Transferts transfrontaliers de données personnelles : la réforme KVKK 2024

Les entreprises opérant en Turquie mais rattachées à une société mère ou à une filiale à l'étranger réalisent des transferts transfrontaliers de données personnelles presque quotidiennement : les fiches de paie partent vers un système RH hébergé en Allemagne, les dossiers clients rejoignent un CRM basé en Irlande, les demandes d'assistance arrivent à un helpdesk mondial. Jusqu'à récemment, ces transferts reposaient largement sur un seul fondement juridique : le consentement explicite des personnes concernées. En 2024, la donne a changé. La révision en profondeur de la Loi n°6698 sur la protection des données personnelles (KVKK) a introduit un nouveau cadre pour les transferts de données vers l'étranger. Ce cadre ressemble au RGPD européen, sans lui être identique. Les sociétés à capitaux étrangers établies en Turquie disposent désormais de plusieurs mécanismes de transfert licites, mais chacun comporte ses propres obligations documentaires et de notification.

Ce que la réforme 2024 a changé

La réforme a réécrit en profondeur l'article 9 de la KVKK, qui régit les transferts vers l'étranger. Sous l'ancien régime, le transfert de données personnelles à l'étranger était en principe possible avec le consentement explicite de la personne concernée ; l'exception résidait dans une « liste des pays offrant une protection adéquate » que le Conseil de protection des données personnelles (Conseil KVKK) était censé publier. Cette liste n'ayant jamais été publiée, les entreprises étaient en pratique tributaires du consentement explicite. Or le consentement explicite est un outil fragile : difficile à recueillir à grande échelle et révocable à tout moment.

Le nouveau régime a remplacé cette dualité par une architecture à trois niveaux : décisions d'adéquation, garanties appropriées et dérogations ponctuelles. Chaque niveau a ses propres conditions et obligations de notification.

Premier niveau : les décisions d'adéquation

Le Conseil KVKK peut désormais rendre une décision d'adéquation (yeterlilik kararı) constatant qu'un pays, un secteur ou une organisation internationale assure un niveau de protection des données équivalent à celui de la Turquie. Si le pays destinataire fait l'objet d'une telle décision, le transfert peut être effectué dans les mêmes conditions qu'un traitement national, sans garantie complémentaire.

En pratique, le Conseil se montre prudent dans l'octroi des décisions d'adéquation. La plupart des transferts doivent donc recourir au deuxième niveau.

Deuxième niveau : les garanties appropriées

En l'absence de décision d'adéquation, l'une des garanties suivantes doit être mise en place avant le transfert :

• Contrat type approuvé par le Conseil : conclu entre l'exportateur de données en Turquie et le destinataire à l'étranger. Le contrat signé doit être notifié au Conseil dans un délai de cinq jours ouvrés.
• Règles d'entreprise contraignantes : applicables aux transferts intragroupe au sein d'une multinationale, soumises à l'approbation du Conseil.
• Accord international : pertinent uniquement pour les transferts entre organismes publics.
• Engagement écrit des parties : devant être approuvé par le Conseil et comporter des obligations de protection spécifiques.

Pour la grande majorité des sociétés à capitaux étrangers à Antalya et dans le reste de la Turquie, la solution pratique réside dans les contrats types. Ceux-ci ressemblent aux clauses contractuelles types (CCT) du RGPD, sans être identiques ; un modèle européen ne peut donc pas être utilisé tel quel.

Troisième niveau : les dérogations ponctuelles

La réforme a également défini une série d'exceptions pour les transferts ponctuels (geçici, istisnai) de portée limitée. Parmi ces exceptions : le consentement explicite de la personne concernée pour ce transfert spécifique, l'exécution d'un contrat, la protection des intérêts vitaux ou la nécessité pour la constatation, l'exercice ou la défense d'un droit. Ces exceptions s'interprètent restrictivement. Les transferts réguliers et systématiques doivent recourir au premier ou au deuxième niveau ; les dérogations ponctuelles ne peuvent pas y être substituées.

Ce que cela signifie pour les sociétés à capitaux étrangers

Les entreprises connectées à une société mère étrangère, à un système RH de groupe ou à une plateforme cloud commune doivent cartographier leurs flux de données et choisir le mécanisme approprié pour chacun d'eux. Un projet de mise en conformité type comprend : la cartographie de tous les flux de données vers l'étranger, l'identification du responsable du traitement et du sous-traitant pour chaque flux, le choix du mécanisme de transfert approprié, la signature des contrats nécessaires et la mise à jour de la notice d'information. Il existe également une obligation de tenue continue de registres : le Conseil peut à tout moment demander à consulter les contrats et l'inventaire des flux de données.

Le non-respect peut entraîner des amendes administratives prononcées par le Conseil KVKK, des plaintes des personnes concernées et une atteinte à la réputation. Dans le secteur du e-commerce ou pour les sociétés fournissant des services SaaS, une décision de sanction peut directement perturber les processus d'acceptation des clients. Pour une vue d'ensemble, consultez notre guide de conformité KVKK et notre article sur la KVKK et la politique de cookies dans le e-commerce.

Foire aux questions

Q : Nous avons signé des CCT conformes au RGPD avec notre société mère en Europe. Faut-il également conclure un contrat type turc ?

Les deux régimes se ressemblent, mais ils ne sont pas équivalents. Le contrat type du Conseil KVKK est signé selon le modèle propre à ce Conseil et notifié au Conseil après signature. Les CCT du RGPD ne suffisent pas, à elles seules, pour couvrir les transferts depuis la Turquie.

Q : Le consentement explicite peut-il encore servir de fondement au transfert ?

Oui, mais uniquement pour les transferts ponctuels relevant du troisième niveau. Ce n'est pas un fondement viable pour les flux de données courants d'une filiale turque au sein d'un groupe mondial.

Q : Y a-t-il des sanctions en cas de violation ?

Oui. Le Conseil KVKK peut infliger des amendes administratives variant selon la gravité de l'infraction. Les violations répétées, les traitements à grande échelle ou impliquant des données sensibles accroissent considérablement le risque de sanction.

Q : Que faire pour les données des salariés envoyées vers un système RH à l'étranger ?

Les données des salariés représentent l'un des flux transfrontaliers les plus courants. Elles reposent généralement sur un contrat type ou des règles d'entreprise contraignantes ; la mise à jour de la notice d'information et la documentation du mécanisme utilisé sont obligatoires.

Comment Mona Hukuk peut vous aider

Notre équipe basée à Antalya conseille les sociétés à capitaux étrangers sur la conformité à la KVKK, accompagne la cartographie et la documentation des flux de données, mène à bien la rédaction des contrats types et leur notification au Conseil KVKK, et participe aux projets de règles d'entreprise contraignantes pour les groupes multinationaux. Nous travaillons en turc et en anglais, ce qui permet à votre équipe juridique et à la nôtre de communiquer dans la même langue.

Pour une consultation à Antalya, écrivez-nous à info@monahukuk.com ou appelez le +90 (242) 606 14 32.