En tant que membre de l'UE, Chypre applique intégralement le Règlement Général sur la Protection des Données (RGPD). Toute société chypriote traitant des données personnelles de citoyens européens doit se conformer à ces règles — sous peine d'amendes pouvant atteindre 20 millions EUR ou 4% du chiffre d'affaires mondial.
Obligations principales
DPO (Data Protection Officer) : Obligatoire si vous traitez des données à grande échelle, des catégories spéciales de données ou si votre activité principale est le traitement de données. Pour la plupart des PME Non-Dom, un DPO n'est pas obligatoire mais recommandé.
Consentement : Obtenir le consentement explicite des personnes dont vous traitez les données. Formulaires clairs, opt-in (pas de pré-cochage).
Droits des personnes : Droit d'accès, de rectification, d'effacement (« droit à l'oubli »), de portabilité et d'opposition au traitement.
Notification des violations : En cas de fuite de données, notification à l'autorité dans les 72 heures et aux personnes affectées si le risque est élevé.
Registre des traitements : Documentation de toutes les activités de traitement de données personnelles.
L'autorité chypriote
Le Commissioner for the Protection of Personal Data est l'autorité de contrôle à Chypre. Il peut enquêter, auditer et sanctionner les violations du RGPD.
Impact pratique pour les Non-Dom
Si votre société chypriote vend des services en ligne à des clients européens (SaaS, e-commerce, consulting), vous devez : avoir une politique de confidentialité conforme, obtenir le consentement pour les cookies et le marketing, sécuriser les données personnelles et répondre aux demandes d'exercice des droits dans les 30 jours.
Questions fréquemment posées
Pour la plupart des PME : non. Un DPO est obligatoire uniquement pour le traitement à grande échelle de données sensibles ou le suivi systématique de personnes.
En savoir plus : Création de société, E-commerce.
Champ d'application du RGPD à Chypre
Le Règlement Général sur la Protection des Données (UE 2016/679) s'applique directement à Chypre en tant qu'État membre de l'UE. Il est complété par la loi nationale sur le traitement des données personnelles (protection de l'individu) de 2018 (Loi 125(I)/2018), qui aborde les domaines où le RGPD permet ou exige une législation nationale. L'autorité de contrôle est le Commissaire à la Protection des Données Personnelles, basé à Nicosie.
Le RGPD s'applique à votre société chypriote si elle traite des données personnelles d'individus situés dans l'UE, indépendamment du lieu où le traitement a lieu. Cela signifie qu'une société chypriote ayant des clients, employés ou sous-traitants n'importe où dans l'UE doit se conformer au RGPD. Les données personnelles incluent toute information pouvant identifier directement ou indirectement une personne vivante : noms, adresses e-mail, numéros de téléphone, adresses IP, identifiants de cookies, données de localisation, informations financières et données de santé.
Pour la plupart des sociétés chypriotes, l'impact pratique du RGPD se concentre sur plusieurs domaines clés : traitement des données des employés (paie, dossiers RH, données de performance), gestion des données clients (coordonnées, enregistrements de transactions, historique des communications), activités marketing (newsletters par e-mail, publicité ciblée, suivi des cookies) et partage de données avec des tiers (comptables, commissaires aux comptes, fournisseurs de services cloud).
Exigences clés de conformité
Base légale du traitement : Vous devez avoir une base légale valide pour chaque catégorie de données personnelles que vous traitez. Les six bases légales du RGPD sont : le consentement, l'exécution d'un contrat, l'obligation légale, les intérêts vitaux, l'intérêt public et les intérêts légitimes. La plupart des traitements de données d'entreprise reposent sur l'exécution d'un contrat (traitement des données clients pour fournir des services) ou les intérêts légitimes (traitement des données employés pour les opérations commerciales). Le consentement est requis principalement pour les communications marketing et les cookies.
Avis de confidentialité : Chaque société doit fournir des avis de confidentialité clairs et accessibles qui expliquent quelles données sont collectées, pourquoi elles sont traitées, combien de temps elles sont conservées, avec qui elles sont partagées et quels droits ont les individus. Vous avez besoin d'avis de confidentialité distincts pour votre site web, vos employés et vos clients/fournisseurs. Ces avis doivent être rédigés dans un langage simple — le jargon juridique n'est pas suffisant.
Accords de traitement des données : Lorsque vous partagez des données personnelles avec des tiers (votre comptable, votre fournisseur d'hébergement cloud, votre plateforme de marketing par e-mail, votre processeur de paie), vous devez avoir un accord de traitement des données (DPA) écrit en place. Cet accord doit spécifier la portée du traitement, les mesures de sécurité, les obligations de notification de violation de données et le devoir du sous-traitant d'aider aux demandes des personnes concernées. CMC dispose de modèles standard de DPA pour les clients.
Registres des activités de traitement : Les sociétés de plus de 250 employés doivent maintenir un registre formel des activités de traitement (ROPA). Cependant, les petites sociétés doivent également maintenir des registres si leur traitement implique des catégories de données sensibles, une surveillance régulière des individus ou un traitement à grande échelle. En pratique, CMC recommande que tous les clients maintiennent au moins un ROPA de base comme preuve de conformité.
Sanctions et application à Chypre
Les sanctions du RGPD peuvent être sévères : jusqu'à 20 millions EUR ou 4 % du chiffre d'affaires annuel mondial, le plus élevé étant retenu, pour les violations les plus graves. Le Commissaire chypriote a émis des amendes allant de 3 000 EUR pour des manquements administratifs mineurs à 30 000 EUR pour des violations plus importantes. Bien que l'application à Chypre ait été proportionnée par rapport à certaines autres juridictions de l'UE, la tendance est à un examen accru et à des amendes plus élevées.
