KVKK en Turquie : Avis de Confidentialité et Consentement Explicite sont des Obligations Distinctes

Les entreprises opérant en Turquie commettent fréquemment la même erreur dans la gestion de leurs obligations au titre de la KVKK (Loi n° 6698 sur la Protection des Données Personnelles) : elles réunissent l'avis de confidentialité et le formulaire de consentement explicite dans un seul et même document. Or, la loi et la circulaire qui la complète exigent sans ambiguïté que ces deux éléments soient maintenus strictement séparés. Les entreprises qui ignorent cette règle s'exposent à des sanctions administratives et à une procédure d'enquête devant la Commission de Protection des Données Personnelles (Kurul).

Avis de Confidentialité et Consentement Explicite : Pourquoi sont-ils des Obligations Distinctes ?

La loi les réglemente dans des articles séparés et ils ne sont pas interchangeables.

L'obligation d'information (aydınlatma yükümlülüğü) découle de l'article 10 de la KVKK. Le responsable du traitement est tenu de fournir à la personne concernée, au moment où il recueille ses données personnelles, les informations suivantes : son identité, la finalité du traitement, les personnes ou catégories de personnes auxquelles les données peuvent être communiquées et le but de cette communication, la méthode de collecte des données et la base juridique du traitement. Cette obligation est inconditionnelle : elle s'applique quelle que soit la base juridique utilisée. Qu'il s'agisse de consentement explicite, d'exécution d'un contrat ou d'obligation légale, l'information doit toujours être fournie.

Le consentement explicite n'est que l'une des six bases légales de traitement énumérées à l'article 5 de la KVKK. Les autres comprennent la prévision expresse dans la loi, la nécessité pour l'exécution d'un contrat et l'intérêt légitime. Lorsqu'une autre base est applicable, il n'est pas nécessaire de recueillir le consentement explicite. Lorsque, en revanche, vous vous appuyez sur le consentement, celui-ci doit être libre, spécifique et éclairé.

Origine de l'Obligation de Séparation

L'article 5, lettre f), de la Circulaire sur les Procédures et Principes pour l'Exécution de l'Obligation d'Information, publiée au Journal officiel n° 30356 du 10 mars 2018, contient une disposition expresse : lorsque le traitement de données personnelles se fonde sur le consentement explicite, l'exécution de l'obligation d'information et le recueil du consentement doivent être effectués séparément. Il n'est pas admis qu'un seul document satisfasse simultanément aux deux obligations.

Dans la pratique, cela signifie :

• L'avis de confidentialité est un document autonome dont la finalité est d'informer, non de recueillir le consentement.
• La demande de consentement doit être présentée via un formulaire distinct ou un mécanisme clairement différencié, après que l'information a été fournie.
• Un consentement distinct doit être obtenu pour chaque finalité de traitement requérant un consentement explicite ; une case à cocher générique du type « j'accepte le traitement de mes données » n'est pas valide.
• Conditionner la fourniture du service au consentement est également problématique : la formule « vous ne pouvez pas continuer sans cocher cette case », en l'absence d'une autre base juridique, indique que le consentement n'est pas librement donné.

L'article 5, lettre e), de la même Circulaire met à la charge du responsable du traitement la charge de la preuve de l'exécution de l'obligation d'information. Sans registres adéquats, se défendre face à une réclamation devient extrêmement difficile. C'est pourquoi documenter quand, comment et à qui l'information a été fournie constitue le fondement de votre garantie juridique.

Contenu d'un Avis de Confidentialité Valide

L'article 10 de la KVKK fixe le contenu minimal. Un avis de confidentialité conforme à la loi doit indiquer expressément :

• L'identité du responsable du traitement et, le cas échéant, de son représentant,
• Les finalités pour lesquelles les données personnelles sont traitées,
• Les personnes ou catégories de personnes auxquelles les données peuvent être transmises et dans quel but,
• La méthode de collecte des données et la base juridique du traitement,
• Les droits de la personne concernée reconnus à l'article 11 de la KVKK.

La Circulaire ajoute une exigence de langage clair et accessible. Des formulations vagues telles que « activités commerciales » ne répondent pas à l'exigence légale ; les finalités doivent être spécifiques, précises et légitimes.

