L’application de la protection des données personnelles dans le droit du travail turc

PROTECTION DES DONNÉES PERSONNELLES ET DROIT DU TRAVAIL

Les principes et procédures relatifs à la protection des données personnelles sont réglementés par la loi. Dans ce cadre, la Loi n° 6698 sur la protection des données personnelles définit les données personnelles comme toute information concernant une personne physique identifiée ou identifiable. Cela inclut les informations d’identification qui distinguent l’individu, son origine, ses caractéristiques physiques, ses informations de santé, son niveau d’éducation, son historique d’emploi, son lieu de résidence, ses adhésions à des associations et syndicats, sa profession, ses informations financières, ses antécédents judiciaires, son numéro de téléphone, son image, ses informations génétiques, ses informations de contact, ses activités sur les médias sociaux, et autres données définissant l’individu.

Le concept de traitement des données personnelles fait référence à tout processus effectué sur les données, que ce soit de manière totalement ou partiellement automatique, ou manuellement dans le cadre d’un système d’enregistrement de données, tel que la collecte, l’enregistrement, le stockage, la conservation, la modification, la restructuration, la divulgation, le transfert, l’acquisition, l’accessibilité, la classification ou la prévention de l’utilisation des données.

Les données personnelles ne peuvent être traitées sans le consentement explicite de la personne concernée. Cependant, en présence de l’une des conditions suivantes, les données personnelles peuvent être traitées sans le consentement explicite de la personne concernée :

Prévu explicitement par la loi.

Nécessaire pour la protection de la vie ou de l’intégrité physique de la personne qui est physiquement incapable de donner son consentement ou dont le consentement n’est pas légalement reconnu, en cas d’impossibilité factuelle.

Nécessaire pour la conclusion ou l’exécution d’un contrat, dans la mesure où elle concerne les données personnelles des parties au contrat.

Nécessaire pour que le responsable du traitement puisse remplir une obligation légale.

Les données ont été rendues publiques par la personne concernée.

Nécessaire pour l’établissement, l’exercice ou la défense de droits légaux.

Nécessaire pour les intérêts légitimes du responsable du traitement, à condition que cela ne porte pas atteinte aux droits et libertés fondamentaux de la personne concernée.

Les dispositions de la Loi sur la protection des données personnelles sont également contraignantes pour les parties à une relation de travail. En effet, ces obligations sont présentes sous plusieurs formes dans d’autres lois.

L’article 75 du Code du travail impose clairement à l’employeur de tenir un dossier personnel pour chaque employé, qui doit inclure, en plus des informations d’identité de l’employé, tous les documents et enregistrements requis par le Code du travail et d’autres lois, et de les présenter aux fonctionnaires et autorités compétentes sur demande. De même, les limites de cette obligation sont définies par l’utilisation honnête et légale des informations sur l’employé, l’employeur étant tenu de ne pas divulger ces informations s’il existe un intérêt légitime à les protéger.

L’article 419 du Code des obligations turc accorde à l’employeur le droit de traiter les données personnelles de l’employé uniquement dans la mesure nécessaire pour l’aptitude au travail de l’employé ou pour l’exécution du contrat de service.

L’article 15 de la Loi sur la santé et la sécurité au travail impose que les données obtenues à la suite de la surveillance de la santé nécessaire compte tenu des risques pour la santé et la sécurité auxquels les employés sont exposés sur le lieu de travail soient gardées confidentielles pour protéger la vie privée et la réputation de l’employé.

QUELLES SONT LES LIMITES ET L’ÉTENDUE DU DROIT DE GESTION DE L’EMPLOYEUR ?

Le contrat de travail est un contrat où l’employé s’engage à travailler sous la dépendance de l’employeur, qui s’engage en retour à payer un salaire. L’élément de dépendance impose à l’employé l’obligation de se conformer aux ordres et directives de l’employeur. La structure hiérarchique résultant de la relation d’ordre et de directive donne naturellement à l’employeur un droit de gestion sur l’employé, découlant de la relation de travail et orienté vers la prestation de travail. Dans ce contexte, l’employeur, ayant une autorité plus forte par rapport à l’employé qui est économiquement dépendant et en position matérielle faible, ne peut pas avoir un droit de gestion illimité. L’État, chargé de protéger les employés et les chômeurs afin d’améliorer leur niveau de vie, de développer la vie de travail, de soutenir l’emploi, de prévenir le chômage, et de créer un environnement économique propice à cet effet, ainsi que de maintenir la paix du travail, est tenu de prendre les mesures nécessaires pour assurer que l’employeur agisse conformément au principe fondamental de protection de l’employé dans la relation de travail. En partant de ce principe, il résulte que le droit de gestion de l’employeur a un sens limité, le droit de gestion de l’employeur étant limité par la Constitution, les lois, les règlements, les contrats collectifs/individuels de travail, les règlements d’entreprise et les pratiques d’entreprise. La protection la plus importante qui forme les limites du droit de gestion de l’employeur est la garantie constitutionnelle des droits et libertés fondamentaux de l’employé.

