Étant considéré pendant très longtemps comme le mauvais élève en la matière, la Turquie s’est dotée d’une Loi sur la Protection des Données Personnelles (ci-après la « Loi ») en date du 24 mars 2016 qui a été publiée dans le Journal Officiel numéroté 29677 du 7 avril 2016, suite à une gigantesque fuite d’informations sensibles relatives à plus de cinquante millions de Turcs. Et, récemment a été adopté le Règlement sur l’effacement, la destruction et l’anonymisation des données personnelles (ci-après le « Règlement ») qui a été publié dans le Journal Officiel numéroté 30224 du 28 octobre 2017 et qui est entré en vigueur le 01er janvier 2018.
Cette nouvelle loi s’inspire de la Directive européenne 95/46/UE sur la protection des données personnelles.

Avant cette Loi, la protection des données personnelles était assurée essentiellement par l’article 20 de la Constitution de la République de Turquie et l’article 135 du Code pénal turc.
S’en est suivie la ratification du Traité Européen pour la protection des données à caractère personnel connue sous le nom de Traité 108 en date du 2 mai 2016 alors même que la Turquie l’avait signé le 28 janvier 1981.
L’objectif est de protéger la vie privée des personnes ainsi que leurs droits fondamentaux et leurs libertés dans le traitement des données à caractère personnel et de déterminer les obligations des personnes traitant les données à caractère personnel ainsi que les principes à respecter et la procédure à suivre, sous peine de faire l’objet de sanctions.

I. Champ d’application de la Loi et principes à respecter dans le traitement des données personnelles

A. Champ d’application de la Loi

Les dispositions de la Loi s’appliquent aux personnes physiques dont les données personnelles sont traitées et aux personnes morales et physiques traitant ces données par voie automatique ou semi automatique ou par des voies non automatiques sous la condition de faire partie d’un système d’enregistrement de données.

S’agissant des données personnelles faisant l’objet de la protection instituée, celles-ci sont définies comme « toute sorte de données relatives aux personnes physiques dont l’identité est déterminée ou déterminable ». Par ailleurs, la Loi distingue les données personnelles à caractère spécifique qui sont définies comme étant « les données relatives à la race, aux origines ethniques, aux pensées politiques, aux croyances philosophiques, à la religion, à l’appartenance sectaire ou aux autres croyances, à la tenue vestimentaire, à l’appartenance associative ou syndicale, à la santé, aux préférences sexuelles, aux condamnations pénales et aux mesures de sécurité et les données biométriques et génétiques », ces données étant également dans le champ d’application de la protection.
Toutefois, il existe des exceptions pour lesquelles la Loi ne s’applique pas. Par exemple, en cas de traitement de données personnelles par des personnes physiques dès lors que ces données les concernent ou concernent les membres de la famille habitant dans le même domicile.

B. Principes à respecter dans le traitement des données personnelles

Le traitement des données personnelles est autorisé sous le respect des principes suivants :
 être en conformité avec les règles de droit et de bonne foi,
 être véridique et à jour,
 être en lien avec l’objectif du traitement réalisé, proportionné et limité à cet objectif,
 être conservé uniquement pendant la durée nécessaire pour l’objectif du traitement ou pendant la durée prévue par la loi en question.

Il n’est pas possible de traiter les données personnelles d’une personne physique sans l’obtention de son consentement exprès.

Toutefois, dans les cas énumérés ci-dessous, le consentement exprès n’est pas requis :
 lorsque cela est prévu par les lois,
 lorsque la personne concernée est dans l’impossibilité de donner son consentement exprès ou le consentement de la personne n’a pas de validité légale mais ce consentement est nécessaire pour la protection de sa vie ou de la vie d’une autre personne ou pour la protection de son intégrité physique ou de l’intégrité physique d’une autre personne,
 sous la condition d’être en lien direct avec la formation d’un contrat ou l’exécution d’un contrat, lorsque le traitement des données personnelles des parties au contrat est nécessaire,
 lorsque le traitement de données est nécessaire pour la mise en place d’un droit, pour son utilisation ou sa protection,
 sous la condition de ne pas porter atteinte aux droits fondamentaux et aux libertés de la personne concernée, lorsque le traitement des données est nécessaire pour les intérêts légaux du responsable de données.

S’agissant des données personnelles à caractère spécifique, il faut toujours obtenir le consentement exprès de la personne concernée pour en réaliser le traitement sauf quelques exceptions légales.

La loi précise par ailleurs les conditions de transfert des données personnelles collectées par les traiteurs de données. En effet, une fois de plus, l’obtention du consentement exprès de la personne concernée est obligatoire pour pouvoir réaliser le transfert sauf dans les cas énumérés ci-dessus.

Il est également intéressant de souligner que la Loi contient des dispositions spécifiques sur le transfert des données personnelles vers l’étranger. Une fois de plus, le consentement exprès de la personne concernée est requise et pour ce qui est des exceptions énumérées ci-dessus, il faut en plus que (i) le pays destinataire prévoit une protection suffisante, que (ii) les responsables de données du pays destinataire s’engagent par écrit sur cet aspect et enfin que (iii) le Conseil de protection des données personnelles (ci-après le « Conseil ») autorise ce transfert. Par ailleurs, le Conseil établira une liste des pays où une protection suffisante existe.

II. Obligations des traiteurs de données et conséquences du non respect de la protection instituée par la nouvelle Loi

A. Obligations des traiteurs de données

La Loi met en place un registre des responsables de données qui est tenu par le Conseil. Ainsi, les responsables de données ont l’obligation de s’enregistrer sur ce registre.

