Menu
Menu

Transfert de données personnelles à l'étranger : cadre juridique actuel en Turquie

Publiée au Journal officiel n° 32487 du 12.03.2024, la loi n° 7499 a apporté des modifications à la loi n° 6698 sur la protection des données personnelles (la «Loi"). Par la suite, le règlement sur les procédures et les principes de transfert de données personnelles à l'étranger ("Règlement”) a été publié et est entré en vigueur au Journal officiel n° 32598 du 10.07.2024. En janvier 2025, le Guide sur le transfert de données personnelles à l'étranger («Guide”) a été publié sur le site Internet de l'Autorité de protection des données personnelles («Autorité»).

1. Introduction

Auparavant, le transfert de données personnelles à l'étranger sans obtenir le consentement explicite de la personne concernée nécessitait l'existence de l'une des conditions prévues par la loi et le Conseil de protection des données personnelles («Conseil d'administration») en décidant que le pays vers lequel les données seraient transférées bénéficiait d’une protection adéquate (étant inscrit sur la liste des pays sûrs).

Si un pays n'est pas considéré comme offrant une protection adéquate, les données personnelles peuvent toujours être transférées sans le consentement explicite de la personne concernée, si l'une des conditions de traitement des données pertinentes est remplie, à condition que les responsables du traitement des données en Turquie et dans le pays concerné s'engagent à assurer une protection adéquate (en soumettant une lettre d'engagement) et que le Conseil accorde l'autorisation. Pour les entreprises multinationales qui transfèrent des données entre elles, des règles d'entreprise contraignantes («BCR« » devait être créé et approuvé par le Conseil.

Cependant, en raison du manque d'application pratique des lettres d'engagement et des BCR et du fait que le Conseil n'accordait d'autorisation que pour un nombre très limité de demandes, le transfert de données à l'étranger était devenu pratiquement dépendant uniquement de l'obtention du consentement explicite des personnes concernées. Jusqu'au 01.06.2024, le Conseil a reçu 86 demandes présentées par le biais de lettres d'engagement, dont seulement 10 ont été approuvées. En outre, 3 demandes de BCR ont été présentées, mais aucune d'entre elles n'a été approuvée en raison de lacunes procédurales et de fond.

Cette situation rendait presque impossible l’utilisation légale de la plupart des serveurs situés à l’étranger et de la plupart des logiciels et applications basés sur le cloud, et devenait un obstacle à l’investissement dans notre pays. Dans ce contexte, un mécanisme à trois alternatives pour le transfert de données personnelles à l’étranger a été envisagé. Les changements visent à aligner la législation sur le règlement UE 2016/679 (Règlement général sur la protection des données (RGPD)) et à répondre aux besoins pratiques.

2. Méthodes de transfert

 a. Décision d'adéquation

 Le transfert de données à l'étranger peut avoir lieu si l'une des conditions de traitement des données mentionnées aux articles 5 et 6 de la loi existe et que la Commission rend une décision d'adéquation concernant le lieu de transfert.

La pratique de décision d’adéquation est parallèle à la pratique antérieure de la « liste des pays sûrs ». L’objectif de cette évaluation est de confirmer que le niveau de protection des données du pays, du secteur ou de l’organisation internationale vers lequel les données sont transférées est équivalent à celui de la Turquie. Cette évaluation prendra en compte des facteurs tels que la réciprocité, la législation du pays concerné, l’existence d’une autorité de protection des données indépendante et efficace, les recours administratifs et judiciaires, et le fait que le pays soit partie à des traités internationaux ou membre d’organisations internationales.

La décision du Conseil du 02.05.2019, numérotée 2019/125, stipulait auparavant que le volume des échanges avec le pays concerné serait également pris en compte lors de l'évaluation. À ce stade, comme le souligne la directive, les pays parties à des traités internationaux auxquels la Turquie est partie devraient être prioritaires lors de la prise de la décision d'adéquation.

