Turquie KVKK : Conformité à la protection des données personnelles

La loi turque Kişisel Verilerin Korunması Kanunu (KVKK — loi n° 6698 sur la protection des données personnelles) est entrée en vigueur le 7 avril 2016, faisant de la Turquie l'un des premiers pays hors de l'UE à adopter une législation complète sur la protection des données alignée sur le RGPD. Compte tenu de l'économie numérique croissante de la Turquie, de sa population importante (85 millions d'habitants) et de son rôle de plaque tournante pour les entreprises desservant les marchés européens et du Moyen-Orient, la conformité au KVKK est devenue une considération de plus en plus importante pour les organisations internationales.

Le KVKK est administré par l'Autorité de protection des données personnelles (Kişisel Verileri Koruma Kurumu — Autorité KVKK ou KVK Kurumu) et appliqué par le Conseil de protection des données personnelles (Kişisel Verileri Koruma Kurulu). Le Conseil a activement publié des orientations, enquêté sur les plaintes et imposé des amendes importantes – avec des sanctions pouvant atteindre 19,8 millions de ₺ (620 000 USD) par violation à partir de 2025.

Points clés à retenir

• KVKK s'applique aux personnes physiques et morales traitant des données personnelles de personnes turques, quel que soit le lieu d'établissement du responsable du traitement.
• Sept conditions de traitement existent pour les données personnelles générales ; huit pour les données personnelles sensibles
• Les données personnelles sensibles incluent la race, l'origine ethnique, l'opinion politique, les convictions philosophiques, la religion, la secte, l'appartenance syndicale, la santé, la vie sexuelle, les condamnations pénales, les données biométriques et génétiques.
• Les personnes concernées disposent de huit droits, dont l'accès, la rectification, l'effacement et l'opposition aux décisions automatisées.
• Les transferts de données transfrontaliers nécessitent soit une détermination d'adéquation par le Conseil, soit un consentement explicite
• L'enregistrement VERBİS (Data Controllers Registry) est obligatoire pour les responsables du traitement atteignant certains seuils
• Notification des violations de données requise sans délai injustifié au Conseil et dans les 72 heures pour les violations graves
• Des amendes administratives pouvant aller jusqu'à 19,8 millions de ₺ ; responsabilité pénale en vertu du Code pénal turc

---

Cadre KVKK et portée territoriale

Applicabilité

KVKK s'applique à :

• Personnes physiques et morales qui traitent des données personnelles entièrement ou partiellement par des moyens automatisés
• Personnes physiques et morales qui traitent des données personnelles par des moyens non automatisés si les données font partie d'un système d'archivage

Portée extraterritoriale : le KVKK n'énonce pas explicitement l'application extraterritoriale dans les mêmes termes clairs que l'article 3 du RGPD. Cependant, le Conseil a adopté la position selon laquelle le KVKK s'applique aux contrôleurs de données étrangers qui traitent les données personnelles d'individus en Turquie – ce qui se reflète dans les mesures coercitives contre Facebook/Meta et d'autres sociétés internationales. Les responsables du traitement en dehors de la Turquie qui proposent des biens/services à des personnes turques ou qui traitent des données de personnes turques doivent évaluer les obligations du KVKK.

Exemptions : KVKK ne s'applique pas à :

• Traitement de données personnelles par des personnes physiques pour des activités purement personnelles
• Traitement des données personnelles à des fins d'enquêtes et de poursuites pénales
• Traitement de données personnelles anonymisées à des fins statistiques
• Traitement pour les arts et la littérature
• Traitement à des fins journalistiques, académiques, artistiques ou littéraires (avec limitations)
• Traitement relevant de la défense nationale, de la sécurité et de la sûreté publique

---

## Conditions de traitement

L'article 5 définit les conditions dans lesquelles les données à caractère personnel peuvent être traitées. Au moins une condition doit être remplie :

1. Consentement explicite de la personne concernée
2. Explicitement prévu par la loi — traitement expressément requis ou autorisé par la loi
3. Protection de la vie ou de l'intégrité physique — lorsque la personne concernée ou un tiers ne peut pas donner son consentement
4. Nécessité du contrat — traitement nécessaire à la conclusion ou à l'exécution d'un contrat
5. Obligation légale — respect d'une obligation légale du responsable du traitement
6. La personne concernée a rendu les données publiques — la personne a divulgué les données
7. Établissement, exercice ou protection d'un droit — nécessaire à une procédure judiciaire

Conditions relatives aux données personnelles sensibles (article 6) : Les données personnelles sensibles ne peuvent être traitées que :

1. Avec le consentement explicite de la personne concernée
2. Sans consentement, pour catégories spécifiques uniquement :

• Données de santé et de vie sexuelle : uniquement pour la protection de la santé publique, la médecine préventive, le diagnostic médical, les services de soins/traitements, et la planification et la gestion des services de santé, par ou sous l'obligation de secret des personnes du secteur de la santé.
• Autres données sensibles (race, origine ethnique, religion, appartenance syndicale, etc.) : traitement autorisé là où il est explicitement prévu par la loi

Les données personnelles sensibles comprennent : la race, l'origine ethnique, l'opinion politique, les convictions philosophiques, la religion, la secte ou d'autres croyances, les vêtements, l'appartenance syndicale, la santé, la vie sexuelle, les condamnations pénales et les mesures de sécurité, ainsi que les données biométriques et génétiques.