S’agissant à présent des obligations vis-à-vis de la personne dont les données personnelles sont traitées, le responsable des données a l’obligation de l’éclairer en précisant :
 l’identité du responsable des données et, s’il existe, de son représentant,
 l’objectif du traitement des données personnelles,
 les personnes auxquelles les données personnelles peuvent être transférées et dans quel objectif,
 la méthode de collecte des données personnelles et la raison juridique,
 les droits des personnes dont les données personnelles sont concernées.

Le responsable des données a également l’obligation d’informer la personne qui en fait la demande et qui souhaite :
 savoir si ses données personnelles ont été traitées ou non,
 en cas de traitement de ses données, obtenir des informations sur ce traitement,
 connaître l’objectif du traitement de ses données personnelles et si celles-ci ont été utilisées conformément à cet objectif,
 connaître l’identité des tierces personnes se trouvant sur le territoire national ou à l’étranger et à qui les données ont été transférées.

Il a aussi l’obligation de faire droit aux demandes ci-dessous formulées par la personne concernée :
 la rectification des données personnelles qui ont été traitées de façon erronée ou incomplète,
 l’effacement ou la destruction des données personnelles,
 informer les tierces personnes auxquelles les données personnelles ont été transférées sur l’effacement ou la destruction des données personnelles, et
 en cas de traitement non conforme à la loi, dédommager.

Enfin, les traiteurs de données personnelles doivent en assurer la sécurité en :
 empêchant le traitement illégal des données personnelles,
 empêchant l’accès illégal aux données personnelles,
 permettant la conservation des données personnelles,
 prenant toutes les précautions techniques et administratives pour assurer un niveau de protection conforme à son objectif.

Concernant l’obligation d’effacer, de détruire et d’anonymiser les données personnelles qui ont été traitées, celle-ci a fait récemment l’objet d’un règlement, comme précisé en introduction. Ainsi, les responsables de données ont l’obligation de préparer une politique de conservation et de destruction des données personnelles qui doit préciser au minimum l’objectif de la politique mise en place, contenir des informations sur les systèmes d’enregistrement, définir les termes techniques et juridiques utilisés, exposer les raisons juridiques et techniques et les autres raisons nécessitant la mise en place d’une politique en la matière, les précautions administratives et juridiques prises pour la conservation en toute sécurité des données personnelles et pour empêcher le traitement et l’accès de façon illégale à ces données. Ces responsables de données ne peuvent conserver les données personnelles dès lors que les conditions posées par la Loi ne sont plus réunies. Ils doivent ainsi détruire ces données soit par leur propre initiative soit à la demande de la personne concernée.

Aussi, toutes les démarches réalisées pour effacer, détruire et rendre anonyme les données personnelles traitées doivent être enregistrées et les enregistrements doivent être gardés pendant au moins un délai de 3 ans. Sauf décision contraire du Conseil, le responsable des données peut décider librement soit d’effacer, soit de détruire, soit de rendre anonyme les données traitées sous sa responsabilité. La destruction des données doit se faire périodiquement. Cette période doit être déterminée par le responsable du traitement des données personnelles dans sa politique de conservation et de destruction des données personnelles et ne peut en tous les cas dépasser 6 mois.

B. Conséquences du non respect de la protection instituée par la nouvelle Loi

La personne dont les données personnelles ont fait l’objet d’un traitement a le droit de former une requête à l’attention du responsable des données qui doit y répondre dans un délai de 30 jours. Ainsi, le responsable des données peut soit (i) faire droit à la requête, (ii) soit la refuser en motivant ce refus.

En cas de refus de la requête, de réponse considérée comme insuffisante ou d’absence de réponse dans le délai légal, il est possible pour la personne dont les données personnelles ont été traitées de porter plainte auprès du Conseil qui a été mis en place par la Loi. Cette plainte peut se faire dans un délai de 30 jours à partir de la connaissance de la décision et en tous les cas dans un délai de 30 jours à partir de la date de la requête. Le Conseil étudie la plainte ainsi faite et rend sa décision. En cas d’absence de réponse dans un délai de 60 jours, la requête est considérée comme refusée. Au contraire, si le Conseil considère la plainte comme fondée, il fait connaître sa décision aux personnes concernées et le responsable des données disposent d’un délai de 30 jours à partir de la signification de la décision pour se conformer à la loi. Si l’infraction est courante, le Conseil peut également prendre une décision de principe qu’il publie.

Les responsables de données encourent par ailleurs des peines pénales en cas d’infraction à la loi. En effet, les articles 135 et 140 du Code pénal turc lui sont applicables. Ces articles disposent :
« Article 135 du Code pénal _ La personne qui enregistre illégalement les données personnelles encourt une peine de prison allant de un à trois ans. Si les données personnelles concernent la pensée politique, la pensée philosophique, la religion, l’origine ethnique des personnes, la préférence sexuelle, l’état de santé, l’appartenance sexuelle, la peine encourue est augmentée de moitié.
Article 140 du Code pénal _ Les personnes morales encourent des mesures de sûreté pour les peines définies ci-dessus. »

Les responsables de données peuvent également être condamnées aux peines suivantes :
 en cas de non respect de l’obligation d’éclairer la personne dont les données personnelles sont traitées, condamnation à une peine pouvant aller de 5.000 livres turques à 100.000 livres turques,
 en cas de non respect des mesures de sécurité relatives aux données personnelles, condamnation à une peine pouvant aller de 15.000 livres turques à 1.000.000 livres turques,
 en cas d’absence d’application des décisions du Conseil, condamnation à une peine pouvant aller de 25.000 livres turques à 1.000.000 livres turques,
 en cas de non enregistrement au registre des responsables de données, condamnation à une peine pouvant aller de 20.000 livres turques à 1.000.000 livres turques.

Belgin ÖZDILMEN Avocat GÜRHAN LAW FIRM