquer les règles de localisation de manière sélective. Toutes les données provenant d'un pays donné n'exigent pas de localisation ; souvent, seules des catégories spécifiques (financières, de santé, gouvernementales) sont soumises à des exigences de stockage local.
Architectures hybrides
Certaines organisations maintiennent un stockage local « actif » à des fins de conformité tout en traitant ou en analysant les données de manière centralisée. Cette approche satisfait aux exigences de localisation tout en préservant l'efficacité de l'analyse centralisée. L'essentiel est de veiller à ce que la copie locale satisfasse à l'exigence de « stockage primaire » lorsqu'elle s'applique.
Superposition de mécanismes de transfert
Dans les juridictions à localisation souple, les organisations peuvent maintenir un stockage local tout en utilisant des mécanismes de transfert (clauses contractuelles types, décisions d'adéquation, consentement ou clauses contractuelles) pour exporter des copies de données destinées aux opérations mondiales.
Veille réglementaire
Les lois sur la localisation changent fréquemment. Les organisations ont besoin d'un processus systématique de suivi des évolutions législatives et réglementaires dans chaque pays où elles opèrent. La période 2024-2026 a connu des changements significatifs en Inde, en Arabie saoudite, en Indonésie, au Nigeria, au Kazakhstan et en Chine. Des revues trimestrielles de conformité constituent un minimum pour les organisations ayant une présence significative sur ces marchés.
Ceci constitue une information juridique générale, et non un avis juridique. Les organisations naviguant les exigences de localisation des données dans plusieurs juridictions devraient consulter un avocat autorisé dans la juridiction concernée pour un avis adapté à leur situation. Cette page reflète les informations disponibles en date de mai 2026.
Frequently Asked Questions
Qu'est-ce que la localisation des données ?
La localisation des données désigne les exigences légales selon lesquelles les données personnelles ou d'autres catégories de données doivent être stockées, traitées ou conservées sur des serveurs situés physiquement à l'intérieur des frontières d'un pays donné. Ces lois peuvent exiger que toutes les données concernant les résidents d'un pays demeurent sur le territoire national (localisation stricte), exiger une copie locale tout en autorisant des transferts à l'étranger (localisation souple), ou imposer des conditions aux transferts transfrontaliers qui fonctionnent comme une localisation pratique.
Quels pays ont les lois de localisation des données les plus strictes ?
La Chine, la Russie et le Vietnam maintiennent les régimes de localisation les plus complets en 2026. La Chine exige des opérateurs d'IIC qu'ils stockent localement les informations personnelles et les données importantes, avec des évaluations de sécurité gouvernementales requises avant tout transfert transfrontalier. Les amendements à la CSL en vigueur depuis le 1er janvier 2026 ont porté les sanctions maximales à 10 millions RMB et étendu la portée extraterritoriale de la loi. La Russie exige que toutes les bases de données primaires de données personnelles des citoyens russes soient stockées sur des serveurs situés en Russie ; depuis mars 2023, les responsables de traitement doivent également notifier le Roskomnadzor avant tout transfert transfrontalier. Le Vietnam exige un stockage local par les fournisseurs de services nationaux et impose des obligations de localisation déclenchées aux entreprises étrangères.
Le RGPD exige-t-il une localisation des données au sein de l'UE ?
Le [RGPD](/world-laws/world-data-privacy-laws/eu-data-privacy-laws/what-is-gdpr) n'exige pas de localisation des données au sein de l'UE ou de l'EEE. Il autorise plutôt les transferts transfrontaliers vers des pays offrant une protection adéquate ou par le biais de mécanismes de transfert approuvés tels que les [clauses contractuelles types](/world-laws/world-data-privacy-laws/standard-contractual-clauses), les règles d'entreprise contraignantes, ou les [décisions d'adéquation](/world-laws/world-data-privacy-laws/eu-adequacy-decisions). Toutefois, le débat sur la certification cloud EUCS et certaines règles sectorielles d'États membres de l'UE pour les données de santé et gouvernementales vont au-delà du socle du RGPD.
Quelle est la différence entre localisation stricte et localisation souple des données ?
La localisation stricte interdit à certaines données de quitter le pays. Les données doivent être stockées et traitées exclusivement sur des serveurs locaux, sans qu'aucune copie ne soit transférée à l'étranger. La localisation souple exige qu'une copie des données soit conservée sur des serveurs locaux mais autorise le transfert de copies vers d'autres pays, généralement sous certaines conditions comme l'approbation gouvernementale, le consentement ou des garanties contractuelles. La loi russe sur les données personnelles représente une localisation stricte, tandis que le cadre indonésien représente une localisation souple.
L'Inde exige-t-elle une localisation des données ?
Les règles indiennes de protection des données personnelles numériques, finalisées en novembre 2025, n'imposent pas de localisation générale. La règle 15 autorise les transferts transfrontaliers vers tout pays, sauf si le gouvernement central restreint spécifiquement cette destination par le biais d'une liste négative. En date de mai 2026, aucune liste négative n'a été publiée. La pleine conformité en matière de transfert transfrontalier est exigée d'ici mai 2027. Toutefois, la Reserve Bank of India exige que toutes les données des systèmes de paiement soient stockées exclusivement en Inde, ce qui en fait l'un des mandats de localisation sectoriels les plus stricts au monde.