La décision d'adéquation rendue par le Conseil peut concerner non seulement le pays vers lequel les données seront transférées, mais aussi un secteur spécifique de ce pays ou une organisation internationale. Le Conseil réexaminera la décision d'adéquation au moins une fois tous les quatre ans et, s'il le juge nécessaire, pourra la modifier, la suspendre ou la révoquer. Ce délai de quatre ans est un délai réglementaire et, si le Conseil le juge nécessaire, il pourra réévaluer la décision d'adéquation avant l'expiration de ce délai.

b. Approprié Sauvegardes

En l’absence de décision d’adéquation, le transfert peut néanmoins avoir lieu si l’une des conditions de traitement des données précisées aux articles 5 et 6 existe, à condition que la personne concernée puisse exercer ses droits et accéder à des recours juridiques effectifs dans le pays de transfert, et que des garanties appropriées soient en place.

Les accords: Le transfert peut être effectué s'il existe un accord, qui n'est pas classé comme une convention internationale, entre des institutions et organisations publiques ou des organisations professionnelles ayant le statut d'institution publique en Turquie et des institutions publiques, organisations ou organisations internationales à l'étranger, et si le Conseil accorde l'autorisation de transfert. Ces accords peuvent prendre la forme de protocoles de coopération, de protocoles d'accord ou d'accords administratifs, tels que l'accord administratif pour le transfert de données personnelles entre l'Agence turque des médicaments et des dispositifs médicaux et la Commission européenne.

Règles d'entreprise contraignantes: Les transferts peuvent être effectués en présence de BCR approuvées par le Conseil, qui contiennent des dispositions concernant la protection des données personnelles que les sociétés au sein d'un groupe exerçant une activité économique commune sont tenues de respecter. Les BCR sont des règles de protection des données personnelles qui doivent être suivies par les membres du groupe dans le cas d'activités de transfert de données personnelles d'un responsable du traitement ou d'un sous-traitant de données établi en Turquie vers un responsable du traitement ou un sous-traitant de données établi à l'étranger au sein du même groupe. Des lignes directrices contenant les considérations à prendre en compte lors de l'élaboration des BCR ont été publiées sur le site officiel de l'Autorité le 10.07.2024.

Contrats standards : Si les parties au transfert signent un contrat type annoncé par le Conseil, qui contient des détails tels que les catégories de données, les finalités du transfert de données, les groupes de destinataires, les mesures techniques et administratives à prendre par le destinataire des données et les mesures supplémentaires pour les catégories particulières de données personnelles, les données peuvent être transférées à l'étranger. Quatre types de modèles de contrats types couvrant différents scénarios de transfert ont été annoncés sur le site Web de l'Autorité. site de NDN Collective suite à une annonce publique du 10.07.2024.

Après avoir choisi le type de contrat type approprié, les parties ne peuvent modifier que les dispositions facultatives ou alternatives de celui-ci. Aucun ajout, suppression ou modification ne peut être apporté aux contrats types en dehors de ces dispositions. Ces contrats types doivent être signalés à l'Autorité par le responsable du traitement ou le sous-traitant dans les 5 jours ouvrables suivant la signature. Le non-respect de cette obligation de notification est passible d'une amende administrative. En outre, en cas de modification des déclarations ou des informations fournies par les parties ou en cas d'expiration du contrat type, une notification doit être adressée à l'Autorité.

Lettre d'engagement : S'il existe un engagement écrit entre les parties au transfert qui comprend des dispositions garantissant une protection adéquate, le but, la portée, la nature et la base juridique du transfert, un engagement à respecter les principes généraux, les restrictions sur les transferts ultérieurs de données et des réglementations similaires, et si le Conseil accorde l'autorisation pour le transfert, le transfert peut se dérouler comme dans la période de mise en œuvre précédente.

c. Cas fortuits (exceptionnels)

Dans les cas où il n'existe pas de décision d'adéquation ou où des garanties appropriées ne peuvent être fournies, les données peuvent être transférées à l'étranger dans des circonstances limitées et spécifiées comme accessoires. Ces cas accessoires spécifiés dans la loi comprennent :

  • La personne concernée donne son consentement explicite après avoir été informée des risques potentiels,
  • Le transfert étant nécessaire à l'exécution d'un contrat entre la personne concernée et le responsable du traitement ou à la mise en œuvre de mesures précontractuelles prises à la demande de la personne concernée,
  • Le transfert étant nécessaire à la conclusion ou à l'exécution d'un contrat à exécuter entre le responsable du traitement et une autre personne physique ou morale au bénéfice de la personne concernée,
  • Le transfert étant nécessaire pour un intérêt public prépondérant,
  • Le transfert étant nécessaire à l’établissement, à l’exercice ou à la protection d’un droit légal,
  • Le transfert étant nécessaire à la protection de la vie ou de l'intégrité physique de la personne elle-même ou de toute autre personne, qui n'est pas en mesure d'expliquer son consentement en raison d'un handicap physique ou dont le consentement n'est pas considéré comme juridiquement valable,
  • Le transfert est effectué à partir d’un registre ouvert au public ou accessible aux personnes ayant un intérêt légitime, à condition que les conditions d’accès au registre prévues par la législation pertinente soient remplies et que la personne ayant un intérêt légitime ait demandé le transfert.

