Tur­quie : adap­t­ati­on au RGPD ; obli­ga­ti­on de noti­fi­ca­ti­on pour TK-SCC

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

Thè­mes

, ,
Ven­te à emporter (AI)
  • Adap­t­ati­on de la loi tur­que sur la pro­tec­tion des don­nées (loi n° 6698) au 1er juin 2024 : les trans­ferts à l’étran­ger sont désor­mais régis par une décis­i­on d’a­dé­qua­ti­on, des garan­ties appro­priées (TK-SCC/BCR) ou des cas d’exception.
  • Les CCCT doi­vent être décla­rées dans les cinq jours sui­vant leur con­clu­si­on ain­si que l’ad­hé­si­on, la modi­fi­ca­ti­on ou la ces­sa­ti­on ; les con­sen­te­ments com­me base juri­di­que pri­ma­i­re ont été supprimés.

La légis­la­ti­on tur­que en matiè­re de pro­tec­tion des don­nées est prin­ci­pa­le­ment rédi­gée dans la “loi sur la pro­tec­tion des don­nées à carac­tère per­son­nel” (loi n° 6698). En mars 2024, cet­te loi a été com­plè­te­ment révi­séent­re aut­res pour l’ad­ap­ter au RGPD. Les adap­t­ati­ons con­cer­nent ent­re aut­res Trans­mis­si­on de don­nées per­son­nel­les de la Tur­quie vers d’aut­res pays. Un tel trans­fert est autorisé

  • dans les pays où une décis­i­on d’a­dé­qua­ti­on a été pri­se (une liste n’est pas enco­re dis­po­ni­ble, mais les décis­i­ons d’a­dé­qua­ti­on devront être publiées au Jour­nal officiel) ;
  • sur la base de garan­ties appro­priées tel­les que des cont­rats types ou des BCR (des lignes direc­tri­ces ont été publiées sur ces dernières) ;
  • dans cer­ta­ins cas excep­ti­on­nels (en sub­stance, l’art. 17 LPD ou l’art. 49 RGPD correspondant).

Le site Cont­rats types de l’au­to­ri­té tur­que de sur­veil­lan­ce de la pro­tec­tion des don­nées (le KVKKLes SCC (TK-SCC) ont une struc­tu­re pres­que iden­tique à cel­le des SCC de la Com­mis­si­on euro­pé­en­ne. Ils uti­li­sent éga­le­ment les quat­re modu­les con­nus, mais cha­cun en tant que cont­rat sépa­ré. Il exi­ste tou­te­fois diver­ses dif­fé­ren­ces, rai­son pour laquel­le les CCC de l’UE ne peu­vent pas être uti­li­sés pour les exporta­ti­ons de la Tur­quie. Con­trai­re­ment à l’an­ci­en­ne légis­la­ti­on, l’uti­li­sa­ti­on des CCC tur­cs ne doit plus être approu­vée par l’au­to­ri­té de sur­veil­lan­ce. Elle doit cepen­dant lui four­nir décla­rés dans les cinq jours sui­vant la clôtu­re dans le cas con­trai­re, une amen­de peut être inf­li­gée. L’ad­hé­si­on, la modi­fi­ca­ti­on et la rési­lia­ti­on de la CT-SCC doi­vent éga­le­ment être déclarées.

Les modi­fi­ca­ti­ons sont entrées en vigueur le 1er juin 2024. Les régle­men­ta­ti­ons exi­stan­tes con­cer­nant le trans­fert de don­nées sont restées en vigueur jus­qu’au 1er sep­tembre 2024 mais sont désor­mais cadu­ques – il en va appa­rem­ment de même pour le con­sen­te­ment expli­ci­te, qui con­sti­tuait jus­qu’à pré­sent une base plus soli­de pour les trans­mis­si­ons à l’étran­ger. Les impor­ta­teurs en dehors de la Tur­quie ont été et sont invi­tés en con­sé­quence par les pre­sta­tai­res de ser­vices tur­cs et d’aut­res exporta­teurs à Con­clu­re un CCT-SCC. Il con­vi­ent éga­le­ment d’ad­ap­ter les accords Intra­grou­pe de trans­fert de données/protection des don­nées (IGDTA ; IDPA).

Un aut­re chan­ge­ment con­cer­ne Trai­te­ment des don­nées per­son­nel­les sen­si­bles (la défi­ni­ti­on cor­re­spond­ant plus ou moins à cel­le du RGPD, mais étant plus lar­ge – les infor­ma­ti­ons rela­ti­ves à l’ha­bil­le­ment ou à l’ap­pa­rence phy­si­que ou à l’ap­par­ten­an­ce à une asso­cia­ti­on ou à une fon­da­ti­on sont éga­le­ment cou­ver­tes). Selon l’an­ci­en droit, un con­sen­te­ment expli­ci­te était géné­ra­le­ment requis ; désor­mais, l’ob­li­ga­ti­on léga­le de trai­te­ment suf­fit notam­ment et le trai­te­ment par les fon­da­ti­ons, les asso­cia­ti­ons et les ONG a été facilité.