La confidentialité de la vie privée est l’un des droits et libertés fondamentaux qui doivent être protégés et concerne les droits de la personnalité de l’employé. Tout le monde a le droit de demander le respect de sa vie privée et de sa vie familiale et de protéger les données personnelles le concernant. Ce droit comprend également le droit d’être informé sur les données personnelles le concernant, d’accéder à ces données, de demander leur correction ou leur suppression et de vérifier si elles sont utilisées conformément à leurs objectifs.

Compte tenu des transformations provoquées par les développements technologiques, il est indéniable que les intrusions dans la vie privée sont devenues beaucoup plus faciles et courantes dans tous les aspects de la vie. Tenant compte de cette situation dans la relation de travail, il est possible de dire que les employeurs mènent fréquemment des activités de surveillance et de suivi des appels téléphoniques des employés, de l’historique Internet, du contenu des e-mails, des enregistrements de véhicules, des enregistrements vidéo ou des systèmes de reconnaissance utilisés pour le contrôle des entrées et des sorties, grâce aux possibilités structurelles offertes. Ces possibilités permettent l’accès et le traitement des données personnelles des employés, rendant nécessaire l’adoption de réglementations pour éviter les violations dans ce domaine et pour empêcher que les limites du droit de gestion ne soient dépassées.

PRINCIPES RÉGISSANT LE TRAITEMENT DES DONNÉES PERSONNELLES DES EMPLOYÉS SOUS LA LOPD

La LOPD lie le responsable du traitement à certains principes lors de la conduite de l’activité de traitement des données.

L’activité de traitement doit être conforme à la loi et aux règles d’honnêteté.

L’employeur, lors du traitement des données personnelles de l’employé, doit assurer la conformité avec toutes les réglementations, y compris les lois, et agir comme une personne raisonnable, correcte et honnête.

Les données personnelles doivent être exactes et, si nécessaire, mises à jour.

Ce principe impose à l’employeur l’obligation de vérifier que les données personnelles de l’employé correspondent à la réalité, de réaliser des audits et, si nécessaire, de créer une politique de données.

Les données doivent être traitées pour des fins spécifiques, explicites et légitimes.

L’employeur doit traiter les données personnelles de l’employé de manière claire et compréhensible, conformément aux objectifs de données définis.

Les données personnelles doivent être traitées de manière adéquate, limitée et proportionnelle à l’objectif.

L’employeur doit mener des activités de traitement des données conformément aux exigences de la relation de travail et à la nature du travail.

Les données personnelles doivent être conservées pendant la durée prévue par la réglementation ou nécessaire aux fins pour lesquelles elles ont été traitées.

La durée de conservation doit être déterminée en tenant compte des dispositions légales, de la nature des données, des obligations de responsabilité et des intérêts légitimes de l’employé.

OBLIGATIONS DE L’EMPLOYEUR DANS LE TRAITEMENT DES DONNÉES PERSONNELLES

Le responsable du traitement, qui détermine les objectifs et les moyens du traitement des données personnelles, et qui est responsable de l’établissement et de la gestion du système d’enregistrement des données, correspond dans la relation de travail à l’employeur.

Inscription au Registre des Responsables du Traitement

Les personnes physiques et morales qui traitent des données personnelles doivent s’inscrire au Registre des Responsables du Traitement avant de commencer le traitement des données. Cependant, la Commission peut exempter de l’obligation d’inscription au Registre des Responsables du Traitement, en tenant compte de critères objectifs tels que la nature des données personnelles traitées, leur nombre, le fait que le traitement découle de la loi ou le transfert à des tiers. Les responsables du traitement inscrits sont tenus de préparer une politique de conservation et de destruction des données personnelles conformément à leur inventaire de traitement des données personnelles. Les responsables du traitement doivent détailler leurs activités de traitement des données personnelles en fonction des objectifs de traitement des données, de la catégorie de données, du groupe de destinataires transférés et du groupe de sujets de données, et doivent spécifier la durée maximale nécessaire pour les objectifs pour lesquels les données sont traitées, les données personnelles prévues pour être transférées à des pays étrangers, et les mesures de sécurité prises en relation avec la protection des données.

