Technology, IT & Data Protection
Données à caractère personnel : ce qui change avec la nouvelle loi turque
News 02.02.2018
Après l’adoption du Règlement Général sur la Protection des Données (RGDP) à l’échelle européenne, c’est au tour de la Turquie de se doter d’un nouveau texte encadrant le traitement des données à caractère personnel
Le 30 décembre 2017, une loi encadrant le traitement des données à caractère personnel a été publiée au Journal Officiel turc. Cette loi impose de nouvelles obligations aux responsables de traitement établis en Turquie ainsi qu’à ceux établis en dehors de la Turquie dont les opérations de traitement impliquent des individus se trouvant sur le territoire turc
Cette loi, entrée en vigueur le 1er janvier 2018 met en place un registre des responsables de données qui est tenu par l’Agence turque de régulation des données (l’équivalent de la CNIL française). Les responsables de traitement ont l’obligation de s’enregistrer sur ce registre préalablement à la conduite de leurs opérations de traitement
Il est précisé que cet enregistrement doit être effectué en ligne par le biais d’un système intitulé VERBIS. En cas de défaut d’enregistrement sur le registre, l’agence turque de régulation des données a la possibilité d’infliger au responsable de traitement une amende pouvant aller jusqu’à 1 000 000 TYR, soit environ 215 000 euros
Une incertitude demeure sur la date d’entrée en vigueur de l’obligation. En effet bien que la loi soit en vigueur depuis le 1er janvier 2018, l’Agence turque de régulation des données a indiqué que l’impératif d’enregistrement au registre n’était pas encore effectif, le système d’enregistrement en ligne n’étant pas encore opérationnel
Des obligations spécifiques existent pour les responsables de traitement établis en dehors de la Turquie mais impliquant ce pays. Ces responsables doivent nommer puis autoriser un représentant en Turquie qui sera chargé de les enregistrer sur le registre
Il est entendu que ce représentant peut être une personne morale turque ou bien un citoyen turc résidant en Turquie. Outre l’enregistrement au registre, le représentant doit être expressément autorisé par le responsable de traitement à effectuer les opérations suivantes
Recevoir et accepter des communications officielles de l’agence turque de régulation des données pour le compte du responsable de traitement
Transférer les sollicitations de cette agence puis les réponses correspondantes du responsable de traitement
Procéder à des transactions devant l’agence turque pour le compte du responsable de traitement
Par ailleurs le nouveau texte détaille les informations que doit fournir le responsable de traitement. Les informations suivantes doivent être délivrées lors de l’enregistrement au registre par le biais du système VERBIS
L’identité et les coordonnées du responsable de traitemen
L’identité et les coordonnées du représentan
Une copie de l’autorisation donnée par le responsable de traitement au représentant tur
La finalité du traitement des données à caractère personne
Les types d’informations collectées et la méthode de collect
Les personnes auxquelles les données à caractère personnel peuvent être transférées et dans quel objecti
Les données à caractère personnel susceptibles d’être transférées à l’étrange
Les mesures de sécurités appliquées par le responsable de traitemen
La période maximum de conservation des donnée
Le texte comprend également trois obligations supplémentaires pour les responsables de traitement
La nomination d’une personne référente, distincte du représentant et dont le rôle est de faciliter les communications entre le responsable de traitement et l’agence turque
La préparation d’un inventaire des opérations de traitement conduites
L’établissement de politiques relatives à la conservation des données et à leur effacement
Partant, les responsables de traitement dont l’activité implique la Turquie se doivent de respecter ces nouvelles obligations
Il est probable que l’agence turque de régulation des données émette de nouvelles recommandations notamment afin de préciser le délai accordé pour la mise en conformité avec cette nouvelle loi ainsi que la date d’entrée en vigueur de l’obligation de nomination d’un représentant
En lien avec son partenaire Yazıcıoğlu Attroneys, le cabinet WAN se propose d’accompagner dans leur mise en conformité avec la loi turque les responsables de traitement établis en dehors de la Turquie et qui effectuent ou entendent effectuer des opérations de traitement de données à caractère personnel impliquant des individus se trouvant sur le territoire turc
