Outils d'IA et données des employés : obligations KVKK en Turquie

Les entreprises opérant en Turquie — notamment les sociétés à capitaux étrangers basées à Antalya — font de plus en plus appel aux outils d'intelligence artificielle. Logiciels de suivi de la productivité, assistants de messagerie basés sur l'IA, systèmes de planification automatisés, plateformes d'analyse des performances : ces outils font désormais partie du quotidien de nombreux lieux de travail. Dès qu'ils commencent à traiter des données relatives aux salariés, la Loi n°6698 sur la protection des données personnelles (KVKK) entre en jeu. Le non-respect de ces obligations peut entraîner des sanctions du Conseil de protection des données, des plaintes de salariés et de graves atteintes à la réputation. Pour une présentation générale du cadre KVKK, consultez notre article sur la conformité KVKK et les obligations de protection des données.

Quelles données des salariés les outils d'IA traitent-ils ?

Le volume de données concerné est souvent bien plus large que ce que les employeurs imaginent. Les outils d'IA couramment utilisés peuvent traiter : noms et coordonnées, métadonnées des échanges par e-mail (qui communique avec qui et quand), journaux d'utilisation des appareils, scores de productivité, données de localisation des télétravailleurs, et dans certains cas des données biométriques — systèmes de pointage par reconnaissance faciale, outils de transcription vocale ou données issues de dispositifs portables.

Les données biométriques constituent une catégorie à part entière au regard de la KVKK. L'article 6 de la Loi classe les données biométriques et génétiques parmi les données personnelles sensibles, dont le traitement est en principe interdit. Pour lever cette interdiction, il faut soit recueillir un consentement explicite, soit se prévaloir d'une des exceptions strictement prévues par la Loi, tout en mettant en œuvre les mesures de sécurité suffisantes définies par le Conseil de protection des données. Les employeurs souhaitant déployer un système de pointage par reconnaissance faciale ou une analyse vocale par IA doivent satisfaire à ces exigences en amont.

Quel fondement juridique retenir dans la KVKK ?

L'article 5 de la KVKK exige qu'un fondement juridique valable soit identifié avant tout traitement de données personnelles. Le consentement explicite est théoriquement envisageable, mais sa fiabilité juridique est limitée dans le contexte d'un contrat de travail : le salarié ne pouvant pas librement refuser la demande de son employeur, le consentement obtenu risque de ne pas être considéré comme réellement « libre ».

Pour les applications d'IA en milieu de travail, les fondements juridiques plus solides sont les suivants :

• Exécution du contrat (art. 5/2/c) : données strictement nécessaires à la conclusion ou à l'exécution du contrat de travail — le traitement de la paie en est l'exemple typique.
• Obligation légale (art. 5/2/ç) : traitements imposés par le droit du travail, la réglementation sur la santé et la sécurité au travail ou la législation fiscale.
• Intérêt légitime (art. 5/2/f) : intérêt opérationnel légitime de l'employeur, à condition que le traitement ne porte pas atteinte aux droits et libertés fondamentaux du salarié et que le test de proportionnalité soit effectué et documenté. C'est le fondement le plus souvent invoqué pour les outils de suivi de la productivité.

Conclusion pratique : une stratégie reposant uniquement sur le consentement du salarié pour des dispositifs de surveillance par IA est risquée au regard de la KVKK. Identifiez un fondement institutionnel et documentez-en la justification.

Obligation d'information avant tout déploiement

Avant de mettre en service tout outil d'IA susceptible de traiter des données de salariés, vous êtes tenu, en tant que responsable du traitement, d'informer les salariés conformément à l'article 10 de la KVKK. Cette information doit couvrir : l'identité du responsable du traitement, les finalités du traitement, les destinataires éventuels, la méthode et le fondement juridique de la collecte, ainsi que les droits des salariés prévus à l'article 11.

Vous devez donc mettre à jour votre notice d'information en milieu de travail de façon spécifique à l'outil d'IA concerné ; les formulations génériques standard ne satisfont pas à l'article 10. Pour comprendre la distinction entre notice d'information et recueil du consentement explicite, consultez notre article sur la distinction entre obligation d'information et consentement explicite dans la KVKK. Si l'outil transfère des données de salariés en dehors de la Turquie, ce transfert doit lui aussi reposer sur un fondement juridique distinct, dans le respect des règles applicables aux transferts transfrontaliers de données.

Droits auxquels les salariés ne peuvent pas renoncer

L'article 11 de la KVKK confère à tout titulaire de données — y compris les salariés — des droits qui ne peuvent être supprimés par le contrat de travail. Il s'agit notamment du droit de savoir si des données sont traitées, d'en obtenir communication, d'en demander la rectification en cas d'erreur, et d'en demander l'effacement lorsque le fondement juridique a disparu.

Dans un environnement d'IA, un droit revêt une importance particulière : le droit de s'opposer à une décision fondée exclusivement sur un traitement automatisé (art. 11/g). Si l'évaluation des performances, une sanction disciplinaire ou une proposition de rupture du contrat de travail reposent uniquement sur la sortie d'un algorithme et sont mises en œuvre sans intervention humaine, le salarié concerné peut exercer ce droit. Dans ce cas, l'employeur s'expose à une responsabilité au titre de la KVKK et du droit du travail. Cela ne signifie pas que l'IA ne peut pas être utilisée dans les ressources humaines, mais que les décisions importantes doivent impérativement faire l'objet d'une validation humaine avant d'être appliquées.

Foire aux questions

Q : Peut-on sécuriser juridiquement la surveillance par IA en recueillant le consentement explicite des salariés ?

Se fonder uniquement sur le consentement explicite est risqué. En raison du déséquilibre des pouvoirs inhérent à la relation de travail, le consentement obtenu auprès d'un salarié peut ne pas être considéré comme librement donné au sens de la KVKK. Des fondements objectifs tels que l'intérêt légitime ou l'obligation légale offrent généralement une base plus solide.

Q : Nous utilisons un service d'IA américain qui traite les échanges des salariés. La KVKK s'applique-t-elle ?

Oui. Dès lors que les salariés dont les données sont traitées se trouvent en Turquie, la KVKK s'applique, quel que soit le pays d'établissement du fournisseur. Des obligations de conformité distinctes s'appliquent en outre au transfert de données vers l'étranger.

Q : Un salarié peut-il contester un score de performance généré par l'IA ?

En vertu de l'article 11/g de la KVKK, oui : si le score a été produit exclusivement par des systèmes automatisés et entraîne une conséquence concrète telle qu'une réduction de prime ou une sanction disciplinaire, une supervision humaine est obligatoire avant que la décision soit mise à exécution.

Q : Que faut-il faire pour mettre en place un système de pointage par reconnaissance faciale ?

La reconnaissance faciale constitue un traitement de données biométriques au sens de l'article 6 de la KVKK. Consentement explicite ou exceptions légales strictes, mesures de sécurité prescrites par le Conseil, et information préalable en vertu de l'article 10 sont tous obligatoires.

Comment Mona Hukuk peut vous aider

Basé à Antalya, le cabinet Mona Hukuk conseille employeurs et salariés sur la conformité KVKK liée à l'utilisation d'outils d'IA en milieu de travail : rédaction des notices d'information, identification du fondement juridique et gestion des procédures devant le Conseil.

Pour une consultation à Antalya, écrivez-nous à info@monahukuk.com ou appelez le +90 (242) 606 14 32.