---

Droits des personnes concernées

L'article 11 accorde aux personnes concernées les droits suivants : les demandes doivent recevoir une réponse gratuite dans un délai de 30 jours :

Exercice des droits : Les personnes concernées soumettent des demandes écrites (ou via la méthode indiquée par le responsable du traitement). Les contrôleurs doivent répondre dans les 30 jours. Si la demande est refusée, la personne concernée peut porter plainte auprès de la Commission dans un délai de 30 jours.

---

VERBİS Inscription

L'article 16 exige que les responsables du traitement s'inscrivent auprès du registre des contrôleurs de données (VERBİS — Veri Sorumluları Sicili) avant de commencer à traiter des données personnelles. L'inscription nécessite :

• Identité du contrôleur et coordonnées
• Finalités du traitement
• Groupes de données transférés et destinataires
• Objectifs de transfert
• Catégories de données traitées
• Mesures de sécurité prises
• Délais de conservation

Exemptions de l'enregistrement VERBİS (déterminées par les décisions du Conseil) :

• Nombre annuel d'employés inférieur à 50 ET états financiers annuels n'excédant pas 25 millions de livres turques
• Traitement uniquement pour le propre bénéfice de la personne concernée
• Traitement dans un but limité où les données sensibles ne sont pas traitées

Important : Même s'il est exempté de l'enregistrement VERBİS, toutes les autres obligations du KVKK s'appliquent. L'exemption VERBİS supprime uniquement l'exigence de registre.

Contrôleurs de données à l'étranger : Le Conseil a déterminé que les contrôleurs de données à l'étranger soumis au KVKK doivent également s'inscrire dans VERBİS s'ils ne relèvent pas d'une catégorie d'exemption.

---

Obligations des responsables du traitement des données

Avis de confidentialité

Les responsables du traitement des données doivent informer les personnes concernées au moment ou avant la collecte :

• Identité du responsable du traitement et du représentant (le cas échéant)
• Finalités du traitement
• Destinataires des données personnelles et finalités du transfert
• Méthode de collecte des données et base juridique
• Droits des personnes concernées en vertu de l'article 11

Langue : doit être en turc pour les opérations au service des individus turcs.

Représentant du contrôleur de données

Bien que le KVKK n'exige pas explicitement un représentant turc pour les contrôleurs étrangers, de la même manière que l'article 27 du RGPD, la pratique d'application du Conseil a indiqué que les contrôleurs étrangers devraient désigner un point de contact en Turquie. Un règlement du Conseil de 2024 sur les transferts transfrontaliers devrait formaliser cette exigence.

Minimisation des données et limitation des finalités

L'article 4 établit les principes fondamentaux du traitement des données :

• Respect de la loi et bonne foi
• Précision et mise à jour
• Traitement pour des finalités déterminées, claires et légitimes
• Pertinence, restriction et proportionnalité par rapport à l'objectif visé
• Conservation pendant la durée prévue par la loi ou requise par la finalité

Mesures de sécurité (article 12)

Les responsables du traitement doivent prendre toutes les mesures techniques et administratives nécessaires pour empêcher :

• Traitement illicite de données personnelles
• Accès illégal aux données personnelles
• Perte, destruction ou altération de données personnelles

Le Conseil a publié des directives techniques spécifiques. Les principales exigences comprennent :

• Cryptage des données personnelles sensibles lors du stockage et de la transmission
• Gestion du contrôle d'accès et de l'authentification
• Journalisation d'audit
• Tests d'intrusion (au moins une fois par an)
• Formation du personnel

---

Transfert de données transfrontalier

Les articles 9 et 9/A régissent les transferts internationaux de données. Principales restrictions :

Interdiction générale : Les données personnelles ne peuvent être transférées à l'étranger sans le consentement explicite de la personne concernée, sauf si l'une des conditions suivantes est remplie :

1. Protection adéquate : Le pays de destination a été déterminé par le Conseil comme offrant une protection adéquate ; et l'une des conditions de traitement est remplie

2. Engagement : Le destinataire étranger s'engage par écrit à ce qu'une protection adéquate soit fournie ; et le Conseil a approuvé le transfert

3. Clauses contractuelles types : les modifications KVKK de 2024 introduisent des CSC calquées sur l'approche du RGPD : les transferts vers des pays non adéquats peuvent utiliser des clauses contractuelles types approuvées par le Conseil d'administration.

