I. PROTECTION DES DONNEES PERSONNELLES APERÇU
La protection des données personnelles a été un sujet controversé en Turquie pendant de nombreuses années, principalement en raison des procédures d'adhésion à l'Union européenne. Bien que la Turquie ait signé et soit donc partie à la convention n° 108 du traité de l'Union européenne pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel (traité 108) en 1981, les réglementations locales ultérieures n'ont jamais été mises en œuvre et, par conséquent, le traité 108 jamais entré en vigueur.
Pour y remédier, la Turquie a adopté une nouvelle loi sur la protection des données personnelles, la loi sur la protection des données personnelles n° 6698, qui a été publiée au Journal législatif du 7 avril 2016 et n° 29677 (la loi), mettant ainsi en œuvre efficacement le Traité 108 au niveau national.
Cette loi est considérée comme une amélioration indispensable de la protection des données personnelles et énonce de nouvelles obligations envers les détenteurs de données, les superviseurs et les sous-traitants pour garder ces données personnelles privées à tout moment. Cependant, la loi a des définitions quelque peu vagues lorsqu'il s'agit de définir ce qui constitue des données personnelles, que l'on retrouve également dans le traité 108.
Ces définitions vagues permettent une définition flexible de ce qui constitue des données personnelles, ce qui permet de considérer différents ensembles de données comme des données personnelles sans qu'il soit nécessaire de modifier la législation. Cependant, cela peut également entraîner une ambiguïté et une confusion concernant certains ensembles de données, telles que les données biométriques. Ainsi, pour déterminer les règles d'utilisation des données biométriques, il convient d'abord d'examiner les principes généraux et la définition des données à caractère personnel.
II. DÉFINITION DE DONNEES PERSONNELLES ET MÉTHODES DE TRAITEMENT
L'article 2 de la loi définit les données à caractère personnel comme « toutes les informations relatives à une personne physique identifiée ou identifiable », tandis que l'article 6 énonce que «données à caractère personnel relatives à la race, l'origine ethnique, les opinions politiques, les convictions philosophiques, la religion, la secte ou toute autre conviction, l'habillement, l'appartenance à des associations, fondations ou syndicats, la santé, la vie sexuelle, les convictions et les mesures de sécurité, ainsi que les données biométriques et génétiques les données sont considérées comme des données personnelles de nature particulière ».
L’article 2 définit également le traitement des données à caractère personnel comme «toute opération effectuée sur des données personnelles telles que la collecte, l'enregistrement, le stockage, la conservation, la modification, la réorganisation, la divulgation, le transfert, la reprise, la récupération, la classification ou l'interdiction de leur utilisation, entièrement ou partiellement par des moyens automatiques ou à condition que le processus fait partie de tout système de registre de données, par des moyens non automatiques ».
En conséquence, même la collecte, l'enregistrement et/ou le stockage de données personnelles seront considérés comme un traitement de données et seront donc soumis aux règles strictes de procédures prévues par la loi. Par conséquent, toute action énoncée à l'article 2 concernant des données personnelles doit être soumise au consentement explicite du propriétaire des données conformément à l'article 5. Bien entendu, il existe certaines exceptions à cette règle. Selon l'article 5, des données à caractère personnel peuvent être traitées sans le consentement explicite du propriétaire des données si :
a) il est clairement prévu par les lois,
b) elle est obligatoire pour la protection de la vie ou de l'intégrité physique de la personne ou de toute autre personne physiquement incapable de donner son consentement ou dont le consentement n'est pas réputé légalement valable,
c) le traitement des données personnelles appartenant aux parties d'un contrat, est nécessaire à condition qu'il soit directement lié à la conclusion ou à l'exécution de ce contrat,
d) il est obligatoire que le responsable du traitement soit en mesure de remplir ses obligations légales,
e) les données concernées sont mises à la disposition du public par la personne concernée elle-même,
f) le traitement des données est obligatoire pour la constatation, l'exercice ou la protection de tout droit,
g) il est obligatoire pour les intérêts légitimes du responsable du traitement, à condition que ce traitement ne viole pas les libertés et droits fondamentaux de la personne concernée.