Obligation d’information

Ensuite, lors de l’obtention des données personnelles, l’employeur doit informer l’employé de l’identité du responsable du traitement et de son représentant, le cas échéant, des objectifs pour lesquels les données personnelles seront traitées, des personnes à qui les données personnelles peuvent être transférées et des objectifs de ce transfert, de la méthode et de la base légale de la collecte des données personnelles, et des droits de l’employé concernant l’accès aux données personnelles traitées, la demande d’informations si les données sont traitées, l’apprentissage des objectifs de traitement des données et si elles sont utilisées à ces fins, connaître les tiers à qui les données personnelles ont été transférées à l’intérieur ou à l’extérieur du pays, demander la correction des données personnelles traitées de manière incomplète ou incorrecte, demander la suppression ou la destruction des données personnelles, demander que cela soit notifié aux tiers auxquels les données personnelles ont été transférées, s’opposer à un résultat qui lui est défavorable résultant uniquement de l’analyse des données traitées par des systèmes automatiques, et demander la réparation des dommages en cas de traitement illégal des données personnelles.

Obligation de recueillir le consentement explicite

Le consentement, qui est une manifestation de volonté, est valide si elle est consciente et décidée par la personne. Dans les cas où les parties ne sont pas en position égale ou si l’une des parties a une influence sur l’autre, il doit être soigneusement évalué si le consentement a été donné librement. En particulier dans la relation employé-employeur, si l’opportunité de ne pas donner son consentement n’est pas efficacement offerte à l’employé ou si le fait de ne pas donner son consentement pourrait entraîner un préjudice probable pour l’employé, il ne peut être considéré que le consentement repose sur une volonté libre. Dans le cadre de la LOPD, le consentement explicite signifie que la personne a donné son accord pour le traitement de ses données, soit de sa propre initiative, soit à la demande de l’autre partie. L’importance du consentement explicite est également qu’il guide le responsable du traitement sur l’action à entreprendre. En déclarant son consentement explicite, la personne informe en fait le responsable du traitement de la décision qu’elle a prise concernant sa propre valeur juridique. Le consentement explicite permet également à la personne concernée de définir les limites, la portée, la manière et la durée du traitement des données pour lesquelles elle a donné son autorisation.

Obligation de prendre des mesures techniques et administratives

En tant que responsable du traitement, l’employeur doit prendre toutes les mesures techniques et administratives nécessaires pour prévenir le traitement illégal des données personnelles, prévenir l’accès illégal aux données personnelles, et assurer la conservation des données personnelles, afin de garantir un niveau de sécurité approprié.

CONSÉQUENCES DU TRAITEMENT ILLÉGAL DES DONNÉES PERSONNELLES DANS LE CADRE DU DROIT PRIVÉ

Il existe des conséquences légales, pénales et administratives pour les parties à une relation de travail en cas de traitement illégal des données personnelles de l’employé.

1. Conséquences légales

– En cas de dommage résultant du traitement illégal des données personnelles, la personne concernée peut demander réparation.

Les personnes dont les droits de la personnalité ont été violés peuvent demander des dommages-intérêts selon les dispositions générales.

Ils peuvent demander au juge de protéger contre les attaques, de prévenir le danger d’attaque, de mettre fin à une attaque en cours, ou même si elle est terminée, de déterminer l’illégalité de ses effets persistants, et ils peuvent également demander que la correction ou la décision soit notifiée à des tiers ou publiée.

2. Conséquences pénales

– Une peine de prison de un à trois ans est infligée à la personne qui enregistre illégalement des données personnelles.

La personne qui donne, diffuse ou obtient illégalement des données personnelles à une autre personne est punie d’une peine de prison de deux à quatre ans.

Les personnes qui sont tenues de détruire les données dans le système après l’expiration des délais prévus par la loi, mais qui ne remplissent pas cette obligation, sont punies d’une peine de prison d’un à deux ans.

3. Conséquences administratives

– Une amende administrative de 5 000 à 100 000 livres turques est infligée à ceux qui ne respectent pas l’obligation d’information.

Ceux qui ne respectent pas les obligations relatives à la sécurité des données sont soumis à une amende administrative de 15 000 à 1 000 000 de livres turques.

Ceux qui ne respectent pas les décisions prises par la Commission sont soumis à une amende administrative de 25 000 à 1 000 000 de livres turques.