4. Règles d'entreprise contraignantes : BCR approuvées pour les transferts intragroupe

5. Transferts exceptionnels : Lorsqu'un consentement explicite ne peut être obtenu et que le transfert est nécessaire pour : une procédure judiciaire, des intérêts vitaux, l'exercice de droits, l'exercice de fonctions officielles

Pays avec détermination d'adéquation : Le Conseil tient une liste ; début 2026, il a approuvé un nombre limité de pays. L'UE n'a pas d'accord d'adéquation réciproque avec la Turquie (malgré l'alignement du KVKK au RGPD), ce qui signifie que les transferts UE → Turquie et Turquie → UE nécessitent des CSC ou un consentement explicite.

Réalité pratique des services cloud : De nombreuses entreprises opérant en Turquie utilisent des services cloud hébergés en dehors de la Turquie. Selon les exigences actuelles du KVKK, ils doivent obtenir un consentement explicite pour les données de chaque individu transférées à l'étranger ou mettre en œuvre des SCC/BCR pour l'accord de transfert.

---

Notification de violation

Le KVKK ne précise pas de délai explicite de notification des violations dans la loi originale. Toutefois, les décisions du Conseil d’administration et les orientations de mise en œuvre établissent :

• Notification au Conseil : Sans retard injustifié et au plus tard dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles
• Notification aux personnes concernées : Si la violation est susceptible d'affecter les droits des personnes concernées — sans délai injustifié
• Utilisez le formulaire de notification du Conseil disponible sur le portail kvkk.gov.tr

Contenu des notifications :

• Nature de la violation et catégories/nombre approximatif de personnes concernées
• Catégories et nombre approximatif d'enregistrements concernés
• Coordonnées de la personne de contact pour la protection des données
• Conséquences probables de la violation
• Mesures prises ou proposées

---

Application du conseil et sanctions

Le Conseil de protection des données personnelles (Kişisel Verileri Koruma Kurulu) compte sept membres nommés par le président de la Turquie. Il a le pouvoir de :

• Enquêter sur les plaintes
• Mener des enquêtes d'office
• Émettre des décisions contraignantes
• Imposer des amendes administratives
• Émettre des ordonnances de conformité

Amendes administratives (mises à jour annuellement) :

Sanctions pénales : en vertu des articles 135 à 140 du Code pénal turc, l'enregistrement illégal, la fourniture à des tiers, la destruction ou l'utilisation de données personnelles peuvent entraîner une peine d'emprisonnement de 1 à 4 ans. L’utilisation abusive de données sensibles augmente les sanctions.

Mesures coercitives notables : La Commission a rendu des décisions importantes, notamment des amendes contre : WhatsApp (1,95 million de ₺ pour transfert transfrontalier illégal via des modifications de la politique de confidentialité), Trendyol (actions multiples pour manquements à la sécurité des données), Meta/Facebook (3 millions de ₺ pour le partage de données WhatsApp) et diverses banques et opérateurs de télécommunications turcs.

---

Liste de contrôle de conformité KVKK

• Applicabilité du KVKK déterminée (opérations en Turquie ou données d'individus turcs traitées)
• Enregistrement VERBİS terminé ou exemption confirmée
• Inventaire des données personnelles complété, y compris l'identification des données sensibles
• Conditions de traitement documentées pour chaque activité
• Conditions de traitement des données sensibles documentées (consentement explicite ou exemption spécifique)
• Avis de confidentialité préparé en turc avec tous les éléments requis
• Procédures relatives aux droits des personnes concernées documentées (réponse sous 30 jours)
• Évaluation du transfert transfrontalier terminée — mécanisme en place (CCS, consentement ou adéquation)
• Mesures de sécurité mises en œuvre : cryptage, contrôle d'accès, journalisation d'audit -[ ] Test d'intrusion réalisé et résultats documentés
• Procédure de notification de violation documentée (notification au Conseil d'administration dans les 72 heures) -[ ] Planifications de conservation documentées et suppression automatisée configurée
• Formation du personnel sur les obligations du KVKK terminée
• Entrées VERBİS tenues à jour et à jour

---

Questions fréquemment posées

Qu'est-ce que VERBİS et l'enregistrement est-il obligatoire pour mon entreprise ?

