Le Règlement Relatif aux Modalités et Principes du Transfert de Données Personnelles à l’Étranger Est Entré en Vigueur

Le Règlement relatif aux modalités et principes du transfert de données personnelles à l’étranger (« Règlement »), dans le cadre de l’article 9 de la Loi n° 6698 sur la protection des données personnelles (« KVKK »), a été publié le 10 juillet 2024 et est entré en vigueur.

Ce Règlement présente des dispositions détaillées pour les responsables du traitement et les sous-traitants effectuant des transferts de données personnelles conformément à l’article 9 de la KVKK.

Certaines dispositions marquantes du Règlement sont portées à votre connaissance :

Transfert de Données Personnelles à l’Étranger

Les données personnelles ne peuvent être transférées à l’étranger par le responsable du traitement et le sous-traitant que conformément aux modalités et principes prévus par la KVKK et le Règlement. Conformément à l’article 6 du Règlement du 10 juillet 2024, les données personnelles peuvent être transférées à l’étranger en cas d’existence d’une décision d’adéquation concernant le pays, les secteurs du pays ou les organisations internationales vers lesquels le transfert sera effectué, ou en l’absence de décision d’adéquation, à condition que la personne concernée dispose de la possibilité d’exercer ses droits et de recourir à des voies de recours effectives dans le pays vers lequel le transfert sera effectué, et que l’une des garanties appropriées visées à l’article 10 soit fournie par les parties, ou de manière occasionnelle lorsque l’une des situations visées à l’article 16 du Règlement est présente.

Transferts Fondés sur une Décision d’Adéquation ou des Garanties Appropriées

Le Conseil de protection des données personnelles (« Conseil ») peut décider qu’un niveau de protection adéquat est assuré pour certains pays, secteurs ou organisations internationales en ce qui concerne le transfert de données personnelles à l’étranger, et peut modifier, suspendre ou retirer cette décision si nécessaire et en tout état de cause au moins tous les quatre ans.

En l’absence de décision d’adéquation, les données personnelles peuvent être transférées à l’étranger lorsque l’une des garanties appropriées suivantes est fournie : l’existence d’un accord de nature non conventionnelle entre les organismes publics étrangers ou les organisations internationales et les organismes publics ou les organisations professionnelles à caractère public en Turquie et l’autorisation du Conseil ; l’existence de règles d’entreprise contraignantes approuvées par le Conseil ; l’existence d’un contrat type publié par le Conseil ; l’existence d’un engagement écrit contenant des dispositions assurant une protection adéquate et l’autorisation du Conseil.

Règles d’Entreprise Contraignantes

Les sociétés au sein d’un groupe d’entreprises exerçant une activité économique commune peuvent fournir des garanties appropriées au moyen de règles d’entreprise contraignantes relatives à la protection des données personnelles. Pour pouvoir transférer des données personnelles à l’étranger sur la base de ces règles, une demande d’approbation doit être adressée au Conseil. Le Conseil évalue notamment si les règles d’entreprise contraignantes sont juridiquement contraignantes et applicables pour chaque membre du groupe d’entreprises, y compris ses employés, si elles contiennent un engagement selon lequel les droits des personnes concernées peuvent être exercés, et si elles comprennent au minimum les éléments prévus à l’article 13.

Contrats Types

Des garanties appropriées peuvent être fournies au moyen de contrats types comprenant des informations telles que les catégories de données, les finalités du transfert de données, les destinataires et groupes de destinataires, les mesures techniques et administratives prises par le destinataire des données. Ce contrat est conclu entre les parties au transfert de données personnelles et doit être notifié au Conseil dans les cinq jours ouvrables suivant l’achèvement de toutes les signatures.

Engagements Écrits

Le transfert de données peut être effectué avec l’autorisation du Conseil au moyen d’engagements écrits conclus entre les parties, contenant des dispositions relatives à la protection des données personnelles garantissant une protection adéquate, et comprenant des informations telles que la finalité, la portée et la nature du transfert de données, la protection des droits des personnes concernées et la sécurité des données.

Transfert à l’Étranger dans des Cas Particuliers

L’article 16 du Règlement réglemente les cas dans lesquels les données personnelles peuvent être transférées à l’étranger par les sous-traitants en l’absence de décision d’adéquation et lorsqu’aucune des garanties appropriées visées à l’article 10 ne peut être fournie. Dans ce cadre, les données personnelles ne peuvent être transférées à l’étranger par les responsables du traitement et les sous-traitants qu’à condition qu’il s’agisse de « transferts non réguliers, ponctuels ou réalisés un nombre limité de fois, ne présentant pas de caractère continu et ne s’inscrivant pas dans le flux normal d’activité » et que l’une des situations exceptionnelles visées à l’article 16 soit présente.

Ces situations comprennent : le consentement explicite de la personne concernée sous réserve d’avoir été informée des risques éventuels ; la nécessité du transfert pour l’exécution d’un contrat entre la personne concernée et le responsable du traitement ; la nécessité du transfert pour la conclusion ou l’exécution d’un contrat dans l’intérêt de la personne concernée ; la nécessité du transfert pour un intérêt public supérieur ; la nécessité du transfert pour l’établissement, l’exercice ou la défense d’un droit ; l’impossibilité matérielle d’obtenir le consentement de la personne se trouvant dans l’incapacité d’exprimer son consentement lorsque le transfert est nécessaire pour la protection de sa vie ou de son intégrité physique ou de celle d’un tiers ; et le transfert à partir d’un registre ouvert au public ou aux personnes justifiant d’un intérêt légitime.