III. OBLIGATIONS DU RESPONSABLE DU TRAITEMENT ET DROITS DU PROPRIÉTAIRE DES DONNÉES
- Obligations du responsable du traitement
Selon l'article 10, lors de la collecte et/ou du traitement des données, le responsable du traitement ou les personnes autorisées par le responsable du traitement sont tenus d'informer le propriétaire des données concernant (a) l'identité du responsable du traitement et de tous ses représentants, (b) la finalité du traitement des données, (c) à qui et à quelles fins les données traitées peuvent être transférées et (d) la méthode et la raison légale de la collecte des données personnelles.
En outre, les responsables du traitement sont également tenus de prendre toutes les mesures nécessaires, techniques et administratives, pour empêcher tout accès et/ou traitement illicite de ces données. Si les données sont manipulées/traitées par des tiers autorisés, le responsable du traitement est conjointement responsable avec le tiers de prendre ces mesures préventives et d'assurer la sécurité des données collectées.
- Droits du propriétaire des données
Outre les obligations imposées aux contrôleurs de données, les propriétaires de données ont également un certain nombre de droits en vertu de la loi. Conformément à l'article 11, les propriétaires de données ont le droit de demander au responsable du traitement des informations indiquant si ses données personnelles sont en cours de traitement ou autrement stockées et collectées, si tel est le cas, à quelle fin et dans quelle mesure les données personnelles sont traitées. , des informations concernant les tiers qui ont accès à ces informations, le cas échéant, de demander la rectification des informations incomplètes ou inexactes, le cas échéant, de demander l'effacement et/ou la destruction des données personnelles pertinentes et de demander une indemnisation pour les dommages subis en raison d'un traitement illégal de données à caractère personnel.
Les deux droits importants pour les propriétaires de données ici sont le droit de demander la rectification des informations incomplètes ou inexactes et le droit de réclamer une indemnisation pour les dommages subis en raison du traitement illicite des données. Cela donne effectivement le pouvoir au propriétaire des données de supprimer et de détruire ses données personnelles qui sont en cours de traitement ou ont été traitées dans le passé, et donne également le droit de réclamer une indemnisation si les responsables du traitement des données manquent à leurs obligations découlant de la loi.
IV. DÉFINITION DES DONNÉES BIOMÉTRIQUES
Jusqu'à récemment, la législation ne fournissait pas de définition distincte des données biométriques ni de définition claire et détaillée de ce qui constitue des données à caractère personnel. Au lieu de cela, les données personnelles ont été définies comme « toutes les informations relatives à une personne physique identifiée ou identifiable ». La seule autre classification concernant les données personnelles est la définition des "données personnelles de nature particulière" énoncée à l'article 6 (comme indiqué ci-dessus).
Bien que cet article 6 soit une traduction presque directe de l'article 6 du Traité 108, il existe une différence cruciale. En 1981, lorsque le Traité 108 a été mis en œuvre pour la première fois, le terme données biométriques n'existait pas, et par conséquent ce terme n'était pas inclus dans le texte original du Traité 108 et les données biométriques n'étaient pas classées comme données personnelles de nature particulière. L'article 6 de la loi précise toutefois que «données biométriques et génétiques » seront considérées comme des données personnelles de nature particulière.
Un fait intéressant à noter est le précédent de la Cour d'appel concernant les données biométriques (émises avant la mise en œuvre de la loi). Selon le précédent établi par la Cour d'appel, "les empreintes digitales et les échantillons biologiques tels que l'ADN, les cheveux, la salive et les échantillons d'ongles" sont considérés comme des données personnelles.
En outre, la Cour constitutionnelle, en se référant aux articles pertinents du Traité 108, a statué que les « données obtenues par des méthodes biométriques » doivent être considérées comme des données personnelles, cependant, ces données ne peuvent pas être considérées comme des « données personnelles extrêmement sensibles telles que les opinions politiques. , les convictions religieuses, la santé, la vie sexuelle ou les condamnations pénales visées à l'article 6 du traité 108 ». Il n'est donc pas clair comment ce précédent de la Cour devrait être réexaminé à la lumière des nouvelles modifications apportées à la loi, bien que l'on s'attende à ce que la Cour d'appel modifie ce précédent conformément à la nouvelle loi.
