Un V. Ali Yurtsever LLM
Conseil de protection des données a récemment publié un nouveau décision et une amende Amazonie Turquie 1.100.000 TRL pour violation de la législation sur la protection des données et le commerce électronique, et pour transferts de données transfrontaliers en particulier pour les transferts de données vers ses filiales à l'étranger. À l'avenir, la décision aura de sérieuses ramifications concernant les transferts de données en Turquie, et afin de mieux comprendre ces conséquences, nous devons d'abord comprendre le contexte qui a conduit à une telle décision.
Protection des données personnelles en Turquie
Dans une économie mondialisée où les entreprises technologiques dominent et contrôlent une grande partie du marketing de contenu et où les données sont considérées comme le nouvel or, restreignant et surveillant transferts de données transfrontaliers devient de plus en plus important, ce qui est également souligné dans la décision Amazon Turkey du Data Protection Board (DPB). À cet égard, la Turquie adopte une position similaire à celle de l'Europe en matière de protection des données, en implantant la loi sur la protection des données personnelles n ° 6698 (LPPD), qui est essentiellement la version turque du règlement général sur la protection des données (GDPR).
Transfert de données personnelles à des tiers
Transferts de données personnelles à des tiers sont réglementés de manière assez restrictive par la LPPD (similaire aux dispositions du RGPD). L'article 5 de la LPPD stipule clairement que les responsables du traitement ne peuvent transférer des données personnelles à des tiers sans le consentement explicite du propriétaire des données, sauf dans les cas prévus à l'article 5/2 et 6/3. L'article 9 stipule en outre que les transferts transfrontaliers de données sont interdits à moins que le propriétaire des données n'y consente explicitement. transferts de données transfrontaliers. L'article 9/2 prévoit une exception à cette règle et autorise les transferts transfrontaliers de données sans le consentement explicite des propriétaires des données dans les cas où les circonstances énoncées aux articles 5/2 et 6/3 sont applicables et si (i) "une protection suffisante est fournies dans le pays étranger où les données doivent être transférées » ou (ii) « les responsables du traitement en Turquie et dans le pays étranger concerné garantissent une protection suffisante par écrit et le Conseil a autorisé un tel transfert, lorsqu'une protection suffisante n'est pas assurée ».
Transferts de données et exceptions au consentement explicite
Comme indiqué ci-dessus, la règle générale pour les transferts de données, qu'ils soient nationaux ou transfrontaliers, est d'obtenir le consentement explicite préalable du propriétaire des données. Cependant, la LPPD prévoit certaines dérogations à cette exigence tant pour les données personnelles que pour les données personnelles à caractère particulier, énoncées respectivement aux articles 5/2 et 6/3. Conformément à l'article 5/2, les données personnelles peuvent être traitées et transférées à des tiers sans le consentement explicite du propriétaire des données si :
- Fourni/requis par la loi,
- Nécessaire à la protection de la vie ou de l'intégrité physique d'une personne physiquement incapable de donner son consentement,
- Nécessaire à la conclusion, à l'exécution ou à l'acquisition des prestations constatées dans un contrat,
- Nécessaire au responsable du traitement pour remplir ses obligations légales,
- Les données sont divulguées au public par le propriétaire des données,
- Les données sont considérées comme obligatoires pour l'établissement, l'exercice ou la protection de tout droit, ou
- Obligatoire pour les intérêts légitimes du responsable du traitement, à condition qu'il ne viole pas les libertés et droits fondamentaux du propriétaire des données.
L'article 6/3 stipule en outre que les données personnelles à caractère particulier, à l'exclusion des données relatives à la santé et à la vie sexuelle, peuvent être traitées et transférées à des tiers sans le consentement explicite du propriétaire des données si la loi le prévoit.
Transferts transfrontaliers de données et problème de protection suffisante
Ces dispositions qui prévoient des exceptions à la règle du consentement explicite pour les transferts transfrontaliers de données sont assez claires, puisque l'article 9/2 stipule que les transferts transfrontaliers de données peuvent être exécutés sans le consentement explicite du propriétaire des données si une protection suffisante est prévue dans le pays étranger où les données doivent être transférées. Compte tenu du fait que cette LPPD est presque une traduction directe du RGPD, il est raisonnable de supposer que tous les transferts de données transfrontaliers vers un ou plusieurs des pays où le RGPD est applicable seront couverts par cette disposition et seront donc exemptés. de l'exigence de consentement explicite.
Malheureusement, ce n'est pas le cas. Le problème ici découle de l'alinéa 3 du même article 9, qui stipule que le DPB détermine et annonce les pays où un niveau de protection suffisant est fourni. Le DPB n'a pas encore annoncé cette liste, ce qui signifie que l'exemption prévue à l'article 9/2/a n'est pas encore applicable aux transferts de données transfrontaliers, y compris vers les pays où le RGPD est applicable.
Résumé de la décision d'Amazon Turquie sur les transferts de données transfrontaliers
Plaintes contre Amazon Turquie
Comme indiqué au début de cet article, à la suite d'une plainte déposée par un utilisateur d'Amazon Turquie concernant le traitement et le transfert illégaux de données, le Conseil de la protection des données a infligé à Amazon Turquie une amende de 1.100.000 XNUMX XNUMX TRL pour des transferts transfrontaliers illégaux de données vers ses filiales à l'étranger et pour des non- respect des lois sur la protection des données et le commerce électronique. L'une des principales revendications énoncées dans cette conformité était le fait qu'Amazon Turquie a inclus la phrase "Nous pouvons transférer vos données personnelles vers l'Union européenne et les États-Unis afin de stocker et de traiter vos informations personnelles dans le cadre des finalités énoncées dans la présente politique de confidentialité.”, qui, selon la plainte, a violé les obligations énoncées dans la LPPD en raison du fait qu'Amazon Turquie n'a pas obtenu le consentement explicite du propriétaire des données pour de tels transferts internationaux, mais a plutôt simplement notifié qu'il pouvait transférer les données à l'étranger.