Les déclencheurs courants pour une action coercitive à Chypre incluent le non-respect des demandes d'accès des personnes concernées dans le délai requis de 30 jours, l'envoi d'e-mails marketing sans consentement valide, des mécanismes inadéquats de consentement aux cookies sur les sites web, le non-signalement des violations de données dans les 72 heures et l'absence d'un Délégué à la Protection des Données là où il est requis.
Au-delà des amendes réglementaires, la non-conformité crée des risques commerciaux importants. Les violations de données peuvent endommager la confiance des clients et la réputation commerciale. Le manque d'accords de traitement des données appropriés peut perturber les relations avec les partenaires commerciaux de l'UE. Des pratiques inadéquates de protection des données peuvent également conduire à des réclamations de responsabilité civile de la part des personnes affectées.
Liste de contrôle pratique de conformité
Commencez par ces essentiels : publiez une politique de confidentialité conforme au RGPD sur votre site web, mettez en œuvre une bannière de consentement aux cookies, créez des avis de confidentialité pour les employés et les clients, examinez tous les arrangements de partage de données avec des tiers et mettez en place des DPA, établissez un plan de réponse aux violations de données avec des responsabilités internes claires et formez votre personnel aux principes de base de la protection des données. Ces étapes traitent les lacunes de conformité les plus courantes et réduisent considérablement votre exposition au risque.
RGPD et structures d'affaires Non-Dom
Les entrepreneurs Non-Dom opérant via des sociétés chypriotes sont confrontés à des considérations RGPD spécifiques qui méritent attention. Si votre société sert des clients dans plusieurs pays de l'UE, vous devez vous conformer au RGPD dans chaque juridiction où se trouvent vos clients. Cependant, l'autorité de contrôle de la protection des données de votre société chypriote — le premier point de contact pour tout traitement à l'échelle de l'UE — est le Commissaire chypriote, ce qui peut être avantageux compte tenu de l'approche proportionnée de l'autorité en matière d'application.
Les transferts internationaux de données sont une autre considération clé. Si votre société chypriote transfère des données personnelles vers des pays en dehors de l'UE/EEE (par exemple, vers des fournisseurs de services aux États-Unis, en Inde ou aux Émirats arabes unis), vous devez mettre en œuvre des garanties appropriées. Celles-ci incluent les Clauses Contractuelles Types (CCT), les règles d'entreprise contraignantes ou le recours à une décision d'adéquation. Le Cadre de Protection des Données UE-États-Unis fournit un mécanisme pour les transferts vers des sociétés américaines certifiées, mais les transferts vers d'autres pays non-UE nécessitent une évaluation individuelle.
Pour les entreprises de e-commerce, les créateurs de contenu et les fournisseurs de services numériques — types d'entreprises Non-Dom courants — les exigences pratiques du RGPD incluent la gestion du consentement aux cookies sur les sites web, des mécanismes clairs d'opt-in pour le marketing par e-mail, la minimisation des données dans les bases de données clients et l'examen régulier des périodes de conservation des données. Mettre en œuvre ces mesures dès le début est bien plus facile et moins coûteux que de moderniser la conformité dans une opération établie.
Questions fréquentes
Oui. Le RGPD s'applique directement à Chypre en tant qu'État membre de l'UE. Toute société traitant des données personnelles de résidents de l'UE doit se conformer, indépendamment de la taille ou du chiffre d'affaires de l'entreprise.
Un DPO n'est requis que si vos activités principales impliquent une surveillance régulière et systématique des individus à grande échelle, ou le traitement de catégories de données sensibles à grande échelle. La plupart des PME ne répondent pas à ces seuils mais devraient néanmoins maintenir des politiques RGPD documentées.
Les amendes maximales sous le RGPD sont de 20 millions EUR ou 4 % du chiffre d'affaires annuel mondial. En pratique, le Commissaire chypriote a émis des amendes allant de 3 000 EUR à 30 000 EUR pour diverses violations. Les déclencheurs courants incluent le non-respect des demandes des personnes concernées et un consentement aux cookies inadéquat.
Comment CMC vous accompagne dans votre parcours
Cyprus Non-Dom guide les entrepreneurs, investisseurs et professionnels à travers la conformité à la protection des données depuis 2010. Avec plus de 800 missions clients réussies, notre équipe apporte une expérience pratique et concrète à chaque aspect de la relocalisation à Chypre et de la structuration des affaires. Nous ne fournissons pas seulement des conseils théoriques — nous gérons l'exécution, de la planification initiale à la conformité continue.
Notre approche de la conformité à la protection des données est globale et personnalisée. Lors d'une consultation initiale, nous évaluons votre situation spécifique — sources de revenus, situation familiale, structure d'entreprise, calendrier et objectifs — et élaborons un plan sur mesure qui aborde chaque élément de votre déménagement à Chypre. Nous gérons ensuite l'exécution : constitution de société, ouverture bancaire, procédures d'immigration, enregistrement fiscal et conformité continue, avec un membre dédié de l'équipe attribué à votre dossier tout au long du processus.
Si vous envisagez Chypre pour la conformité à la protection des données, nous vous invitons à réserver une consultation initiale gratuite. Il n'y a aucune obligation, et la conversation vous donnera une compréhension claire du processus, du calendrier, des coûts et des résultats attendus pour votre situation spécifique. Contactez-nous à contact@cyprusnondom.com ou appelez le +357 24 400 246 pour planifier votre consultation.