La Loi sur la Protection des Données Personnelles (ci-après la «Loi»), vient d’entrer en vigueur, avec d’importantes amendes administratives aux sociétés, mais surtout, des peines d'emprisonnement à l’égard de ses dirigeants.
Vous trouverez ci-dessous une présentation sommaire des obligations dans la Loi, pour attirer votre attention sur la nécessité d’un audit en vue de déterminer les failles des sociétés dans la protection des données personnelles, d’évaluer exactement les risques et enfin, prendre les mesures nécessaires afin d’éviter les risques de sanctions civiles et pénales.
I. QUELLES SONT LES NOUVELLES REGLES EDICTEES PAR LA LOI ?
La Loi défini les données à caractère personnel sont définies comme étant «Toute information se rapportant à une personne physique identifiée ou identifiable».
Et le schéma ci-dessous montre combien le champ des données personnelles est vaste. Dès lors, toute société détenant l’une de ces données, qu’elles soient sur ses clients et/ou ses employés et/ou ses partenaires contractuels, devra obligatoirement se conformer à la Loi.
Si votre société n’applique pas les obligations de la Loi qui vient entrer en vigueur de la Loi, des amendes allant jusqu’à 1.000.000 TL, voire même des peines de prison pour ses dirigeant.
En outre, la Loi prévoit une publication de la peine dans un journal national, qui peut nuire à l'image ou à la marque de la société.
Les obligations principales :
- «Le consentement de la personne concernée (sauf cas spécifiquement énumérés par la Loi) doit être obligatoirement obtenu lors de la collecte et/ou du traitement et/ou du transfert des données à caractère personnel».
Ainsi, l'une des erreurs courantes est l'utilisation de formulaires types en langues étrangères en Turquie. Ils sont considérés comme irréguliers.
- «Avant de donner leur consentement, les personnes concernées doivent être informées de la teneur de leurs données»;
- "La collecte des données à caractère personnel doit être effectuée de bonne foi et être conforme à la Loi "
- "Les données personnelles doivent être exactes et mises à jour si nécessaire"
o Traitement à des fins précises, claires et légitimes.
o Lien avec l'objectif auquel elles sont destinées, limitées et mesurées.
o Conservation pendant la durée requise aux fins prévues par la Loi.
Chaque entreprise doit nommer des « contrôleurs de données personnelles », des personnes responsables et à qui la Loi impose certaines obligations, notamment :
- obligation de suppression, destruction ou anonymisation des données ;
- obligation d’information ;
- obligation de sécurisation des données;
Afin de minimiser voire éviter ces risques de condamnation pour nos sociétés cliente, nous conseillons les répertoires de données, les organigrammes de données et déterminons avec nos clients quelles sont les données pouvant être atteintes par qui, pour quels motifs et dans le cadre de quelles procédures.
III. QU'EST-CE QUE LE PROGRAMME DE COMPLIANCE ?
Nous proposons à nos clients et prospects, un Programme de Conformité à la Loi sur la Protection des Données Personnelles.
Notre équipe d'avocats dispose d’une expertise et expérience en la matière. En effet, l’équipe compte l’un des rédacteurs de la Loi, le Professeur Memis). Et nous pratiquons largement ce Programme auprès de dizaines de sociétés, avec les étapes suivantes :
Phase d’audit « donnée personnelles » de la Société, analysant si les données sont obtenues, conservées et traitées conformément aux dispositions de la Loi ;
Phase de mise en conformité des règlements et pratiques de la Société ;
Etablissement d’une « opinion juridique de conformité »
Nos clients ont l’assurance que nos avocats n'auront pas accès à ces données. Une convention de confidentialité est signée, elle est soumise au droit français. Nos avocats bénéficient d’une Assurance Responsabilité Civile du Barreau de Paris.
L’opinion juridique est rédigée sous notre responsabilité professionnelle, attestant que votre société est en conformité avec les dispositions de la Loi sur la protection des données à caractère personnel et réglementations y afférentes (sur la protection juridique des personnes contre l'usage abusif du traitement automatisé des données à caractère personnel, le code de commerce et le code pénal).
Les détails de la procédure d'audit, les check-lists, les conditions de la data room, les mises en œuvre des pratiques de conformité seront fournis après la conclusion du contrat.
Le cas échéant, nous assistons aussi nos clients pour :
- Effectuer les modifications requises pour limiter la responsabilité juridique et pénale de la direction et/ou des membres du conseil d'administration ;
- Modifier les Statuts de la société et Circulaire des signatures, répartition des droits liés à la collecte / traitement des données;
- Rédiger ou modifier le règlement intérieur et/ou répartition des tâches ;
- Préparer le tableau des tâches pour la protection des données ;
- Former les salariés à la protection des données ;
- Préparer les engagements et d'accords de confidentialité définissant les responsabilités des salariés impliqués dans la collecte et le traitement des données ;
- Accomplir la formation interne ;
- Contrôler des vérifications et des rapports ;
- Exécuter des contrats conclus avec des tiers en matière de données à caractère personnel.
Le périmètre du programme de conformité dépendra de la société, et dure entre 1 et 3 mois.