Décision Amazon Turquie de DPB concernant les transferts de données transfrontaliers
À la suite de la plainte, le DPB a lancé une enquête sur Amazon Turquie et a déterminé qu'il n'avait pas, en fait, obtenu un consentement explicite des propriétaires de données pour les transferts de données transfrontaliers, mais avait plutôt fourni aux propriétaires de données la possibilité de se retirer ou de choisir de ne pas partager leurs données avec des tiers. Ce mécanisme d'opt-out a été jugé contraire à la LPPD, car la loi exige clairement un consentement explicite des propriétaires de données pour les transferts de données transfrontaliers, et exige donc que les propriétaires de données "optent" explicitement pour ces transferts plutôt que que de supposer que les propriétaires de données ont opté pour cela par défaut, puis de leur fournir une option de désinscription.
Étant donné qu'Amazon Turquie n'a pas obtenu le consentement explicite préalable des propriétaires de données, la seule possibilité pour Amazon Turquie d'effectuer légalement des transferts de données transfrontaliers en Turquie était de prétendre que ces transferts relevaient du champ d'application des exemptions prévues à l'article 9/2 LPPD.
Toutefois, comme indiqué ci-dessus, ces exemptions ne s'appliquent aux transferts de données transfrontaliers que si une protection suffisante est assurée dans le pays étranger où les données doivent être transférées et que le DPB est autorisé à déterminer les pays offrant des niveaux de protection suffisants conformément à l'article 9. /3. Le problème ici est, comme également mentionné ci-dessus, que le DPB n'a pas encore publié une telle liste de pays exemptés, et puisque cette liste n'est pas encore disponible, cette exemption prévue pour les pays disposant de protections suffisantes ne s'applique pas encore à aucun pays, y compris l'UE. pays où le RGPD est applicable.
Étant donné qu'Amazon Turquie ne peut pas bénéficier de cette exemption de "protection suffisante", il reste la dernière exemption prévue à l'article 9/3, où les transferts de données transfrontaliers peuvent être effectués sans consentement explicite préalable vers des pays sans protection suffisante, si les responsables du traitement étrangers dans La Turquie et dans le pays étranger lié donne des lettres de garantie au DPB par écrit et le Conseil approuve ce transfert. Il convient de noter ici qu'Amazon a effectivement présenté une garantie au Conseil afin de bénéficier d'une telle exonération.
Cependant, au moment de cette plainte et de la décision, la lettre de garantie et la demande d'exemption d'Amazon étaient toujours en instance devant le DPB, dans l'attente de la décision finale et de l'approbation du Conseil. L'article 9/3 stipule clairement que cette exemption ne sera applicable que si une lettre de garantie est fournie ET le DPB approuve les transferts, et puisque le DPB n'a jamais approuvé la demande d'exemption d'Amazon Turquie, le DPB a décidé que ces transferts de données transfrontaliers exécutés par Amazon Turquie violaient les dispositions de la LPPD.
Aller de l'avant : effets de la décision d'Amazon Turquie sur les transferts de données transfrontaliers
La décision d'infliger une amende à Amazon Turquie a été une décision très controversée du DPB. C'était controversé parce qu'Amazon Turquie transférait des données personnelles vers des pays de l'UE, qui auraient dû être considérés comme des pays bénéficiant d'une protection suffisante puisque ces pays sont également soumis à la réglementation du RGPD, et parce qu'Amazon Turquie avait déjà fourni au Conseil les lettres de garantie nécessaires. de bénéficier de la deuxième dérogation prévue à l'article 9/3.
Bien que nous comprenions d'où viennent les arguments contre cette décision, nous pensons également que la loi est assez claire et transparente sur les exemptions. Les dispositions de la LPPD stipulent clairement que les exemptions pour les transferts de données transfrontaliers ne s'appliquent que si le pays où les données sont transférées dispose de niveaux de protection suffisants (à déterminer par le Conseil), ou lorsqu'une protection suffisante n'est pas disponible, une lettre de garantie est fourni et le transfert est approuvé par le conseil.
Étant donné que la liste des pays exemptés n'est pas encore publiée par le Conseil, la seule façon de bénéficier des exemptions de transfert de données transfrontalier est de soumettre une lettre de garantie au Conseil et d'attendre l'approbation du Conseil pour les transferts. Bien qu'Amazon ait fourni une lettre de garantie, ils n'ont pas attendu que la demande soit traitée et l'approbation du Conseil et ont poursuivi les transferts de données transfrontaliers sans obtenir le consentement explicite des propriétaires des données.
À cet égard, le DPB a clairement exprimé sa position ; si les contrôleurs de données souhaitent effectuer des transferts de données transfrontaliers sans obtenir de consentement explicite, ils doivent soit attendre la publication de la liste des pays exemptés, soit soumettre une lettre de garantie et attendre l'approbation du Conseil. Sinon, tous les contrôleurs de données sont tenus par la LPPD d'obtenir le consentement explicite des propriétaires de données avant de procéder à des transferts de données transfrontaliers.