Qu'est-ce qui a changé dans les règles chinoises de localisation des données en 2024 et 2026 ?
Deux changements majeurs sont survenus. En mars 2024, la CAC a publié de nouvelles dispositions sur les flux transfrontaliers de données qui ont considérablement assoupli les seuils de transfert : les évaluations de sécurité ne sont désormais requises que pour les transferts concernant plus de 1 million de personnes ou plus de 10 000 personnes concernées par des données sensibles par an. Les transferts concernant moins de 100 000 personnes sont exemptés de l'exigence de dépôt du contrat type. En janvier 2026, les amendements à la loi sur la cybersécurité sont entrés en vigueur, portant les sanctions maximales à 10 millions RMB, étendant la portée extraterritoriale à toute activité portant atteinte à la cybersécurité chinoise, et intégrant la gouvernance de l'IA au cadre de la CSL.
Comment les entreprises multinationales se conforment-elles aux différentes exigences de localisation ?
Les stratégies courantes incluent le déploiement de centres de données régionaux ou l'utilisation de fournisseurs cloud avec des options de résidence des données spécifiques à chaque juridiction (y compris des produits de cloud souverain comme Google Sovereign Cloud et Microsoft EU Data Boundary), la mise en œuvre de cadres de classification des données étiquetant les données par pays et par catégorie, le maintien d'architectures hybrides avec un stockage local pour la conformité et un traitement centralisé pour l'analyse, la superposition de mécanismes de transfert comme les CCT pour les juridictions à localisation souple, et l'établissement de processus trimestriels de veille réglementaire pour suivre les changements dans tous les pays d'exploitation.
Quels secteurs font face au plus grand nombre d'exigences de localisation des données ?
Les services financiers et la banque font face aux règles sectorielles de localisation les plus strictes et les plus répandues, avec des régulateurs en Inde (RBI), en Indonésie (OJK), au Nigeria (CBN), en Arabie saoudite (SAMA) et en Chine exigeant tous un stockage local des données. Les données de santé font l'objet d'une localisation dans plusieurs juridictions. Les métadonnées de télécommunications sont fréquemment localisées pour des raisons de sécurité nationale. Les données du secteur public et gouvernemental sont soumises à des exigences de localisation dans presque tous les pays ayant des lois de résidence des données. Les données d'entraînement de l'IA constituent une catégorie de localisation émergente, notamment en Chine.
Les exigences de localisation des données augmentent-elles ou diminuent-elles dans le monde ?
La tendance mondiale va vers davantage de localisation. Le nombre de pays disposant d'un mandat de localisation sous une forme ou une autre a considérablement augmenté depuis 2015. L'ITIF a recensé 154 mesures de localisation dans 66 pays selon ses rapports récents. Les moteurs incluent les préoccupations de sécurité nationale, les stratégies de développement économique visant à bâtir des industries cloud nationales, les tensions géopolitiques autour de la souveraineté numérique, et les exigences d'accès des forces de l'ordre. Certains pays (notamment l'Inde avec ses règles DPDP) ont adopté des cadres plus permissifs que leurs versions antérieures ne le proposaient, mais la tendance générale est à l'expansion, non à la contraction.
Sources and References
- PIPL de Chine(npc.gov.cn).gov
- Loi chinoise sur la sécurité des données(npc.gov.cn).gov
- Loi chinoise sur la cybersécurité (telle que modifiée en janvier 2026)(npc.gov.cn).gov
- Amendement à la CSL chinoise (octobre 2025, en vigueur janvier 2026)(gov.cn).gov
- Dispositions de la CAC sur les flux transfrontaliers de données (mars 2024)(chinalawtranslate.com)
- Contrat type de la CAC pour l'exportation de données (2023)(cac.gov.cn).gov
- Loi fédérale russe 242-FZ(pravo.gov.ru).gov
- Convention 108 du Conseil de l'Europe(coe.int).gov
- Loi DPDP 2023 de l'Inde(meity.gov.in).gov
- Directive de la RBI sur le stockage des données de paiement(rbi.org.in).gov
- Localisation des données et cybersécurité au Vietnam (US ITA)(trade.gov).gov
- Loi nigériane de 2023 sur la protection des données(cert.gov.ng).gov
- Commission nigériane de protection des données(ndpc.gov.ng).gov
- Loi turque KVKK n° 6698(mevzuat.gov.tr).gov
- RG 71/2019 de l'Indonésie(jdih.kominfo.go.id).gov
- Règlements d'application du PDPL saoudien(istitlaa.ncc.gov.sa).gov
- Application des règles saoudiennes de transfert transfrontalier TIC (US ITA)(trade.gov).gov
- Panorama de la localisation des données au Kazakhstan (Morgan Lewis, 2024)(morganlewis.com)
- ITIF : les obstacles aux flux transfrontaliers de données(itif.org)
- ITIF : restrictions de l'UE sur les services cloud (2025)(itif.org)
- Hogan Lovells : le débat sur la souveraineté des données de l'EUCS(hoganlovells.com)