Traitement des données biométriques en Turquie selon la KVKK

Lecteurs d'empreintes digitales à l'entrée des bureaux, reconnaissance faciale à la réception des hôtels d'Antalya, scanners de veines de la paume en remplacement des badgeuses — les technologies biométriques se multiplient à travers la Turquie. Pour les entreprises qui les déploient, ignorer le cadre juridique applicable expose à des risques sérieux. La loi turque sur la protection des données personnelles (Kişisel Verilerin Korunması Kanunu, KVKK) range les données biométriques dans la catégorie la plus sensible du droit turc et soumet leur traitement à des conditions strictes. Ressortissants étrangers, investisseurs et sociétés internationales opérant en Turquie sont soumis à ces règles exactement comme les acteurs locaux.

Ce que le droit turc entend par données biométriques

La KVKK ne définit pas elle-même les données biométriques, mais son article 6 les mentionne expressément — avec les données génétiques, les données de santé, les convictions religieuses et la vie sexuelle — parmi les données à caractère personnel de catégorie particulière (özel nitelikli kişisel veri). Pour combler cette absence de définition, les tribunaux turcs se réfèrent au règlement européen RGPD : sont biométriques les données résultant d'un traitement technique spécifique des caractéristiques physiques, physiologiques ou comportementales d'une personne permettant ou confirmant son identification unique.

Concrètement, sont visés les gabarits d'empreintes digitales, la géométrie faciale, les scans d'iris, les lecteurs de veinures de la paume et les systèmes de vérification vocale. Dès qu'une technologie identifie un individu précis à partir de ses caractéristiques corporelles, elle traite des données biométriques au sens de la KVKK.

L'interdiction de principe et ses exceptions légales

L'article 6 de la KVKK pose une interdiction générale : le traitement des catégories particulières de données à caractère personnel — dont les données biométriques — est interdit, à moins que l'un des fondements légaux prévus par la loi ne soit réuni. La réforme de 2024 (loi n° 7499) a élargi cette liste, qui comprend désormais :

• Le consentement explicite (açık rıza) de la personne concernée — libre, spécifique, éclairé et non ambigu
• Une autorisation légale expresse — la réglementation applicable doit permettre explicitement ce traitement
• La nécessité vitale, lorsque la personne est dans l'impossibilité de consentir
• Des données rendues publiques par la personne elle-même
• La nécessité d'établir, d'exercer ou de défendre un droit
• Des finalités de soins de santé et de santé publique (par des professionnels soumis au secret)
• L'exécution d'obligations légales en matière d'emploi, de sécurité au travail et de protection sociale

L'article 6, alinéa 4 ajoute une exigence transversale : quelle que soit la base légale retenue, le traitement de données de catégorie particulière doit impérativement respecter les mesures de sécurité fixées par le Conseil de protection des données (Kişisel Verilerin Korunması Kurulu). Ces mesures portent sur le chiffrement des gabarits biométriques, les contrôles d'accès, les journaux d'audit et la formation des personnels.

Pour une vue d'ensemble des obligations issues de la KVKK, consultez notre article sur la conformité à la KVKK en Turquie.

Biométrie en entreprise : le principe de proportionnalité

L'utilisation de systèmes biométriques pour le contrôle des présences et l'accès aux locaux a donné lieu au plus grand nombre de contentieux en Turquie. Le Danıştay (Conseil d'État turc) y a répondu par une jurisprudence constante : la commodité ou l'efficacité technique ne constituent pas, à elles seules, une justification juridique suffisante pour collecter des données biométriques.

Dans une décision de 2022, la 12e chambre du Danıştay a annulé une mesure administrative imposant à des agents publics de s'enregistrer via un lecteur d'empreintes. Le tribunal a constaté l'absence à la fois d'une base légale claire et d'un consentement véritablement libre. Mais il est allé plus loin : même si un consentement avait été obtenu, l'exigence de proportionnalité demeure. Si des méthodes moins intrusives — badges, codes PIN — atteignent le même objectif, collecter des données biométriques est disproportionné et viole le principe de minimisation des données posé par l'article 4 de la KVKK.

Un arrêt de 2023 a confirmé la même logique à propos d'un scanner de veines de la paume : l'employeur avait constaté que des alternatives fonctionnaient parfaitement, ce qui rendait le système biométrique superflu et donc illicite.

Le message est clair : l'efficacité technique ne rend pas un traitement licite. Si une méthode moins invasive peut remplir la même fonction, le droit turc peut en imposer l'usage.

Ce que les organisations doivent faire avant de déployer un système biométrique

Qu'il s'agisse d'un hôtel à Antalya, d'une usine, d'une résidence ou d'une société multinationale implantée en Turquie, les étapes préalables à tout traitement biométrique sont identiques :

• Identifier la base légale. S'appuie-t-on sur le consentement explicite ou sur une habilitation légale ? Le consentement ne peut être intégré au contrat de travail ni conditionner l'accès aux locaux.
• Réaliser et documenter le test de proportionnalité. Pourquoi la biométrie est-elle nécessaire ? Pourquoi une méthode moins intrusive est-elle insuffisante ?
• Remettre une notice de confidentialité avant le début du traitement. Sur la distinction entre notice et consentement sous la KVKK, voir notre article sur la notice d'information et le consentement explicite en Turquie.
• Mettre en œuvre les mesures de sécurité du Conseil — chiffrement, contrôle d'accès, journalisation, révisions périodiques.
• Fixer une durée de conservation et supprimer ou anonymiser les données biométriques dès que la finalité est atteinte.
• Enregistrer le traitement dans le VERBİS si votre organisation est soumise à l'obligation d'inscription en tant que responsable du traitement. Les traitements biométriques doivent être déclarés séparément, en tant que catégorie à haute sensibilité. Plus d'informations dans notre guide sur le registre VERBİS des responsables du traitement.

Questions fréquentes

Q : Un employeur en Turquie peut-il imposer le lecteur d'empreintes ?

En règle générale, non — sans base légale ou consentement véritablement libre, cette pratique est illicite. Et même en présence d'un consentement, le test de proportionnalité doit être satisfait : l'existence d'alternatives viables peut suffire à rendre le système contestable.

Q : La KVKK s'applique-t-elle aux entreprises étrangères ?

Oui. La loi s'applique à toute organisation qui traite des données personnelles de personnes se trouvant en Turquie, quel que soit le pays dans lequel elle est constituée.

Q : Quelles sont les conséquences d'un traitement biométrique sans fondement légal ?

Le Conseil peut infliger des sanctions administratives. Le traitement sans base légale de données de catégorie particulière peut également engager la responsabilité pénale au titre du Code pénal turc (Türk Ceza Kanunu).

Q : Qu'a changé la réforme de la KVKK de 2024 sur les données biométriques ?

La réforme a élargi la liste des bases légales disponibles, mais les conditions essentielles — base légale, proportionnalité, mesures de sécurité renforcées — restent pleinement applicables.

Comment Mona Hukuk peut vous aider

Notre cabinet en Antalya conseille employeurs, entreprises technologiques et investisseurs étrangers sur l'ensemble des questions liées à la conformité à la KVKK — de la conception juridique des systèmes biométriques à la représentation devant le Conseil de protection des données dans le cadre des procédures de contrôle et de sanction.

Contactez-nous à contact@monahukuk.com ou appelez le +90 (242) 606 14 32 pour prendre rendez-vous à Antalya.