Questions-réponses : loi sur le cloud computing en Turquie

Questions-réponses : loi sur le cloud computing en Turquie


Législation et réglementation

Reconnaissance du concept

Le cloud computing est-il spécifiquement reconnu et prévu dans votre système juridique ? Si c’est le cas, comment?

Il n’y a pas de définition légale des technologies de cloud computing. Pourtant, il existe des références aux technologies ou services de cloud computing dans les domaines de la protection des données personnelles, de la localisation des données et de la cybersécurité pour les institutions publiques et les entreprises opérant dans certains secteurs tels que la finance, l’énergie et les communications électroniques.

Législation applicable

La législation ou la réglementation interdit-elle, restreint-elle ou régit-elle directement et spécifiquement l’informatique en nuage, dans ou en dehors de votre juridiction ?

La circulaire présidentielle n° 2019/12 (circulaire), publiée et entrée en vigueur le 6 juillet 2019, définit les mesures de sécurité de l’information et des communications à appliquer par les institutions publiques, les organismes publics et les entreprises fournissant des services d’infrastructure critiques. Les secteurs d’infrastructures critiques sont répertoriés comme l’énergie, les communications électroniques, la banque et la finance, les transports, la gestion de l’eau et les services publics critiques (par exemple, la sécurité nationale, les soins de santé). Conformément à la circulaire, les institutions et organisations publiques ne doivent pas stocker leurs données dans des services de stockage en nuage, à l’exception de leurs propres systèmes privés ou de prestataires de services locaux contrôlés par les institutions elles-mêmes. La circulaire indique que tous les serveurs de données de courrier électronique des institutions publiques doivent être situés en Turquie, bien qu’il n’y ait aucune référence spécifique aux systèmes d’informatique en nuage. S’appuyant sur la circulaire, le Bureau de la transformation numérique de la Présidence (DTO) a publié son Guide de sécurité de l’information et de la communication en juillet 2020 et le Guide d’audit en octobre 2021. Le DTO explique que les dispositions de la circulaire visent la localisation des données. En d’autres termes, tant que les données sont stockées dans des centres de données locaux et que les mesures de sécurité mentionnées sont prises, la circulaire n’interdit pas aux fournisseurs locaux ou étrangers de fournir des services de cloud computing. Les guides contiennent des mesures de sécurité générales et des spécifications d’audit pour la fourniture de services d’informatique en nuage qui sont contraignantes pour les institutions publiques et toute autre entreprise opérant dans des secteurs d’infrastructures critiques.

Par ailleurs, dans ses lignes directrices sur le traitement des données biométriques, la DPA turque déclare que les données biométriques ne doivent être stockées dans des systèmes cloud que lorsque des méthodes cryptographiques sont utilisées.

De plus, il existe des dispositions sectorielles directement applicables concernant l’informatique en nuage dans la législation turque. Ceux-ci sont les suivants :

  • Conformément au règlement sur les systèmes d’information des banques et les services bancaires électroniques, les banques peuvent utiliser des services privés de cloud computing pour leurs systèmes d’information. Toutefois, l’utilisation des services de cloud communautaire est soumise à l’obtention d’une autorisation de l’Agence de réglementation et de surveillance bancaires (BRSA).
  • Les sociétés de crédit-bail, les sociétés d’affacturage et les sociétés de financement constituées en Turquie peuvent utiliser des services de cloud privé pour leurs systèmes d’information. Ces entreprises ne peuvent utiliser les services de cloud communautaire qu’après avoir obtenu l’autorisation de BRSA.
  • Conformément au communiqué sur les systèmes d’information des établissements de paiement et de monnaie électronique et les services de partage de données des prestataires de services de paiement dans les services de paiement, les établissements de paiement et de monnaie électronique ne peuvent traiter les données sensibles des clients et les données personnelles que par le biais de systèmes de cloud privé. Ces institutions peuvent utiliser les technologies de cloud computing établies en Turquie pour traiter, stocker et transférer toutes les autres données.
  • Les réglementations du marché des capitaux interdisent aux institutions de stockage de données d’utiliser des services de cloud computing concernant les données qui leur sont communiquées en raison d’exigences légales.
  • Conformément au règlement sur les sites Web devant être exploités par des sociétés par actions, les entreprises et les fournisseurs de services de base de données centrale peuvent utiliser des services de cloud computing en dehors de la Turquie.

