Conformité KVKK et politique de cookies pour les e-commerces en Turquie

Le commerce électronique se situe au carrefour de la loi turque sur la protection des données personnelles (KVKK) et de la réglementation sur le commerce électronique. Les données clients, les informations de paiement, les cookies, les envois d'e-mails et la publicité ciblée génèrent des obligations interdépendantes qu'il serait erroné d'appréhender isolément. En tant que cabinet conseil des entreprises de e-commerce d'Antalya depuis de nombreuses années, nous exposons ici le cadre juridique essentiel auquel ces acteurs doivent se conformer.

La position du e-commerce au regard de la protection des données

Un site de vente en ligne traite des données personnelles à chaque étape du parcours client :

• inscription et connexion ;
• passation de commande (nom, adresse, téléphone, e-mail) ;
• paiement (données bancaires) ;
• livraison (transmission au transporteur) ;
• actions marketing (newsletter, publicité ciblée) ;
• analyse comportementale (cookies et outils de suivi) ;
• retours et réclamations.

Chacune de ces étapes appelle une évaluation au regard de la KVKK.

Obligations lors de l'inscription

Notice d'information (aydınlatma metni)

Au moment de l'inscription, une notice d'information doit être présentée à l'utilisateur. Elle doit indiquer clairement :

• l'identité du responsable du traitement ;
• les catégories de données traitées ;
• les finalités du traitement ;
• les destinataires (transporteurs, prestataires de paiement, hébergeurs cloud) ;
• la durée de conservation ;
• les droits de la personne concernée.

La pratique la plus répandue consiste à placer la notice devant la case à cocher « J'accepte ».

Consentement exprès (açık rıza)

Distinctement de la notice d'information, un consentement exprès doit être recueilli pour tout traitement à des fins marketing. Ce consentement :

• ne doit pas être rendu obligatoire pour finaliser l'inscription (cases pré-cochées interdites) ;
• doit être révocable à tout moment ;
• doit être spécifique à chaque canal (e-mail, SMS, publicité ciblée doivent être distingués).

Politique de cookies

Les cookies constituent un traitement de données personnelles. Une gestion conforme à la KVKK et aux standards internationaux implique les éléments suivants.

Bandeau cookies (çerez bandı)

Dès la première visite, un bandeau d'information sur les cookies doit s'afficher. Il doit :

• décrire les catégories de cookies utilisées ;
• distinguer les cookies nécessaires des cookies optionnels ;
• permettre à l'utilisateur d'accepter ou refuser séparément chaque catégorie ;
• offrir une acceptation ou un refus en un seul clic.

Page de politique de cookies

Une politique de cookies détaillée doit figurer sur une page dédiée du site, précisant :

• la liste de tous les cookies utilisés ;
• leur émetteur (domaine propre ou tiers) ;
• leur finalité ;
• leur durée de conservation ;
• la procédure pour modifier les préférences.

Cookies tiers

Des outils tels que Google Analytics, Facebook Pixel ou Hotjar traitent des données personnelles et les transfèrent à l'étranger. Leur utilisation nécessite :

• le recueil d'un consentement exprès ;
• la mise en œuvre de l'un des mécanismes de transfert international prévus par la KVKK.

Commande et paiement

Lors de la passation d'une commande, les données client sont traitées sur la base de l'exécution du contrat — ce fondement juridique suffit. Pour la conservation des données de paiement, des mesures de sécurité renforcées s'imposent. Il est recommandé de recourir à une infrastructure de paiement conforme aux standards PCI-DSS et de conclure un accord de sous-traitance avec le prestataire de paiement.

Obligations liées aux contrats à distance

La vente en ligne est qualifiée de contrat à distance et soumise à la réglementation sur le commerce électronique. Les obligations incluent :

• l'information précontractuelle — caractéristiques du produit, prix, frais de livraison, délai de livraison, droit de rétractation, etc. ;
• le droit de rétractation — en principe dans un délai courant à compter de la livraison ;
• la procédure de retour en cas d'exercice de ce droit ;
• l'envoi de la confirmation de commande et du texte contractuel au client.

