Droit Informatique et Intelligence Artificielle
Effacement, Destruction et Anonymisation des Données Personnelles en Turquie
Publié le 14 juillet 2026·6 min de lecture
Me. Équipe Éditoriale Mona Hukuk - Antalya · Barreau d'Antalya
Que deviennent les données personnelles détenues par votre entreprise lorsqu'un contrat client prend fin, qu'un salarié quitte l'entreprise ou qu'un consentement marketing est retiré ? La loi turque sur la protection des données personnelles (KVKK, loi n° 6698) n'autorise pas la conservation indéfinie des données personnelles. Dès que disparaissent les motifs qui en exigeaient le traitement, le responsable du traitement doit effacer, détruire ou anonymiser ces données. Cette obligation découle de l'article 7 de la KVKK et du « Règlement relatif à l'effacement, à la destruction ou à l'anonymisation des données personnelles » (Journal officiel, 28/10/2017). Ce guide explique la différence entre les trois méthodes de suppression, l'obligation de disposer d'une politique de conservation et de destruction, ainsi que les délais que les entreprises doivent respecter.
Quand Naît l'Obligation de Suppression ?
L'article 7(1) de la KVKK est clair : même lorsque les données ont été traitées licitement, dès que cessent les motifs qui en exigeaient le traitement, le responsable doit les effacer, les détruire ou les anonymiser, soit d'office (de sa propre initiative), soit à la demande de la personne concernée. Le Règlement traduit cela par la disparition de l'ensemble des conditions de traitement énoncées aux articles 5 et 6 de la loi. Ces conditions disparaissent généralement lorsque :
- la finalité pour laquelle les données ont été traitées est atteinte ou a cessé d'exister,
- le consentement explicite fondant le traitement est retiré,
- le délai maximal de conservation prévu par la législation applicable arrive à échéance,
- les données ne sont plus nécessaires parce que le contrat sous-jacent a pris fin.
Sont réservées les obligations de conservation prévues par d'autres lois (par exemple, les durées minimales de conservation des registres en droit fiscal ou commercial) ; les données ne peuvent être supprimées avant l'expiration de ces délais.
Les Trois Méthodes et Leurs Différences
Le Règlement emploie « suppression » (imha) comme terme générique recouvrant trois opérations distinctes, chacune définie séparément :
- Effacement (art. 8) : rendre les données personnelles inaccessibles et inutilisables pour les utilisateurs concernés, par quelque moyen que ce soit. Les données peuvent subsister techniquement dans le système pendant un certain temps ; l'élément déterminant est que les utilisateurs autorisés à les traiter ne puissent plus y accéder.
- Destruction (art. 9) : rendre les données personnelles inaccessibles, irrécupérables et inutilisables par quiconque et par quelque moyen que ce soit. Le déchiquetage de documents physiques ou la dégradation irréversible de supports magnétiques relèvent de cette méthode.
- Anonymisation (art. 10) : rendre les données personnelles impossibles à associer à une personne physique identifiée ou identifiable, même par recoupement avec d'autres données. Les données correctement anonymisées cessent d'être des données personnelles, ce qui en fait la méthode privilégiée à des fins statistiques et analytiques.
La Politique de Conservation et de Destruction des Données Personnelles
L'article 5 du Règlement impose aux responsables du traitement soumis à l'inscription au Registre des responsables du traitement (VERBİS) d'élaborer une Politique de conservation et de destruction des données personnelles. Au minimum, cette politique doit couvrir (art. 6) :
- les supports d'enregistrement et les raisons juridiques ou techniques exigeant la conservation,
- les mesures techniques et administratives adoptées,
- les fonctions et attributions du personnel intervenant dans la conservation et la destruction,
- un tableau indiquant les délais de conservation et de destruction,
- les intervalles de destruction périodique.
Un point mérite d'être souligné : disposer d'une politique ne signifie pas à lui seul que les données ont effectivement été supprimées de manière conforme à la loi (art. 5(2)). En outre, le responsable qui n'est pas tenu d'élaborer une politique reste pleinement soumis à l'obligation d'effacer, de détruire et d'anonymiser (art. 5(3)).