Quelle législation ou réglementation peut indirectement interdire, restreindre ou autrement régir le cloud computing, dans ou en dehors de votre juridiction ?

Des interdictions ou des restrictions indirectes peuvent être trouvées dans les législations généralement sous la forme d’exigences de localisation des données. Les exemples sont les suivants :

  • La loi sur la réglementation des publications sur Internet et la prévention des délits commis au moyen de ces publications numérotée 5651 oblige les fournisseurs de réseaux sociaux qui suivent plus d’un million d’utilisateurs quotidiens en Turquie à mettre en œuvre les mesures nécessaires pour héberger les données des utilisateurs situés en Turquie au sein du pays.
  • Conformément au règlement sur les scooters électroniques, les opérateurs de fournisseurs de scooters électriques partagés sont tenus de localiser leurs serveurs en Turquie pour obtenir une licence.
  • Les sociétés et les banques cotées en bourse sont tenues de maintenir leurs systèmes d’information primaires et secondaires dans le pays conformément au communiqué sur la gestion des systèmes d’information, au règlement sur les systèmes d’information des banques et des services bancaires électroniques et au règlement sur les systèmes internes et Processus d’évaluation de l’adéquation du capital interne.
  • Les établissements de paiement et les établissements de monnaie électronique doivent conserver les documents et registres visés dans la loi au niveau national pendant au moins 10 ans conformément à la loi n° 6493 sur les systèmes de paiement et de règlement de titres, les services de paiement et les établissements de monnaie électronique.

Violation des lois

Quelles sont les conséquences d’une violation des lois interdisant, restreignant ou régissant autrement le cloud computing, directement ou indirectement ?

Les agents de l’État chargés de mettre en œuvre les mesures contenues dans la circulaire, le guide de sécurité de l’information et de la communication et le guide d’audit peuvent faire l’objet d’une procédure disciplinaire judiciaire ou administrative en cas de non-conformité.

L’Autorité de protection des données personnelles est autorisée à imposer des amendes administratives aux entreprises qui enfreignent la législation sur la protection des données personnelles.

Le Ministère du commerce est autorisé à imposer des amendes administratives aux entreprises qui violent les mesures de protection des consommateurs.

Mesures de protection des consommateurs

Quelles mesures de protection des consommateurs s’appliquent au cloud computing dans votre juridiction ?

Puisqu’il n’y a pas de mesures de protection des consommateurs spécifiques à l’informatique en nuage, des mesures générales de protection des consommateurs s’appliqueraient aux produits et services d’informatique en nuage. La loi n° 6563 sur la réglementation du commerce électronique et la loi n° 6502 sur la protection des consommateurs réglementent les contrats avec les consommateurs qui sont formés et conclus par voie électronique (contrats à distance). Les prestataires de services sont tenus de fournir certaines informations aux consommateurs avant de conclure des contrats par voie électronique. Entre autres, les consommateurs doivent être informés de toute protection technique susceptible d’affecter la fonctionnalité du logiciel ou de l’application numérique. En outre, les prestataires de services sont tenus de s’assurer que le consommateur dispose des moyens techniques lui permettant d’identifier et de corriger les erreurs de saisie préalablement à la passation de la commande et à l’accès aux clauses contractuelles. Les contrats à distance comportent également certains droits en faveur des consommateurs, tels que le droit du consommateur de résilier le contrat dans les 14 jours suivant la prestation de services sans donner de motif ni payer d’amende. Si le fournisseur n’informe pas les consommateurs de leur droit de rétractation, les consommateurs peuvent exercer leur droit de rétractation dans un délai d’un an après l’expiration de 14 jours. Les prestataires de services doivent stocker les journaux électroniques concernant les transactions de commerce électronique pendant trois ans à compter de la date de la transaction et soumettre ces journaux au ministère du commerce sur demande. Enfin, conformément à la loi internationale privée et procédurale n° 5718, les tribunaux turcs du domicile du consommateur sont compétents si des réclamations sont intentées contre le consommateur. Lorsque le consommateur dépose une réclamation contre le prestataire de services, les tribunaux turcs des lieux où se trouve le domicile ou la résidence habituelle du consommateur ou le domicile ou la résidence habituelle de l’autre partie sont compétents. Les parties ont la liberté de décider de la loi applicable sous réserve des dispositions impératives de la loi de la résidence habituelle du consommateur.

