Notification de Violation de Données sous le KVKK Turc : Ce que les Entreprises Doivent Faire

Une attaque par rançongiciel sur un serveur turc, l'envoi accidentel d'une base de données clients à une mauvaise adresse électronique, ou une violation chez un sous-traitant exposant des données de résidents turcs — chacun de ces scénarios peut déclencher une obligation de notification obligatoire en vertu de la loi turque sur la protection des données personnelles (KVKK, loi n° 6698). Les connaisseurs du RGPD reconnaîtront les parallèles avec les articles 33 et 34, mais la loi turque présente ses propres spécificités qu'il convient de maîtriser.

Fondement Légal : Article 12 du KVKK

L'article 12 du KVKK impose au responsable du traitement trois obligations fondamentales en matière de sécurité : prévenir le traitement illicite des données personnelles, prévenir l'accès illicite à celles-ci et garantir leur sauvegarde, en prenant toutes les mesures techniques et organisationnelles nécessaires à un niveau de sécurité approprié.

Le paragraphe 5 du même article pose le principe de la notification : lorsque des données personnelles sont obtenues par des tiers par des moyens illicites, le responsable du traitement doit le notifier sans délai aux personnes concernées ainsi qu'au Conseil de protection des données personnelles (Conseil KVK).

Le Délai de 72 Heures

La décision n° 2019/10 du Conseil KVK a donné un contenu concret à l'expression « sans délai » : le responsable du traitement doit notifier le Conseil dans les 72 heures suivant la prise de connaissance de la violation. Ce délai correspond à celui prévu par l'article 33, paragraphe 1, du RGPD — une cohérence bienvenue pour les entreprises opérant sur les deux marchés. En cas de dépassement, la justification du retard doit être fournie avec la notification. La notification aux personnes concernées doit intervenir dans les meilleurs délais, proportionnellement au niveau de risque.

Contenu de la Notification au Conseil

La notification est soumise via le système électronique du Conseil KVK et doit comporter :

• La date et l'heure de la violation (si connues)
• Le nombre de personnes concernées et les catégories de données impliquées
• Les conséquences probables de la violation
• Les mesures prises ou envisagées pour y remédier
• Les coordonnées du délégué à la protection des données (le cas échéant)
• La justification de tout retard dans la notification

Les journaux d'activité, rapports d'incident et analyses forensiques disponibles doivent être joints en annexe.

Notification aux Personnes Concernées

La notification aux personnes concernées est obligatoire lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés — parallèle direct avec l'article 34 du RGPD. L'avis doit expliquer ce qui s'est passé, quelles données ont été affectées, quelles mesures ont été prises et comment contacter le responsable du traitement et le Conseil KVK. Si la notification individuelle est impraticable, une communication publique est admise.

Plan de Réponse à Incident : Étape par Étape

1. Confinement. Isoler les systèmes compromis, révoquer les accès compromis, stopper toute fuite supplémentaire.
2. Documentation. Consigner les données affectées, le nombre de personnes impliquées et le mode opératoire de la violation.
3. Évaluation du risque. Déterminer le niveau de risque pour les personnes concernées — cela conditionne l'étendue et l'urgence de la notification.
4. Démarrer le compte à rebours des 72 heures. Dès la prise de connaissance, le délai commence à courir. Contacter immédiatement le conseil juridique.
5. Notifier le Conseil KVK. Soumettre le formulaire avec les informations disponibles, en signalant les compléments à fournir.
6. Notifier les personnes concernées. Adapter le message au niveau de risque et aux canaux de communication disponibles.
7. Conserver les traces. Documenter l'ensemble du processus — le Conseil dispose de droits d'audit.

Sanctions Administratives

L'article 18 du KVKK prévoit des sanctions pouvant atteindre deux millions de lires turques pour manquement aux obligations de sécurité des données, révisées annuellement par le coefficient de réévaluation turc. Le manquement à l'obligation de notification constitue une infraction autonome pouvant donner lieu à une sanction distincte.

Pour comparaison, les amendes RGPD peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial (art. 83, §4) ; les sanctions turques sont actuellement plus modestes en valeur absolue, mais appliquées de manière constante.

Questions Fréquentes

Toute violation de données doit-elle être notifiée au Conseil ? Non. La notification n'est obligatoire que lorsque la violation crée un risque pour les personnes concernées. Les incidents à faible risque doivent être documentés en interne, et cette appréciation doit elle-même être tracée.

Le KVKK s'applique-t-il aux entreprises étrangères ? Oui, dès lors qu'elles traitent des données de personnes situées en Turquie dans le cadre de l'offre de biens ou de services, quelle que soit la localisation du siège.

Peut-on soumettre une notification initiale incomplète ? Oui. Le Conseil accepte les notifications échelonnées — données disponibles d'abord, compléments ensuite.

Une violation peut-elle entraîner une responsabilité pénale ? Oui. La divulgation ou l'accès non autorisé à des données personnelles peut être poursuivi en application de l'article 136 du Code pénal turc.

Faut-il également notifier la CNIL ? Si le RGPD est simultanément applicable, oui : la Commission nationale de l'informatique et des libertés doit également être informée.

Comment Mona Hukuk peut vous aider

En cas de crise de données, chaque heure compte. Mona Hukuk accompagne les entreprises dans l'élaboration préventive de protocoles de réponse et, en cas d'incident, gère la notification au Conseil KVK, rédige les communications aux personnes concernées et assure la représentation lors des investigations administratives.

Contactez-nous à contact@monahukuk.com ou appelez le +90 (242) 606 14 32.