Ceux qui agissent en violation de l’obligation d’enregistrement et de notification au Registre des Responsables du Traitement sont soumis à une amende administrative de 20 000 à 1 000 000 de livres turques.

PRATIQUES DE L’EMPLOYEUR DANS LE CADRE DU DROIT DE GESTION ET ÉVALUATION DE CES PRATIQUES SOUS LA LOPD

1. Surveillance des conversations téléphoniques

Si l’employeur fournit un téléphone à l’employé, celui-ci doit l’utiliser conformément à l’objet pour lequel il lui a été donné. Il est acceptable que l’employeur surveille les comportements non conformes à cet usage dans l’intérêt légitime de l’employeur. Lors de l’exercice de son pouvoir de surveillance, l’employeur ne peut demander aucune information sur les conversations téléphoniques violant la liberté de communication de l’employé, y compris l’écoute des appels, et ne peut effectuer qu’une surveillance limitée des historiques d’appels et des durées de conversation. En fin de compte, tout le monde a le droit à la liberté de communication. La confidentialité des communications est fondamentale. Sauf en cas de nécessité liée à la sécurité nationale, à l’ordre public, à la prévention des crimes, à la santé publique ou à la moralité publique, ou à la protection des droits et libertés d’autrui, et sauf si un retard serait préjudiciable dans ces cas, aucun acte de communication ne peut être entravé ou violé sans une ordonnance judiciaire appropriée donnée conformément à la procédure, ou, dans les cas où un retard serait préjudiciable, sans l’ordre écrit d’une autorité autorisée par la loi.

2. Surveillance du trafic Internet

Il est possible de dire qu’un employeur a un pouvoir de surveillance sur le trafic Internet afin de prévenir l’utilisation d’Internet pendant les heures de travail qui pourrait entraver l’accomplissement de l’obligation de travail, de prévenir l’accès à des sites présentant un risque juridique et de prévenir les violations de l’information commerciale, opérationnelle ou client, notamment. L’employeur, s’il n’a pas déclaré que l’utilisation d’Internet sur le lieu de travail pourrait être à des fins personnelles, ne peut accepter qu’une utilisation liée à la performance du travail. Dans les deux cas, l’employeur doit informer l’employé que toutes les activités Internet sont surveillées. Cependant, il convient de noter que la surveillance du trafic Internet devrait être une mesure de dernier recours pour prévenir les risques mentionnés, des mesures techniques telles que des barrières d’accès étant prioritaires.

3. Surveillance par caméra vidéo

Pour qu’un employeur puisse surveiller un employé avec une caméra, il doit d’abord avoir une justification raisonnable, légale et généralement acceptable. L’intention de mettre la pression sur l’employé pour qu’il accomplisse son travail n’est pas une justification valable pour cette action. Si aucune autre mesure n’est possible dans des circonstances où il est nécessaire de prendre des précautions pour la santé et la sécurité au travail, une méthode pouvant être appliquée pourrait être l’utilisation d’un appareil sans fonction d’enregistrement sonore en cas de vol incontrôlable, et il est essentiel d’informer l’employé.

4. Suivi de la position par véhicule

La méthode de suivi de la position par véhicule peut être une option en raison de la nature mobile du travail ou de l’activité de transport, ou si un véhicule est fourni à l’employé pour des raisons de sécurité ou de contrôle. Il est essentiel d’informer l’employé de l’application. La détermination du moment où l’autorité de contrôle est applicable dépend de si le véhicile est fourni uniquement pour l’accomplissement du travail ou si une permission d’utilisation personnelle est également incluse. Si l’utilisation est limitée à l’accomplissement du travail, alors l’autorité de surveillance est également applicable en dehors des heures de travail, tandis que si une permission pour des usages personnels est accordée, la surveillance est limitée aux heures de travail.

5. Surveillance de l’entrée et de la sortie du travail

Parmi les méthodes couramment utilisées pour contrôler la participation au travail figurent la surveillance des signatures, les systèmes d’entrée par carte, le balayage de la rétine, la reconnaissance faciale, et les méthodes d’empreintes digitales, chacune devant être proportionnelle au niveau de sécurité requis par l’activité. Si une solution plus raisonnable est disponible pour contrôler l’entrée et la sortie, elle devrait être préférée; sinon, des méthodes proportionnées telles que la vérification d’identité, la surveillance des signatures, et les applications d’entrée par carte devraient être choisies. Le recours aux données génétiques de l’employé est justifié uniquement si la nature du travail requiert un niveau de sécurité très élevé.

Pour plus d’aide ou de conseils sur ce sujet, vous pouvez nous contacter.