Le 30 décembre 2017, une loi encadrant le traitement des données à caractère personnel a été publiée au Journal Officiel turc. Cette loi impose de nouvelles obligations aux responsables de traitement établis en Turquie ainsi qu’à ceux établis en dehors de la Turquie dont les opérations de traitement impliquent des individus se trouvant sur le territoire turc
Cette loi, entrée en vigueur le 1er janvier 2018 met en place un registre des responsables de données qui est tenu par l’Agence turque de régulation des données (l’équivalent de la CNIL française). Les responsables de traitement ont l’obligation de s’enregistrer sur ce registre préalablement à la conduite de leurs opérations de traitement
Il est précisé que cet enregistrement doit être effectué en ligne par le biais d’un système intitulé VERBIS. En cas de défaut d’enregistrement sur le registre, l’agence turque de régulation des données a la possibilité d’infliger au responsable de traitement une amende pouvant aller jusqu’à 1 000 000 TYR, soit environ 215 000 euros
Une incertitude demeure sur la date d’entrée en vigueur de l’obligation. En effet bien que la loi soit en vigueur depuis le 1er janvier 2018, l’Agence turque de régulation des données a indiqué que l’impératif d’enregistrement au registre n’était pas encore effectif, le système d’enregistrement en ligne n’étant pas encore opérationnel
Des obligations spécifiques existent pour les responsables de traitement établis en dehors de la Turquie mais impliquant ce pays. Ces responsables doivent nommer puis autoriser un représentant en Turquie qui sera chargé de les enregistrer sur le registre
Il est entendu que ce représentant peut être une personne morale turque ou bien un citoyen turc résidant en Turquie. Outre l’enregistrement au registre, le représentant doit être expressément autorisé par le responsable de traitement à effectuer les opérations suivantes
Recevoir et accepter des communications officielles de l’agence turque de régulation des données pour le compte du responsable de traitement
Transférer les sollicitations de cette agence puis les réponses correspondantes du responsable de traitement
Procéder à des transactions devant l’agence turque pour le compte du responsable de traitement
Par ailleurs le nouveau texte détaille les informations que doit fournir le responsable de traitement. Les informations suivantes doivent être délivrées lors de l’enregistrement au registre par le biais du système VERBIS
L’identité et les coordonnées du responsable de traitemen
L’identité et les coordonnées du représentan
Une copie de l’autorisation donnée par le responsable de traitement au représentant tur
La finalité du traitement des données à caractère personne
Les types d’informations collectées et la méthode de collect
Les personnes auxquelles les données à caractère personnel peuvent être transférées et dans quel objecti
Les données à caractère personnel susceptibles d’être transférées à l’étrange
Les mesures de sécurités appliquées par le responsable de traitemen
La période maximum de conservation des donnée
Le texte comprend également trois obligations supplémentaires pour les responsables de traitement
La nomination d’une personne référente, distincte du représentant et dont le rôle est de faciliter les communications entre le responsable de traitement et l’agence turque
La préparation d’un inventaire des opérations de traitement conduites
L’établissement de politiques relatives à la conservation des données et à leur effacement
Partant, les responsables de traitement dont l’activité implique la Turquie se doivent de respecter ces nouvelles obligations
Il est probable que l’agence turque de régulation des données émette de nouvelles recommandations notamment afin de préciser le délai accordé pour la mise en conformité avec cette nouvelle loi ainsi que la date d’entrée en vigueur de l’obligation de nomination d’un représentant
En lien avec son partenaire Yazıcıoğlu Attroneys, le cabinet WAN se propose d’accompagner dans leur mise en conformité avec la loi turque les responsables de traitement établis en dehors de la Turquie et qui effectuent ou entendent effectuer des opérations de traitement de données à caractère personnel impliquant des individus se trouvant sur le territoire turc
Intellectual Property
Media, Entertainment & Sports
Criminal Law and White-Collar Crime
The law firm
Employment Law
Real Estate
Tax
Corporate & M&A
Technology, IT & Data Protection
Commercial & Competition
Banking, Finance & Payment Services
TOP
