Données à caractère personnel : ce qui change avec la nouvelle loi turque

Après l’adoption du Règlement Général sur la Protection des Données (RGDP) à l’échelle européenne, c’est au tour de la Turquie de se doter d’un nouveau texte encadrant le traitement des données à caractère personnel.

Le 30 décembre 2017, une loi encadrant le traitement des données à caractère personnel a été publiée au Journal Officiel turc. Cette loi impose de nouvelles obligations aux responsables de traitement établis en Turquie ainsi qu’à ceux établis en dehors de la Turquie dont les opérations de traitement impliquent des individus se trouvant sur le territoire turc.

Cette loi, entrée en vigueur le 1^er janvier 2018 met en place un registre des responsables de données qui est tenu par l’Agence turque de régulation des données (l’équivalent de la CNIL française). Les responsables de traitement ont l’obligation de s’enregistrer sur ce registre préalablement à la conduite de leurs opérations de traitement.

Il est précisé que cet enregistrement doit être effectué en ligne par le biais d’un système intitulé VERBIS. En cas de défaut d’enregistrement sur le registre, l’agence turque de régulation des données a la possibilité d’infliger au responsable de traitement une amende pouvant aller jusqu’à 1 000 000 TYR, soit environ 215 000 euros.

Une incertitude demeure sur la date d’entrée en vigueur de l’obligation. En effet bien que la loi soit en vigueur depuis le 1^er janvier 2018, l’Agence turque de régulation des données a indiqué que l’impératif d’enregistrement au registre n’était pas encore effectif, le système d’enregistrement en ligne n’étant pas encore opérationnel.

Des obligations spécifiques existent pour les responsables de traitement établis en dehors de la Turquie mais impliquant ce pays. Ces responsables doivent nommer puis autoriser un représentant en Turquie qui sera chargé de les enregistrer sur le registre.

Il est entendu que ce représentant peut être une personne morale turque ou bien un citoyen turc résidant en Turquie. Outre l’enregistrement au registre, le représentant doit être expressément autorisé par le responsable de traitement à effectuer les opérations suivantes :

• Recevoir et accepter des communications officielles de l’agence turque de régulation des données pour le compte du responsable de traitement ;
• Transférer les sollicitations de cette agence puis les réponses correspondantes du responsable de traitement  ;
• Procéder à des transactions devant l’agence turque pour le compte du responsable de traitement .

Par ailleurs le nouveau texte détaille les informations que doit fournir le responsable de traitement. Les informations suivantes doivent être délivrées lors de l’enregistrement au registre par le biais du système VERBIS :

• L’identité et les coordonnées du responsable de traitement
• L’identité et les coordonnées du représentant
• Une copie de l’autorisation donnée par le responsable de traitement au représentant turc
• La finalité du traitement des données à caractère personnel
• Les types d’informations collectées et la méthode de collecte
• Les personnes auxquelles les données à caractère personnel peuvent être transférées et dans quel objectif
• Les données à caractère personnel susceptibles d’être transférées à l’étranger
• Les mesures de sécurités appliquées par le responsable de traitement
• La période maximum de conservation des données

Le texte comprend également trois obligations supplémentaires pour les responsables de traitement:

• La nomination d’une personne référente, distincte du représentant et dont le rôle est de faciliter les communications entre le responsable de traitement et l’agence turque ;
• La préparation d’un inventaire des opérations de traitement conduites ;
• L’établissement de politiques relatives à la conservation des données et à leur effacement.

Partant, les responsables de traitement dont l’activité implique la Turquie se doivent de respecter ces nouvelles obligations.

Il est probable que l’agence turque de régulation des données émette de nouvelles recommandations notamment afin de préciser le délai accordé pour la mise en conformité avec cette nouvelle loi ainsi que la date d’entrée en vigueur de l’obligation de nomination d’un représentant.

En lien avec son partenaire Yazıcıoğlu Attroneys, le cabinet WAN se propose d’accompagner dans leur mise en conformité avec la loi turque les responsables de traitement établis en dehors de la Turquie et qui effectuent ou entendent effectuer des opérations de traitement de données à caractère personnel impliquant des individus se trouvant sur le territoire turc.