Infractions Fréquemment Observées

Des hôtels d'Antalya aux plateformes de commerce électronique, des cabinets comptables aux entreprises de services numériques, les mêmes problèmes reviennent régulièrement :

• L'avis de confidentialité et la case à cocher de consentement sont intégrés dans un seul formulaire ou dans le même document PDF.
• La case à cocher de consentement est précochée, ce qui exclut toute expression libre de la volonté.
• Les finalités du traitement sont décrites en termes vagues, sans référence à des finalités spécifiques.
• Une seule case à cocher regroupe toutes les finalités de traitement.
• Il n'existe aucun registre attestant que l'information a été fournie.

Ce dernier point est particulièrement critique. Face à une réclamation devant le Conseil, la charge de la preuve vous incombe ; sans registres, votre défense est considérablement affaiblie.

Pour les obligations générales de conformité à la KVKK, consultez ce guide de conformité KVKK ; pour les exigences en matière de cookies et de traitement des données dans les activités en ligne, lisez notre guide KVKK pour le commerce électronique.

Sanctions Administratives

En vertu de l'article 18 de la KVKK, le non-respect de l'obligation d'information de l'article 10 peut entraîner des amendes comprises entre 5 000 TL et 100 000 TL. Le non-respect des décisions du Conseil peut faire l'objet d'amendes comprises entre 25 000 TL et 1 000 000 TL, et le défaut d'inscription au VERBİS d'amendes comprises entre 20 000 TL et 1 000 000 TL. Ce cadre a été mis à jour par la Loi n° 7499, entrée en vigueur le 2 mars 2024 ; depuis lors, les amendes infligées par le Conseil peuvent être contestées devant les tribunaux administratifs.

Les entreprises étrangères qui traitent des données de personnes situées en Turquie ne sont pas exemptées de ce régime. Toute entreprise qui atteint des utilisateurs turcs via une succursale, un site web en turc ou une application mobile doit se conformer aux exigences de la KVKK.

Questions Fréquentes

Q : Nous avons une politique de confidentialité publiée sur notre site web. Est-ce suffisant ?

Seule, elle peut ne pas l'être. Une politique de confidentialité publiée sur le site web appuie partiellement l'exécution de l'obligation d'information, mais l'article 10 de la KVKK exige que l'information soit fournie au moment de la collecte des données. Si les données sont recueillies par un formulaire d'inscription, l'avis de confidentialité doit être présenté conjointement avec ce formulaire.

Q : Pouvons-nous utiliser une seule case à cocher pour plusieurs finalités de traitement ?

Non. Un consentement distinct et spécifique doit être obtenu pour chaque finalité de traitement se fondant sur le consentement explicite. Une acceptation générale couvrant toutes les finalités n'est pas valide au regard de la KVKK.

Q : Notre traitement se fonde sur l'exécution d'un contrat, pas sur le consentement. Sommes-nous néanmoins tenus d'informer ?

Oui. L'obligation d'information s'applique quelle que soit la base juridique utilisée. Si les données sont traitées parce qu'elles sont nécessaires à l'exécution du contrat, il suffit de l'indiquer clairement dans l'avis, mais l'avis lui-même est inexcusable.

Q : Nous avons reçu une sanction de la KVKK. Pouvons-nous la contester ?

Oui. La modification de 2024 de l'article 18 de la KVKK permet de contester les décisions du Conseil devant les tribunaux administratifs. Les délais sont brefs ; nous recommandons d'agir sans tarder et de consulter un avocat.

Comment Mona Hukuk peut vous aider

Nous conseillons les entreprises à Antalya et dans toute la Turquie pour la rédaction des avis de confidentialité, la mise en place de mécanismes de consentement différenciés et la gestion des procédures d'investigation du Conseil de Protection des Données. Toute entreprise opérant en Turquie ou proposant des services à des utilisateurs turcs doit intégrer dès le départ que l'avis de confidentialité et le consentement constituent des obligations séparées.

Pour prendre rendez-vous à Antalya, écrivez-nous à info@monahukuk.com ou appelez-nous au +90 (242) 606 14 32.