V. TRAITEMENT DES DONNEES BIOMETRIQUES
Avec les récents progrès technologiques et les technologies biométriques devenant moins chères, la demande et l'accès à ces technologies ont considérablement augmenté. Les scanners biométriques sont de plus en plus utilisés dans la sécurité (en particulier dans les entreprises technologiques où les informations confidentielles ont une grande valeur et dans les grandes entreprises, les holdings qui comptent un grand nombre d'employés) et à des fins d'identification (principalement dans le secteur médical, dans les hôpitaux, les cliniques, etc.).
Le problème le plus important dans l'utilisation des données biométriques à des fins de sécurité et/ou d'identification est l'obtention du consentement explicite du propriétaire des données. Si le consentement de chaque propriétaire de données est requis, comment les entreprises peuvent-elles utiliser des systèmes de sécurité qui nécessitent des données biométriques (comme des pièces sûres/confidentielles accessibles par des lecteurs d'empreintes digitales) si un ou plusieurs de leurs employés refusent de le fournir, ou les entreprises peuvent-elles exiger que leurs employés d'utiliser des scanners biométriques pour garder une trace de leurs quarts de travail, ou le secteur médical peut-il exiger des données biométriques avant de fournir une assistance médicale afin de vérifier l'identité des patients ?
Ce sont toutes des questions controversées en raison du développement récent de la technologie qui permet de mettre en œuvre de tels systèmes à un prix beaucoup moins cher. De plus, les scanners biométriques et les systèmes de sécurité sont sans doute plus sûrs que de simples mots de passe, qui peuvent être piratés, ou des systèmes d'identification plus sûrs que la signature d'une personne, qui peut être dupliquée.
Malheureusement, la loi et les règlements subséquents n'apportent pas de réponses claires à ces questions. Par conséquent, les hautes juridictions (principalement la Cour d'appel, le Conseil d'État et la Cour constitutionnelle) ont rendu des décisions différentes pour différentes situations au cas par cas, en fonction du principe de proportionnalité.
- Données biométriques dans le secteur médical à des fins d'identification des patients
Conformément à l'article 67 de la loi n° 5510 sur la sécurité sociale et l'assurance maladie générale, les hôpitaux publics en Turquie peuvent demander à leurs patients de fournir leurs données biométriques afin de vérifier l'identification du patient (l'article stipule que les patients doivent soit prouver leur identité par des moyens biométriques ou avec une carte d'identité, un permis de conduire, un acte de mariage ou un passeport, afin de bénéficier des services de santé).
En conséquence, certains hôpitaux publics ont commencé à utiliser des contrôles biométriques pour vérifier l'identité du patient requérant, ce qui a suscité une certaine controverse, car cela a été considéré comme une violation du droit à la vie privée.
Enfin, en 2014, le Conseil d'État a saisi la Cour constitutionnelle d'un recours en annulation des dispositions pertinentes de cet article 67 alléguant qu'il violait les articles 2, 13 et 20 de la Constitution. La Cour constitutionnelle a rejeté la demande et a statué que les données biométriques peuvent être demandées par les hôpitaux publics pour vérifier l'identité du patient et cela ne viole pas le droit à la vie privée énoncé dans la Constitution.
Le raisonnement avancé par la Cour dans cette décision était que, puisque la vérification de l'identité par des moyens biométriques est plus sûre contre l'utilisation non autorisée, puisque ces données ne peuvent pas être falsifiées, elle est beaucoup plus efficace pour lutter contre la corruption dans les fonctions publiques.
En d'autres termes, la Cour a statué que la prévention des abus du système de santé est d'une importance primordiale et, comparée à la violation du droit à la vie privée, cette disposition ne viole pas le principe de proportionnalité. Par conséquent, la Cour a jugé que cette disposition ne violait pas la constitution car il y avait une proportionnalité entre les droits protégés (l'intégrité du système de santé) et ceux qui étaient violés (le droit à la vie privée).
