Menu
Menu

Traitement des catégories particulières de données personnelles : le cadre juridique actuel en Turquie

Des modifications ont été apportées à la loi n° 6698 sur la protection des données personnelles («Loi”) par la loi n° 7499, publiée au Journal officiel du 12 mars 2024 et numérotée 32487. En février 2025, le Guide sur le traitement des catégories particulières de données personnelles (“Guide”) a été publié sur le site Internet de l'Autorité de protection des données personnelles («Autorité»).

 

1. Introduction

 

En vertu de la loi, les catégories spéciales de données personnelles comprennent des informations sur la race, l'origine ethnique, les opinions politiques, les convictions philosophiques, la religion, la secte ou d'autres convictions, l'apparence physique et la tenue vestimentaire, l'appartenance à des associations, fondations ou syndicats, la santé, la vie sexuelle, les condamnations pénales et les mesures de sécurité, ainsi que les données biométriques et génétiques.

 

Avant la modification, le traitement de catégories particulières de données personnelles était, en règle générale, soumis au consentement explicite de la personne concernée. En ce qui concerne le traitement de ces données sans consentement explicite, la loi établissait auparavant une distinction entre «données relatives à la santé et à la vie sexuelle" et "autres catégories particulières de données personnelles.” Selon cette distinction :

 

  • Autres catégories particulières de données personnelles:ne peuvent être traitées sans consentement explicite que si cela est explicitement prévu par la loi.

 

  • Données relatives à la santé et à la vie sexuelle:ne peuvent être traitées sans consentement explicite qu'à des fins telles que la protection de la santé publique, la médecine préventive, le diagnostic médical, les services de traitement et de soins, ainsi que la planification et la gestion des services de santé et de leur financement, mais uniquement par des personnes ou des institutions soumises à une obligation de confidentialité.

 

En vertu de la réglementation précédente, les données de santé pouvaient être traitées presque exclusivement par l’Institution de sécurité sociale, le ministère de la Santé et les établissements de santé. Cela a soulevé plusieurs préoccupations pratiques concernant le traitement des données de santé nécessaires dans des secteurs tels que les assurances, la santé et la sécurité au travail et les services sociaux. En fait, la réglementation avait restreint certaines activités des institutions publiques, des acteurs du secteur privé et des organisations non gouvernementales, les empêchant de remplir certaines de leurs obligations légales. Par conséquent, les amendements visaient à résoudre ces problèmes pratiques et à répondre aux besoins actuels.

 

2. Situation actuelle

 

Avec les récents amendements, la distinction entre «« données relatives à la santé et à la vie sexuelle » et "autres catégories particulières de données personnelles" a été supprimée. Par conséquent, les données relatives à la santé et à la vie sexuelle ne sont plus soumises à des bases juridiques de traitement différentes de celles des autres catégories particulières de données personnelles. En outre, les conditions de traitement ont été révisées pour s'appliquer de manière uniforme à toutes les catégories particulières de données personnelles, et des bases juridiques supplémentaires ont été introduites.

 

En vertu de la nouvelle réglementation, des catégories particulières de données personnelles peuvent être traitées dans les conditions suivantes :

 

a) Consentement explicite de la personne concernée:Si la personne concernée donne son consentement explicite, ses catégories particulières de données à caractère personnel peuvent continuer à être traitées sur la base de ce consentement. Il n'existe pas de différence hiérarchique entre le consentement explicite et les autres bases juridiques énumérées ci-dessous. Il convient toutefois de noter que le consentement explicite doit continuer à respecter les principes généraux établis par la loi.

 

b) Prévue explicitement par la loi: Des catégories particulières de données personnelles peuvent être traitées sans le consentement explicite de la personne concernée si la loi le prévoit explicitement. Par exemple, en vertu de l'article 5 de la loi 2559 sur les pouvoirs et les devoirs de la police, les données dactyloscopiques peuvent être collectées auprès des personnes demandant un permis de conduire ou un passeport. Le Guide précise que les réglementations telles que les règlements, les communiqués et les circulaires émises en vertu de l'autorité explicitement accordée par la loi pour le traitement de catégories particulières de données personnelles relèveront également de cette base juridique.