VERBİS (Veri Sorumluları Sicili) est le registre turc des contrôleurs de données – un registre public des organisations qui traitent des données personnelles. L'enregistrement est obligatoire pour les contrôleurs de données qui ne remplissent pas les conditions requises pour bénéficier d'une exemption déterminée par le Conseil. Les catégories exemptées comprennent les petites organisations (moins de 50 employés ET moins de 25 millions de TL de chiffre d'affaires annuel) qui ne traitent pas de données sensibles. Toutes les autres organisations traitant des données personnelles à des fins commerciales doivent s'enregistrer avant de commencer le traitement. Le défaut d’enregistrement est passible d’amendes administratives pouvant aller jusqu’à 1,96 million de ₺.

Comment le KVKK se compare-t-il au RGPD ?

Le KVKK et le RGPD sont similaires dans leur structure et leurs principes : tous deux établissent des bases juridiques, des droits des personnes concernées, des cadres de traitement/sous-traitant et des obligations en matière de sécurité des données. Principales différences : (1) KVKK a moins de conditions de traitement (7 contre 6 pour le RGPD, mais les conditions de KVKK diffèrent sur le fond) ; (2) Les transferts transfrontaliers KVKK sont plus restrictifs : la Turquie n'est pas un pays adéquat pour l'UE, donc les transferts UE → Turquie et Turquie → UE nécessitent des CSC ou un consentement ; (3) L'enregistrement VERBİS n'a pas d'équivalent direct au RGPD ; (4) les sanctions pénales du KVKK sont plus étendues ; (5) L'approche d'application du KVKK a été plus restrictive en ce qui concerne les flux de données internationaux.

Mon entreprise a-t-elle besoin d'un représentant local en Turquie ?

Le KVKK n'a pas d'exigence explicite analogue à l'article 27 du RGPD pour un représentant turc. Cependant, le Conseil a pris des mesures coercitives contre des sociétés étrangères, et le respect pratique – y compris l'enregistrement de VERBİS et la réponse aux enquêtes du Conseil – nécessite une communication en langue turque et la capacité de répondre dans le cadre des procédures juridiques turques. De nombreuses entreprises étrangères désignent un cabinet d’avocats turc ou un partenaire de conformité comme représentant de facto. Les modifications KVKK de 2024 devraient clarifier les exigences de représentativité pour les contrôleurs étrangers.

Quelles sont les options de transfert transfrontalier pour les entreprises turques utilisant AWS ou Azure ?

AWS et Azure disposent de centres de données en Turquie (AWS et Azure ont tous deux des régions d'Istanbul). L'utilisation des services de la région Turquie évite les problèmes de transfert transfrontalier. Si vous utilisez des régions cloud non turques, vous avez besoin d'un mécanisme de transfert transfrontalier. Actuellement, les principales options sont : (1) le consentement individuel explicite (difficile sur le plan opérationnel pour une utilisation du cloud à grande échelle) ; (2) engagement : le destinataire étranger fournit un engagement écrit à protéger les données, approuvé par le Conseil (le processus d'approbation du Conseil est long) ; (3) SCC approuvés par le Conseil et introduits dans les modifications de 2024. De nombreuses entreprises attendent les conseils du conseil d'administration sur les modèles SCC avant de migrer des approches basées sur le consentement.

Quels types de violations entraînent les amendes du KVKK les plus élevées ?

Les amendes administratives les plus élevées (jusqu'à 19,6 millions de ₺) concernent les violations de transferts transfrontaliers. Les violations des obligations en matière de sécurité des données entraînent des amendes pouvant aller jusqu'à 9,8 millions de ₺. Le non-respect des décisions du Conseil entraîne également des amendes élevées (jusqu'à 9,8 millions de ₺). Dans la pratique, le Conseil a infligé les amendes les plus élevées pour : les transferts transfrontaliers illégaux (en particulier vers les plateformes de médias sociaux), les violations de la sécurité des données résultant de mesures techniques inadéquates et le non-respect systématique des obligations de notification. Les sanctions pénales (emprisonnement en vertu du Code pénal turc) sont réservées à l'enregistrement ou à la fourniture délibérément et illégalement de données personnelles.

---

Prochaines étapes

Le KVKK turc est un cadre de conformité exigeant avec une application active, des normes techniques spécifiques et des règles complexes en matière de transfert transfrontalier. Alors que la législation turque continue d’évoluer au travers des décisions du Conseil et des modifications réglementaires, le maintien de la conformité nécessite une surveillance continue.

ECOSIRE aide les entreprises opérant en Turquie avec les évaluations de conformité KVKK, l'assistance à l'enregistrement VERBİS, la mise en œuvre technique des contrôles de protection des données et la sélection du mécanisme de transfert transfrontalier.

Commencez : Services ECOSIRE

Avertissement : ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. La loi turque sur la protection des données est sujette à des changements continus par le biais de décisions du Conseil d'administration et de modifications législatives. Consultez un conseiller juridique turc qualifié pour obtenir des conseils spécifiques à votre organisation.