Législation sectorielle

Décrivez toute législation ou réglementation sectorielle qui s’applique aux transactions d’informatique en nuage dans votre juridiction.

Il existe plusieurs dispositions relatives au cloud computing dans les législations sectorielles telles que :

  • Conformément au règlement sur les systèmes d’information des banques et les services bancaires électroniques, les banques peuvent utiliser des services privés de cloud computing pour les systèmes d’information. Cependant, l’utilisation des services de cloud communautaire est soumise à l’obtention de l’autorisation de la BRSA.
  • Les sociétés de crédit-bail, les sociétés d’affacturage et les sociétés de financement constituées en Turquie peuvent utiliser des services de cloud privé pour les systèmes d’information. Ces entreprises ne peuvent utiliser les services de cloud communautaire qu’après avoir obtenu l’autorisation de BRSA.
  • Conformément au communiqué sur les systèmes d’information des établissements de paiement et de monnaie électronique et les services de partage de données des prestataires de services de paiement dans les services de paiement, les établissements de paiement et de monnaie électronique ne peuvent traiter les données sensibles des clients et les données personnelles que par le biais de systèmes de cloud privé. Ces institutions peuvent utiliser les technologies de cloud computing établies en Turquie pour traiter, stocker et transférer toutes les autres données.
  • Les réglementations du marché des capitaux interdisent l’utilisation des services de cloud computing des institutions de stockage de données concernant les données qui leur sont communiquées en raison d’exigences légales.
  • Conformément au règlement sur les sites Web devant être exploités par des sociétés par actions, les entreprises et les fournisseurs de services de base de données centrale peuvent utiliser des services de cloud computing en dehors de la Turquie.
  • Le règlement sur les principes opérationnels des banques numériques et des modèles de services bancaires stipule que les fournisseurs d’interface ne peuvent utiliser que des services de cloud computing privés ou des services de cloud communautaire sous réserve de l’autorisation de la BRSA.

Lois sur l’insolvabilité

Décrire les lois sur l’insolvabilité qui s’appliquent généralement ou spécifiquement à l’informatique en nuage.

La Turquie n’a pas de lois spécifiques sur l’insolvabilité applicables aux transactions de cloud computing. La loi n° 2004 sur l’exécution et la faillite (EBL) s’appliquerait également aux fournisseurs d’informatique en nuage. L’EBL ne contient aucune interdiction explicite en ce qui concerne les clauses contractuelles de résiliation anticipée ou de résiliation automatique fondées sur des événements liés à l’insolvabilité (sauf en cas de situation de concorde). Pourtant, il est également généralement admis en droit turc que l’administration des faillites a un droit de sélection, de sorte qu’elle peut sélectionner certaines obligations non monétaires et exiger leur exécution. Étant donné qu’il n’est pas clair comment les clients peuvent récupérer leurs données à partir du serveur d’un fournisseur de cloud computing insolvable, il leur est conseillé d’opter pour des mesures contractuelles pour atténuer leur risque. Compte tenu de ce risque, les contrats d’informatique en nuage permettent généralement aux parties de résilier immédiatement le contrat si l’une ou l’autre des parties devient insolvable. Dans certains cas, le fournisseur d’informatique en nuage peut être obligé de transférer les données du client à un autre fournisseur immédiatement lorsque sa cote de crédit est retirée ou dégradée, ou qu’il ne remplit pas ses exigences financières ou lorsqu’il y a une baisse de sa valeur nette tangible. Les clients peuvent également acheter des services auprès de plusieurs fournisseurs ou disposer de serveurs de secours pour éviter un point de défaillance unique.

.

Leave a Comment