Destruction Périodique et Délais
Les délais varient selon que le responsable dispose ou non d'une politique :
- Un responsable doté d'une politique supprime les données lors du premier cycle de destruction périodique suivant la date de naissance de l'obligation. L'intervalle est fixé dans la politique, mais ne peut en aucun cas dépasser six mois (art. 11(2)) : la destruction périodique doit donc intervenir au moins tous les six mois.
- Un responsable non tenu d'avoir une politique procède à la suppression dans un délai de trois mois à compter de la date de naissance de l'obligation (art. 11(3)).
- Lorsque la suppression fait suite à une demande de la personne concernée et que toutes les conditions de traitement ont cessé, la demande doit être traitée dans un délai maximal de trente jours (art. 12).
Le Conseil peut raccourcir ces délais lorsqu'un préjudice irréparable ou difficilement réparable ou une illégalité manifeste est en jeu (art. 11(4)).
Documenter la Conformité
Le Règlement impose aux responsables non seulement de supprimer les données, mais aussi de documenter cette suppression. Toutes les opérations d'effacement, de destruction et d'anonymisation doivent être consignées, et ces registres conservés pendant au moins trois ans, sans préjudice d'autres obligations légales (art. 7(3)). Les responsables doivent également exposer les méthodes qu'ils emploient dans leurs politiques et procédures. En pratique, il est conseillé aux entreprises de :
- Établir un inventaire du traitement des données personnelles et fixer un délai maximal de conservation pour chaque catégorie de données.
- Élaborer la politique de conservation et de destruction et définir l'intervalle de destruction périodique (n'excédant pas six mois).
- Consigner chaque opération de suppression dans un procès-verbal et le conserver pendant au moins trois ans.
- Traiter les demandes des personnes concernées dans le délai de trente jours.
- Réexaminer et mettre à jour régulièrement la politique et l'inventaire.
Questions Fréquentes
Quelle est la différence entre l'effacement et la destruction ? Dans l'effacement, les données sont rendues inaccessibles aux utilisateurs concernés autorisés à les traiter, même si elles peuvent subsister techniquement dans le système pendant un certain temps. Dans la destruction, les données sont éliminées de sorte que nul ne puisse les récupérer par quelque moyen que ce soit.
Toute entreprise est-elle tenue d'élaborer une politique de conservation et de destruction ? Non. L'obligation pèse sur les responsables soumis à l'inscription au VERBİS. Toutefois, les entreprises non tenues d'élaborer une politique doivent tout de même supprimer les données une fois leur délai de conservation expiré.
Quand, au plus tard, la destruction périodique doit-elle avoir lieu ? L'intervalle est fixé librement dans la politique, mais il ne peut en aucun cas dépasser six mois. Un responsable doté d'une politique doit donc procéder à la destruction périodique au moins tous les six mois.
Les données anonymisées relèvent-elles du champ d'application de la KVKK ? Les données correctement anonymisées ne peuvent plus être rattachées à une personne déterminée et perdent donc leur qualité de données personnelles, échappant au champ de la KVKK. En revanche, si l'identité peut encore être atteinte par recoupement, l'anonymisation n'est pas valable.
Comment Mona Hukuk Peut Vous Aider
Chez Mona Hukuk, nous accompagnons les entreprises dans l'établissement d'inventaires de données personnelles, la préparation de politiques de conservation et de destruction, la mise en place de flux de destruction périodique et la documentation des opérations de suppression de manière juridiquement conforme. Forts de notre expertise en droit des technologies de l'information et de l'intelligence artificielle, nous aidons votre entreprise à atteindre la pleine conformité aux obligations de suppression de la KVKK.
Pour un conseil à Antalya, vous pouvez écrire à contact@monahukuk.com ou appeler le +90 (242) 606 14 32.
Souhaitez-vous recevoir un résumé hebdomadaire des actualités du droit turc ?
Annonces du Journal officiel, décisions judiciaires et changements législatifs — chaque semaine dans votre boîte mail. Gratuit, désinscription à tout moment.
Articles connexes
Droit Informatique et Intelligence Artificielle
VERBİS : le registre turc des responsables de traitement
9 juin 2026 · 5 min de lecture
Lire l'articleDroit Informatique et Intelligence Artificielle
Risques juridiques des contrats de licence de
28 avr. 2026 · 6 min de lecture
Lire l'articleDroit Informatique et Intelligence Artificielle
Diffamation sur les réseaux sociaux
28 avr. 2026 · 6 min de lecture
Lire l'article