 

c) Impossibilité pratique:Si une personne concernée n'est pas en mesure de donner son consentement en raison d'une situation d'impossibilité pratique ou d'un handicap ou si son consentement est juridiquement invalide, des catégories particulières de données à caractère personnel peuvent être traitées sans consentement si cela est essentiel pour protéger la vie ou l'intégrité physique de la personne concernée ou d'une autre personne. Un exemple de cette base juridique est le traitement d'informations sur le groupe sanguin d'une personne et ses antécédents médicaux dans une situation médicale d'urgence où la personne est inconsciente.

 

d) Données divulguées publiquement par la personne concernée:Si la personne concernée a rendu publiques ses catégories particulières de données à caractère personnel, ces données peuvent être traitées sans consentement, à condition que le traitement soit conforme à l'intention de la personne concernée. Par exemple, si une personne partage publiquement son groupe sanguin et ses informations sur ses allergies à des fins d'urgence, ces données peuvent être utilisées à cette fin. Il convient de souligner que le simple fait que la personne concernée ait rendu publiques ses catégories particulières de données à caractère personnel n'est pas suffisant en soi ; le responsable du traitement doit agir conformément à l'intention ou à la finalité de la divulgation de la personne concernée lors du traitement de ces données.

 

e) Établissement, exercice ou protection de droits légaux: Des catégories particulières de données personnelles peuvent être traitées sans consentement si elles sont indispensables à l'établissement, à l'exercice ou à la protection d'un droit légal. Par exemple, un employeur peut conserver les données de santé d'un ancien employé en vue d'éventuels litiges juridiques suite à la résiliation d'un contrat de travail.

 

De même, dans les cas où il n'est pas possible pour un avocat de faire valoir les droits de son client d'une autre manière, la soumission au tribunal de catégories particulières de données personnelles obtenues légalement dans le cadre du dossier peut être considérée comme une base légale pour le traitement. À titre d'exemple, dans les cas où le traitement de catégories particulières de données personnelles, telles que les informations sur le handicap ou la santé des conjoints et des enfants des employés, est nécessaire au paiement des salaires, le traitement de ces données par l'employeur peut également être envisagé dans ce cadre.

 

f) Services de santé et besoins similaires:Les personnes ou institutions et organisations autorisées soumises à l'obligation de confidentialité peuvent continuer à traiter des catégories particulières de données personnelles sans obtenir de consentement explicite si cela est nécessaire à la protection de la santé publique, de la médecine préventive, du diagnostic médical, des services de traitement et de soins, ainsi qu'à la planification, à la gestion et au financement des services de santé.

 

Le ministère de la Santé, tous les types d'établissements de santé et l'Institution de sécurité sociale sont considérés comme relevant de ce champ d'application en ce qui concerne les données qu'ils collectent à des fins spécifiques. Le Guide indique que le terme «institutions et organisations autorisées« inclut non seulement les institutions et organisations publiques, mais aussi les personnes physiques et morales privées fournissant des services de santé. Le terme «personnes soumises à l'obligation de confidentialité« inclut tous les professionnels de la santé, ainsi que ceux qui, même s’ils ne sont pas des professionnels de la santé, participent à la prestation de services de santé.

 

g) Respect des obligations légales liées à l’emploi:Des catégories particulières de données à caractère personnel peuvent être traitées sans le consentement explicite de la personne concernée si cela est essentiel pour remplir des obligations légales dans les domaines de l’emploi, de la santé et de la sécurité au travail, de la sécurité sociale, des services sociaux et de l’assistance sociale.

