Retour
2 février 2018

Données à caractère personnel : ce qui change avec la nouvelle loi turque

Categories:

Après l’adoption du Règlement Général sur la Protection des Données (RGDP) à l’échelle européenne, c’est au tour de la Turquie de se doter d’un nouveau texte encadrant le traitement des données à caractère personnel.


 

Le 30 décembre 2017, une loi encadrant le traitement des données à caractère personnel a été publiée au Journal Officiel turc. Cette loi impose de nouvelles obligations aux responsables de traitement établis en Turquie ainsi qu’à ceux établis en dehors de la Turquie dont les opérations de traitement impliquent des individus se trouvant sur le territoire turc.

Cette loi, entrée en vigueur le 1er janvier 2018 met en place un registre des responsables de données qui est tenu par l’Agence turque de régulation des données (l’équivalent de la CNIL française). Les responsables de traitement ont l’obligation de s’enregistrer sur ce registre préalablement à la conduite de leurs opérations de traitement.

Il est précisé que cet enregistrement doit être effectué en ligne par le biais d’un système intitulé VERBIS. En cas de défaut d’enregistrement sur le registre, l’agence turque de régulation des données a la possibilité d’infliger au responsable de traitement une amende pouvant aller jusqu’à 1 000 000 TYR, soit environ 215 000 euros.

Une incertitude demeure sur la date d’entrée en vigueur de l’obligation. En effet bien que la loi soit en vigueur depuis le 1er janvier 2018, l’Agence turque de régulation des données a indiqué que l’impératif d’enregistrement au registre n’était pas encore effectif, le système d’enregistrement en ligne n’étant pas encore opérationnel.

Des obligations spécifiques existent pour les responsables de traitement établis en dehors de la Turquie mais impliquant ce pays. Ces responsables doivent nommer puis autoriser un représentant en Turquie qui sera chargé de les enregistrer sur le registre.

Il est entendu que ce représentant peut être une personne morale turque ou bien un citoyen turc résidant en Turquie. Outre l’enregistrement au registre, le représentant doit être expressément autorisé par le responsable de traitement à effectuer les opérations suivantes :

Par ailleurs le nouveau texte détaille les informations que doit fournir le responsable de traitement. Les informations suivantes doivent être délivrées lors de l’enregistrement au registre par le biais du système VERBIS :

Le texte comprend également trois obligations supplémentaires pour les responsables de traitement:

Partant, les responsables de traitement dont l’activité implique la Turquie se doivent de respecter ces nouvelles obligations.

Il est probable que l’agence turque de régulation des données émette de nouvelles recommandations notamment afin de préciser le délai accordé pour la mise en conformité avec cette nouvelle loi ainsi que la date d’entrée en vigueur de l’obligation de nomination d’un représentant.

En lien avec son partenaire Yazıcıoğlu Attroneys, le cabinet WAN se propose d’accompagner dans leur mise en conformité avec la loi turque les responsables de traitement établis en dehors de la Turquie et qui effectuent ou entendent effectuer des opérations de traitement de données à caractère personnel impliquant des individus se trouvant sur le territoire turc.