- Données biométriques pour les contrôles de quart des employés
Il s'agit d'un autre problème, notamment en ce qui concerne les grandes entreprises et les holdings qui comptent un grand nombre d'employés. Ces entreprises utilisent différents systèmes pour contrôler et enregistrer les heures de travail de leurs employés, tels que des feuilles de signature ou des systèmes de cartes. Cependant, un autre système qui peut être utilisé est un système de lecture d'empreintes digitales où les employés marquent leur heure d'arrivée et de départ en scannant leurs empreintes digitales.
Un hôpital public en Turquie a commencé à utiliser une telle application de contrôle des équipes qui gardait une trace des heures de travail des employés via des lecteurs d'empreintes digitales. Par la suite, une action en justice a été déposée contre cette application obligatoire de lecture d'empreintes digitales, qui a finalement été tranchée par le Conseil d'État.
Le Conseil d'État a statué dans cette décision que les empreintes digitales d'une personne doivent être considérées comme une entité indissociable de la vie privée de cette personne et sont donc sous la protection du droit à la vie privée conformément à l'article 20 de la Constitution. En outre, la Cour a jugé qu'il existe d'autres moyens tout aussi compétents pour suivre les quarts de travail des employés et que le bénéfice à tirer d'une telle application de suivi, même dans le secteur public, est négligeable par rapport à la violation du droit à la vie privée. Par conséquent, le Conseil d'État a jugé que de telles applications violent la Constitution et que les employés ne peuvent être contraints d'utiliser des systèmes de lecture d'empreintes digitales à des fins de suivi des quarts de travail, même dans le secteur public.
- Données biométriques pour salles sécurisées/confidentielles
Une autre tendance dans les affaires, en particulier dans les entreprises technologiques, est la mise en place de salles sécurisées pour stocker en toute sécurité des informations confidentielles. Cela est particulièrement exigé par les entreprises étrangères de leurs homologues turcs dans les cas où des informations hautement classifiées et confidentielles sont échangées entre les parties. Ces salles sécurisées étaient auparavant protégées par des systèmes utilisant des mots de passe simples, alors qu'actuellement, les entreprises ont besoin de salles sécurisées qui ne sont accessibles que via des données biométriques, telles que les empreintes digitales, les scanners rétiniens ou l'identification faciale (car elle est considérée comme plus sûre que les mots de passe).
Cependant, les salles sécurisées accessibles par les données biométriques posent à nouveau la question du consentement. Puisque les entreprises ont besoin qu'un ou plusieurs de leurs employés aient accès à ces salles sécurisées, elles ont besoin d'obtenir les données biométriques de ces employés afin de mettre en place correctement une salle sécurisée. Bien qu'il n'y ait pas encore de décisions spécifiques de la Haute Cour concernant cette question, la décision du Conseil des États concernant l'utilisation des données biométriques pour le contrôle des équipes des employés (mentionnée ci-dessus) devrait constituer une bonne base.
En appliquant cette décision à cette affaire, il est clair que le bénéfice à retirer de la mise en place d'une salle sécurisée (dans les entreprises privées) sera négligeable par rapport à la violation du droit à la vie privée. Par conséquent, les entreprises ne peuvent pas exiger des données biométriques de leurs employés pour la mise en place de salles sécurisées et ne peuvent résilier les contrats de travail en raison du refus d'un employé de fournir ces données. Cependant, il est toujours possible d'obtenir ces données auprès d'employés consentants (bien que ce consentement doive être formulé avec soin pour éviter de violer les dispositions de la loi).
VI. CONCLUSION
Les réglementations en Turquie concernant la protection des données personnelles sont encore assez récentes et, par conséquent, il n'y a pas encore de précédents judiciaires établis. Les décisions de justice actuellement disponibles sont généralement datées d'avant la mise en œuvre de la loi et bien que certaines d'entre elles fassent référence au traité 108, il faudra encore attendre quelques années pour que les hautes juridictions établissent un précédent spécifique à la loi elle-même, et son règlement secondaire. Il est donc extrêmement important pour les entreprises de disposer de textes complets sur la protection des données personnelles (textes informatifs et formulaires de consentement) afin d'éviter toute responsabilité future éventuelle qui pourrait être imposée par la jurisprudence.
Pour plus d'informations et d'assistance à ce sujet, n'hésitez pas à nous contacter ici.