 

Parmi les exemples de cette base juridique, on peut citer : le traitement par les employeurs de données relatives à la santé ou aux condamnations pénales pour remplir leur obligation d’employer des personnes handicapées ou condamnées en vertu de la loi sur le travail n° 4857 (article 30), le traitement de données relatives à la santé pour les examens de santé requis par les conventions collectives (loi n° 6356 sur les syndicats et les conventions collectives, article 36(1)), et le traitement des données relatives aux condamnations pénales et à la santé des conducteurs (règlement sur le transport routier, article 34) et du personnel de sécurité (loi n° 5188 relative aux services de sécurité privés, article 10).

 

h) Adhésion à des fondations, associations et organisations à but non lucratif:Des catégories particulières de données personnelles (des membres actuels ou anciens et des personnes qui sont en contact régulier avec ces organisations) peuvent être traitées sans consentement explicite par les fondations, associations et organisations à but non lucratif constituées à des fins politiques, philosophiques, religieuses ou syndicales, à condition que le traitement soit conforme à leur cadre juridique et à leurs objectifs, soit limité à leurs activités et ne soit pas divulgué à des tiers.

 

Par exemple, le traitement des informations relatives aux membres actuels, ainsi qu'aux anciens membres et aux personnes qui sont régulièrement en contact en faisant des dons, sera considéré dans ce cadre. De même, un syndicat ne peut traiter que des données relatives à l'adhésion syndicale en rapport avec son champ d'activités et ses objectifs. En revanche, les données personnelles relatives à la santé ou à la religion des membres du syndicat ne peuvent être traitées si elles ne sont pas liées au champ d'activités et aux objectifs.

 

Certaines des bases juridiques mentionnées ci-dessus contiennent les termes « nécessaire » ou « essentiel ». Selon le Guide :

 

  • Le terme "nécessaire" signifie que les activités de traitement de données doivent être évaluées au cas par cas en justifiant l'utilisation des données personnelles sur la base d'éléments objectifs. Cela implique également qu'il doit exister un lien entre les données traitées et la finalité légitime revendiquée, conformément au principe de pertinence, de limitation et de proportionnalité par rapport à la finalité pour laquelle elles sont traitées.

 

  • Le terme "essentiel" ne repose pas sur une évaluation subjective mais se réfère à une situation dans laquelle les conditions publiques et sociétales exigent le traitement de catégories particulières de données à caractère personnel. Dans le cadre de telles activités de traitement, il ne doit exister aucune méthode alternative pour traiter des catégories particulières de données à caractère personnel, rendant l'activité de traitement inévitable dans le cadre de la finalité spécifiée.

 

Par conséquent, avant de commencer le traitement de catégories particulières de données personnelles sur la base de l’une de ces bases juridiques, une évaluation approfondie doit être effectuée pour déterminer si ces critères sont remplis.

 

3. Conclusion

 

Suite aux modifications, les responsables du traitement des données qui traitent des catégories particulières de données personnelles doivent réviser les processus basés sur le consentement explicite, mettre à jour leurs inventaires de traitement des données personnelles, leurs avis d’information et leurs politiques de conservation et de destruction.

 

L'obligation de prendre « mesures adéquates » reste inchangé. Les catégories particulières de données personnelles doivent continuer à être traitées conformément aux directives du Conseil de protection des données personnelles. décision du 31 janvier 2018 et numéroté 2018/10 concernant les mesures adéquates à prendre par les responsables du traitement des données lors du traitement de catégories particulières de données à caractère personnel. Si des mesures adéquates n'ont pas encore été mises en œuvre, les organisations doivent s'y conformer dès que possible.

 

En outre, les responsables du traitement des données génétiques et/ou biométriques doivent également tenir compte des principes énoncés dans la Guide sur le traitement des données génétiques et Lignes directrices sur les considérations relatives au traitement des données biométriques.

Avukat Ece Elvan Celep - ASY Légal

Av. Ece Elvan Celep

Contact pour consultation

Auteur Bio

Articles Similaires