En cas de circonstances fortuites, les conditions prévues aux articles 5 et 6 de la loi ne sont pas requises. Les transferts de données personnelles fondés sur des circonstances fortuites ne nécessitent pas l'autorisation ou l'approbation de l'Office, ni aucune obligation de notification.

Toutefois, les transferts effectués dans des circonstances fortuites constituant une exception, il convient d'en appliquer une interprétation restrictive. Il convient tout d'abord d'évaluer si une décision d'adéquation ou l'une des garanties appropriées est disponible ; en leur absence, le transfert exceptionnel ne devrait être utilisé qu'en dernier recours.

Les transferts occasionnels peuvent se produire plus d’une fois ; toutefois, pour que des transferts répétés soient considérés comme exceptionnels, ils ne doivent pas être réguliers, ne doivent pas avoir de continuité et doivent avoir lieu dans des circonstances imprévues et à intervalles irréguliers, en dehors du cours normal des actions.

3. Évaluations et conclusion

La réglementation stipulant que si un traité international ou d'autres lois prévoient une disposition concernant le transfert de données à l'étranger, les données personnelles peuvent être transférées à l'étranger conformément à ces dispositions a été conservée. Par conséquent, avant d'évaluer les décisions d'adéquation, les garanties appropriées ou les cas de transfert exceptionnels, il convient de déterminer si une disposition existe dans un traité international ou d'autres lois au stade initial de l'activité de transfert.

Si aucune disposition n'est prévue dans les accords internationaux ou autres lois, il convient d'examiner en premier lieu si une décision d'adéquation est disponible. Dans le cas contraire, il convient d'évaluer si l'une des garanties appropriées peut être fournie. Si cela n'est pas possible, il convient en dernier recours d'évaluer si le transfert constitue un transfert accessoire (exceptionnel).

À la date de publication de cet article, aucun pays, secteur ou organisation internationale n’a obtenu de décision d’adéquation. Les raisons qui ont retardé la création de la liste des pays sûrs dans le passé sont généralement des facteurs qui entreront également en jeu dans le processus d’obtention d’une décision d’adéquation, il reste donc à voir si la décision sera prise à court terme. Par conséquent, il est prévu que, pour l’instant, les applications pratiques se concentreront sur les garanties appropriées, les clauses contractuelles types étant principalement appliquées parmi ces garanties.

Par ailleurs, la loi stipule que des garanties doivent également être prévues dans la législation pour les transferts ultérieurs de données personnelles transférées à l’étranger. Cependant, la législation ne réglemente pas explicitement la manière dont le respect des réglementations pertinentes par les tiers doit être assuré lorsque la partie destinataire transfère les données à des tiers, et le guide ne fournit pas non plus de précisions sur la manière dont les transferts ultérieurs seront contrôlés. Par conséquent, des problèmes pratiques peuvent survenir concernant les transferts ultérieurs. Il est prévu que ces problèmes seront façonnés par les pratiques au cours de la période à venir.

Conformément à la disposition transitoire « Article 3 temporaire » ajoutée à la loi, les activités de traitement de données doivent être conformes à la nouvelle réglementation à compter du 01.09.2024. En effet, il est clair que les transferts effectués par les entreprises sur la base du consentement explicite obtenu des personnes concernées au cours de la période de mise en œuvre précédente ne sont plus valables, et il est crucial pour les entreprises qui ne se sont pas encore conformées à la nouvelle réglementation d'identifier rapidement la méthode la plus applicable à leurs processus commerciaux et de compléter leurs procédures de conformité.

Avukat Ece Elvan Celep - ASY Légal

Av. Ece Elvan Celep

Contact pour consultation

Auteur Bio

Articles Similaires