Newsletter et SMS marketing

En Turquie, l'envoi de messages commerciaux électroniques (e-mail, SMS, notifications push) est soumis à l'obligation d'inscription au système IYS (İleti Yönetim Sistemi). Les règles applicables sont les suivantes :

• aucun message commercial ne peut être envoyé sans consentement préalable exprès ;
• chaque message doit offrir une option de désinscription facilement accessible ;
• il est interdit de recontacter un utilisateur ayant exprimé son opposition ;
• les consentements doivent être vérifiés et archivés via l'IYS.

Le non-respect de ces règles expose à de lourdes sanctions administratives.

Publicité ciblée et remarketing

Afficher de la publicité personnalisée en fonction du comportement de l'utilisateur sur le site (Facebook Ads, Google Ads, etc.) nécessite :

• le recueil d'un consentement exprès ;
• la mention explicite de cette finalité dans la notice d'information ;
• le respect des règles sur les transferts internationaux de données ;
• la possibilité pour l'utilisateur de refuser les cookies correspondants via le bandeau.

Obligation de notification en cas de violation de données

En cas d'attaque informatique, de fuite ou de violation de données, le responsable du traitement doit :

• notifier le Conseil de protection des données (Kişisel Verileri Koruma Kurulu) dans les meilleurs délais ;
• informer les clients concernés ;
• prendre des mesures concrètes pour limiter les effets de l'incident.

Dissimuler une violation ou notifier tardivement aggrave les sanctions encourues.

Inscription au VERBİS

Lorsque le site dépasse certains seuils en matière de nombre de clients et d'intensité de traitement, l'inscription au VERBİS (registre des activités de traitement) est obligatoire. Cet enregistrement recense :

• les catégories de données traitées ;
• les finalités du traitement ;
• les destinataires ;
• les durées de conservation.

Après l'inscription, une politique de conservation et de destruction des données personnelles doit être rédigée.

Ventes à des clients européens et RGPD

Les entreprises turques de e-commerce qui vendent à des clients établis dans l'Union européenne doivent également se conformer au RGPD. Si le RGPD partage de nombreux points communs avec la KVKK, il impose des obligations supplémentaires :

• désignation d'un délégué à la protection des données (DPO) dans certains cas ;
• réalisation d'analyses d'impact (DPIA) ;
• désignation d'un représentant au sein de l'UE.

Litiges de consommation

En matière de litige e-commerce :

• les différends inférieurs à un certain seuil relèvent du comité d'arbitrage des consommateurs (Tüketici Hakem Heyeti) ;
• les litiges plus importants sont portés devant le tribunal des consommateurs (Tüketici Mahkemesi) ;
• le client peut saisir la juridiction de son propre lieu de résidence, ce qui expose un site actif à l'échelle nationale à des procédures dans tout le pays.

Une gestion proactive des réclamations réduit sensiblement les coûts juridiques.

Plan de mise en conformité

1. Rédiger et afficher la notice d'information sur les principales pages du site.
2. Mettre en place un bandeau cookies et une page de politique de cookies.
3. S'inscrire à l'IYS et implémenter la gestion des consentements.
4. Réviser les processus de vente à distance pour les mettre en conformité.
5. Procéder à l'inscription VERBİS et rédiger la politique de conservation/destruction.
6. Conclure des accords de sous-traitance avec les prestataires de paiement, de livraison et d'hébergement.
7. Élaborer un plan de réponse aux violations de données.
8. Former les équipes.

Assistance juridique

À Antalya, MONA Hukuk propose un accompagnement complet pour les e-commerces : rédaction de la notice d'information et de la politique de cookies, coordination IYS, contrats de vente à distance, conformité KVKK et, le cas échéant, mise en conformité RGPD. Dans un marché en forte croissance, asseoir vos bases juridiques est le meilleur investissement pour une croissance durable.

Pour toute consultation, écrivez-nous à info@monahukuk.com ou appelez le +90 (242) 606 14 32.